『VulnHub 系列』AI: Web: 2 靶机-Walkthrough
2022-10-9 13:38:44 Author: 渗透安全团队(查看原文) 阅读量:16 收藏

0x01 靶场描述:

vulnhub是个提供各种漏洞平台的综合靶场,可供下载多种虚拟机进行下载,本地VM打开即可,像做游戏一样去完成渗透测试、提权、漏洞利用、代码审计等等有趣的实战。vulnhub也是OSCP证书刷题必备的靶场,所以其中实验攻击机用kali均可完成,毕竟是kali认证的证书嘛,其实做一套靶场的过程中就像在考OSCP一样。

0x02 靶机地址:

靶机地址:https://www.vulnhub.com/entry/ai-web-2,357/

0x03 可能用到的工具、知识点和漏洞:

netdiscover

nmap

dirsearch

searchsploit

john

目录穿越(Directory Traversal)漏洞

远程命令执行(RCE)漏洞

Ubuntu 18.04 - 'lxd' Privilege Escalation提权

0x04:信息收集阶段

首先我们打开kali进行网段ip探测,看有哪些开启的机器

使用netdiscover命令进行探测全网段存活主机

还是老样子,一眼看出靶机地址为192.168.36.133

我们先来nmap一下看看开了哪些端口与服务

80与22端口是开放的

0x05:渗透测试阶段

访问一下web页面看看

发现只有一个登录框

先不管他,dirb扫一下目录

分别打开看一下code为200&size不为0的页面都是什么

我们发现了另一个页面

开始注册账号看看登陆进去是什么样子的

直接注册就好

我们登录进来发现啥也没有

于是我突发奇想,网络上会不会有类似或者相同的源码呢?

页面里写着XuezhuLi FileSharing,这个会不会就是系统名之类的呢?

我第一个想到的就是github

尝试各种方法搜索后,我发现这个XuezhuLi是个用户名

点进去一看,还真有这套程序的源码

开始审计

挨个看一遍先

当我看到download文件时,发现了漏洞

代码是这样写的,先是定义了一个file_name的变量为GET传参

传参后直接输出到页面上,其中并未做任何的过滤等防范措施,由此我们可以尝试读取目录文件操作

在经过一番尝试之后我发现不能读取到web目录的文件,但是可以下载到服务器的文件

可以看到服务器上的用户信息已经出来了

联想到信息收集时扫描到ssh端口是开放的,所以我们开始尝试暴破ssh密码

hydra爆破无果,烧脑中...........

后来也是在其他师傅帮忙的情况下开始包含apache2的认证文件

下载下来获取到信息后继续开始暴破

这次我们使用John

爆破成功,成功获取到账号密码

有了账号密码,又已知web页面能注册,能登陆,那会不会存在后台我们没有扫到呢?

我尝试换种工具开扫,没想到还真出了

我们看到有类似后台的地址路径,访问看一下

输入刚刚我们爆破得到的账号密码

提示他不允许看到的一些内容是robots信息,我们回过头来开始拼接路径查看robots.txt的信息

无果,继续尝试在后台管理页面下是否具有robots信息的查找

发现在后台管理页面下有两个路径,分别打开看一下

第一个路径:

第二个路径:

这样一来,我们可以做远程命令执行操作

开始抓包尝试进行RCE操作

成功执行RCE操作

这样还不够,因为可能有隐藏的文件,使用find命令进行尝试

无果,换另一个目录进行尝试

发现有个关于ssh的文件,使用cat命令进行查看

成功拿下ssh账号密码,开连

0x06:提权阶段

我们可以看到用户权限很低

开始尝试提权

https://github.com/rebootuser/LinEnum

下载此脚本到靶机,可以帮助我们多搜索一些利用信息

./LinEnum.sh -r report.txt

查看这个文件时我看到了lxd,我去搜索了一下,发现有一个19年的提权脚本

下载到靶机之后,给予可执行权限 chmod +x 46978.sh,运行之后报错,因为这个

脚本是在 Windows 系统里进行编辑的,不同系统之间的编码格式不一致,所以导了这样的问题。查看脚本后,发现还需要下载另一个文件

https://github.com/saghul/lxd-alpine-builder

放到靶机之后直接运行此脚本(目测要开代理),因为我在做的时候不开代理无法下载那个apk文件,成功之后会在本文件夹生成一个带目前系统时间的压缩包文件,直接放到和刚刚那个46978.sh的脚本相同位置即可

然后运行此脚本文件

提权成功,开始寻找flag文件

成功拿下flag文件

0x06:总结阶段

首先我们进行信息收集,经过几番周折找到了目录穿越可下载到服务器文件的漏洞,以及我们发现了RCE远程代码执行的漏洞,查找到了他的ssh账号密码,连接后发现权限很低,我们尝试提权操作,提权操作此靶场使用的是lxd漏洞提权的,中间提权部分比较麻烦,请各位耐心,细心的思考才可以达到我们预期的效果,拿到最终的flag文件。

星 球 免 费 福 利

 转发公众号本文到朋友圈

 截图到公众号后台第1、3、5名获取免费进入星球

星球的最近主题和星球内部工具一些展示

欢 迎 加 入 星 球 !

关 注 有 礼

关注下方公众号回复“666”可以领取一套精品渗透测试工具集和百度云视频链接。

 还在等什么?赶紧点击下方名片关注学习吧!


群聊 | 技术交流群-群除我佬

干货|史上最全一句话木马

干货 | CS绕过vultr特征检测修改算法

实战 | 用中国人写的红队服务器搞一次内网穿透练习

实战 | 渗透某培训平台经历

实战 | 一次曲折的钓鱼溯源反制

免责声明
由于传播、利用本公众号渗透安全团队所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号渗透安全团队及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
好文分享收藏赞一下最美点在看哦

文章来源: http://mp.weixin.qq.com/s?__biz=MzkxNDAyNTY2NA==&mid=2247493454&idx=2&sn=914b563d4fb9dbc510516b2d5fa48ec7&chksm=c1761ae1f60193f7bb5cfc75feb5b9be288db15679f09c47e1d7fd274288724c267e2f687092#rd
如有侵权请联系:admin#unsafe.sh