现在只对常读和星标的公众号才展示大图推送,建议大家能把渗透安全团队“设为星标”,否则可能就看不到了啦!
0x01:靶机地址
https://www.vulnhub.com/entry/ai-web-2,357/0x02:可能用到的工具、知识点和漏洞
netdiscovernmapdirsearchsearchsploitjohn目录穿越(Directory Traversal)漏洞远程命令执行(RCE)漏洞Ubuntu 18.04 - 'lxd' Privilege Escalation提权
0x01:信息收集阶段
首先我们打开kali进行网段ip探测,看有哪些开启的机器
使用netdiscover命令进行探测全网段存活主机
还是老样子,一眼看出靶机地址为192.168.36.133
我们先来nmap一下看看开了哪些端口与服务
80与22端口是开放的
0x02:渗透测试阶段
访问一下web页面看看
发现只有一个登录框
先不管他,dirb扫一下目录
分别打开看一下code为200&size不为0的页面都是什么
我们发现了另一个页面
开始注册账号看看登陆进去是什么样子的
直接注册就好
我们登录进来发现啥也没有
于是我突发奇想,网络上会不会有类似或者相同的源码呢?
页面里写着XuezhuLi FileSharing,这个会不会就是系统名之类的呢?
我第一个想到的就是github
尝试各种方法搜索后,我发现这个XuezhuLi是个用户名
点进去一看,还真有这套程序的源码
开始审计
挨个看一遍先
当我看到download文件时,发现了漏洞
代码是这样写的,先是定义了一个file_name的变量为GET传参
传参后直接输出到页面上,其中并未做任何的过滤等防范措施,由此我们可以尝试读取目录文件操作
在经过一番尝试之后我发现不能读取到web目录的文件,但是可以下载到服务器的文件
可以看到服务器上的用户信息已经出来了
联想到信息收集时扫描到ssh端口是开放的,所以我们开始尝试暴破ssh密码
hydra爆破无果,烧脑中...........
后来也是在其他师傅帮忙的情况下开始包含apache2的认证文件
下载下来获取到信息后继续开始暴破
这次我们使用John
爆破成功,成功获取到账号密码
有了账号密码,又已知web页面能注册,能登陆,那会不会存在后台我们没有扫到呢?
我尝试换种工具开扫,没想到还真出了
我们看到有类似后台的地址路径,访问看一下
输入刚刚我们爆破得到的账号密码
提示他不允许看到的一些内容是robots信息,我们回过头来开始拼接路径查看robots.txt的信息
无果,继续尝试在后台管理页面下是否具有robots信息的查找
发现在后台管理页面下有两个路径,分别打开看一下
第一个路径:
第二个路径:
这样一来,我们可以做远程命令执行操作
开始抓包尝试进行RCE操作
成功执行RCE操作
这样还不够,因为可能有隐藏的文件,使用find命令进行尝试
无果,换另一个目录进行尝试
发现有个关于ssh的文件,使用cat命令进行查看
成功拿下ssh账号密码,开连
0x02:提权阶段:
我们可以看到用户权限很低
开始尝试提权
https://github.com/rebootuser/LinEnum下载此脚本到靶机,可以帮助我们多搜索一些利用信息
./LinEnum.sh -r report.txt查看这个文件时我看到了lxd,我去搜索了一下,发现有一个19年的提权脚本
下载到靶机之后,给予可执行权限 chmod +x 46978.sh,运行之后报错,因为这个
脚本是在 Windows 系统里进行编辑的,不同系统之间的编码格式不一致,所以导
致了这样的问题。查看脚本后,发现还需要下载另一个文件
https://github.com/saghul/lxd-alpine-builder放到靶机之后直接运行此脚本(目测要开代理),因为我在做的时候不开代理无法下载那个apk文件,成功之后会在本文件夹生成一个带目前系统时间的压缩包文件,直接放到和刚刚那个46978.sh的脚本相同位置即可
然后运行此脚本文件
提权成功,开始寻找flag文件
成功拿下flag文件
首先我们进行信息收集,经过几番周折找到了目录穿越可下载到服务器文件的漏洞,以及我们发现了RCE远程代码执行的漏洞,查找到了他的ssh账号密码,连接后发现权限很低,我们尝试提权操作,提权操作此靶场使用的是lxd漏洞提权的,中间提权部分比较麻烦,请各位耐心,细心的思考才可以达到我们预期的效果,拿到最终的flag文件
★
(目前进度1153/1166)
欢 迎 加 入 星 球 !
代码审计+免杀+渗透学习资源+各种资料文档+各种工具+付费会员
进成员内部群
星球的最近主题和星球内部工具一些展示
关 注 有 礼
还在等什么?赶紧点击下方名片关注学习吧!
推荐阅读
如有侵权请联系:admin#unsafe.sh