靶机环境搭建
攻击机:kali IP地址:192.168.111.128
靶机:AI-Web1 IP地址未知
靶机下载网址: AI: Web: 1 ~ VulnHub
百度网盘下载: 百度网盘 请输入提取码
渗透过程
1.信息收集
1.1靶机发现
通过查看靶机的MAC确定靶机
右击靶机->设置->网络适配器->高级->MAC地址
arp扫描,确定靶机
arp-scan -l
1.2端口扫描
nmap -sS -sV -n -T5 -p- 192.168.111.130
只开启了80端口
1.3访问网页端口(80)
直接访问192.168.111.130,默认端口80
没有什么信息
1.4目录爆破
访问robots.txt
给了两个目录挨个访问
/m3diNf0/
没有什么,目录扫描
访问 /m3diNf0/info.php
浏览一下发现没有什么可以用到的
接着访问
/se3reTdir777/uploads/
目录扫描
访问
/se3reTdir777/uploads/test.php
发现没有什么,因这是se3reTdir777下的uploads目录试着se3reTdir777这个目录
测试一下输入1
2.漏洞利用
2.1sqlmap爆破
发现sql注入
使用burp,将发包内容复制下来,使用sqlmap跑
复制下来,导入导一个txt文件
Sqlmap跑
1.1查看数据库
sqlmap -r 1.txt -dbs --batch
1.2查看数据库里面的表
sqlmap -r 1.txt -D aiweb1 --tables --batch
1.3查看数据库里面的列
sqlmap -r 1.txt -D aiweb1 -T user --columns --batch
爆破到这发现有三个列,没有我们需要的内容
2.2尝试使用sqlmap的--os-shell命令
选择默认的php
选择自定义位置
回想到m3diNf0下的info.php中的泄露文件还有一个为泄露的/se3reTdir777/uploads/目录
通过查看m3diNf0下的info.php知道/se3reTdir777/uploads/绝对路径
/se3reTdir777/uploads/绝对路径为:/home/www/html/web1x443290o2sdf92213/se3reTdir777/uploads/
发现没有root权限
3.提权
3.1在kali中使用自带php文件反弹shell
将kali自带php文件复制到所在的目录
更改ip,端口可改可不改
vim编辑
默认ip
改为自己ip
3.2上传php文件
使用--file--write写入目标位置改名1.php
靶机查看
kali开启1234监听端
靶机运行1.php
连接上
交互式
查看权限,发生不是root权限
3.3提权到root
使用perl生成DES加密算法的密码哈希值
perl -le 'print crypt("明文密码","盐值")'
将123456密码哈希加密aa为盐值
增加个aa用户
切换aa用户
进入主目录,发现flag