下载地址:https://download.vulnhub.com/darkhole/DarkHole.zip
1.配置环境
kali:NAT
吧唧:NAT
2.主机发现
经过粗略的扫描我们可以发现吧唧的ip为192.168.139.146
经过较为详细的扫描我们可以看出吧唧他开启了22ssh服务和80http服务
3.访问服务
我们可以看到他是个单纯的静态网页,最大最显眼的黄色按钮按了没有任何反应
但是右上角有一个经典的login按钮,是一个登录界面,我虽然不知道账号密码,但我们可以注册一个账号密码登录进去,下方的red virus点击后将会跳转到一个视频,视频我也看了,是教你下载东西的
感觉这里面没啥好看的,一个框框是用户名和邮箱,一个框框是更改密码
目录扫描出来感觉没有什么有用的东东
这两个目录里面有点儿小东西,config目录中的database.php肯定是看不了一点儿的,看到upload这个目录我感觉应该是哪里可以上传个东西的
我其实还是感觉url有问题,我刚注册的两个用户访问的时候URL中的id参数有一些明显的变化,id在2和3之间反复横跳,我说这没问题你信?
这里我们直接就是偷梁换柱偷天换日,这叫什么?这叫逻辑欺骗
我们捋一捋这个逻辑,id123分别标识的用户admin和我注册的两个用户,在id为23的时候我是已知账号密码的,并且网页提供了更改密码的选项,那么我们就可以在更改密码的时候修改id为1来实现更改admin的密码
我们尝试admin:123来登录,不出所料,我们成功登录了admin,不仅如此,我们还发现作为一个admin,他多了一个上传的功能,而且还只能上传jpg,png,gif类型的文件
我本来是想什么玩意儿图片渲染,一句话木马,又是什么玩意儿copy把木马和图片整合在一起,试了一圈儿,发现没有任何用处,实在是没辙了,经过一番沉淀后,我知道了一个新的后缀——phtml,把我们的一句话木马文件的后缀改成phtml后,就可以成功连接上蚁剑
以前的我拿到蚁剑我会把他的目录翻个遍找到flag,今时不同往日,现在的我更喜欢在命令行进行信息搜集,加之蚁剑的控制台不仅不好看而且还不好看,于是我使用nc弹回本地一个shell,我不知道为什么我直接使用bash命令整不出来,不过没关系,条条大路通罗马,整个shell脚本文件执行是一样的道理
4.信息搜集
这里我们知道了root,darkhole,john三个用户具有/bin/bash权限,可是我们只是一个小小的www-data
在搜集到网站根目录的时候,看见数据库的配置文件,直接就是给我带偏了,经过查看全局变量,我们也是知道了不能进行udf攻击
我们在家目录下的john目录下看到了toto这个不知道什么玩意儿的玩意儿,是64位可执行文件,俗话说的好,是骡子是马拉出来溜溜就知道了
整到ida里面反编译了一下好看了不少,toto的功能就是设置当前用户的uid和gid为1001,再进行查看,这里的1001就是我们的john
给我整不会了,我以为的这里我们执行了toto就可以看john文件夹下的一些东西了,但是很明显不行,我选择沉淀
经过一番沉淀,我简直就是仙人指路醍醐灌顶,终于是成功的拿下了john的shell,以前我并不知道为什么要把构造的东西放在tmp目录下,直到有一天我自己写东西下意识的写在tmp目录下我才反映过来,这临时目录是个人都可以写的啊
特喵的密码这么简单的啊,这么玩儿是吧,别逼我断掉nc去ssh连。从www-data切换到john,第一件事情还是信息搜集,先从家目录开始直接就是搜到了我们的第一个flag
DarkHole{YouCanDO_It}
我就说他在整什么玩意儿的花活儿,john可以以root权限运行file.py,john对于file.py具有改写权限,我就是john,很明了了嘛
我忏悔一下在我写file.py的时候不知道什么玩意儿进去,当然是开启一个shell啦,可以看到我们成功整到了root
也是成功拿到了我们的flag
DarkHole{YouAreLegend}
总结:这个吧唧相对来说较为简单,我学到了主要是要留意一下url栏各个参数的变化,还有就是文件上传的时候他过滤会有白名单黑名单的,多猜猜后缀,这里学到了一个新的后缀phtml,把每个简单的方法都试一下(没错这里指的是ssh爆破),如果一些程序使用了命令那么就该多想想能不能通过滥用环境变量来干一些坏坏的事情,然后就是pythn的那句system("/bin/bash")我居然忘记了(可恶,猪脑过载了),还有就是有机会永远要去看看数据库,虽然这里的数据库没什么用,但是不能不看。总结下来就俩字儿——细心
106
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
