【Vulnhub】DarkHole_1
前期
靶机地址: https://www.vulnhub.com/entry/darkhole-1,724/
信息收集
开放了22和80端口
80端口
扫一下目录
/register.php
注册页面
注册个用户
/login.php
登录界面
登录后界面简单,仅有信息修改,修改密码,抓包修改id越权修改admin的密码
/dashboard.php?id=2
尝试注入没有注入
admin登录多了上传接口,限制了上传文件的格式,那就改成 .phar 格式上传,(php4,php5试了也能上传):
https://www.revshells.com/ 生成反弹shell,上传shell
nc 监听并访问上传的文件:
提权
信息收集
敏感文件:
/home/john/toto # 二进制文件
/home/john/password
/home/john/file.py # 具有sudo权限
/home/john
目录下发现可以二进制文件 toto,发现执行的是 id 命令
环境变量覆盖
echo 'bash' > /tmp/id; chmod +x /tmp/id; export PATH=/tmp:$PATH
切到了 john 用户,查看之前发现的 password,应该是 john 的密码
ssh 登录
直接写入 shell 到 file.py 文件
echo 'import os;os.system("/bin/bash")' > file.py
获取shell
sudo python3 /home/john/file.py