【Vulnhub】DarkHole_1

前期

靶机地址: https://www.vulnhub.com/entry/darkhole-1,724/

信息收集

开放了22和80端口

80端口

扫一下目录
/register.php 注册页面
注册个用户
/login.php 登录界面
登录后界面简单,仅有信息修改,修改密码,抓包修改id越权修改admin的密码
/dashboard.php?id=2尝试注入没有注入
admin登录多了上传接口,限制了上传文件的格式,那就改成 .phar 格式上传,(php4,php5试了也能上传):
https://www.revshells.com/ 生成反弹shell,上传shell
nc 监听并访问上传的文件:

Nc

提权

信息收集
敏感文件:

/home/john/toto  # 二进制文件
/home/john/password
/home/john/file.py # 具有sudo权限

/home/john 目录下发现可以二进制文件 toto,发现执行的是 id 命令
环境变量覆盖

echo 'bash' > /tmp/id; chmod +x /tmp/id; export PATH=/tmp:$PATH

切到了 john 用户,查看之前发现的 password,应该是 john 的密码
ssh 登录
直接写入 shell 到 file.py 文件

echo 'import os;os.system("/bin/bash")' > file.py

获取shell

sudo python3 /home/john/file.py

参考

Vulnhub 靶场 DARKHOLE: 1 - sainet - 博客园