Vulnhub之DarkHole_1

Eagle-mk發表於2024-03-12

DarkHole_1

一 資訊收集

IP掃描

descript

descript

埠掃描

descript

訪問80

descript

目錄掃描

descript

檢視目錄

80網頁 -->login 註冊使用者

descript

我的 id 是 2,那麼應該有個賬號是 id=1,嘗試越權修改 id=1 的密碼descript

把id改為1

descript

發現登陸成功,多了一個上傳檔案的地方,前面的目錄掃描中我們也發現了 /upload 路徑,嘗試上傳反彈 shelldescript

上傳一句話木馬

descript

蟻劍連線

descript

上傳shell.php

descript

kali監聽

descript

訪問網頁觸發shell.php

descript

互動式shell

descript

提權

檢視一下系統中的檔案:

descript

發現一個可疑檔案 toto,是個二進位制檔案,執行一下

descript

發現是二進位制檔案是 id 的副本,它以使用者 john 的身份執行,那可以建立一個具有相同名稱的自定義二進位制檔案將目錄匯出到 PATH:

echo 'bash' > /tmp/id; chmod +x /tmp/id; export PATH=/tmp:$PATH

descript

切到了 john 使用者,檢視系統檔案:

descript

發現 john 的密碼,檢視下許可權:

descript

以 root 身份執行 file.py,並且我們有許可權對其進行更改,那就直接寫入shell:

echo 'import os;os.system("/bin/bash")' > file.py

sudo python3 /home/john/file.py

descript

獲得 root 許可權,檢視 flag

descript