Vulnhub-DarkHole_1 題解Writeup;包含:邏輯漏洞、 檔案上傳漏洞、基于環境變量提權、基于sudo提權
靶機位址:DARKHOLE: 1
Difficulty: Easy
使用<code>arp-scan</code>發現目标IP
使用<code>nmap</code>掃描開放端口
打開目标80端口發現沒什麼東西,檢視源代碼也沒什麼,隻有一個登入連接配接
我們點進登入頁面
想到可能是SQL注入,但是嘗試之後沒有結果。發現可以注冊,輸入使用者名郵箱密碼很容易可以注冊成功,立馬想到這裡可能存在邏輯漏洞。登入之後是這樣的
這裡有更新資料功能,打開<code>Burpsuite</code>工具進行抓包,嘗試修改admin使用者的資訊。設定使用者名為<code>admin</code>,密碼自己設定一個,比如123123,然後點選修改密碼,抓包
資料包如下
這裡應該是通過參數id值來修改對應使用者密碼的,我們将id值改為1,對應修改成admin密碼,放出資料包提示密碼修改成功,然後我們用admin賬戶登入,密碼123123,登入成功,界面如下。
admin登入後多出來一個Upload功能,應該是利用檔案上傳拿到網站shell,經過探索後發現可以通過字尾<code>.phtml</code>繞過上傳php腳本。可以上傳一句話木馬然後用蟻劍連接配接,獲得虛拟終端
利用bash,反彈一個shell給kali
來到<code>/home/john</code>目錄下發現有一個<code>toto</code>二進制檔案執行<code>id</code>指令
發現uid為john,可以利用環境變量來切換得到john使用者shell。在/tmp目錄下
拿到john權限後檢視password檔案,發現内容為<code>root123</code>
嘗試用該密碼進行ssh連接配接,發現可以連上darkhole使用者。利用sudo發現其可以升為root
直接利用sudo提權,拿到flag