darkhole - HackMD

確認對方ip,nmap掃描結果發現如下： ![](https://hackmd.io/_uploads/BkOhKaS63.png) 使用gobuster嘗試爆破目錄失敗 ![](https://hackmd.io/_uploads/Sk10pRH63.png) ![](https://hackmd.io/_uploads/rkUzZM8Th.png) ![](https://hackmd.io/_uploads/Hy9GZGIan.png) ![](https://hackmd.io/_uploads/B10GZzI62.png) 使用dirbuster嘗試失敗 ![](https://hackmd.io/_uploads/Syjap0Sp3.png) 使用nmap -a 發現192.168.227.133:80/.git/ ![](https://hackmd.io/_uploads/rJfCTABph.png) 在 /.git/ 中找尋線索無頭緒 (瑞洋學長提示）使用git-dump 下載目錄 ![](https://hackmd.io/_uploads/HJRB0RHph.png) git log -p查看commit檔案更改紀錄，發現裡面有 lush@admin.com 321可供登入使用 ![](https://hackmd.io/_uploads/rJTtRbU63.png) 登入dashboard成功後尚未有結果 ![](https://hackmd.io/_uploads/BJJxkf86h.png) 嘗試使用sqlmap進行注入測試 ![](https://hackmd.io/_uploads/ryMKxzLpn.png) ---以下為0828新增--- submit送出後網頁並無變化 ![](https://hackmd.io/_uploads/ryEuyFKpn.png) 開burp查看sumit動作 ![](https://hackmd.io/_uploads/Hkh8kYFan.png) 使用sqlmap後得到了資料庫的資訊，當前使用的資料庫為 darkhole_2 ![](https://hackmd.io/_uploads/S1QtfFYTn.png) 查看darkhole_2下有哪些資料表，找到了ssh與users ![](https://hackmd.io/_uploads/SyH4VYYTn.png) 在ssh表格中找到 user jehad pass fool 用來作為ssh登入看看 ![](https://hackmd.io/_uploads/BJg_BYFT3.png) 登入成功 ![](https://hackmd.io/_uploads/HJgL3rYFpn.png) 看一下能不能打開 etc/shadow ![](https://hackmd.io/_uploads/B1Q5p-9ph.png) 不能直接找尋有無suid漏洞 ![](https://hackmd.io/_uploads/rynNKKtp3.png) ![](https://hackmd.io/_uploads/Skn4FKYp2.png) ![](https://hackmd.io/_uploads/BJ3EtFtah.png) ![](https://hackmd.io/_uploads/rJnNKtYp2.png) 沒有什麼結果 sudo -l看看 ![](https://hackmd.io/_uploads/BkX8FYY6n.png) 沒有權限只好把linpeas搬出來使用看看結果好像沒有什麼我能夠直接使用的資訊 ![](https://hackmd.io/_uploads/HksL3ZcT3.png) 到上一層目錄去看，發現還有其他兩個使用者的目錄，其中lama使用者似乎是可以使用sudo的使用者 ![](https://hackmd.io/_uploads/BkzTx6Yp3.png) .sudo_as_admin_successful 檔沒有內容 ![](https://hackmd.io/_uploads/BJMLjWqa3.png) 另外一個losy使用者則是有user.txt flag在這裡 ![](https://hackmd.io/_uploads/SyNm-pKah.png) 除此之外好像沒有有用訊息了 ![](https://hackmd.io/_uploads/HybBzaKp2.png) 接下來應該要想如何拿到lama的權限？沒有頭緒，再看一下linpease掃描結果 losy cd /opt/web && php -S localhost:9999 不知道有沒有用 ![](https://hackmd.io/_uploads/ryXYMW5a3.png) 從本地端下載一個reverseshell嘗試看看能不能用losy使用者開起來，雖然有sudo的是lama ![](https://hackmd.io/_uploads/H1sRzZqa2.png) 成功彈回，拿到使用者losy權限 ![](https://hackmd.io/_uploads/BJhhcW5an.png) losy sudo -l 但我沒有密碼所以沒辦法看 ![](https://hackmd.io/_uploads/SJ9G6-563.png) 使用losy權限再執行一次linpeas ![](https://hackmd.io/_uploads/HJE7nW9an.png) 結果和jehad權限差不多，針對 lama關鍵字再找一次找到某個 log檔中出現了 lama 與 crypted_password 字眼，但並未完全顯示要找看看這個檔案在哪 ![](https://hackmd.io/_uploads/HyLnqW5an.png) （後來發現這個資訊在一開始的掃描中就出現過了但我沒發現）目前卡在找不到下面這串log藏在哪邊，應該是解題關鍵所在 2021-09-02 02:27:27,822 DEBUG root:39 start: subiquity/Identity/POST: {"realname": "darkhole", "username": "lama", "crypted_password": "$6$M3vUrnSX... 嘗試尋找有關鍵字的檔案，但都沒有結果 ![](https://hackmd.io/_uploads/SydU8GcTh.png) ---以下為0829新增--- 找了一下，這串log可能在 var/crash裡面，但這個路徑下沒有東西，也找不到 subiquity資料夾 ![](https://hackmd.io/_uploads/S1TM_ac63.png) 只能參考別人的思路了學到一招，查看歷史命令，但因為是開啟bin/sh 的shell，無法使用history ![](https://hackmd.io/_uploads/rkWm96cTh.png) 將上傳的reverse1.php檔內容更改一下 ![](https://hackmd.io/_uploads/HygvnpqTh.png) /bin/bash 的地方原先是 /bin/sh 更改過後重新連線，成功使用 bash shell開啟，主機名稱也有了 ![](https://hackmd.io/_uploads/HJe63Tqpn.png) 查看history指令發現有疑似密碼的東西 ![](https://hackmd.io/_uploads/Hyoba6qTn.png) 嘗試看看能不能直接登 ![](https://hackmd.io/_uploads/ryQ9pTcph.png) 成功登入losy，不用在依靠反彈回來的視窗了再次查看losy sudo -l，這次有密碼了 ![](https://hackmd.io/_uploads/rkcp6pc6n.png) 發現可以用losy執行python，會以root的權限去開啟 history中也有出現 su lama 指令，嘗試過後無法使用 ![](https://hackmd.io/_uploads/HJBKBRqp2.png) 開啟python執行反彈指令，發現一樣是losy ![](https://hackmd.io/_uploads/H1lN8R5a2.png) 沒遇過python的提權方法，參考一下其他人作法： sudo python3 -c 'import os; os.setuid(0); os.system("/bin/sh")' ![](https://hackmd.io/_uploads/ByIuFR5p3.png) ![](https://hackmd.io/_uploads/rkx6KAqTh.png) ![](https://hackmd.io/_uploads/BJn2CR9Th.png) 這邊使用了 setuid的方法嘗試以root開啟shell成功，但若是遇到禁止setuid的系統則無法使用這個方法。結論：lama的資訊目前還沒找到，或許有其他方法可以找到linpeas掃描出來的那個檔案，但不確定有沒有用，而從jehad中看見了登入losy的方法，表示突破口應該在losy但我一開始就把注意力放在lama上思考方向錯了