Vulnhub靶场之HA: NARAK – 作者:cloudcoll

一、信息收集

1、nmap扫描

确定目标ip

1604669569_5fa5508118712f658bb18.png!small?1604669570254

使用nmap详细扫描
1604676501_5fa56b95ca8d348e79eae.png!small?16046765029641604676545_5fa56bc17c532c8fb96f6.png!small?1604676547527使用upd扫描继续扫

1604677634_5fa5700221a2082799cce.png!small?1604677635176

2、使用dirb扫目录

1604677243_5fa56e7b53383a1d0bffb.png!small?1604677244451

3、访问网站

1604678114_5fa571e27f764fd51fd3b.png!small?1604678115536

使用cewl生成worldlist,在使用hydra爆破

1604678082_5fa571c28188523db158d.png!small

登入下看看,啥都没有,骗人

1604678395_5fa572fb64303bfd58fd1.png!small?1604678396508

上百度1604679143_5fa575e74d9fc7cf33554.png!small?1604679144377

二、漏洞利用

使用cadaver利用WebDAV漏洞

1604679501_5fa5774de12269077b2b1.png!small?1604679503002

使用msfvenom生成反弹shell木马

1604679736_5fa57838ed6e97ffb1f00.png!small?1604679738020

使用msf监听

1604680007_5fa579477ff08b4a0407c.png!small?1604680008845

上传反弹shell木马

1604680082_5fa57992bb8fb4353355f.png!small?1604680084285

访问木马

1604680125_5fa579bd5d148ed905e30.png!small?1604680126431

成功getshell

1604681647_5fa57faf45e9b8fb858d8.png!small?1604681648344

三、提权

1、用searchsploit搜搜看

没有,此路不通

1604682078_5fa5815e424ecb752b640.png!small?1604682079266

2、找找文件看看

找啊找,找啊找,找到一个flag。。。

1604685024_5fa58ce06549eb8be2795.png!small?1604685025434

又找到了一开始爆破的用户名密码

1604684530_5fa58af2cc452c9d94d5f.png!small?1604684531811

找到一个奇怪的文件,打开看看

1604684829_5fa58c1d1dfe34f26b92c.png!small?1604684830165

Brainfuck解码

1604684707_5fa58ba3c193a9ad47f39.png!small?1604684709174

得到一个字符串,chitragupt

1604684739_5fa58bc3c84daa5e18d7e.png!small?1604684741130

查看目标的用户
1604714500_5fa60004036f6846ccf98.png!small

使用用户名+密码(上面解密得出的字符串)登入ssh1604724310_5fa62656b33bcc4a753db.png!small?1604724312357

3、使用linpeas.sh看看

上传linpeas.sh到目标机器,用python搭建服务器

1604724521_5fa62729e46433044520b.png!small?1604724523572

在目标机器中找一个有写权限的目录

1604724567_5fa62757b91bf4bea95cf.png!small?1604724569538

使用wget命令下载到目标机器

1604724627_5fa627932d0ecd6b30633.png!small?1604724628822

添加执行权限,然后执行

1604724684_5fa627cc77b6ffaeab7b6.png!small?1604724686046

看到了啥?

1604725144_5fa6299895ae7e61f96e8.png!small?1604725146357

点进去看看,原来是ssh登入时的欢迎界面

1604725664_5fa62ba058deb9d3aff09.png!small?1604725666126

1604725676_5fa62bace977c7460df25.png!small?1604725678618

4、修改etc/update-motd.d/00-header文件提权

追加一条语句,修改root密码为123

1604729432_5fa63a580899fbf8c87f8.png!small?1604729433079

重新登入ssh,使写进去的命令执行

1604729596_5fa63afcddc1b5581ea20.png!small?1604729598283

成功提权,找找flag

1604729742_5fa63b8e46332775e51cd.png!small?1604729743445

其他方法:

1、找/webdav的登入用户名密码

继续使用7kbscan扫描文件,自定义类型.txt

1604717723_5fa60c9b53c532d8fad58.png!small?1604717725085

扫出来个tips.txt,访问下看看,猜测这个credes.txt文件在ftpt里面

1604717840_5fa60d1031ee0167d74bd.png!small?1604717841943

打开tfpt

1604718093_5fa60e0d7531876a7f68a.png!small?1604718095220

使用tfpt尝试获取creds.txt文件

1604719241_5fa612897998daa162288.png!small?1604719243034

哎,用windows的tftp一直显示连接请求失败,使用这个tftp小程序获取了1604719287_5fa612b71002c19290176.png!small?1604719288639

发现是个base64编码的字符串1604719307_5fa612cbcaa41faecf703.png!small?1604719309386

使用base64解密得到/webdav的账号密码1604719329_5fa612e1a4723063cdff3.png!small?1604719331241

2、反弹shell

在百度找一个shell.php,例如下图:

1604683668_5fa58794dddd1431f6af2.png!small?1604683669925

让后看它是怎么用的,一般百度都有教程,这个需要post传参id&port

将这个php文件上传到目标机器

1604683757_5fa587edaa3e8ea7a170c.png!small?1604683758756

攻击机使用nc监听

1604683792_5fa588109141aed6867bc.png!small?1604683793605

访问反弹shell木马文件,这个要使用post传参ip&port

1604683849_5fa58849a945eef03c610.png!small?1604683850771

成功getshell

1604683885_5fa5886d385528231fc80.png!small?1604683886381

3、提权

使用mkfifo创建有名管道反弹shell

1604732658_5fa646f27388f56ebfca4.png!small?1604732659579

1604732661_5fa646f518a67dbdbdd57.png!small?1604732662105

kali开启监听

1604732710_5fa647266350f1f1e4bef.png!small?1604732711902

重新登入ssh使命令执行,成功提取

1604732802_5fa64782dc5be13853bee.png!small?1604732803938

来源:freebuf.com 2020-11-07 15:11:02 by: cloudcoll

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论