Narak

最新推荐文章于 2024-10-20 22:13:46 发布
最新推荐文章于 2024-10-20 22:13:46 发布
阅读量257 收藏
点赞数 5
分类专栏: Vulnhub 文章标签: 安全 网络安全 学习 web安全 安全威胁分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44770698/article/details/134978982
版权

靶场下载

https://download.vulnhub.com/ha/narak.ova

信息收集

# nmap -sn 192.168.1.0/24 -oN live.nmap                            
Starting Nmap 7.94 ( https://nmap.org ) at 2023-12-09 22:18 CST
Nmap scan report for 192.168.1.1 (192.168.1.1)
Host is up (0.00022s latency).
MAC Address: 00:50:56:C0:00:08 (VMware)
Nmap scan report for 0bcc61d9e6ea39148e78c7c68571e53 (192.168.1.2)
Host is up (0.00012s latency).
MAC Address: 00:50:56:FE:B1:6F (VMware)
Nmap scan report for 192.168.1.66 (192.168.1.66)
Host is up (0.00030s latency).
MAC Address: 00:0C:29:C9:0F:6C (VMware)
Nmap scan report for 192.168.1.254 (192.168.1.254)
Host is up (0.00040s latency).
MAC Address: 00:50:56:F8:00:71 (VMware)
Nmap scan report for 192.168.1.60 (192.168.1.60)
Host is up.
Nmap done: 256 IP addresses (5 hosts up) scanned in 1.99 seconds

存活主机IP地址为:192.168.1.66

# nmap -sT --min-rate 10000 -p- 192.168.1.66 -oN port.nmap
Starting Nmap 7.94 ( https://nmap.org ) at 2023-12-09 22:19 CST
Nmap scan report for 192.168.1.66 (192.168.1.66)
Host is up (0.00044s latency).
Not shown: 65533 closed tcp ports (conn-refused)
PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http
MAC Address: 00:0C:29:C9:0F:6C (VMware)

Nmap done: 1 IP address (1 host up) scanned in 3.41 seconds

端口只开放了22 80端口,优先级还是在80端口上

# nmap -sT -sC -sV -O -p80,22 192.168.1.66 -oN details.nmap
Starting Nmap 7.94 ( https://nmap.org ) at 2023-12-09 22:19 CST
Nmap scan report for 192.168.1.66 (192.168.1.66)
Host is up (0.00060s latency).

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   2048 71:bd:59:2d:22:1e:b3:6b:4f:06:bf:83:e1:cc:92:43 (RSA)
|   256 f8:ec:45:84:7f:29:33:b2:8d:fc:7d:07:28:93:31:b0 (ECDSA)
|_  256 d0:94:36:96:04:80:33:10:40:68:32:21:cb:ae:68:f9 (ED25519)
80/tcp open  http    Apache httpd 2.4.29 ((Ubuntu))
|_http-server-header: Apache/2.4.29 (Ubuntu)
|_http-title: HA: NARAK
MAC Address: 00:0C:29:C9:0F:6C (VMware)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.9
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 8.22 seconds

服务版本信息探测之后,发现是Apache起的服务,版本为2.4.29 操作系统是ubuntu 没什么其他的信息了。

# nmap -sT --script=vuln -p22,80 192.168.1.66 -oN vuln.nmap
Starting Nmap 7.94 ( https://nmap.org ) at 2023-12-09 22:19 CST
Pre-scan script results:
| broadcast-avahi-dos: 
|   Discovered hosts:
|     224.0.0.251
|   After NULL UDP avahi packet DoS (CVE-2011-1002).
|_  Hosts are all up (not vulnerable).
Nmap scan report for 192.168.1.66 (192.168.1.66)
Host is up (0.00048s latency).

PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http
| http-csrf: 
| Spidering limited to: maxdepth=3; maxpagecount=20; withinhost=192.168.1.66
|   Found the following possible CSRF vulnerabilities: 
|     
|     Path: http://192.168.1.66:80/
|     Form id: 
|_    Form action: images/666.jpg
|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
|_http-dombased-xss: Couldn't find any DOM based XSS.
| http-internal-ip-disclosure: 
|_  Internal IP Leaked: 127.0.0.1
| http-enum: 
|   /images/: Potentially interesting directory w/ listing on 'apache/2.4.29 (ubuntu)'
|_  /webdav/: Potentially interesting folder (401 Unauthorized)
MAC Address: 00:0C:29:C9:0F:6C (VMware)

Nmap done: 1 IP address (1 host up) scanned in 55.20 seconds

默认漏洞脚本探测结果:可能存在csrf漏洞,这个是优先级靠后的,泄露内网IP;两个目录:images 和w

ebdav

渗透测试

还是先从80端口上,开始看:

这里点击了“Do Not Click”!

出现了如上的图片,也没得到什么信息~ 由于之前的信息收集拿到了一个目录,去看一下,同时做一下目录的爆破:

整个目录扫描过程也没有发现什么新的路径,尝试访问webdav路径。

存在账号和密码~ 尝试找一下webdav的弱口令!

账号密码均为jigsaw,但是此处登陆失败了~

后来看到这个hacking articles,于是我就点了进去,看看是否有相关的文章,不出意外:

找到了一篇关于webdav的渗透测试文章~

该文章利用hydra进行的爆破,但是我们没有账号和密码。一个都没有,所以我们尝试先将账号的范围缩小一下:整个网站只有index中的about是有内容的,里面还有相关的人名和地名,所以就从中挑选出来几个:

密码使用了自己的字典~ 但是没成功~

密码可能不对,利用cewl进行网站的关键字爬取作为字典,再次进行爆破尝试:

成功拿到了账号和密码~ 进行登录:

又是这种目录,利用OPTIONS请求方式,查看是否可以上传文件!当然也可以看下上面的那篇文章!也是利用这种方式,通过PUT方式进行上传文件!

文章说是利用davtest进行文件的上传!使用davtest进行扫描:

davtest -url http://192.168.1.66/webdab/ -auth yamdoot:Swarg

经过测试发现是可以上传php文件的。文章提到上传文件的方式有很多,可以利用put的方式上传文件,当然也可以利用cadaver文件进行上传文件:

利用cadaver进行文件上传~

上传后在攻击机上起监听,同时点击反弹shell文件,进行触发:

提权

上来之后 提升shell的交互性!安装了python3!

查看/etc/passwd目录下面的用户,发现了三个活跃用户:

查看了各个用户家目录下面的文件,在inferno用户家目录下面发现第一个flag!

查看网站目录下是否存在提示性文件:

说是在creds.txt文件中存在开启 narak用户的提示!利用find命令查找creds文件!

find / -name "creds*" 2>/dev/null

找到文件中所说的文件,查看一下:

发现疑似base64 编码的字符串!尝试base64解码

还是这个账号和密码~ 难道能用ssh直接登陆吗? 或者说narak的密码就是这个? 这里尝试了 其实都不对的~ 在上面的/mnt目录下还发现了一个文件 hell.sh hell-地狱

查看这个文件的内容:

发现下面存在一行奇奇怪怪的字符,是被brainfuck加密的。如下是解密网站:

Brainfuck/Ook! Obfuscation/Encoding [splitbrain.org]

解密之后 又得到了一个字符,这个应该是密码了吧。这里尝试了三个用户的登录,最终在inferno用户成功登录了。之后便是提权阶段,这里看了好多,没打出来,于是看了大佬们的wp。是MOTD提权。于是便去了解了一下MOTD提权!

MOTD提权

MOTD全称为 message of the day!

当我们通过ssh登录成功的时候,我们如果留意的话,我们会发现输出的那些欢迎信息和日期等等,如果这些输出以上信息的脚本是以root权限运行的

并且我们当前这个用户对这些文件具有可读可写的权限的话,那么我们可以在这些sh脚本文件中写入修改root密码的命令,当我们再次通过ssh登录当前的这个用户的时候,那么会以root权限去执行这些文件,换句话说我们写入的命令也就被执行了!此时我们只需要 切换root用户,使用我们修改后的密码登陆即可!

find / -type f -user root -perm -ug=x,o=w -exec ls -l '{}' \; 2>/dev/null

查看/etc/update-motd.d/00-header文件,这个文件一般就是打印输出欢迎信息的脚本文件:

因此我们在下面添加修改root用户密码的命令:

echo 'root:123456' | chpasswd

将上面的整个命令添加到文件的末尾行!然后使用ssh 登陆当前的用户!最后在切换用户即可!

退出ssh,重新登录当前用户!使用修改后的密码,进行登录!

查看root目录下面的flag文件!

Y4y17
关注
专栏目录
VulnHub narak
weixin_45682839的博客
10-21 1231
涉及知识包括:主机存活探测、端口服务探测、WEB信息搜集、WEB爆破专用字典生成、暴力破解、webdav PUT上传、linux本地提权、Brainfuck加解密、motd文件注入提权等。
靶机:narak
weixin_50339323的博客
08-04 1662
靶机网址:https://www.vulnhub.com/entry/ha-narak,569/ 目录 一、信息搜集: 二、漏洞利用与探测: 三、提权 一、信息搜集: 获取IP: nmap -sP 192.168.8.0/24 端口扫描: nmap -sV -p- -sC 192.168.8.132 -n -vv 22、80端口均开启 访问192.168.8.132 从页面搜索信息 · 翻译了一下网页内容信息提取关键字或许有用: yamdoot,...
narak靶机
2303_79608809的博客
08-02 954
目前我们还没有到关键的突破点,所以我们下一步需要从扫描目录的点着手。在本次实验中,需要对在不断尝试的过程的靶机的信息足够熟悉并进行一定的猜测,比如:要对creds.txt这个加密文件进行base64解密后得到的明文联想到这可能是/webdav的登录的账号和密码,否则后续的一切渗透流程都很难展开。我们在/home家目录下,看到三个用户,然后在/etc/passwd文件下,看到具有/bin/bash权限的用户,也刚好有这几个,很有可能这几个账户中就有和刚才chitragupt密码匹配ssh的用户。
靶机渗透之narak
weixin_64267091的博客
02-04 1180
在这次靶机渗透过程中,走到漏洞分析阶段路就断了,发现在信息收集部分可能遗漏掉一些重要信息,最后又重点扫描了一些常见的UDP端口,最后扫出来了一个69端口。然后就利用这个服务到了一个用户名及其密码,成功访问webdav。然后使用davtest测试webdav可以上传和执行哪些文件,发现可以上传并执行php,利用cadaver客户端上传反弹shell的php文件并访问shell.php,然后通过寻敏感文件初步提权,到brainfuck代码,用beef工具解码,发现了用户名inferno的ssh密码。
红队打靶:Narak打靶思路详解(vulnhub)
Bossfrank的博客
09-02 1201
本文是vulnhub靶机Narak的详细打靶过程,涉及到的知识点包括tftp协议的使用、dav工具的使用、brainfuck语句和motd脚本提权等。知识点很密,需要实操打靶才会有深刻理解。。
VulnHub-Narak靶机笔记
LINGX5的博客
09-21 1424
Narak是一台Vulnhub的靶机,其中有简单的tftp和webdav的利用,以及motd文件的一些知识。
攻击narak靶场
qq_62638044的博客
03-16 614
攻击narak靶场
Vulnhub靶机:HA_ NARAK
LainWith的博客
08-03 638
HA(此系列共17台)发布日期:2020年9月23日难度: 中目标: 取得 root 权限 + 2 Flag注释: 使用爆破,使用vmware虚拟机运行主机发现端口扫描信息收集密码字典定制爆破密码webdav漏洞PUT方法上传BF语言解码MOTD注入CVE-2021-3493提权。...
Narak靶机打靶过程
qq_64703089的博客
08-03 914
Narak发布日期:23 Sep 2020tips1、目录扫描记得扫 txt、备份文件等2、爆破无果,可以自己通过页面单词整理一份字典3、端口扫描 TCP要是打不进去,看看UDP。
靶机练习 narak ,个人学习心得
09-08
靶机练习 NARAK,个人学习心得 靶机练习 靶机练习是渗透测试的重要组成部分,它可以帮助我们检测系统中的安全漏洞和脆弱性。在这个练习中,我们使用的靶机是 NARAK,并且通过渗透测试来获取 Flag。 探测靶机 IP ...
narak靶场
zx_y_123的博客
03-21 167
WebDAV 基于 HTTP 协议的通信协议,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法,使应用程序可对Web Server直接读写,并支持写文件锁定(Locking)及解锁(Unlock),还可以支持文件的版本控制。因为没有任何提示我们用户密码的东西,所有我们采用密码爆破的方式,使用kali自带的字典生成工具cewl获取网站后台数据从而生成字典。常用的文件共享有三种:FTP、Samba、WebDAV,它们各有优缺点,了解后才能更好地根据自己的需求选择方案。
靶机渗透测试:narak
x_13579的博客
07-03 513
hydra爆破,cewl爬取
【云原生安全篇】Notation助力Harbor镜像验证实践
StevenZeng学堂
10-14 2370
❤️摘要: 随着容器化技术的普及,容器镜像的安全性愈发成为企业关注的焦点。Harbor 作为一款开源的企业级镜像仓库管理工具,通过提供多种安全功能来帮助企业管理容器镜像的生命周期。而 Notation 则是一个用于容器镜像签名的工具,能够为镜像提供加密签名,以确保镜像的来源可验证、内容未被篡改。本文将详细介绍如何在 Harbor 中使用 Notation 对镜像进行签名和验证,帮助读者提升镜像安全的管理能力。
Qt的websocket客户端和服务器测试(非安全版本)
10-17 320
Qt的websocket客户端和服务器测试(非安全版本)
CTFHUB技能树之HTTP协议——响应包源代码
weixin_73049307的博客
10-13 669
点击“开始”没有抓取到报文,先看看网页源代码是什么情况。居然直接给出flag了,不知道这题的意义何在。是个贪吃蛇小游戏,看不出来有什么特别的地方。
红日安全vulnstack (一)
saber的博客
10-16 1352
红日靶场从0-1教程,参考大量文章复现而来 有踩过的坑也有真正拿下权限的时候,有失有得这才是渗透嘛
1.1电子商务安全现状
2301_80053647的博客
10-15 741
电子商务安全对国家安全至关重要,涉及经济和社会稳定。当前面临网站脆弱性、个人信息泄露、安全意识不足和攻击手段多样化等问题。电子商务安全侧重于应用技术保护交易和数据安全,与密码学和网络安全有所区别。
1.2电子商务安全内涵
最新发布
2301_80053647的博客
10-20 608
电子商务安全涉及多个层面,包括计算机系统、数据、网络和交易安全。它分为计算机网络安全和电子交易安全两个主要层次,两者相互依赖。计算机网络安全关注基础设施和环境的安全,包括实体安全、运行安全和软件安全,以抵御外部威胁。电子商务安全的特点包括系统性、相对性、有代价性和动态性,需要综合考虑技术、管理和法律等多方面因素。
常见的内网渗透思路及方法(包含示例)
xixixi7777的博客
10-11 1324
内网渗透是指在企业或组织的内部网络中进行安全测试,以发现和利用网络中的安全漏洞。
赏金猎人 | 挖掘TP-Link 服务中的信息泄露漏洞
zkaq7777777的博客
10-15 865
作为一名专注于安全研究的人员,我经常利用空闲时间探索漏洞奖励计划的世界。尽管传统平台提供了不少有价值的机会,我也会将调查扩展到一些知名厂商的公开系统上。最近,我在一个 TP-Link 的子域上发现了一个重大安全问题,该漏洞暴露了包含明文密码的敏感用户信息。img在问题上报给 TP-Link 后,适当的安全措施已在发布前采取。以下所有信息均已适当处理,以维护保密性并遵守道德标准。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Y4y17

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值