声明:该篇文章仅供学习网络安全技术参考研究使用,请勿使用相关技术做违法操作。本公众号的技术文章可以转载,能被更多人认可本文的创作内容属实荣幸之至,请在转载时标明转载来源即可.也欢迎对文章中出现的不足和错误进行批评指正!
实战打靶系列第 18 篇文章
推荐使用vmware。不然可能会无法获取IP地址。
22端口上开放的是openssh服务,目标系统ubuntu,80端口开放的是apache 2.4.29
80端口上面有很多图片,描写的是地狱,开头第一张就是地狱三头犬。NARAK在印度宗教那边就是指的地狱。没有什么有用的信息,然后查看源码。
然后点击上面那个do not click就会弹出一张图片
注意到这张图片上面存在一个目录,进入目录查看
在这里也没有任何有价值的发现。然后进行目录爬取,爬站。
这里尝试弱口令手动尝试登录后不行。然后在新的爬取过程中爬取出来一个tips.txt文件。
说要打开地狱的门需要creds.txt
但是这里找不到文件,只能继续进行信息收集。到最后只能进行暴力破解webdav。最终这里跑了一个大字典还是破解不了。
现在纯暴力破解不了,尝试用新的定制密码破解方式去破解。这种方法成功率更高。
-L 账号字典 -P 密码字典 指定HTTP方法http-get 目标路径 -v显示如果爆破成功的账号和密码 login: yamdoot password: Swarg
进来之后发现没有其他文件。
webdav可以实现文件传输
实现文件上传功能的工具:davtest。
但是有时候即使开了webdav服务也不一定能写入进去。
现在就是尝试成功,获得一个session,在目标服务器上创建目录webTestDir
然后写了很多脚本文件都成功了,目标服务器没有做白名单。
对于写入的文件当成脚本文件解析执行:
现在只有html、php能解析。
这里使用davtest继续上传文件。
-uploadfile php-reverse-shell.php -uploadloc php-reverse-shell.php
这两个参数必须绑定使用。
然后就能看到文件上传成功了
然后点击这个文件就能触发反弹了。
发现目标服务器有几个账号:yamdoot、inferno有身份登录权。
刚才登录80端口的webdav账号就叫yamboot
然后,发现身份认证失败,这个账号和密码跟webdav不一样,然后开始找文件:属主是root,而且还具有对文件可执行的权限(文件所有者可执行),同时作为平台用户还能改内容的文件。
find / -type f -user root -perm -ug=x,o=w -exec ls -l {} \; 2>/dev/null
第一个文件里面说的:这是去往地狱的高速公路。这一串符号其实算是一种语言。相当于FUCK U。使用一种编码生成的说法,但里面应该藏着什么。
--[----->+<]>---.+++++.+.+++++++++++.--.+++[->+++<]>++.++++++.--[--->+<]>--.-----.++++.
brainfuck也是一种计算机语言。
这个可以去网站打开。
然后拿着这字符串去尝试SSH登录
chitragupt
这里看到目标系统是ubuntu。而且版本不高。可以利用之前利用过多次的CVE-2021-3493漏洞利用。这样只能在kali上面编译再上传到目标系统。这个漏洞利用代码压缩包在以往的文章里面可以找到,这里不多做概述。其实就是使用gcc对里面的exploit.c 进行编译,然后就在目标靶机进行执行编译文件就能提取。
这样就拿到第二个flag。这台靶机就拿下了。