实战打靶系列第 18 篇文章 

推荐使用vmware。不然可能会无法获取IP地址。

22端口上开放的是openssh服务，目标系统ubuntu，80端口开放的是apache 2.4.29

80端口上面有很多图片，描写的是地狱，开头第一张就是地狱三头犬。NARAK在印度宗教那边就是指的地狱。没有什么有用的信息，然后查看源码。

然后点击上面那个do not click就会弹出一张图片

注意到这张图片上面存在一个目录，进入目录查看

在这里也没有任何有价值的发现。然后进行目录爬取，爬站。

这里尝试弱口令手动尝试登录后不行。然后在新的爬取过程中爬取出来一个tips.txt文件。

说要打开地狱的门需要creds.txt

但是这里找不到文件，只能继续进行信息收集。到最后只能进行暴力破解webdav。最终这里跑了一个大字典还是破解不了。

现在纯暴力破解不了，尝试用新的定制密码破解方式去破解。这种方法成功率更高。

-L 账号字典 -P 密码字典 指定HTTP方法http-get 目标路径 -v显示如果爆破成功的账号和密码 login: yamdoot password: Swarg

进来之后发现没有其他文件。

webdav可以实现文件传输

实现文件上传功能的工具：davtest。

但是有时候即使开了webdav服务也不一定能写入进去。

现在就是尝试成功，获得一个session，在目标服务器上创建目录webTestDir

然后写了很多脚本文件都成功了，目标服务器没有做白名单。

对于写入的文件当成脚本文件解析执行：

现在只有html、php能解析。

这里使用davtest继续上传文件。

-uploadfile php-reverse-shell.php -uploadloc php-reverse-shell.php

这两个参数必须绑定使用。

然后就能看到文件上传成功了

然后点击这个文件就能触发反弹了。

发现目标服务器有几个账号：yamdoot、inferno有身份登录权。

刚才登录80端口的webdav账号就叫yamboot

然后，发现身份认证失败，这个账号和密码跟webdav不一样，然后开始找文件：属主是root，而且还具有对文件可执行的权限（文件所有者可执行），同时作为平台用户还能改内容的文件。

find / -type f -user root -perm -ug=x,o=w -exec ls -l {} \; 2>/dev/null

第一个文件里面说的：这是去往地狱的高速公路。这一串符号其实算是一种语言。相当于FUCK U。使用一种编码生成的说法，但里面应该藏着什么。

--[----->+<]>---.+++++.+.+++++++++++.--.+++[->+++<]>++.++++++.--[--->+<]>--.-----.++++.

brainfuck也是一种计算机语言。

这个可以去网站打开。

然后拿着这字符串去尝试SSH登录

chitragupt

    这里看到目标系统是ubuntu。而且版本不高。可以利用之前利用过多次的CVE-2021-3493漏洞利用。这样只能在kali上面编译再上传到目标系统。这个漏洞利用代码压缩包在以往的文章里面可以找到，这里不多做概述。其实就是使用gcc对里面的exploit.c 进行编译，然后就在目标靶机进行执行编译文件就能提取。

这样就拿到第二个flag。这台靶机就拿下了。