Vulhub靶场 napping

Nmap扫描主机

我们可以看到开放了22和80端口，我们先查看一下80端口。使用浏览器打开可以发现这是一个登录的界面，需要账号密码才可以登录。

我们注册一个账号进行登录上去看看

查看页面源代码，没什么发现

扫一下目录，没什么发现

我们重新回到那个对话框进行查看，这个页面的原理是输入一个链接，提交后用户点击就会进行跳转

网上搜了一下，发现这样可能会造成Tabnabbing攻击

使用正常网站A的a标签设置为恶意网站B，恶意网站B中利用window.opener修改原先页面A页面，进而无征兆把访问正常网站A页面修改为钓鱼网站C页面。两个可以利用点：1、使用a标签，并且target=_blank,没有使用rel="noopener/noreferrer"属性2、使用window.open原文链接：https://blog.csdn.net/csacs/article/details/104535225

了解完其中的原理后，开始尝试利用

我们分别创建a.html和b.html两个页面，a.html为正常的页面，b.html为恶意页面

我们在这个目录下启动一下python3的http服务，开放端口为80，跟恶意页面的端口区分开来，然后我们监听一下恶意页面的8000端口

我们在网站中提交恶意链接

提交上去之后，点击浏览，我们的nc成功收到返回的账号密码信息（靶机中设定的隔几分钟就会用用户登录，此时我们获取了数据包）

用ssh进行登录（注意密码中的%40是url编码中的“@”，要注意替换）

进去之后，没发现什么内容，那么我们先进行提取

先看看用户属于的组

是属于administrators组的
我们使用find命令查找一下这个组可以运行的程序

根据所给的目录，我们来到这个目录下

进入目录后，发现目录底下有三个文件，我们先查看user.txt文件，发现打不开，没有权限。然后打开site_status.txt文件，这个应该是网站运行状态的文件，发现每隔两分钟运行一次

查看query.py脚本内容，发现对访问本地服务状态进行录入，不管成功与否都写入site_status.txt文件。猜测是个定时脚本。

我们尝试反弹一个shell，我们首先创建一个sh文件

我们修改一下python文件，让他自己执行这个文件，从而获取用户权限

开启监听段口，监听半天也没见返回shell

换种方法进行提取。查看系统版本分析该网站可能存在CVE-2021-4034 polkit的pkexec本地权限提升漏洞

然后查看gcc是否存在和版本号

将cve-2021-4034漏洞的poc下载到服务器后，使用gcc进行编译

运行

查看flag

原文始发于微信公众号（GSDK安全团队）：Vulhub靶场 -- napping