Vulhub靶场 napping

admin 2022年8月4日13:35:29安全文章评论5 views1142字阅读3分48秒阅读模式

一、扫描主机


Nmap扫描主机

Vulhub靶场  napping


我们可以看到开放了22和80端口,我们先查看一下80端口。使用浏览器打开可以发现这是一个登录的界面,需要账号密码才可以登录。

Vulhub靶场  napping


我们注册一个账号进行登录上去看看

Vulhub靶场  napping


查看页面源代码,没什么发现

Vulhub靶场  napping


扫一下目录,没什么发现

Vulhub靶场  napping


我们重新回到那个对话框进行查看,这个页面的原理是输入一个链接,提交后用户点击就会进行跳转

Vulhub靶场  napping

网上搜了一下,发现这样可能会造成Tabnabbing攻击

使用正常网站A的a标签设置为恶意网站B,恶意网站B中利用window.opener修改原先页面A页面,进而无征兆把访问正常网站A页面修改为钓鱼网站C页面。两个可以利用点:1、使用a标签,并且target=_blank,没有使用rel="noopener/noreferrer"属性2、使用window.open原文链接:https://blog.csdn.net/csacs/article/details/104535225




二、主机拿shell



了解完其中的原理后,开始尝试利用

我们分别创建a.html和b.html两个页面,a.html为正常的页面,b.html为恶意页面

Vulhub靶场  napping


我们在这个目录下启动一下python3的http服务,开放端口为80,跟恶意页面的端口区分开来,然后我们监听一下恶意页面的8000端口

Vulhub靶场  napping

我们在网站中提交恶意链接

Vulhub靶场  napping


提交上去之后,点击浏览,我们的nc成功收到返回的账号密码信息(靶机中设定的隔几分钟就会用用户登录,此时我们获取了数据包)

Vulhub靶场  napping

用ssh进行登录(注意密码中的%40是url编码中的“@”,要注意替换)


Vulhub靶场  napping

Vulhub靶场  napping




三、提取


进去之后,没发现什么内容,那么我们先进行提取

Vulhub靶场  napping

先看看用户属于的组

Vulhub靶场  napping


是属于administrators组的
我们使用find命令查找一下这个组可以运行的程序

Vulhub靶场  napping


根据所给的目录,我们来到这个目录下

Vulhub靶场  napping


进入目录后,发现目录底下有三个文件,我们先查看user.txt文件,发现打不开,没有权限。然后打开site_status.txt文件,这个应该是网站运行状态的文件,发现每隔两分钟运行一次

Vulhub靶场  napping

查看query.py脚本内容,发现对访问本地服务状态进行录入,不管成功与否都写入site_status.txt文件。猜测是个定时脚本。

Vulhub靶场  napping


我们尝试反弹一个shell,我们首先创建一个sh文件

Vulhub靶场  napping


我们修改一下python文件,让他自己执行这个文件,从而获取用户权限

Vulhub靶场  napping


开启监听段口,监听半天也没见返回shell

Vulhub靶场  napping


换种方法进行提取。查看系统版本分析该网站可能存在CVE-2021-4034 polkit的pkexec本地权限提升漏洞

Vulhub靶场  napping


然后查看gcc是否存在和版本号

Vulhub靶场  napping


将cve-2021-4034漏洞的poc下载到服务器后,使用gcc进行编译

Vulhub靶场 -- napping


运行

Vulhub靶场  napping


查看flag

Vulhub靶场  napping


原文始发于微信公众号(GSDK安全团队):Vulhub靶场 -- napping

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月4日13:35:29
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Vulhub靶场 napping http://cn-sec.com/archives/1221483.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: