Nmap扫描主机
我们可以看到开放了22和80端口,我们先查看一下80端口。使用浏览器打开可以发现这是一个登录的界面,需要账号密码才可以登录。
我们注册一个账号进行登录上去看看
查看页面源代码,没什么发现
扫一下目录,没什么发现
我们重新回到那个对话框进行查看,这个页面的原理是输入一个链接,提交后用户点击就会进行跳转
网上搜了一下,发现这样可能会造成Tabnabbing攻击
使用正常网站A的a标签设置为恶意网站B,恶意网站B中利用window.opener修改原先页面A页面,进而无征兆把访问正常网站A页面修改为钓鱼网站C页面。两个可以利用点:1、使用a标签,并且target=_blank,没有使用rel="noopener/noreferrer"属性2、使用window.open原文链接:https://blog.csdn.net/csacs/article/details/104535225
了解完其中的原理后,开始尝试利用
我们分别创建a.html和b.html两个页面,a.html为正常的页面,b.html为恶意页面
我们在这个目录下启动一下python3的http服务,开放端口为80,跟恶意页面的端口区分开来,然后我们监听一下恶意页面的8000端口
我们在网站中提交恶意链接
提交上去之后,点击浏览,我们的nc成功收到返回的账号密码信息(靶机中设定的隔几分钟就会用用户登录,此时我们获取了数据包)
用ssh进行登录(注意密码中的%40是url编码中的“@”,要注意替换)
进去之后,没发现什么内容,那么我们先进行提取
先看看用户属于的组
是属于administrators组的
我们使用find命令查找一下这个组可以运行的程序
根据所给的目录,我们来到这个目录下
进入目录后,发现目录底下有三个文件,我们先查看user.txt文件,发现打不开,没有权限。然后打开site_status.txt文件,这个应该是网站运行状态的文件,发现每隔两分钟运行一次
查看query.py脚本内容,发现对访问本地服务状态进行录入,不管成功与否都写入site_status.txt文件。猜测是个定时脚本。
我们尝试反弹一个shell,我们首先创建一个sh文件
我们修改一下python文件,让他自己执行这个文件,从而获取用户权限
开启监听段口,监听半天也没见返回shell
换种方法进行提取。查看系统版本分析该网站可能存在CVE-2021-4034 polkit的pkexec本地权限提升漏洞
然后查看gcc是否存在和版本号
将cve-2021-4034漏洞的poc下载到服务器后,使用gcc进行编译
运行
查看flag
原文始发于微信公众号(GSDK安全团队):Vulhub靶场 -- napping
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论