GoldenEye靶机渗透

2020-08-17 14:41:26 浏览数 (1)

没意思没意思,太难了

按照老套路,上来先找到靶机IP地址,发现IP地址为 192.168.40.135

开放了http服务,访问一下

右键查看源代码,找到一个 .js文件

打开来后,发现留有一段话

翻译过来就是

代码语言:javascript复制
Boris,确保你更新了你的默认密码
我得到消息说军情六处可能计划渗透我们
我们要注意任何可疑的网络流量
顺便提个醒,Natalya说它可以破解你的密码

那么在最后一段话之前,有一串字符串

代码语言:javascript复制
InvincibleHack3r

我们在小学一年级的时候就学过了编码,&#这种类型的一看就是html编码,拎去解码,得到了一串 InvincibleHack3r

结合上下文,可得这个应该是用户 boris的密码

同时在index.php中,留了登录页面的路径

拿用户名: boris和密码 InvincibleHack3r登录一下,到了新页面

这里提到了,在非常规端口上,开放了邮件服务器,所以继续拿nmap扫描一下,看有啥

欧里给,扫描到了两个端口,一个是 55006一个是 55007

都尝试用nc连接一下,没发现55006是干啥的,但55007是pop3

众所周知,人在无聊的时候就应该什么都尝试一下,所以我们拿着在js找到的两个用户名,去爆破一下玩玩

我们得到了两个用户的密码

代码语言:javascript复制
[55007][pop3] host: 172.30.149.142   login: boris   password: secret1!
[55007][pop3] host: 172.30.149.142   login: natalya   password: bird

拿去登录邮件服务器

有三封邮件,一篇一篇看

第一篇没啥用是,管理员跟他闲聊,第二篇也没啥用,natalya又跟他说他可以破解了,第三篇也没啥用,换一个用户

在用户natalya中的第二篇邮件中,找到了一个用户名和一个域名

代码语言:javascript复制
用户名:xenia
密码:RCP90rulez!
域名:severnaya-station.com
路径:/gnocertdir

网站做了限制,只能通过域名来访问,我们在小学三年级的时候学过,计算机在遇到域名时,首先会去本地的hosts文件查找看有没有解析,如果没有的话,那么再通过DNS服务器来解析域名,所以我们先去hosts文件中添加一个主机

Windows的hosts文件路径:

C:WINDOWSSystem32driversetc

Linux的hosts文件路径:

/etc/hosts

添加完了之后,用浏览器访问

用刚刚找到的用户名密码登录后,在最近的对话里,找到了 DrDoak发送的一段话,找到了一个新的email用户名为 doak

把这个拿去爆破,得到新的密码

代码语言:javascript复制
[55007][pop3] host: 172.30.149.142   login: doak   password: goat

登录一下查看邮件

获取到了他的账号密码,用这个登录,在 我的私人文件中找到一个.txt文件

下载下来查看,是一个文件路径

访问一下,有点诡异

用编辑器打开图片后,发现有一串类似base64编码的字符串

解码之后得到字符串 xWinter1995x!

尝试一下,这个其实是admin用户的密码

到这一步就比较恶心人了,一直找不到怎么反弹shell回来,在 msfconsole中搜索一下这个lms,也就是 moodle,发现有一个远程代码执行的模块

use 使用一下,试着反弹shell

执行了一下发现失败,查看模块源码,发现这块地方用的是 PspellShell

于是登录admin,上去把默认的google spell改为pspellshell

改完之后运行,还是报错,嗯??

后来抓包对比,发现了一个问题

发送了登录的数据后,根本没有进入到后台,而是提示失败了,排查了一下(指两天)发现是msf在执行的时候,将 rhosts的域名转为 ip了,而网站不允许用IP访问,所以导致了报错

Google查了一下,找到了一篇文章

如果是域名的话,写进vhost就好了

文章来源:https://security.stackexchange.com/questions/159453/metasploit-is-always-replacing-domain-names-with-resolved-ips-on-rhost-rhosts

于是写个vhost给他,执行,成功了

老样子,先转tty,然后看Uname

很巧,16年以前的内核,可以用脏牛,wget到靶机

但是在GCC编译的时候,发现了问题,靶机没有gcc

那么众所周知编译的方式有 gcc g cc这三个,所以没有gcc,就用cc来代替一下,不过分,编译完成后,执行,切换用户拿flag,一套流程

这里有个彩蛋?他说如果我们拿到了这个flag的话,一定要去 /006-final/xvf7-flag/这个目录看一下

辣是真滴流批

gcc tcp/ip 打包 编程算法 shell

0 人点赞