【OSCP-vulnhub】GoldenEye

目录

端口扫描

查找源代码

目录扫描

POP3邮件枚举

1.先枚举用户名

2.hydra爆破

3.nc连接

boris：

natalya：

设置本地hosts文件

doak：

解析图片

exiftool for-007.jpg

strings for-007.jpg

使用MSF去搜索内核版本

漏洞利用 --- RCE

漏洞提权

修改脚本

cc编译

The end：获取flag

端口扫描

nmap -sS -p- 192.168.56.104 -sV --version-all -sC

可以看到靶机开放了80端口，点击访问出现/sev-home/ to login ，既然这样，那我们便拼接到url看看会回显什么页面出来

然后捏它提示要用户名和密码

目前我们只知道用户名为UNKNOWN，接下来就得去枚举密码了，这个时候因为页面没有多余信息，那么我们就去

查找源代码

能翻出有用的信息仅有terminal.js了，那我们再去访问看看

细心的你就会发现它泄露了两个用户名Boris和Natalya，以及密码 InvincibleHack3r

通过解码可以得出结果InvincibleHack3r

那就拿去登录看看吧

通过已知的用户名拿去枚举，最终确定正确的密码对应 的用户名为boris

除此之外就没什么有用的信息了

目录扫描

却也扫不出什么。。。

那么只能通过端口扫描出的pop3服务入手了。。。

POP3邮件枚举

那么我们可以使用hydra进行邮件爆破看看

1.先枚举用户名

2.hydra爆破

hydra -L user.txt -P /usr/share/wordlists/fasttrack.txt 192.168.56.104 -s 55007 pop3 

最终爆出：

natalya:bird

boris:secret1!

然后使用nc登录邮箱进行查看内容

3.nc连接

nc 192.168.56.104 55007

boris：

user borispass secret1!retr xxx (xxx为邮件数)

第一封：

Boris，我是管理员。您可以在此处与同事和学生进行电子通信。我不打算扫描电子邮件中的安全风险，因为我相信您和这里的其他管理员。

第二封：

鲍里斯，我可以破解你的密码！

第三封：

鲍里斯您与我们的辛迪加合作将获得丰厚的回报。附件是 GoldenEye 的最终访问代码。将它们放在此服务器根目录中的隐藏文件中，然后从此电子邮件中删除。这些访问代码只能有一组，我们需要保护它们以进行最终执行。如果他们被找回并捕获，我们的计划将崩溃并燃烧！一旦 Xenia 访问培训站点并熟悉 GoldenEye Terminal 代码，我们将进入最后阶段......PS - 保持严密的安全性，否则我们将受到威胁。

emmm没发现什么有用的。。

natalya：

user natalyapass birdretr xxx (xxx为邮件数)

然后你就会像看故事一样融入其中

第一封：

 娜塔莉亚，拜托你不要再破解鲍里斯的密码了。此外，您是培训的 GNO 主管。一旦为您指定了学生，我就会给您发送电子邮件。此外，请小心可能的网络漏洞。我们有情报说 GoldenEye 正在被一个名为 Janus 的犯罪集团追捕。

第二封：

  好的，Natalyn，我有一位新学生要给你。由于这是一个新系统，请告诉我或Boris，如果您看到任何配置问题，特别是与安全性相关的问题……即使不是，也请以“安全”的名义输入……这样变更单就会毫不费力地升级。:)好的，用户凭据是：用户名：xenia密码：RCP90rulez！Boris确认她是一名有效的承包商，所以请创建该账户，好吗？如果您在我们的内部域名上没有 URL: severnaya-station.com/gnocertdir**确保编辑您的主机文件，因为您通常是远程在网络外工作。由于您是 Linux 用户，只需将此服务器的 IP 指向 /etc/hosts 中的 severnaya-station.com。

这里让我们

设置本地hosts文件

然后再访问这个url：severnaya-station.com/gnocertdir

oh~~~原来是个moodle系统

whatweb指纹识别

我们用邮件所给的用户名和密码登录看看

用户名：xenia密码：RCP90rulez！

在messages发现新的用户

doak：

我们再通过这个用户看看能不能去爆破他的密码

hydra -l doak -P /usr/share/wordlists/fasttrack.txt 192.168.56.104 -s 55007 pop3 

爆破出了密码为goat

我们再进行邮件枚举

doak：

这不用户名和密码就出来了吗

拿来登录看看

右边有个文件再看，有个s3cret.txt

文中的隐含之意就是说for-007.jpg有宝藏！

我们先wget把它下载下来再用图片分析工具

解析图片

exiftool for-007.jpg

strings for-007.jpg

通过两个工具可以发现隐藏的信息，咦？这不就是base64编码吗，解一下看看

echo "eFdpbnRlcjE5OTV4IQ==" | base64 -d

得到xWinter1995x! ，因为这是宝藏~所以自然用户名就是admin了

登录了一下发现没有什么可利用的点

所以我们把目标转向攻击CMS的内核

使用MSF去搜索内核版本

msf6 > search moodle

我们 use 1 并show options

配置所需的参数

发现无法成功，因为我们使用的shell是powershell，所以我们得改网站的shell为powershell才能连上

然后就成功

漏洞利用 --- RCE

开启交互式终端

python -c 'import pty;pty.spawn("/bin/bash")'

漏洞提权

查看内核版本

uname -a

搜索内核可用的exp

searchsploit 3.13.0

下载37292.c到当前目录

searchsploit -m 37292 

开启临时http服务

靶机wget下载文件

gcc发现没有环境

那么我们需要

修改脚本

vim 37292.c

在末尾倒数这行将gcc改为cc即可。。。

然后再

cc编译

cc -o exp 37292.c 

chmod赋权然后执行，发现成功提权为root

The end：获取flag

 好啦，本文的内容就到这啦，希望对你有所帮助。。