渗透测试实战-lin.security靶机+Goldeneye靶机入侵

先探测一下IP

老规矩nmap开路,个人习惯直接全端口….

可以看到开放了ssh服务，端口是 22

在该靶机的官网上给了我们一个测试账号，如图：

我们使用该账号试着登录ssh看看，如图：

可以看到已经成功登录了，下一步我们就是走流程提权了，

小弟这里只是简单的探测和搜索，因为该靶机使用了最新版的ubuntu系统版本故未发现对应版本的可提权工具，那么说明该靶机提权的突破口不是这个，

下面还是继续走流程输入 “sudo -l” 看看有没有说明发现

看名字是不是很酷，007特工啊，优秀！

我们继续开始探测IP

老规矩nmap开路，个人习惯全端口

可以看到开放了4个端口，我们使用80端口做为突破口

访问首页一顿酷炫，感觉自己突然间变成了黑客….，天秀

通过上面的文字中可以看到让我们去访问 “/sev-home/” 目录，

访问该页面提示要输入账号密码,这么莉害？

小弟拼命去刷了4部的007(这就是偷懒的借口….)，其实这句是开玩笑的，根据经验这种情况基本上都藏在源码里或者调用的js文件里

调用了名为“terminal.js”文件，继续跟进发现密码默默的躺在那里….

通过解密密码为：InvincibleHack3r 帐号为：Boris

输入帐号密码后，成功登录：

本次测试小弟使用的hydra 来完成这个工作，如图：

当然您也可以使用MSF的模块来爆破，模块名：auxiliary/scanner/pop3/pop3_login 如图：

密码爆破出来了我们就去登录pop3吧，小伙伴们可以直接使用命令：

“nc 192.168.0.104 55007”

可以看到有3封邮件，为了直观性，小弟使用“Foxmail”来登录，设置如图：

同样的我们查看这2个用户的邮件往来，

帐号：xenia 密码：RCP90rulez!

在本地/etc/hosts 设置代理我们继续访问

得到用户名：“doak”,我们继续爆破试试

使用帐号密码继续登录邮件，如图：

得到后台登录帐号密码：“dr_doak” “4England!”，退出“xenia”帐号试着登录新帐号

得到文件“s3cret.txt”

成功登录后台：

该后台使用的是“moodle”cms搭建的，通过google发现其是有漏洞的，下一步我个人使用MSF来完成，

use exploit/multi/http/moodle_cmd_exec 如图：

（注：这里要特殊说明一下，该系统默认的设置是无法成功执行该漏洞模块的，小伙伴们需要先自行去后台设置才可，设置路径为：Plugins— Text editors — TinyMCE HTML editor 在下拉选框中选择 “PSpellShell”，如图：

最后通过该漏洞模块成功拿到shell

下一步直接就是 gcc编译了，然而发现该靶机居然没装gcc …

然后小弟就一顿操作一顿谷歌，最后发现2种可以替代gcc提权的方法，分别为”cc”和“clang”,

下面小弟分别演示2种方法：

1. clang 先修改提权源代码，如图：

2. cc 先修改提权源代码， 如图：