渗透测试实战-lin.security靶机+Goldeneye靶机入侵

栏目: 编程工具 · 发布时间: 6年前

内容简介:大家好!爱写靶机渗透文章的我又来了,因为是在工作闲暇时间做的靶机解题,所以更新可能会比较慢,为什么这篇要2个靶机写在一起哪?还是一样因为第一个靶机比较简单故就和另外一个合并在一起发表了….lin.security靶机下载:

渗透测试实战-lin.security靶机+Goldeneye靶机入侵

前言

大家好!爱写靶机渗透文章的我又来了,因为是在工作闲暇时间做的靶机解题,所以更新可能会比较慢,为什么这篇要2个靶机写在一起哪?还是一样因为第一个靶机比较简单故就和另外一个合并在一起发表了….

靶机安装/下载

lin.security靶机下载: https://pan.baidu.com/s/1uP6eh57y93OfrpnVP7Vitw

Goldeneye靶机下载: https://pan.baidu.com/s/1dzs_qx-YwYHk-vanbUeIxQ

lin.security靶机IP:192.168.0.108

DeRPnStiNK靶机IP:192.168.0.103

攻击者IP:192.168.0.104

渗透测试实战-lin.security靶机+Goldeneye靶机入侵

渗透测试实战-lin.security靶机+Goldeneye靶机入侵

实战

1. lin.security靶机

先探测一下IP

渗透测试实战-lin.security靶机+Goldeneye靶机入侵

老规矩nmap开路,个人习惯直接全端口….

渗透测试实战-lin.security靶机+Goldeneye靶机入侵

可以看到开放了ssh服务,端口是 22

在该靶机的官网上给了我们一个测试账号,如图:

渗透测试实战-lin.security靶机+Goldeneye靶机入侵

看到账号为: bob 密码为:secret

我们使用该账号试着登录ssh看看,如图:

渗透测试实战-lin.security靶机+Goldeneye靶机入侵

可以看到已经成功登录了,下一步我们就是走流程提权了,

渗透测试实战-lin.security靶机+Goldeneye靶机入侵

小弟这里只是简单的探测和搜索,因为该靶机使用了最新版的ubuntu系统版本故未发现对应版本的可提权工具,那么说明该靶机提权的突破口不是这个,

下面还是继续走流程输入 “sudo -l” 看看有没有说明发现

渗透测试实战-lin.security靶机+Goldeneye靶机入侵

相信看到上面的返回结果,聪明的你肯定已经知道该怎么继续了,没错,该靶机比较简单有多个提权方法,本次演示2个,各位大佬们可以私底下再多试试其他方法:

1. 直接命令:“sudo ash” 回车 渗透测试实战-lin.security靶机+Goldeneye靶机入侵

成功拿到root权限

2. 直接命令:“sudo bash” 回车 渗透测试实战-lin.security靶机+Goldeneye靶机入侵

成功拿到root权限

该靶机完!是不是太简单了….

2. Goldeneye靶机

看名字是不是很酷,007特工啊,优秀!

我们继续开始探测IP

渗透测试实战-lin.security靶机+Goldeneye靶机入侵

老规矩nmap开路,个人习惯全端口

渗透测试实战-lin.security靶机+Goldeneye靶机入侵

可以看到开放了4个端口,我们使用80端口做为突破口

渗透测试实战-lin.security靶机+Goldeneye靶机入侵

访问首页一顿酷炫,感觉自己突然间变成了黑客….,天秀

通过上面的文字中可以看到让我们去访问 “/sev-home/” 目录,

访问该页面提示要输入账号密码,这么莉害?

渗透测试实战-lin.security靶机+Goldeneye靶机入侵

小弟拼命去刷了4部的007(这就是偷懒的借口….),其实这句是开玩笑的,根据经验这种情况基本上都藏在源码里或者调用的js文件里

渗透测试实战-lin.security靶机+Goldeneye靶机入侵

调用了名为“terminal.js”文件,继续跟进发现密码默默的躺在那里….

渗透测试实战-lin.security靶机+Goldeneye靶机入侵

通过解密密码为:InvincibleHack3r 帐号为:Boris

渗透测试实战-lin.security靶机+Goldeneye靶机入侵

输入帐号密码后,成功登录:

渗透测试实战-lin.security靶机+Goldeneye靶机入侵

界面一顿酷炫闪想,仿佛回到了当年的我大葬爱家族的辉煌时期….然后一激动手一抖右击查看网页源代码,发现了这个….

渗透测试实战-lin.security靶机+Goldeneye靶机入侵

“Natalya” 和 “Boris” 2张帐号,估计上面的提示让我去pop3服务继续,通过上面的端口探测我们看到了 55006 和 55007端口,下面我们就破解一下这2个帐号的密码看看

本次测试小弟使用的hydra 来完成这个工作,如图:

渗透测试实战-lin.security靶机+Goldeneye靶机入侵

当然您也可以使用MSF的模块来爆破,模块名:auxiliary/scanner/pop3/pop3_login 如图:

渗透测试实战-lin.security靶机+Goldeneye靶机入侵 渗透测试实战-lin.security靶机+Goldeneye靶机入侵

通过字典的爆破,我们已经成功爆破出这2个帐号的密码,分别为:

帐号:boris 密码: secret1! (注:后面有个感叹号)

帐号:Natalya 密码:bird

密码爆破出来了我们就去登录pop3吧,小伙伴们可以直接使用命令:

“nc 192.168.0.104 55007”

输入帐号密码来登录,如图: 渗透测试实战-lin.security靶机+Goldeneye靶机入侵

可以看到有3封邮件,为了直观性,小弟使用“Foxmail”来登录,设置如图:

渗透测试实战-lin.security靶机+Goldeneye靶机入侵

同样的我们查看这2个用户的邮件往来,

渗透测试实战-lin.security靶机+Goldeneye靶机入侵

其中在 “Natalya” 邮件里发现了突破口,如图:

渗透测试实战-lin.security靶机+Goldeneye靶机入侵

帐号:xenia 密码:RCP90rulez!

在本地/etc/hosts 设置代理我们继续访问

渗透测试实战-lin.security靶机+Goldeneye靶机入侵

渗透测试实战-lin.security靶机+Goldeneye靶机入侵

我们继续查找这可疑内容,小弟翻了好久才找到一个可疑邮件

渗透测试实战-lin.security靶机+Goldeneye靶机入侵

得到用户名:“doak”,我们继续爆破试试

渗透测试实战-lin.security靶机+Goldeneye靶机入侵

得到密码:goat

使用帐号密码继续登录邮件,如图:

渗透测试实战-lin.security靶机+Goldeneye靶机入侵

得到后台登录帐号密码:“dr_doak” “4England!”,退出“xenia”帐号试着登录新帐号

得到文件“s3cret.txt”

渗透测试实战-lin.security靶机+Goldeneye靶机入侵

下载该jpg文件,并得到密文:“eFdpbnRlcjE5OTV4IQ==”

渗透测试实战-lin.security靶机+Goldeneye靶机入侵

解密后密码为:“xWinter1995x!” 帐号为默认的 admin

成功登录后台:

渗透测试实战-lin.security靶机+Goldeneye靶机入侵

该后台使用的是“moodle”cms搭建的,通过google发现其是有漏洞的,下一步我个人使用MSF来完成,

use exploit/multi/http/moodle_cmd_exec 如图:

渗透测试实战-lin.security靶机+Goldeneye靶机入侵

(注:这里要特殊说明一下,该系统默认的设置是无法成功执行该漏洞模块的,小伙伴们需要先自行去后台设置才可,设置路径为:Plugins— Text editors — TinyMCE HTML editor 在下拉选框中选择 “PSpellShell”,如图:

渗透测试实战-lin.security靶机+Goldeneye靶机入侵

我也在这里卡了很久很久…. 最后分析了该模块的代码配合上谷歌才成功。)

最后通过该漏洞模块成功拿到shell

渗透测试实战-lin.security靶机+Goldeneye靶机入侵

下一步就是提权,通过Ubuntu版本信息找到了可以提权的脚本,如图:

渗透测试实战-lin.security靶机+Goldeneye靶机入侵

为了演示方便,小弟这里上了个 php 的大马,

在/tmp 目录下上传了37292.c这个文件,取名为“hack.c”,如图

渗透测试实战-lin.security靶机+Goldeneye靶机入侵

下一步直接就是 gcc编译了,然而发现该靶机居然没装gcc …

渗透测试实战-lin.security靶机+Goldeneye靶机入侵

然后小弟就一顿操作一顿谷歌,最后发现2种可以替代gcc提权的方法,分别为”cc”和“clang”,

下面小弟分别演示2种方法:

1. clang 先修改提权源代码,如图:

渗透测试实战-lin.security靶机+Goldeneye靶机入侵 成功提权 渗透测试实战-lin.security靶机+Goldeneye靶机入侵

2. cc 先修改提权源代码, 如图:

渗透测试实战-lin.security靶机+Goldeneye靶机入侵

渗透测试实战-lin.security靶机+Goldeneye靶机入侵

一样均能提权成功,最后我们就是拿flag了,如图:

渗透测试实战-lin.security靶机+Goldeneye靶机入侵

渗透测试实战-lin.security靶机+Goldeneye靶机入侵

结语

最后祝大家工作顺利,生活愉快!


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Hacker's Delight

Hacker's Delight

Henry S. Warren Jr. / Addison-Wesley / 2002-7-27 / USD 59.99

A collection useful programming advice the author has collected over the years; small algorithms that make the programmer's task easier. * At long last, proven short-cuts to mastering difficult aspec......一起来看看 《Hacker's Delight》 这本书的介绍吧!

图片转BASE64编码
图片转BASE64编码

在线图片转Base64编码工具

HEX HSV 转换工具
HEX HSV 转换工具

HEX HSV 互换工具