GoldenEye靶机渗透
没意思没意思,太难了
按照老套路,上来先找到靶机IP地址,发现IP地址为 192.168.40.135
开放了http服务,访问一下
右键查看源代码,找到一个 .js
文件
打开来后,发现留有一段话
翻译过来就是
Boris,确保你更新了你的默认密码
我得到消息说军情六处可能计划渗透我们
我们要注意任何可疑的网络流量
顺便提个醒,Natalya说它可以破解你的密码
那么在最后一段话之前,有一串字符串
InvincibleHack3r
我们在小学一年级的时候就学过了编码,&#这种类型的一看就是html编码,拎去解码,得到了一串 InvincibleHack3r
结合上下文,可得这个应该是用户 boris
的密码
同时在index.php中,留了登录页面的路径
拿用户名: boris
和密码 InvincibleHack3r
登录一下,到了新页面
这里提到了,在非常规端口上,开放了邮件服务器,所以继续拿nmap扫描一下,看有啥
欧里给,扫描到了两个端口,一个是 55006
一个是 55007
都尝试用nc连接一下,没发现55006是干啥的,但55007是pop3
众所周知,人在无聊的时候就应该什么都尝试一下,所以我们拿着在js找到的两个用户名,去爆破一下玩玩
我们得到了两个用户的密码
[55007][pop3] host: 172.30.149.142 login: boris password: secret1!
[55007][pop3] host: 172.30.149.142 login: natalya password: bird
拿去登录邮件服务器
有三封邮件,一篇一篇看
第一篇没啥用是,管理员跟他闲聊,第二篇也没啥用,natalya又跟他说他可以破解了,第三篇也没啥用,换一个用户
在用户natalya中的第二篇邮件中,找到了一个用户名和一个域名
用户名:xenia
密码:RCP90rulez!
域名:severnaya-station.com
路径:/gnocertdir
网站做了限制,只能通过域名来访问,我们在小学三年级的时候学过,计算机在遇到域名时,首先会去本地的hosts文件查找看有没有解析,如果没有的话,那么再通过DNS服务器来解析域名,所以我们先去hosts文件中添加一个主机
Windows的hosts文件路径:
C:WINDOWSSystem32driversetc
Linux的hosts文件路径:
/etc/hosts
添加完了之后,用浏览器访问
用刚刚找到的用户名密码登录后,在最近的对话里,找到了 DrDoak
发送的一段话,找到了一个新的email用户名为 doak
把这个拿去爆破,得到新的密码
[55007][pop3] host: 172.30.149.142 login: doak password: goat
登录一下查看邮件
获取到了他的账号密码,用这个登录,在 我的私人文件
中找到一个.txt文件
下载下来查看,是一个文件路径
访问一下,有点诡异
用编辑器打开图片后,发现有一串类似base64编码的字符串
解码之后得到字符串 xWinter1995x!
尝试一下,这个其实是admin用户的密码
到这一步就比较恶心人了,一直找不到怎么反弹shell回来,在 msfconsole
中搜索一下这个lms,也就是 moodle
,发现有一个远程代码执行的模块
use 使用一下,试着反弹shell
执行了一下发现失败,查看模块源码,发现这块地方用的是 PspellShell
于是登录admin,上去把默认的google spell改为pspellshell
改完之后运行,还是报错,嗯??
后来抓包对比,发现了一个问题
发送了登录的数据后,根本没有进入到后台,而是提示失败了,排查了一下(指两天)发现是msf在执行的时候,将 rhosts
的域名转为 ip
了,而网站不允许用IP访问,所以导致了报错
Google查了一下,找到了一篇文章
如果是域名的话,写进vhost就好了
文章来源:https://security.stackexchange.com/questions/159453/metasploit-is-always-replacing-domain-names-with-resolved-ips-on-rhost-rhosts
于是写个vhost给他,执行,成功了
老样子,先转tty,然后看Uname
很巧,16年以前的内核,可以用脏牛,wget到靶机
但是在GCC编译的时候,发现了问题,靶机没有gcc
那么众所周知编译的方式有 gcc g++cc
这三个,所以没有gcc,就用cc来代替一下,不过分,编译完成后,执行,切换用户拿flag,一套流程
这里有个彩蛋?他说如果我们拿到了这个flag的话,一定要去 /006-final/xvf7-flag/
这个目录看一下
辣是真滴流批
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法