0%

TryHackMe-Goldeneye

在线靶机链接:Goldeneye

0x01信息收集

NMAP

1
nmap -p- -sC -sV [IP]

image-20200927100312943

25是smtp邮箱,80是http,55007是pop3,然后55006就不知道是啥- -。

Http-Dirb

image-20200927100744246

没扫到什么东西。。

image-20200927101021178

首页也没啥。。

image-20200927101144504

所以得到了一个用户名Boris,和一段URL编码的密码(实际上往google上面一粘贴密码就出来了。。

1
2
3
Username:boris
Password:InvincibleHac&#1
07;3r

除此之外,源代码还透露了一个目录/sev-home/

登陆上去看的话会多透露一个用户名

image-20200927101541464

1
Username:natalya

image-20200927145238609

到这里,web的线索就断了,提示我们pop3有东西。。

POP3

用已知的用户名和密码尝试登陆

image-20200927101828166

1
2
3
4
5
hydra -l natalya -P /usr/share/wordlists/fasttrack.txt -s 55007
10.10.179.148 pop3

hydra -l boris -P /usr/share/wordlists/fasttrack.txt -s 55007
10.10.179.148 pop3

image-20200927111542299

image-20200927111617312

登陆boris的邮箱账号,阅读邮件后,第三封邮件获得一个用户名

image-20200927112033802

Boris的账号没什么收获,去登陆下natalya的账号

image-20200927112244746

噢,这有个明文的账号密码,然后这里说还要添加个解析

1
echo '10.10.179.148 severnaya-station.com' >> /etc/hosts

然后访问http://severnaya-station.com/gnocertdir/

image-20200927113202500

登陆进来后到处看看,感觉这个账号应该不是管理员。

image-20200927113717030

这个人有说自己的邮箱用户名,尝试爆破一哈

image-20200927114046204

image-20200927114142555

1
2
3
4
5
6
7
pop3 
username:doak
password:goat

web
username:dr_doak
password:4England!

登陆进去之后,Myhome页面左侧有个名字是secret的txt文件。

image-20200927145044629

image-20200927143606375

这里已经提示我们密码在/dir007key/for-007.jpg上面了。

下载图片后,用strings的话就会发现base64加密的密码了

image-20200927123137069

0x02 漏洞利用

登陆进admin后,会发现多了很多可以设置的地方。

image-20200927144006434

在这里修改aspell的路径地址为反弹shell的命令。然后随便新建一个页面。

image-20200927144059004

监听后,在页面编辑点语法检查(HTML隔壁那个按钮,即可拿到shell。

image-20200927144229021

这里我进行信息收集后,感觉最有戏的还是内核提权。

image-20200927144313918

然鹅,现实打了我脸,我一脸懵逼的看着报错居然没有gcc?

image-20200927144409920

看到这里你可能会说,攻击机编译一个上去不就好了,但是。。。

image-20200927144453427

看了下源码,最后还要编译一个动态链接文件,所以没有gcc不行吧?

但是我手动搜索了下好像是有安装gcc的依赖。

image-20200927134058844

找了半天,最后回去www的目录下找线索,看到/var/www/html/splashAdmin.php这个文件后才发现原来是被替换掉了。。

image-20200927134850049

1
2
3
4
sed 's/gcc/clang/g' 37292.c > test.c #将gcc 替换成clang

clang test.c -o test #编译
./test

image-20200927135451123

0x03 其他路径

msfconsole的multi/http/moodle_cmd_exec模块我感觉也能利用成功,但是我实际上是没有成功。

image-20200927150510606

感觉应该是rhost的问题。。但是一设置成域名的形式就会自动变回ip,搞不懂。