开启靶场
端口探测
nmap
nmap -sS -sV -T5 -A IP
开启的80http与25端口,
访问一下80端口
让我们访问/sev-home/ 这个页面登录
登录页面我们可以选择暴力破解
爆破资源太少,先试着获取一下敏感信息
f12
有这样一个页面,有一个可疑的js文件,看看
获得了密码
InvincibleHack3r
密码是html实体编码的,解一下
InvincibleHack3r
同时还有一个名字Boris 或许这就是用户名
成功登录
这里提示我们开启pop3
刚才的端口扫描并不彻底
全端口扫描
nmap -p-
ok,多出了55006,55007端口,pop3是下载邮件的协议,下载邮件可能有新的收获
尝试暴力破解一下
登录名使用获得的natalya\nboris,密码使用kali自带的fasttrack
echo -e 'natalya\nboris' > name.txtecho
hydra -L name.txt -P /usr/share/wordlists/fasttrack.txt 192.168.1.117 -s 55007 pop3
获得
用户:boris 密码:secret1!
用户:natalya 密码:bird
使用nc登录
邮件内容
提示向本地添加域名
设置一下
192.168.1.117 severnaya-station.com```
新的地址,新的突破口
这是一个cms moodle
使用刚才的用户名,密码登录一下(邮件里的)
登录后发现一封信
又得到一个用户名,又可以爆破了
``` sudo hydra -L doak -P fasttrack.txt 192.168.1.117 -s 55007 pop3
获得用户名密码:doak/goat
新的凭证
用户名:dr_doak
密码:4England!
登进来了
找到一个文件,下载看看
翻译后
007,我能够通过明文捕获这个应用的管理员凭证。GoldenEye 服务器上的大多数网页应用的文本都会被扫描,所以我无法在这里添加凭证。一些有价值的内容位于这里:/dir007key/for-007.jpg另外,如你所知,RCP-90 远远优于其他任何武器,而《007:黄金眼》的授权杀戮模式是唯一的玩法方式。
一个敏感的文件,一个奇怪的图片
下载看看
图片的话,打过misc的都知道,图片可能隐写信息
exiftool for-007.jpg
那个Image Description正是我们要的
eFdpbnRlcjE5OTV4IQ==
结尾常常是base64的象征,因为base64要64位,不足补0,而是0的编码
知道了密码,默认管理员是admin
成功拿到管理员权限