開啟靶場
端口探測
nmap
nmap -sS -sV -T5 -A IP

開啟的80http與25端口,
訪問一下80端口

讓我們訪問/sev-home/ 這個頁面登錄
登錄頁面我們可以選擇暴力破解
爆破資源太少,先試著獲取一下敏感信息
f12

有這樣一個頁面,有一個可疑的js文件,看看

獲得了密碼
InvincibleHack3r
密碼是html實體編碼的,解一下
InvincibleHack3r
同時還有一個名字Boris 或許這就是用戶名


成功登錄

這里提示我們開啟pop3

剛才的端口掃描并不徹底
全端口掃描
nmap -p-

ok,多出了55006,55007端口,pop3是下載郵件的協議,下載郵件可能有新的收獲
嘗試暴力破解一下

登錄名使用獲得的natalya\nboris,密碼使用kali自帶的fasttrack
echo -e 'natalya\nboris' > name.txtecho
hydra -L name.txt -P /usr/share/wordlists/fasttrack.txt 192.168.1.117 -s 55007 pop3
獲得
用戶：boris 密碼：secret1!
用戶：natalya 密碼：bird
使用nc登錄

郵件內容



提示向本地添加域名
設置一下

192.168.1.117 severnaya-station.com```
新的地址,新的突破口
![image](https://img2024.cnblogs.com/blog/3373880/202510/3373880-20251022202851639-1454103588.png)
這是一個cms moodle
使用剛才的用戶名,密碼登錄一下(郵件里的)
登錄后發現一封信
![image](https://img2024.cnblogs.com/blog/3373880/202510/3373880-20251022203328732-553982975.png)
又得到一個用戶名,又可以爆破了
``` sudo hydra -L doak -P fasttrack.txt 192.168.1.117 -s 55007 pop3 

獲得用戶名密碼：doak/goat

新的憑證
用戶名：dr_doak
密碼：4England!
登進來了

找到一個文件,下載看看


翻譯后
007，我能夠通過明文捕獲這個應用的管理員憑證。GoldenEye 服務器上的大多數網頁應用的文本都會被掃描，所以我無法在這里添加憑證。一些有價值的內容位于這里：/dir007key/for-007.jpg另外，如你所知，RCP-90 遠遠優于其他任何武器，而《007：黃金眼》的授權殺戮模式是唯一的玩法方式。
一個敏感的文件,一個奇怪的圖片

下載看看
圖片的話,打過misc的都知道,圖片可能隱寫信息
exiftool for-007.jpg

那個Image Description正是我們要的
eFdpbnRlcjE5OTV4IQ==
結尾常常是base64的象征,因為base64要64位,不足補0,而是0的編碼
知道了密碼,默認管理員是admin

成功拿到管理員權限