靶场基本信息
靶机地址:https://www.vulnhub.com/entry/tr0ll-1,100/
靶机描述:Tr0ll的灵感来自OSCP实验室中不断摇曳的机器
目标:得到root权限&找到proof.txt
主机发现
或者使用nmap进行主机发现
信息收集
端口扫描
简单的端口扫描:
详细的端口扫描:
发现ftp存在lol.pcap流量文件,还有FTP带有匿名登录名:Anonymous FTP login allowed,80http存在robots.txt和/secret目录文件
登录FTP枚举
账号密码:
Anonymous
Anonymous
发现有个文件lol.pcap,把lol.pcap传送出来:
流量分析:
使用wireshark分析流量
wireshark lol.pcap
里面有三种类型协议FTP、FTP-DATA和TCP
在里面获得了FTP用户名密码:
anonymous/password
流量显示登陆成功后,执行执行了一下命令:
命令:SYST(获取服务器的操作系统)
返回结果:UNIX Type: L8
PORT 10,0,0,12,173,198 (客户端请求服务端,让服务端连接客户端44486端口)注:它是一个由六个被逗号隔开的数字组成的序列。前四个表示IP地址,后两个组成了用于数据连接的端口号。用第五个数乘以256再加上第六个数就得到了实际的端口号。下面例子中端口号就是( (14*256) + 178) = 3762。我们可以用netstat来验证这个端口信息返回结果:command successful. Consider using PASV.
命令:LIST(命令用于列出指定目录中的子目录和文件信息,如果没有指定目录的名字就默认列出当前目录下的所有子目录和文件信息并返回给客户端。)返回结果:
FTP Data (-rw-r–r-- 1 0 0 147 Aug 10 00:38 secret_stuff.txt\r\n)
有一个文件
命令:TYPE I (I 文件传输类型为二进制 ; A 文件传输类型为ASCII)
返回结果: Switching to Binary mode
命令:PORT 10,0,0,12,202,172 (客户端请求服务端,让服务端连接客户端51884端口)返回值:PORT command successful. Consider using PASV.
命令:RETR secret_stuff.txt (下载secret_stuff.txt)返回值:Well, well, well, aren’t you just a clever little devil, you almost found the sup3rs3cr3tdirlol 😛
Sucks, you were so close… gotta TRY HARDER!
翻译:好吧,好吧,好吧,你不就是个聪明的小恶魔吗,你差点就找到了sup3rs3cr3tdirlol:-P
太糟糕了,你离得太近了……要更加努力!
页面枚举http://192.168.255.161/sup3rs3cr3tdirlol/
下载roflmao
命令:file roflmao
枚举是32位的ELF 二进制文件
发现Find address 0x0856BF to proceed
hexeditor roflmao —十六进制的也可以用这个发现
访问http://192.168.255.161/0x0856BF/
点第一个,访问which_one_lol.txt,访问http://192.168.255.161/0x0856BF/good_luck/which_one_lol.txt
点击第二个,访问Pass.txt,访问http://192.168.255.161/0x0856BF/this_folder_contains_the_password/Pass.txt
注:this folder contains the password
翻译:此文件夹包含密码
爆破ssh用户名密码:
获取:
用户名:overflow
密码:Pass.txt
ssh登录:
查看内核版本:
权限提升
命令:searchsploit Linux 4-Tr0ll 3.13.0
只有这两个符合
利用37292.c:
把37292.c文件复制出来:
在本地用python开启http服务:
在靶机上下载文件:
编译并运行:
读取==/root==目录下的文件,并获取flag:
免责声明:本文章涉及的知识和技能仅用于学习研究,如有用于非法途径或未被授权的真实网络环境,所造成的后果及连带责任自行承担,与本文作者无关,倡导把安全知识和技能用于正当、正规、正义的途径。