vulnhub-TR0LL: 1

描述：

Tr0ll 的灵感来自于 OSCP 实验室内不断对机器进行的调整。

目标很简单，获取 root 并从 /root 目录获取 Proof.txt。

不适合容易沮丧的人！公平警告，前方有巨魔！

难度：初学者；类型：boot2root

靶机地址: https://www.vulnhub.com/entry/tr0ll-1,100/

网络扫描

对目标进行扫描识别

确认目标为:192.168.0.104 

主机扫描

使用nmap获取端口以及运行的服务等信息

nmap -sV -sC -p- -oN /CTF/vulnhub/Troll/nmap 192.168.0.104

从结果中可以看到目标开启了21(FTP)、22(SSH)、80(HTTP)端口，在这里我们注意到目标允许匿名登录FTP。

ftp 192.168.0.104

使用匿名用户登录后 找到了一个名为lol.pcap的文件，我将它下载到本地使用Wireshark进行分析

在查看分析中，我注意到一个关键词“sup3rs3cr3tdirlol”这是个有价值的线索，但是目前不知道有什么作用，那现在我们去看看web浏览器上有没有对我们有价值的东西

好吧 啥也没有 那我们跑一下目录

dirb http://192.168.0.104

发现了robots.txt 我们接下来去访问一下

好吧 毫无价值

这时候我想起在分析TCP数据包获得的关键字，这是一个突破点，我们在web上浏览它。

嗯 很好 得到了一个目录列表，下载到本机进行查看分析。

file roflmao

这向我们表明该文件是一个32可执行文件。那么接下来使用

strings roflmao

在工具的帮助下，我们浏览了文件roflmao并找到了一条信息“Find address 0x0856BF to proceed”。

然后我们在web浏览器中添加信息进行访问。

得到两个目录，我们依次浏览

在good_luck中发现了一个为which_one_lol.txt的文件，这些看起来可能是用户名或者密码。有助于我们进行爆破攻击

此外，在文件夹this_folder_contains_the_password/中“Pass.txt”这个可能是个用户密码。

然后将lol.txt和pass.txt保存并改名为logins.txt和pass.txt 。这样方便我们使用工具进行猜解。

使用hydra进行猜解

hydra -L logins.txt -p Pass.txt 192.168.0.104 ssh

得到了ssh登录凭证，现在进行登录

ssh overflow@192.168.0.104

但是登陆后 发现机器总是时不时的把我们踢出去，只能重新登录，但这也是个突破点。

查找所有可写文件，确定文件程序。

find / -writable 2>/dev/null

在/lib/log/中找到了一个python文件cleaner.py

他是一个小程序，就是在特定时间间隔内他会执行一次，我们可以利用这一点来获取root权限，在这个方法中，我修改它以溢出用户添加到sudoers文件中

修改完以后 坐等机器执行，在等待一分钟后我被踢出机器，然后重新登陆机器

使用sudo su命令 接着输入用户的登陆密码 现在我们就拥有了root权限

到这里我们就获取了flag 当然 不局限这一种方法

点击下方公众号获取更多内容

原文始发于微信公众号（剑客江湖）：vulnhub-TR0LL: 1