Troll1靶场
- 信息搜集
- exp提权
- 定时任务提权
- 补充
信息搜集
nmap端口扫描,发现存在ftp连接
尝试空密码连接
连接成功,该用户下有pcap文件,可用wireshark打开
get lol.pcap
查找有效信息
账户 anonymous
密码 password
RETR secret_stuff.txt
也找到了该信的内容
“sup3rs3cr3tdirlol ”这串数字可能是目录泄露,也可能是账户密码泄露,都尝试一下
可以访问,下载并运行该文件
0x0856BF 这个有可能又是目录泄露,访问一下
good_luck中包含一个是用户名的txt文件
密码只有一个 “Good_job_:)”,我们可以用hydra对其进行ssh密码爆破
并没有匹配成功,继续信息搜集
注意到这个的意思“文件名包含密码”,我们将Pass.txt添加到密码中
成功爆破!ssh连接。进行信息搜集
exp提权
searchsploit一下
查看该文档,无特殊利用方式,只需要预先编译,然后执行
传入靶机
显示目录不可写,我们进入/tmp目录,再次利用。显示提权成功
找到flag文件
定时任务提权
在提权的时候一直被打断,然后再进去发现上传的文件没有了,猜测其有定时任务。
查看不了定时任务(/etc/crontab),那我们搜索定时任务相关的日志cronlog
find / -name cronlog 2>/dev/null
那我们成功找到定时任务写哪了,并且是os.system (系统指令)写入的,把里面的内容改为
echo "overflow All=(All)NOPASSWD:ALL" >> /etc/sudoers
相当于为overflow用户追加了最高ALL权限
两分钟后空密码即可进入,从而提权
补充
1.使用strings查看流量包字符串
2.file查看文件类型
3.当我们拿到可执行文件的时候,不要贸然执行(可能会有安全问题)。我们可以用binwalk看看有没有什么相关的捆绑文件
4.考虑多种情况 “0x0856BF”
有可能是内存地址,让我们构造溢出等poc,也有可能只是个url的地址
5.查找日志文件 可模糊搜索
find / -name cron* 2>/dev/null
原文始发于微信公众号(泷羽Sec-山然):Troll系列---Troll1靶场
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论