Troll系列-Troll1靶场

admin 2025年2月3日02:04:30评论7 views字数 1435阅读4分47秒阅读模式

Troll1靶场

  • 信息搜集
  • exp提权
  • 定时任务提权
  • 补充

信息搜集

nmap端口扫描,发现存在ftp连接

Troll系列-Troll1靶场
image-20250202140239592

尝试空密码连接

Troll系列-Troll1靶场
image-20250202140339536

连接成功,该用户下有pcap文件,可用wireshark打开

get lol.pcap
Troll系列-Troll1靶场
image-20250202140658549

查找有效信息

账户 anonymous
密码 password
RETR secret_stuff.txt

也找到了该信的内容Troll系列-Troll1靶场

“sup3rs3cr3tdirlol ”这串数字可能是目录泄露,也可能是账户密码泄露,都尝试一下

Troll系列-Troll1靶场
image-20250202150434846

可以访问,下载并运行该文件

Troll系列-Troll1靶场
image-20250202150539354

0x0856BF  这个有可能又是目录泄露,访问一下

Troll系列-Troll1靶场
image-20250202150732545

good_luck中包含一个是用户名的txt文件

Troll系列-Troll1靶场
image-20250202150838211

密码只有一个 “Good_job_:)”,我们可以用hydra对其进行ssh密码爆破

Troll系列-Troll1靶场

并没有匹配成功,继续信息搜集

Troll系列-Troll1靶场
image-20250202151434782

注意到这个的意思“文件名包含密码”,我们将Pass.txt添加到密码中

Troll系列-Troll1靶场
image-20250202151540185

成功爆破!ssh连接。进行信息搜集

Troll系列-Troll1靶场
image-20250202152057812

exp提权

searchsploit一下

Troll系列-Troll1靶场
image-20250202152147057
Troll系列-Troll1靶场
image-20250202152229090

查看该文档,无特殊利用方式,只需要预先编译,然后执行

Troll系列-Troll1靶场
image-20250202152335478

传入靶机

Troll系列-Troll1靶场
image-20250202152500955

显示目录不可写,我们进入/tmp目录,再次利用。显示提权成功

Troll系列-Troll1靶场
image-20250202152735108

找到flag文件

Troll系列-Troll1靶场
image-20250202152833008

定时任务提权

在提权的时候一直被打断,然后再进去发现上传的文件没有了,猜测其有定时任务。

Troll系列-Troll1靶场
image-20250202154826652

查看不了定时任务(/etc/crontab),那我们搜索定时任务相关的日志cronlog

find / -name cronlog 2>/dev/null
Troll系列-Troll1靶场
image-20250202155908996

那我们成功找到定时任务写哪了,并且是os.system (系统指令)写入的,把里面的内容改为

echo "overflow All=(All)NOPASSWD:ALL" >> /etc/sudoers

相当于为overflow用户追加了最高ALL权限

两分钟后空密码即可进入,从而提权

Troll系列-Troll1靶场
image-20250202160807208

补充

1.使用strings查看流量包字符串

Troll系列-Troll1靶场
image-20250202154222167

2.file查看文件类型

Troll系列-Troll1靶场
image-20250202154257682

3.当我们拿到可执行文件的时候,不要贸然执行(可能会有安全问题)。我们可以用binwalk看看有没有什么相关的捆绑文件

Troll系列-Troll1靶场
image-20250202154443805

4.考虑多种情况 “0x0856BF”

有可能是内存地址,让我们构造溢出等poc,也有可能只是个url的地址

5.查找日志文件 可模糊搜索

find / -name cron* 2>/dev/null

原文始发于微信公众号(泷羽Sec-山然):Troll系列---Troll1靶场

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月3日02:04:30
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Troll系列-Troll1靶场http://cn-sec.com/archives/3694703.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息