Troll1靶场

• 信息搜集
• exp提权
• 定时任务提权
• 补充

信息搜集

nmap端口扫描，发现存在ftp连接

尝试空密码连接

连接成功，该用户下有pcap文件，可用wireshark打开

get lol.pcap

查找有效信息

账户 anonymous
密码 password
RETR secret_stuff.txt

也找到了该信的内容

“sup3rs3cr3tdirlol ”这串数字可能是目录泄露，也可能是账户密码泄露，都尝试一下

可以访问，下载并运行该文件

0x0856BF  这个有可能又是目录泄露，访问一下

good_luck中包含一个是用户名的txt文件

密码只有一个 “Good_job_:)”，我们可以用hydra对其进行ssh密码爆破

并没有匹配成功，继续信息搜集

注意到这个的意思“文件名包含密码”，我们将Pass.txt添加到密码中

成功爆破！ssh连接。进行信息搜集

exp提权

searchsploit一下

查看该文档，无特殊利用方式，只需要预先编译，然后执行

传入靶机

显示目录不可写，我们进入/tmp目录，再次利用。显示提权成功

找到flag文件

定时任务提权

在提权的时候一直被打断，然后再进去发现上传的文件没有了，猜测其有定时任务。

查看不了定时任务（/etc/crontab），那我们搜索定时任务相关的日志cronlog

find / -name cronlog 2>/dev/null

那我们成功找到定时任务写哪了，并且是os.system （系统指令）写入的，把里面的内容改为

echo "overflow All=(All)NOPASSWD:ALL" >> /etc/sudoers

相当于为overflow用户追加了最高ALL权限

两分钟后空密码即可进入，从而提权

补充

1.使用strings查看流量包字符串

2.file查看文件类型

3.当我们拿到可执行文件的时候，不要贸然执行（可能会有安全问题）。我们可以用binwalk看看有没有什么相关的捆绑文件

4.考虑多种情况 “0x0856BF”

有可能是内存地址，让我们构造溢出等poc，也有可能只是个url的地址

5.查找日志文件 可模糊搜索

find / -name cron* 2>/dev/null