打靶日记–Tr0ll

2025-04-14 6 0

前期信息搜集

首先进行主机发现

打靶日记–Tr0ll插图

然后进行端口扫描发现只开了三个端口 21 22 80

打靶日记–Tr0ll插图1

渗透阶段

由于有 ftp 的端口我们可以先试试可不可以匿名登录,用户名用 anonymous 密码先试试空的行不行,直接登录成功(其实直接windows开个文件夹然后在地址栏输入 ftp://靶机IP也可以登录)

打靶日记–Tr0ll插图2

发现里面只有一个文件,把文件下载下来

打靶日记–Tr0ll插图3

由于是个 pcap 流量文件所以这里我们用 wireshark 去一把嗦,wireshark 打开后发现流量是一个匿名登录 ftp 并下载文件(这个文件我们刚刚匿名登录时没看到)的过程,由于量不是很多可以一个个看,发现提示

打靶日记–Tr0ll插图4

其实这个流量文件由于有大量的字符串而且我们在其中要找的也很可能是一个字符串所以其实用 kali 上的strings 命令去看会更直观一些

打靶日记–Tr0ll插图5

给的提示是一个 leetspeak(可以粗略的理解为一种黑话) ,感觉这个东西比较像密码但是根据他文字的内容感觉也可能是目录,然后这个文件就没别的东西了,所以接下来我们去看看 80 端口,发现什么都没有

打靶日记–Tr0ll插图6

扫了一下目录发现了 robots.txt 和 secret 两个目录

打靶日记–Tr0ll插图7

而 robots.txt 里面就是提示我们去 secret 目录的,于是去 secret 目录下观瞧,结果也什么都没有 (已经有点红温了)

打靶日记–Tr0ll插图8

到这里可以用的东西基本上都用完了,于是去试刚刚流量分析出的那个东西是不是目录名,发现缺实是目录名而且里面有一个文件,下载下来看看

打靶日记–Tr0ll插图9

file 检测后发现是一个 ELF文件(Linux上的可执行文件)

打靶日记–Tr0ll插图10

鉴于前面的文件分析经验这里也先用 strings 去看看里面有什么,发现给了一个地址的提示

打靶日记–Tr0ll插图11

这里用 checksec 去检测一下文件的包含措施,发现只开了 NX(不能执行shellcode) 保护,是可以 pwn 的

打靶日记–Tr0ll插图12

用32位的 IDA 打开文件找一下地址,但是发现里面的地址全是 0x0804 开头的并没有我们需要的地址

打靶日记–Tr0ll插图13

于是我们这里先整理一下思路,如果我们想 pwn 掉这台主机那么主机上必须要运行这我们现在拿到的这个 ELF 文件,但是我们现在并没有发现有这样的地方,而且刚刚看了一下文件的反编译伪代码没有发现可以利用的地方,所以我们应该到别的地方找他给的那个地址指向的地方,结合上一个提示,感觉可以去试试是不是目录,结果还真是(=_=)

打靶日记–Tr0ll插图14

目录里面给了两个文件一个是密码文件,一个好像是用户名文件结合靶机开了 22 端口,所以去做一下密码喷射(给的那个此地无银三百两的提示我删了)

打靶日记–Tr0ll插图15

发现每一个成功的

打靶日记–Tr0ll插图16

但是后面三个好像是没连接上所以我们把他们拿到前面再试试行不行,发现还是不行

打靶日记–Tr0ll插图17

到这里是真的没思路了,后面去看了一下题解,发现密码原来是密码文件的文件名 Pass.txt ??????????写到这里真的想骂人了,于是我们去改一下密码再试试,发现后面几个还是没有连上 ssh 但是我们已经破解了一个了所以先登上去看看,后面没东西了再来看看这几个账户

打靶日记–Tr0ll插图18

提权

登录后还没操作两下直接给我弹出来了(彻底红温了)

打靶日记–Tr0ll插图19

从这个弹出的信息我们可以看的是以 root 权限把我们弹出的,可以合理猜测靶机上有以 root 权限执行的自动任务,那么提权的方法也就很简单了,改写自动任务的脚本就行了,于是再次登录直接查找自动任务相关的文件,过滤掉一些不太可能的后找到了几个比较可能是的,其中还有一个日志文件,所以我们就先从日志文件开始看

打靶日记–Tr0ll插图20

在被弹出来无数次后终于看到了日志的内容,估计就是日志中的这个 py 文件是自动任务执行的文件

打靶日记–Tr0ll插图21

在又被弹出来无数次后找到了这个文件

打靶日记–Tr0ll插图22

直接打开文件进行改写(看了是有权限的),结果用 vi 打开直接卡死了 (#`Д´)ノ ,于是决定先看看脚本的内容然后在外面写好后再echo 进去,脚本内容很简单而且可以用 os 那就更简单了

打靶日记–Tr0ll插图23

直接把我们当前用户赋予满权限,就是在 /etc/sudoers 为我们的用户给满权限,这里可以在命令行进行分段输入,但是经历了无数次的卡死与弹出后,我决定直接用 xshell 连接然后再本机写好文件后用 xftp 直接传上去,以下是我写的代码

#!/usr/bin/env python import os os.system("echo 'overflow ALL=(ALL)NOPASSWD:ALL' >> /etc/sudoers")

传的时候记得选择覆盖

打靶日记–Tr0ll插图24

然后等一会提取就成功了

打靶日记–Tr0ll插图25

拿到flag

打靶日记–Tr0ll插图26

吐槽

感觉整个靶机不像是渗透靶机更像是一台杂项的靶机,最后的两分钟自动脱出和逆天密码更是重量级,但是整体来说还是设计的不错的(再也不会打第二遍了太折磨了)

相关文章:

  1. 打靶日记——Jarbas
  2. 打靶日记——prime1
  3. DC:9
  4. Vulnhub靶机-Basic Penetration:2
  5. Vulnhub靶场——Tr0ll

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

4A测评 4A测评
网络安全
0 0

相关文章

【内网渗透基础(一)】信息收集
微软警告:Windows Server 2025 重启可能导致部分域控制器连接中断
打靶日记——pWnOS1
常用组件hutool的潜在Gadget分析
谷歌Chrome 136将修复存在20年的已访问链接隐私漏洞
2025年CISO应对勒索软件威胁指南

发布评论