靶机下载地址:https://download.vulnhub.com/tr0ll/Tr0ll.rar
实验目的:拿到靶机root权限
渗透机kali2022
靶机:Tr0ll
安装好靶机后用netdiscover -r 192.168.10.0/24发现ip,在用nmap工具扫描发现的ip找到搭建好的靶机ip
发现有21,22,80,且21端口的ftp有能够匿名登陆。
先匿名登陆ftp,下载ftp里的内容看看有没有有用的线索,ftp里有个lol.pcap下载下来用wireshark进行流量分析。
在数据包中发现一句话
意思是:
好吧,好吧,好吧,你不是一个聪明的小恶魔吗,你差点找到sup3rs3cr3tdirlol:-P
糟了,你离得太近了。。。要更努力!
说明突破点在sup3rs3cr3tdirlol上,我们还没有访问过22和80端口,22端口需要账号密码暂时访问不了,所以先访问80端口发现sup3rs3cr3tdirlol是一个目录的名称
下载下来发现这是个可执行文件,授权执行他
给出提示0x0856BF, 尝试用这个为目录名访问网页
下载这些,现在只有22端口的ssh服务没有访问猜测这些是ssh的账号和密码,用hydra把爆破密码。
一开始以为密码是Pass.txt里的是密码结果是他文件的名称是密码
接下来就是远程登陆和提权了
查看系统内核使用searchsploit查看3.13.0这个内核的提权漏洞
将37292.c移到root目录下,并将.c源文件编译成2进制文件
kali是自带apache服务的,打开渗透机的apache服务。
将编译好的文件移动到/var/www/html目录下,再次到靶机shell那里,找到overflow用户有写入权限的地方,我用的是/tmp目录,将payload拿到靶机上,并执行payload
最后发现a.out执行失败,原因是靶机是i686是一个32位的系统我安装的kali是amd64是64位的系统,64位的文件是在32位系统上是执行不了的。
解决方法1:
把37292.c拿到靶机内编译,
解决方法2:
使用指令只生成32位的文件。
gcc -m32 37292.c
最后成功拿到靶机root权限
实验结束