Tr0ll2

作者: __周__ | 来源:发表于2020-04-16 10:54 被阅读0次

    上来还是扫ip,扫目录,扫端口.截图略...

    ftp端口是开放的,尝试一下匿名登录,不行....猝
    ssh登录不知道密码...猝

    扫目录时,发现了一个robots.txt

    图片.png

    提供了很多目录,把这些目录保存下来,然后接着用dirb去扫描,看一下哪些目录是正常的
    dirb http://192.168.133.219 ./list.txt

    图片.png

    只发现4个目录是由内容的,放到浏览器里查看一下,全是4张一样的图片

    图片.png

    全部保存到本地,查看发现其中一张图片长度突出

    图片.png

    cat查看图片发现最下面有一句话Look Deep within y0ur_self for the answer,应该是让我们去这个目录找,访问目录有一个answer.txt,里面全是base64加密的内容
    curl 192.168.133.219/y0ur_self/answer.txt|base64 -d > answer.txt

    然后就没思路了..去瞄了一眼WP,知道了ftp还有个用户名密码为Tr0ll的用户,这谁想的到

    图片.png

    发现里面是有一个lmao.zip的文件下载到本地,被加密的,怀疑刚才的字典文件是不是用来爆破的

    fcrackzip -uDp answer.txt lmao.zip爆破

    图片.png

    解压文件,解压出来一个noob文件

    图片.png

    是一个RSA的私钥

    然后试一下ssh,root,Tr0ll都试过了,突然想到rsa的私钥叫noob会不会是一个提示

    图片.png

    然后就不会做了...我好菜啊....我是一个菜狗子

    去网上搜了一波提示,提示说可以用bash破壳漏洞

    ssh -i noob noob@192.168.133.219 '() { :;}; /bin/bash'

    使用ssh利用漏洞


    图片.png

    看到连接到一个shell,使用py连接一个伪终端,然后随便翻翻,找到根目录 有一个suid的目录感觉有问题,进去看一眼发现里面是一个suid的文件,所有者还是root

    然后在里面发现三个一样的文件文件名都是r00t,文件大小不一样,一样的套路再次上演,我们去执行那个最大的文件,查看

    图片.png

    执行之后我们输入什么回显什么,然后直接生成1000个A

    图片.png

    程序崩了,我们没办法把程序下载下来只能在靶机上调试了..

    /usr/share/metasploit-framework/tools/exploit/pattern_create.rb -l 1000
    生成1000个字符,让程序崩了

    图片.png
    然后根据地质计算偏移量,得到偏移量为268
    /usr/share/metasploit-framework/tools/exploit/pattern_offset.rb -q 0x6a413969

    然后本地生成字符268*A+4*B+100*C

    图片.png

    看到eip和ebp值都已经覆盖了

    相关文章

      网友评论

          本文标题:Tr0ll2

          本文链接:https://www.haomeiwen.com/subject/vdrgfhtx.html