Tr0ll2

上来还是扫ip,扫目录,扫端口.截图略...

ftp端口是开放的,尝试一下匿名登录,不行....猝
ssh登录不知道密码...猝

扫目录时,发现了一个robots.txt

图片.png

提供了很多目录,把这些目录保存下来,然后接着用dirb去扫描,看一下哪些目录是正常的
dirb http://192.168.133.219 ./list.txt

图片.png

只发现4个目录是由内容的,放到浏览器里查看一下,全是4张一样的图片

图片.png

全部保存到本地,查看发现其中一张图片长度突出

图片.png

cat查看图片发现最下面有一句话Look Deep within y0ur_self for the answer,应该是让我们去这个目录找,访问目录有一个answer.txt,里面全是base64加密的内容
curl 192.168.133.219/y0ur_self/answer.txt|base64 -d > answer.txt

然后就没思路了..去瞄了一眼WP,知道了ftp还有个用户名密码为Tr0ll的用户,这谁想的到

图片.png

发现里面是有一个lmao.zip的文件下载到本地,被加密的,怀疑刚才的字典文件是不是用来爆破的

用fcrackzip -uDp answer.txt lmao.zip爆破

图片.png

解压文件,解压出来一个noob文件

图片.png

是一个RSA的私钥

然后试一下ssh,root,Tr0ll都试过了,突然想到rsa的私钥叫noob会不会是一个提示

图片.png

然后就不会做了...我好菜啊....我是一个菜狗子

去网上搜了一波提示,提示说可以用bash破壳漏洞

ssh -i noob noob@192.168.133.219 '() { :;}; /bin/bash'

使用ssh利用漏洞

图片.png

看到连接到一个shell,使用py连接一个伪终端,然后随便翻翻,找到根目录 有一个suid的目录感觉有问题,进去看一眼发现里面是一个suid的文件,所有者还是root

然后在里面发现三个一样的文件文件名都是r00t,文件大小不一样,一样的套路再次上演,我们去执行那个最大的文件,查看

图片.png

执行之后我们输入什么回显什么,然后直接生成1000个A

图片.png

程序崩了,我们没办法把程序下载下来只能在靶机上调试了..

/usr/share/metasploit-framework/tools/exploit/pattern_create.rb -l 1000
生成1000个字符,让程序崩了

图片.png
然后根据地质计算偏移量,得到偏移量为268
/usr/share/metasploit-framework/tools/exploit/pattern_offset.rb -q 0x6a413969

然后本地生成字符268*A+4*B+100*C

图片.png

看到eip和ebp值都已经覆盖了