Tr0ll2
上来还是扫ip,扫目录,扫端口.截图略...
ftp端口是开放的,尝试一下匿名登录,不行....猝
ssh登录不知道密码...猝
扫目录时,发现了一个robots.txt
图片.png提供了很多目录,把这些目录保存下来,然后接着用dirb去扫描,看一下哪些目录是正常的
dirb http://192.168.133.219 ./list.txt
只发现4个目录是由内容的,放到浏览器里查看一下,全是4张一样的图片
图片.png全部保存到本地,查看发现其中一张图片长度突出
图片.pngcat
查看图片发现最下面有一句话Look Deep within y0ur_self for the answer
,应该是让我们去这个目录找,访问目录有一个answer.txt
,里面全是base64加密的内容
curl 192.168.133.219/y0ur_self/answer.txt|base64 -d > answer.txt
然后就没思路了..去瞄了一眼WP,知道了ftp还有个用户名密码为Tr0ll
的用户,这谁想的到
发现里面是有一个lmao.zip
的文件下载到本地,被加密的,怀疑刚才的字典文件是不是用来爆破的
用fcrackzip -uDp answer.txt lmao.zip
爆破
解压文件,解压出来一个noob
文件
是一个RSA的私钥
然后试一下ssh,root,Tr0ll
都试过了,突然想到rsa的私钥叫noob会不会是一个提示
然后就不会做了...我好菜啊....我是一个菜狗子
去网上搜了一波提示,提示说可以用bash破壳漏洞
ssh -i noob noob@192.168.133.219 '() { :;}; /bin/bash'
使用ssh利用漏洞
图片.png
看到连接到一个shell,使用py连接一个伪终端,然后随便翻翻,找到根目录
有一个suid的目录感觉有问题,进去看一眼发现里面是一个suid的文件,所有者还是root
然后在里面发现三个一样的文件文件名都是r00t
,文件大小不一样,一样的套路再次上演,我们去执行那个最大的文件,查看
执行之后我们输入什么回显什么,然后直接生成1000个A
图片.png程序崩了,我们没办法把程序下载下来只能在靶机上调试了..
/usr/share/metasploit-framework/tools/exploit/pattern_create.rb -l 1000
生成1000个字符,让程序崩了
然后根据地质计算偏移量,得到偏移量为268
/usr/share/metasploit-framework/tools/exploit/pattern_offset.rb -q 0x6a413969
然后本地生成字符268*A+4*B+100*C
看到eip和ebp值都已经覆盖了