靶机渗透测试（Tr0ll: 1）：

Vulnhub靶机 Tr0ll: 1


靶机：修改靶机的网络配置为桥接模式。

攻击机：Kali虚拟机，同样使用桥接模式，即可访问靶机。

靶机难度：（

Beginner)

）

描述：

The goal is simple, gain root and get Proof.txt from the /root directory

渗透流程：

1. 探测靶机ip地址（netdiscover -i eth0 -r 网关）

命令：netdiscover -i eth0 -r 192.168.10.0

靶机ip为： 192.168.10.201

2. nmap进行靶机端口服务扫描

命令： nmap -sS -Pn -A -p- -n 192.168.10.201

靶机开放了21/ftp(

允许匿名登陆

)、22/ssh、80/http端口服务！

3. 根据端口服务进行信息收集（21/ftp端口）

我们使用kali登陆ftp服务，使用命令[ftp+ip]即可，因为此次服务允许匿名登陆，因此使用Anonymous用户登陆，ls发现存在文件lol.pcap

下载lol.pcap文件，百度一波.pcap属于数据包存储格式类型，为wireshark配置脚本文件，可以用Wireshark软件打开：

retr命令可以下载（打印）出文件，我们可以看到数据包中存在隐藏文件：secret_stuff.txt

继续探索隐藏txt文件下的信息，得到一项字符串，猜测为子目录：sup3rs3cr3tdirlol

4. 信息收集~80/http端口服务

4.1.目录爆破

对80web页面进行信息收集，首先我们ctrl+u查看一波源代码-无果！然后使用dirb工具对目录进行目录爆破，发现存在robots.txt、secret等敏感目录：

4.2. 访问secret敏感目录

访问secret目录，查看源代码，信息收集~无果！！

4.3. ftp服务联动（隐藏目录）

我们在ftp服务中，使用Wireshark软件得到了一项字符串，猜测为目录，直接访问：在sup3rs3cr3tdirlol网页下，存在一项roflmao文件：

我们直接下载到kali中，使用【file+文件名】查看文件类型，发现此文件是可执行文件，于是我们赋予文件777可执行权限，然后执行，得到一项字符串：0x0856BF（

猜测仍然为目录

）

4.4. 访问0x0856BF目录

继续访问得到的目录，进行信息收集，可以看到在目录下存在两项文件夹：

在good_luck文件夹下，存在一系列字符串，猜测为密码字典（

备份保存

）

在this_folder_contains_the_password文件夹中，一个字符串：？？

5. 信息收集~22/ssh端口服务

5.1. 爆破ssh账号密码

我们使用刚刚得到的密码字典，使用hydra爆破ssh账号密码，无果？？

再次回到web目录下，看到第二项文件夹名称为：{这里包含着密码}，于是我们在密码字典中加入pass.txt的全部内容，包括

文件夹名称

（Pass.txt）

再次进行爆破，成功！！！

得到ssh账号密码：

overflow // Pass.txt

5.2. ssh远程连接

使用命令ssh+【用户名】@【ip】进行远程ssh登陆：

使用lsb_release -a 命令查看靶机发行版本：（

尝试内核提权

）

searchsploit查看版本漏洞：下载37292.c脚本文件：

或者使用uname -a查看版本信息：

6. 权限提升（EXP提权）

我们将脚本文件移动到/var/www/html目录下，然后开启简单web服务器：

命令：

python -m SimpleHTTPServer 80

使用wget命令下载脚本文件到靶机内：

发现不可以直接下载，拒绝服务！！！

于是我们可以将文件下载到tmp临时目录下：

在靶机下载对应的payload文件，使用gcc命令将C语言文件编译为二进制文件；

执行文件，获取root管理员权限！！！

实验成功！

实验总结：

在本次实验中，ctf靶机实验难度一般，使用dirb进行目录爆破，没有获得有效的信息；通过ftp的匿名访问，对流量分析后，获得到新目录，对目录中的可执行文件，hydra爆破出ssh账号密码；

提权部分，通过内核漏洞提权，开启web服务器，下载脚本文件，编译执行，成功提权！！！