Vulnhub靶场——Tr0ll渗透测试教学文档<\/h1>

1. 信息收集阶段<\/h2>

1.1 主机发现<\/h3>
使用nmap进行网络扫描，发现目标主机：<\/p>
nmap 192.168.7.0\/24
<\/span><\/span><\/code><\/pre>1.2 端口扫描<\/h3>
对目标IP进行详细扫描：<\/p>
nmap 192.168.7.134 -sS -A -p- -sV
<\/span><\/span><\/code><\/pre>发现开放端口：<\/p>

22 (SSH)<\/li>
21 (FTP)<\/li>
80 (HTTP)<\/li>
<\/ul>
2. 初步渗透<\/h2>
2.1 Web服务枚举<\/h3>
访问80端口未发现有用信息，进行目录扫描：<\/p>
dirb http:\/\/192.168.7.134
<\/span><\/span><\/code><\/pre>或使用其他目录扫描工具如gobuster、dirsearch等。<\/p>
2.2 FTP服务检查<\/h3>
检查FTP服务是否存在匿名登录：<\/p>
ftp 192.168.7.134
<\/span><\/span><\/code><\/pre>使用用户名anonymous<\/code>，密码为空登录成功。<\/p>
在FTP中发现一个网络数据包文件lol.pcap<\/code>，下载并分析：<\/p>
strings lol.pcap
<\/span><\/span><\/code><\/pre>发现关键信息：<\/p>

提到了secret_stuff.txt<\/code>文件<\/li>
内容暗示了sup3rs3cr3tdirlol<\/code>目录的存在<\/li>
<\/ul>
3. 深入渗透<\/h2>
3.1 发现隐藏目录<\/h3>
通过分析发现sup3rs3cr3tdirlol<\/code>是一个web目录，访问：<\/p>
http:\/\/192.168.7.134\/sup3rs3cr3tdirlol\/
<\/code><\/pre>
发现可执行文件，使用strings查看字符串：<\/p>
strings 文件名
<\/span><\/span><\/code><\/pre>发现另一个web目录地址。<\/p>
3.2 获取凭据<\/h3>
在新发现的web目录中：<\/p>

which_one_lol.txt<\/code>可能是用户名列表<\/li>
this_folder_contains_the_password<\/code>目录提示包含密码<\/li>
<\/ul>
尝试使用hydra爆破SSH：<\/p>
hydra -L which_one_lol.txt -P \/usr\/share\/wordlists\/rockyou.txt 192.168.7.134 ssh
<\/span><\/span><\/code><\/pre>未成功，最终在Pass.txt<\/code>中找到密码。<\/p>
4. 获取初始shell<\/h2>
使用获得的凭据通过SSH登录：<\/p>
ssh 用户名@192.168.7.134
<\/span><\/span><\/code><\/pre>登录成功后升级shell：<\/p>
\/usr\/bin\/script -qc \/bin\/bash \/dev\/null
<\/span><\/span><\/code><\/pre>5. 权限提升<\/h2>
5.1 方法一：内核漏洞提权<\/h3>

查看内核版本：<\/li>
<\/ol>
uname -a
<\/span><\/span><\/code><\/pre>
使用searchsploit查找漏洞：<\/li>
<\/ol>
searchsploit 内核版本
<\/span><\/span><\/code><\/pre>
下载漏洞利用代码，上传到靶机，编译并执行。<\/li>
<\/ol>
5.2 方法二：利用计划任务<\/h3>
发现系统存在可疑的计划任务：<\/p>

查找相关文件：<\/li>
<\/ol>
find \/ -name cronlog 2>\/dev\/null
<\/span><\/span>find \/ -name cleaner.py 2>\/dev\/null
<\/span><\/span><\/code><\/pre>
发现cleaner.py<\/code>脚本任何人可读可写<\/li>
<\/ol>
利用方法：<\/p>


反弹shell<\/strong>：

修改cleaner.py添加反向shell代码<\/p>
<\/li>

创建root可执行程序<\/strong>：

写入具有SUID权限的程序<\/p>
<\/li>

写入SSH RSA密钥<\/strong>：

添加自己的公钥到root的authorized_keys<\/p>
<\/li>
<\/ol>
6. 关键点总结<\/h2>

FTP匿名登录<\/strong>：总是检查FTP服务的匿名访问权限<\/li>
文件分析技巧<\/strong>：strings命令对二进制和pcap文件分析很有用<\/li>
目录枚举<\/strong>：不要忽视web目录扫描的每个结果<\/li>
计划任务提权<\/strong>：定期检查\/etc\/crontab和\/var\/spool\/cron\/<\/li>
可写脚本提权<\/strong>：发现可写的系统脚本是绝佳的提权机会<\/li>
<\/ol>
7. 防御建议<\/h2>

禁用FTP匿名登录<\/li>
限制敏感目录的web访问<\/li>
定期更新系统和内核<\/li>
严格控制计划任务脚本的权限<\/li>
监控系统关键文件的修改<\/li>
<\/ol>
通过以上步骤，可以完整地完成从信息收集到获取root权限的整个渗透测试过程。<\/p>