信息收集
全盘扫描发现需要配置dns解析
访问https://earth.local/,发现加密字符
访问https://terratest.earth.local/
dirb 扫描https://terratest.earth.local/
dirb扫描https://earth.local/
分别访问发现admin为登陆网站
robots.txt为后缀目录信息,且发现可疑目录
访问可以目录,目录文件后缀隐藏盲猜txt文件 ,
访问https://terratest.earth.local/testingnotes.txt
1. 发现terra为用户名,
2. 使用XOR加密作为算法,
3. testdata.txt文件
查看testdata.txt文件
xor解密
使用python编写脚本
import binascii
key="第三行密文"
text="testdata.txt内容"
t=binascii.hexlify(text.encode()).decode()
tex=hex(int(t,16)^int(key,16))[2:]
print(binascii.unhexlify(tex))
解密出内容,发现循环密码 earthclimatechangebad4humans登陆
登陆进来发现可能存在执行漏洞,输入ls , whoami,都可以执行,输入反弹shell尝试失败,发现进行了关键字屏蔽
使用base64编码给反弹shell加密
kali开启瑞士军刀
再写解密输入命令输入框
反弹shell成功
提权
尝试suid提权
find / -perm -u=s -type f 2>/dev/null
发现reset_root文件,打开,发现关键信息,密码改成Earth,但是无法执行
发送到kali里面
kali 开启nc
靶机开启
发送完查看
ltrace调试文件,发现缺少三个文件
再靶机上面创建这三个文件
touch /dev/shm/kHgTFI5G
touch /dev/shm/Zw7bV9U5
touch /tmp/kcM0Wewe
靶机里面打开/usr/bin/reset_root,显示修改密码成功
切换root
打开root_flag.txt