Lusen的小窝

OSCP系列靶机—Dawn1一、主机发现这个靶机需要放在virtualBox 上，那么有关virtualBox 与 VMware 的kali网络通讯方法请访问：【基础知识】VirtualBox和VMware的kali搭配食用 | Lusen的小窝 (lusensec.github.io) 二、端口扫描1、快速探测 2、全端口扫描 我们连带UDP也一起扫描 3、服务版本探测 1nmap -sT -sV -sC -O -p 80,137,139,445,3306,5353 192.168.56.103 都是常见的那些服务，这里5353是需要udp扫描，暂时先搁置下来；后面也有对主机的一个扫描，跑在linux服务器上 这个smb服务会不会存在漏洞呢 4、漏洞探测 1nmap --script=vuln -p 80,137,139,445,3306,5353 192.168.56.103 80端口做了一个目录扫描，发现logs目录；后面还有对主机展开探测的，发现一个易受dos攻击的smb服务 三、HTTP信息收集1、首页与源代码 OK，没有给任何的提示，甚至这个标签写的都有 ...

【PHP代码审计】GET型SQL注入审计一、seay源代码审计系统先看下seay源代码审计系统怎么说 只给了一个可能存在的任意文件写入漏洞，并没有给sql 相关漏洞，这是因为seay审计系统对有引号包含的sql 语句是不会做出嫌疑的。但如果是未有引号的第二关，则会爆出漏洞 继续往下，看第一关的文件写入内容 那这个地方确实存在任意文件写入，但是写入的文件类型是写死的，因此，即便写入webshell，也无法直接的getshell，需要结合其他的如解析漏洞、文件包含达到getshell；当然，我们的重点不在这里，后面也会忽略这里。 二、GET型SQL注入审计审源代码 很明显，在拼接SQL语句之前，没有对输入的参数$id做过滤，也没有对单双引号做过滤，导致SQL语句拼接，造成注入。 三、加固操作1、PHP5.4版本以下除了手工添加过滤之外，可以开启全局配置magic_quotes_gpc 当开启之后，会自动将GET、POST、COOKIE变量中的单引号、双引号、反斜杠以及空字符(NULL)的前面再加上一个反斜杠 前后对比，一样的SQL语句： 在这种情况下，是不存在SQL注入的， ...

[NISACTF 2022]popchains—PHP反序列化POP链一、看题12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152Happy New Year~ MAKE A WISH<?phpecho 'Happy New Year~ MAKE A WISH<br>';if(isset($_GET['wish'])){ @unserialize($_GET['wish']);} else{ $a=new Road_is_Long; highlight_file(__FILE__);}/***************************pop your 2022*****************************/class Road_is_Long{ public $page; pu ...

VirtualBox和VMware的kali搭配食用一、VirtualBox虚拟机的配置这里任何机器都需要配置成这样 二、VMware的网络配置这里需要跟上面VirtualBox虚拟机的配置保持在同一个网卡 有的小伙伴第一次整，VMware的配置这里可能没有这个网卡，我的建议是重启下电脑 三、VMware中kali 的配置1、桥接网卡（第一块网卡）我们需要把网卡配置成桥接模式，注意，是第一块网卡，也就是kali 默认的那块 2、NAT网卡配置好第一块网卡之后，再添加一块NAT网卡，是为了方便与网络交互，避免下载某个工具无法上网的问题 3、修改配置文件网卡配好之后，打开kali，需要修改配置文件 1vim /etc/network/interfaces 添加dhcp，如下图所示 12auto eth1iface eth1 inet dhcp 之后重启网络即可 1systemctl restart networking.service 当然，有的小伙伴这里重启之后感觉没啥用，网段也没变化等待； 建议在开启VirtualBox虚拟机之后，再开启kali

OSCP系列靶机—BTRsys1一、主机发现 二、端口探测1、快速扫描 2、全端口扫描 共开放三个端口 3、漏洞探测 1nmap --script=vuln -p 21,22,80 192.168.31.72 上面给出了端口对应的服务信息，就不再进行服务版本探测了 ftp 存在任意用户登陆，其他端口没啥信息 三、FTP信息收集 啥也没有，不应该啊；尝试文件上传 权限被拒绝，无法上传 四、HTTP信息收集1、首页及源代码 他这里还一直在转圈圈，加载慢了很，估计是后端有一直在执行的操作；看源代码 噢，我说怎么加载这么慢，原来是css、js等请求了外部链接；纵观这个源代码，只有a标签的hakkimizda.php链接是我们感兴趣的 2、hakkimizda.php 文件 这里疑似有文件包含的嫌疑，它的头部跟首页是一样的；把这段话拿给AI解析下 是一段土耳其语言说的一段话，后面的渗透测试步骤这里似乎给了提示，不知道是否与此靶场有关 3、做目录扫描到这里基本上没线索了，做一遍目录扫描 倒是发现几个有趣的文件和文件夹；挑有价值的讲一下 4、login.php 文件 本想尝试下弱 ...

【OSCP系列】OSCP靶机-LemonSqueezy一、主机发现 二、端口扫描1、快速扫描 2、全端口扫描 只有一个80端口 3、版本系统探测 80端口http的apache服务，系统疑似linux 3或linux 4版本，可能存在脏牛提取漏洞 4、漏洞探测 1nmap --script=vuln -p 80 192.168.31.71 找到一些可能的csrf 漏洞 还做了一些目录扫描，这里有很多感兴趣的目录 三、HTTP信息收集对根目录先做一个扫描 1、wordpress信息收集1、wpscan 工具找用户名 1wpscan --url http://192.168.31.71/wordpress/ --enumerate u 2、用 cewl生成密码 3、尝试wpscan 爆破密码 1wpscan --url http://192.168.31.71/wordpress/ -P pass.txt --usernames user.txt 爆破失败；尝试使用大字典进行爆破 1wpscan --url http://192.168.31.71/wordpres ...

【OSCP系列】OSCP靶机—devguru一、主机发现 二、端口扫描1、快速扫描 2、全端口扫描 3、服务版本探测 4、漏洞探测 发现git泄露，还有些许目录扫描 三、HTTP信息收集1、首页 2、进行目录扫描 3、git信息收集 看来是网站的源代码 查找敏感文件 这里记录了数据库的账号密码 4、Adminer登陆 看数据库的用户信息 用john 对这个密码进行破解 爆破时间太长了，感觉没结果，不过看到是bcrypt 加密方法，是否可以更新密码呢 5、登陆后台 对用户的密码进行更改 更改密码 找到后台进行登陆 进入后台 四、Getshell1、查找信息 这个地方看来可以执行代码，但是不知道用那种语言；看其他的地方，这里有个模板可用 使用，写入webshell，上面进行保存 尝试执行命令；执行成功 进行shell反弹 五、权限提升1、提权至frank1、翻找敏感文件 似乎是什么备份文件 2、将这几个文件下载下来 这个app.ini.bak文件好像是某个配置文件，价值可能更大 3、查看内容 通过浏览，确实是配置文件，进行筛选，看有无密码 ...

Hack The Box系列—Vaccine 一、端口扫描1、快速端口扫描 2、全端口扫描 1nmap -sT -p- --min-rate 10000 10.129.235.167 这里没有扫描到80端口，可能是扫描速率太快导致 二、FTP信息收集使用ftp 账号空密码登陆成功 发现一个备份的zip 文件，下载查看 尝试解压 需要密码；转换hash 进行爆破 指定密码解压 三、HTTP信息收集1、首页 2、是一个登陆页；看从ftp 那里拿到的index.php，应该是这个页面的源码 3、登陆后台 四、Getshell1、SQL注入后台这里疑似存在sql注入漏洞 用sqlmap 跑一下 尝试 --os-shell 获取权限 提示我出错，获取不了 2、getshell使用另一种方法，PostgreSQL version 11.5有COPY命令可以利用，尝试在sql 漏洞处写入一句话木马 12'; CREATE TABLE cmd_exec(cmd_output text); --'; COPY cmd_exec FROM PROGRAM ...

Hack The Box系列—Oopsie 一、端口扫描1、快速扫描 2、全端口扫描 3、漏洞扫描 二、HTTP信息收集 1、http源代码查看 2、登陆页 三、Getshell1、越权尝试弱口令不行之后，通过游客身份进入，找到一个文件上传的地方，提示需要admin权限 回到账户信息这儿 对id 号进行遍历 发现管理员和超级管理员 当然是使用超级管理员的权限了；我们需要记住超级管理员的ID号和名字，之后伪造cookie 拦截Uploads 的请求页面进行cookie伪造 之后放包，出来上传页面 2、文件上传getshell把php反弹shell 的文件拿过来 更改成自己的IP和端口，之后用nc 进行监听 注意，上传过程中依然需要抓包改cookie 提示上传成功 那么文件上传的路径在哪儿，凭借感觉，总在某个upload 或 uploads 目录下 成功获取shell 四、权限提升1、提权到robert1、查找敏感文件 发现数据库的账号密码 登陆成功；没找到啥有用的信息，突然想到会不会数据库的密码就是用户的密码 2、提权到root1、查找suid ...

Hack The Box系列—Archetype 一、端口扫描1、快速扫描 2、漏洞探测 发现 Microsoft Windows 的 CVE-2008-4250远程代码执行漏洞 二、SMB信息收集空密码进行SMB登陆 进行SMB连接 似乎是sql 的账号密码 三、MSSQL信息收集1、连接mssql 使用impacket包的mssql客户端脚本连接mssql 查看数据库的权限 四、Getshellxp_cmdshell 可以让系统管理员以操作系统命令行解释器的方式执行给定的命令字符串，是 sql servevr 的原生工具，该扩展存储过程可用于催生Windows命令外壳；我们需要修改配置 1234EXEC sp_configure 'show advanced options', 1; RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE; 之后执行命令，执行成功 1EXEC xp_cmdshell 'net user'; 我们利用msf 生成 ...