Lusen的小窝

【OSCP系列】OSCP靶机-LemonSqueezy一、主机发现 二、端口扫描1、快速扫描 2、全端口扫描 只有一个80端口 3、版本系统探测 80端口http的apache服务，系统疑似linux 3或linux 4版本，可能存在脏牛提取漏洞 4、漏洞探测 1nmap --script=vuln -p 80 192.168.31.71 找到一些可能的csrf 漏洞 还做了一些目录扫描，这里有很多感兴趣的目录 三、HTTP信息收集对根目录先做一个扫描 1、wordpress信息收集1、wpscan 工具找用户名 1wpscan --url http://192.168.31.71/wordpress/ --enumerate u 2、用 cewl生成密码 3、尝试wpscan 爆破密码 1wpscan --url http://192.168.31.71/wordpress/ -P pass.txt --usernames user.txt 爆破失败；尝试使用大字典进行爆破 1wpscan --url http://192.168.31.71/wordpres ...

【OSCP系列】OSCP靶机—devguru一、主机发现 二、端口扫描1、快速扫描 2、全端口扫描 3、服务版本探测 4、漏洞探测 发现git泄露，还有些许目录扫描 三、HTTP信息收集1、首页 2、进行目录扫描 3、git信息收集 看来是网站的源代码 查找敏感文件 这里记录了数据库的账号密码 4、Adminer登陆 看数据库的用户信息 用john 对这个密码进行破解 爆破时间太长了，感觉没结果，不过看到是bcrypt 加密方法，是否可以更新密码呢 5、登陆后台 对用户的密码进行更改 更改密码 找到后台进行登陆 进入后台 四、Getshell1、查找信息 这个地方看来可以执行代码，但是不知道用那种语言；看其他的地方，这里有个模板可用 使用，写入webshell，上面进行保存 尝试执行命令；执行成功 进行shell反弹 五、权限提升1、提权至frank1、翻找敏感文件 似乎是什么备份文件 2、将这几个文件下载下来 这个app.ini.bak文件好像是某个配置文件，价值可能更大 3、查看内容 通过浏览，确实是配置文件，进行筛选，看有无密码 ...

Hack The Box系列—Vaccine 一、端口扫描1、快速端口扫描 2、全端口扫描 1nmap -sT -p- --min-rate 10000 10.129.235.167 这里没有扫描到80端口，可能是扫描速率太快导致 二、FTP信息收集使用ftp 账号空密码登陆成功 发现一个备份的zip 文件，下载查看 尝试解压 需要密码；转换hash 进行爆破 指定密码解压 三、HTTP信息收集1、首页 2、是一个登陆页；看从ftp 那里拿到的index.php，应该是这个页面的源码 3、登陆后台 四、Getshell1、SQL注入后台这里疑似存在sql注入漏洞 用sqlmap 跑一下 尝试 --os-shell 获取权限 提示我出错，获取不了 2、getshell使用另一种方法，PostgreSQL version 11.5有COPY命令可以利用，尝试在sql 漏洞处写入一句话木马 12'; CREATE TABLE cmd_exec(cmd_output text); --'; COPY cmd_exec FROM PROGRAM ...

Hack The Box系列—Oopsie 一、端口扫描1、快速扫描 2、全端口扫描 3、漏洞扫描 二、HTTP信息收集 1、http源代码查看 2、登陆页 三、Getshell1、越权尝试弱口令不行之后，通过游客身份进入，找到一个文件上传的地方，提示需要admin权限 回到账户信息这儿 对id 号进行遍历 发现管理员和超级管理员 当然是使用超级管理员的权限了；我们需要记住超级管理员的ID号和名字，之后伪造cookie 拦截Uploads 的请求页面进行cookie伪造 之后放包，出来上传页面 2、文件上传getshell把php反弹shell 的文件拿过来 更改成自己的IP和端口，之后用nc 进行监听 注意，上传过程中依然需要抓包改cookie 提示上传成功 那么文件上传的路径在哪儿，凭借感觉，总在某个upload 或 uploads 目录下 成功获取shell 四、权限提升1、提权到robert1、查找敏感文件 发现数据库的账号密码 登陆成功；没找到啥有用的信息，突然想到会不会数据库的密码就是用户的密码 2、提权到root1、查找suid ...

Hack The Box系列—Archetype 一、端口扫描1、快速扫描 2、漏洞探测 发现 Microsoft Windows 的 CVE-2008-4250远程代码执行漏洞 二、SMB信息收集空密码进行SMB登陆 进行SMB连接 似乎是sql 的账号密码 三、MSSQL信息收集1、连接mssql 使用impacket包的mssql客户端脚本连接mssql 查看数据库的权限 四、Getshellxp_cmdshell 可以让系统管理员以操作系统命令行解释器的方式执行给定的命令字符串，是 sql servevr 的原生工具，该扩展存储过程可用于催生Windows命令外壳；我们需要修改配置 1234EXEC sp_configure 'show advanced options', 1; RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE; 之后执行命令，执行成功 1EXEC xp_cmdshell 'net user'; 我们利用msf 生成 ...

OSCP系列靶机—BTRsys-2.1一、主机发现 二、端口扫描1、快速扫描 2、全端口扫描 3、服务系统探测 4、漏洞探测 80端口扫到了一些目录，有wordpress框架和robots.txt 文件，以及易受DOS攻击 三、ftp信息收集 输入binary进入二进制模式 啥也没有，肯定没这么容易；尝试文件上传 也失败了，暂时收集到这里 四、HTTP信息收集1、首页 2、目录扫描 3、wordpress信息收集 4、wpscan 扫描用户名 1wpscan --url http://192.168.31.69/wordpress/ --enumerate u 有btrisk和admin两个用户；cewl 收集密码信息 1cewl http://192.168.31.69/wordpress/ -w pass.txt 5、对收集的用户名进行爆破 1wpscan --url "http://192.168.31.69/wordpress/" -P "pass.txt" --usernames user.txt 没有 ...

【OSCP系列】OSCP靶机—Sumo一、主机发现 二、端口扫描1、快速扫描 2、全端口扫描 3、开放端口的服务信息 4、开放端口的漏洞信息 80端口受dos攻击影响 三、HTTP信息收集1、源代码查看 没啥信息 2、目录扫描 没结果，准备个大字典 大字典跑完了依然没结果 3、使用漏洞探测器 使用轻巧型扫描器 nikto 进行扫描，发现shellshock 漏洞 看下解释 四、Getshell查找有关该漏洞的利用 有很多msf 内置的利用方式，去msf查找 确实有很多；在端口扫描中，发现80端口是apache服务，因此选择编号为1 的，更贴切apache 12set rhosts 192.168.31.68set TARGETURI /cgi-bin/test.sh 这里rhosts 是靶机ip，TARGETURI 是nikto 识别出来的路径 lhost、lport 可以不用动，默认是本机IP跟端口，如果不是需要修改 成功获取shell 五、权限提升1、用户信息收集 只有一个sumo用户 啥也米有 2、高权限文件 啥也没有 3、脏牛提权 查看内 ...

【OSCP系列】OSCP靶机—Photographer一、主机发现 二、端口发现1、快速扫描 2、全端口扫描 3、服务版本探测 80是HTTP服务，139、445是Samba服务，8000也是一个HTTP服务，推测服务器是Linux 4、端口漏洞探测 80端口发现了一个可能的SQL漏洞，还有一个csrf漏洞；8000端口发现了几个目录；针对windows 2000有一个smb的拒绝服务攻击 三、HTTP信息收集1、80端口信息收集虽然nmap在这个端口发现了一个sql漏洞，但是看那个链接都感觉不太行。还是正紧来吧，看首页 简单看了一下，都是静态页面，先转向8000端口 2、8000端口信息收集这个页面有大大的问题啊 点那个Download File，居然显示了下面shell.php文件的报错信息 疑似某种连接未连接上，搜索这个网站的cms漏洞信息 存在任意文件上传；在这个脚本中也是给了操作的步骤 在第3步中进行上传，在给定的页面中没有找到上传点，只好目录爆破 存在/admin目录，是我们没有搜索的 是一个后台登陆页，这里也是一直没有登陆上，先暂时放弃这里 四、SMB ...

【OSCP系列】OSCP靶机—Ha-natraj一、主机发现 二、端口扫描1、快速扫描 2、全端口扫描 3、服务版本探测 正常的ssh服务和http服务，是Ubuntu系统 4、漏洞探测 发现了console和images目录 三、HTTP信息收集先对首页展开调查 大致都是对这位Nataraj的印度神进行了讲述，并无有价值的东西 看下nmap扫描出来的console目录，这个目录的名字我们还是很感兴趣的 噢，有个file.php，是个很好的点 一片空白？我们FUZZ试试 有file参数，成功挖掘到一个漏洞 四、Getshell在上面的/etc/passwd文件中发现两个用户名 PHP伪协议读取这个file.php文件内容 目前只有一个任意文件包含漏洞；能想到的有日志文件包含 本想包含一下apache 的日志，但是是个空白 转去包含其他日志去；Ubuntu 的登陆日志在/var/log/auth.log OK，有登录日志；那利用ssh登陆，写入webshell；这里用了很多方法，均未成功，最终使用如下方法 连接成功（如果失败，可以重置靶场环境多尝试） 将shell ...

【OSCP系列】OSCP靶机—driftingblues7_vh一、主机发现 二、端口扫描1、快速扫描 2、全端口扫描 3、版本系统探测 66端口是个python开放的http服务，80端口是http服务，但是重定向到了443的https服务，443是https服务，2403开放了一个端口，taskmaster2000?是一个未知的服务，3306是mysql服务，8086也是一个http服务 4、端口漏洞探测 在443发现了一个可能的csrf漏洞 三、HTTP信息收集1、66端口信息收集先对66端口的http服务下刀 看一下源代码 由本地的js文件，看这个index_files/目录，存在目录穿越 对66端口扫一下 啊嘞，.bash_history文件，这是某个用户的家目录吗？ 我们对/etc/hosts文件很感兴趣，以及flag.txt文件，这里先记录下来这些文件 继续看.bash_profile文件，这里对这个文件做简单的介绍 .bash_prfile 文件是用户登陆之后初始化的文件。即当用户登陆之后，会先执行这个文件的内容，很多时候这个文件会被黑客写入反弹命令，从而成为 ...