Lusen的小窝

OSCP系列靶机—BTRsys-2.1一、主机发现 二、端口扫描1、快速扫描 2、全端口扫描 3、服务系统探测 4、漏洞探测 80端口扫到了一些目录，有wordpress框架和robots.txt 文件，以及易受DOS攻击 三、ftp信息收集 输入binary进入二进制模式 啥也没有，肯定没这么容易；尝试文件上传 也失败了，暂时收集到这里 四、HTTP信息收集1、首页 2、目录扫描 3、wordpress信息收集 4、wpscan 扫描用户名 1wpscan --url http://192.168.31.69/wordpress/ --enumerate u 有btrisk和admin两个用户；cewl 收集密码信息 1cewl http://192.168.31.69/wordpress/ -w pass.txt 5、对收集的用户名进行爆破 1wpscan --url "http://192.168.31.69/wordpress/" -P "pass.txt" --usernames user.txt 没有 ...

【OSCP系列】OSCP靶机—Sumo一、主机发现 二、端口扫描1、快速扫描 2、全端口扫描 3、开放端口的服务信息 4、开放端口的漏洞信息 80端口受dos攻击影响 三、HTTP信息收集1、源代码查看 没啥信息 2、目录扫描 没结果，准备个大字典 大字典跑完了依然没结果 3、使用漏洞探测器 使用轻巧型扫描器 nikto 进行扫描，发现shellshock 漏洞 看下解释 四、Getshell查找有关该漏洞的利用 有很多msf 内置的利用方式，去msf查找 确实有很多；在端口扫描中，发现80端口是apache服务，因此选择编号为1 的，更贴切apache 12set rhosts 192.168.31.68set TARGETURI /cgi-bin/test.sh 这里rhosts 是靶机ip，TARGETURI 是nikto 识别出来的路径 lhost、lport 可以不用动，默认是本机IP跟端口，如果不是需要修改 成功获取shell 五、权限提升1、用户信息收集 只有一个sumo用户 啥也米有 2、高权限文件 啥也没有 3、脏牛提权 查看内 ...

【OSCP系列】OSCP靶机—Photographer一、主机发现 二、端口发现1、快速扫描 2、全端口扫描 3、服务版本探测 80是HTTP服务，139、445是Samba服务，8000也是一个HTTP服务，推测服务器是Linux 4、端口漏洞探测 80端口发现了一个可能的SQL漏洞，还有一个csrf漏洞；8000端口发现了几个目录；针对windows 2000有一个smb的拒绝服务攻击 三、HTTP信息收集1、80端口信息收集虽然nmap在这个端口发现了一个sql漏洞，但是看那个链接都感觉不太行。还是正紧来吧，看首页 简单看了一下，都是静态页面，先转向8000端口 2、8000端口信息收集这个页面有大大的问题啊 点那个Download File，居然显示了下面shell.php文件的报错信息 疑似某种连接未连接上，搜索这个网站的cms漏洞信息 存在任意文件上传；在这个脚本中也是给了操作的步骤 在第3步中进行上传，在给定的页面中没有找到上传点，只好目录爆破 存在/admin目录，是我们没有搜索的 是一个后台登陆页，这里也是一直没有登陆上，先暂时放弃这里 四、SMB ...

【OSCP系列】OSCP靶机—Ha-natraj一、主机发现 二、端口扫描1、快速扫描 2、全端口扫描 3、服务版本探测 正常的ssh服务和http服务，是Ubuntu系统 4、漏洞探测 发现了console和images目录 三、HTTP信息收集先对首页展开调查 大致都是对这位Nataraj的印度神进行了讲述，并无有价值的东西 看下nmap扫描出来的console目录，这个目录的名字我们还是很感兴趣的 噢，有个file.php，是个很好的点 一片空白？我们FUZZ试试 有file参数，成功挖掘到一个漏洞 四、Getshell在上面的/etc/passwd文件中发现两个用户名 PHP伪协议读取这个file.php文件内容 目前只有一个任意文件包含漏洞；能想到的有日志文件包含 本想包含一下apache 的日志，但是是个空白 转去包含其他日志去；Ubuntu 的登陆日志在/var/log/auth.log OK，有登录日志；那利用ssh登陆，写入webshell；这里用了很多方法，均未成功，最终使用如下方法 连接成功（如果失败，可以重置靶场环境多尝试） 将shell ...

【OSCP系列】OSCP靶机—driftingblues7_vh一、主机发现 二、端口扫描1、快速扫描 2、全端口扫描 3、版本系统探测 66端口是个python开放的http服务，80端口是http服务，但是重定向到了443的https服务，443是https服务，2403开放了一个端口，taskmaster2000?是一个未知的服务，3306是mysql服务，8086也是一个http服务 4、端口漏洞探测 在443发现了一个可能的csrf漏洞 三、HTTP信息收集1、66端口信息收集先对66端口的http服务下刀 看一下源代码 由本地的js文件，看这个index_files/目录，存在目录穿越 对66端口扫一下 啊嘞，.bash_history文件，这是某个用户的家目录吗？ 我们对/etc/hosts文件很感兴趣，以及flag.txt文件，这里先记录下来这些文件 继续看.bash_profile文件，这里对这个文件做简单的介绍 .bash_prfile 文件是用户登陆之后初始化的文件。即当用户登陆之后，会先执行这个文件的内容，很多时候这个文件会被黑客写入反弹命令，从而成为 ...

【OSCP系列】OSCP靶机—PyExpvm一、主机发现 二、端口扫描1、快速扫描 2、全端口扫描 只开放了1337、3306端口 3、针对开放端口做详细探测 1337是ssh服务，3306是mysql数据库服务；推测跑在Linxu服务器上 这里很奇怪，没有web服务开放，推测应该在mysql中拿信息 4、针对开放端口做漏洞探测虽然这样探测出来的可能性微乎其微，但必要的流程还是走一下 这里给了几个漏洞测试的脚本信息，但是他们的利用都失败了 三、MySQL数据库信息收集mysql无疑是本靶场最重要的一个突破点，先测试一下mysql是否允许外部连接 哦，这里是肯定的，那接下来我们可以尝试爆破 rockyou这个字典属实爽快，很快就爆破出来了；接下来登陆数据库查看有无敏感信息 在data这个数据库中发现有个hash值 这样看着有点乱，我们分开字段值来查看 大佬勿喷，笔者还是首次碰到这个加密方法，因此查找了一些资料，下面简单对这个加密算法做出一个说明 Fernet 算法是一个安全的加密方法，它使用 AES 作为底层加密算法，并结合 HMAC 来确保数据的完整性。 其是一种对称加 ...

【流量加密】AntSword流量RSA加密一、新建编码器在蚁剑的【编码管理】中，新建一个编码器，选择【PHP RSA】，名称随意 在【RSA配置】中点击【生成】将重新配置公私钥 复制最下面的PHP代码到靶机 二、测试连接测试默认的编码器，连接失败 使用新建的【PHP RSA】编码器 三、查看流量我们执行whoami，在靶机上抓取流量 可以看到，请求包已经没有了传统的@ini_set("display_errors", "0");与@set_time_limit(0);了 但是响应包依然是明文，这里稍有不足

【玄机应急】第六章 流量特征分析-蚁剑流量分析一、附件下载下载附件，在Wireshark中打开 二、步骤一：木马的连接密码是多少 筛选HTTP流量数据，典型的蚁剑流量特征 蚁剑的连接密码也正是开头的1 三、步骤二：黑客执行的第一个命令是什么 看来是需要对蚁剑的流量解密了，之前提到过蚁剑的流量解密 找到第一条蚁剑的流量，进行解密，记得去掉前两位的AK 解密结果如下 1cd "/var/www/html";id;echo e124bc;pwd;echo 43523 我们追踪http流，查看响应结果，执行的命令是id，这里感觉稍微有点那啥。。 四、步骤三：黑客读取了哪个文件的内容 当我们一条一条的解密，或者看响应包会发现，看的是/etc/passwd 五、黑客上传了什么文件到服务器，提交文件名 在437号的响应包中出现了当前目录下所有的文件以及需改日期等信息 flag.txt文件的日期是后面修改，说明该文件很可能是黑客上传的 六、黑客上传的文件内容是什么还是锁定黑客上传的的422号请求包 那另一组类似十六进制的值大概就是上传的内容，解密下 七、黑客下载 ...

【玄机应急】第七章 常见攻击事件分析–钓鱼邮件一、附件下载下载好流量数据包附件 二、步骤一：请分析获取黑客发送钓鱼邮件时使用的IP 先整体浏览下附件内容，有www的网站源文件和log的日志目录 这里有钓鱼的邮件，直接记事本打开。看最后一个Received内部的from的地址 前面的Received内部的from地址大都是其他邮件服务器的代理转发地址 三、步骤二：获取黑客钓鱼邮件中使用的木马程序的控制端IP 1、过沙箱 四、步骤三：请分析获取webshell的文件名 1、D盾扫一下 五、步骤四：隧道程序的文件名 观察其他路径的文件 疑似mysql 的配置文件my.conf怎么会出现在这里。过沙箱

【玄机应急】第六章 流量特征分析-蚂蚁爱上树一、附件下载下载附件，在Wireshark中打开 二、步骤一：管理员Admin账号的密码是什么？ 1、发现蚁剑流量特征先大致浏览一下整体的数据包，这两个端口通讯频繁 找几个流量包来看一看，发现蚁剑流量特征 2、找管理员的密码找木马product2.php ，做标记 123http.request.uri contains "/product2.php"//ctrl a 全选，然后ctrl m 做标记 之后重新回归http，看木马的响应包 追踪http流，是数据库的配置文件，搜索一下 找个md5解密下 flag不对，并不是真的密码 3、真实的Admin密码继续查看蚁剑的响应包。在3414这个包中可以看到此时并没有Admin用户。因此推测Admin是黑客权限维持的一个用户 那这有点麻烦了，如果Admin是黑客新增用户做的权限维持的话，是没有返回结果的，我们需要破解蚁剑的流量。蚁剑的流量特征还是很好鉴别的，如果不懂，还请移步到【蓝队应急】WebShell 流量特征 文章查看。 我们找没有回显或回显较少的包，对请 ...