Lusen的小窝

Hack The Box系列—Oopsie 一、端口扫描1、快速扫描 2、全端口扫描 3、漏洞扫描 二、HTTP信息收集 1、http源代码查看 2、登陆页 三、Getshell1、越权尝试弱口令不行之后，通过游客身份进入，找到一个文件上传的地方，提示需要admin权限 回到账户信息这儿 对id 号进行遍历 发现管理员和超级管理员 当然是使用超级管理员的权限了；我们需要记住超级管理员的ID号和名字，之后伪造cookie 拦截Uploads 的请求页面进行cookie伪造 之后放包，出来上传页面 2、文件上传getshell把php反弹shell 的文件拿过来 更改成自己的IP和端口，之后用nc 进行监听 注意，上传过程中依然需要抓包改cookie 提示上传成功 那么文件上传的路径在哪儿，凭借感觉，总在某个upload 或 uploads 目录下 成功获取shell 四、权限提升1、提权到robert1、查找敏感文件 发现数据库的账号密码 登陆成功；没找到啥有用的信息，突然想到会不会数据库的密码就是用户的密码 2、提权到root1、查找suid ...

Hack The Box系列—Archetype 一、端口扫描1、快速扫描 2、漏洞探测 发现 Microsoft Windows 的 CVE-2008-4250远程代码执行漏洞 二、SMB信息收集空密码进行SMB登陆 进行SMB连接 似乎是sql 的账号密码 三、MSSQL信息收集1、连接mssql 使用impacket包的mssql客户端脚本连接mssql 查看数据库的权限 四、Getshellxp_cmdshell 可以让系统管理员以操作系统命令行解释器的方式执行给定的命令字符串，是 sql servevr 的原生工具，该扩展存储过程可用于催生Windows命令外壳；我们需要修改配置 1234EXEC sp_configure 'show advanced options', 1; RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE; 之后执行命令，执行成功 1EXEC xp_cmdshell 'net user'; 我们利用msf 生成 ...

OSCP系列靶机—BTRsys-2.1一、主机发现 二、端口扫描1、快速扫描 2、全端口扫描 3、服务系统探测 4、漏洞探测 80端口扫到了一些目录，有wordpress框架和robots.txt 文件，以及易受DOS攻击 三、ftp信息收集 输入binary进入二进制模式 啥也没有，肯定没这么容易；尝试文件上传 也失败了，暂时收集到这里 四、HTTP信息收集1、首页 2、目录扫描 3、wordpress信息收集 4、wpscan 扫描用户名 1wpscan --url http://192.168.31.69/wordpress/ --enumerate u 有btrisk和admin两个用户；cewl 收集密码信息 1cewl http://192.168.31.69/wordpress/ -w pass.txt 5、对收集的用户名进行爆破 1wpscan --url "http://192.168.31.69/wordpress/" -P "pass.txt" --usernames user.txt 没有 ...

【OSCP系列】OSCP靶机—Sumo一、主机发现 二、端口扫描1、快速扫描 2、全端口扫描 3、开放端口的服务信息 4、开放端口的漏洞信息 80端口受dos攻击影响 三、HTTP信息收集1、源代码查看 没啥信息 2、目录扫描 没结果，准备个大字典 大字典跑完了依然没结果 3、使用漏洞探测器 使用轻巧型扫描器 nikto 进行扫描，发现shellshock 漏洞 看下解释 四、Getshell查找有关该漏洞的利用 有很多msf 内置的利用方式，去msf查找 确实有很多；在端口扫描中，发现80端口是apache服务，因此选择编号为1 的，更贴切apache 12set rhosts 192.168.31.68set TARGETURI /cgi-bin/test.sh 这里rhosts 是靶机ip，TARGETURI 是nikto 识别出来的路径 lhost、lport 可以不用动，默认是本机IP跟端口，如果不是需要修改 成功获取shell 五、权限提升1、用户信息收集 只有一个sumo用户 啥也米有 2、高权限文件 啥也没有 3、脏牛提权 查看内 ...

【OSCP系列】OSCP靶机—Photographer一、主机发现 二、端口发现1、快速扫描 2、全端口扫描 3、服务版本探测 80是HTTP服务，139、445是Samba服务，8000也是一个HTTP服务，推测服务器是Linux 4、端口漏洞探测 80端口发现了一个可能的SQL漏洞，还有一个csrf漏洞；8000端口发现了几个目录；针对windows 2000有一个smb的拒绝服务攻击 三、HTTP信息收集1、80端口信息收集虽然nmap在这个端口发现了一个sql漏洞，但是看那个链接都感觉不太行。还是正紧来吧，看首页 简单看了一下，都是静态页面，先转向8000端口 2、8000端口信息收集这个页面有大大的问题啊 点那个Download File，居然显示了下面shell.php文件的报错信息 疑似某种连接未连接上，搜索这个网站的cms漏洞信息 存在任意文件上传；在这个脚本中也是给了操作的步骤 在第3步中进行上传，在给定的页面中没有找到上传点，只好目录爆破 存在/admin目录，是我们没有搜索的 是一个后台登陆页，这里也是一直没有登陆上，先暂时放弃这里 四、SMB ...

【OSCP系列】OSCP靶机—Ha-natraj一、主机发现 二、端口扫描1、快速扫描 2、全端口扫描 3、服务版本探测 正常的ssh服务和http服务，是Ubuntu系统 4、漏洞探测 发现了console和images目录 三、HTTP信息收集先对首页展开调查 大致都是对这位Nataraj的印度神进行了讲述，并无有价值的东西 看下nmap扫描出来的console目录，这个目录的名字我们还是很感兴趣的 噢，有个file.php，是个很好的点 一片空白？我们FUZZ试试 有file参数，成功挖掘到一个漏洞 四、Getshell在上面的/etc/passwd文件中发现两个用户名 PHP伪协议读取这个file.php文件内容 目前只有一个任意文件包含漏洞；能想到的有日志文件包含 本想包含一下apache 的日志，但是是个空白 转去包含其他日志去；Ubuntu 的登陆日志在/var/log/auth.log OK，有登录日志；那利用ssh登陆，写入webshell；这里用了很多方法，均未成功，最终使用如下方法 连接成功（如果失败，可以重置靶场环境多尝试） 将shell ...

【OSCP系列】OSCP靶机—driftingblues7_vh一、主机发现 二、端口扫描1、快速扫描 2、全端口扫描 3、版本系统探测 66端口是个python开放的http服务，80端口是http服务，但是重定向到了443的https服务，443是https服务，2403开放了一个端口，taskmaster2000?是一个未知的服务，3306是mysql服务，8086也是一个http服务 4、端口漏洞探测 在443发现了一个可能的csrf漏洞 三、HTTP信息收集1、66端口信息收集先对66端口的http服务下刀 看一下源代码 由本地的js文件，看这个index_files/目录，存在目录穿越 对66端口扫一下 啊嘞，.bash_history文件，这是某个用户的家目录吗？ 我们对/etc/hosts文件很感兴趣，以及flag.txt文件，这里先记录下来这些文件 继续看.bash_profile文件，这里对这个文件做简单的介绍 .bash_prfile 文件是用户登陆之后初始化的文件。即当用户登陆之后，会先执行这个文件的内容，很多时候这个文件会被黑客写入反弹命令，从而成为 ...

【OSCP系列】OSCP靶机—PyExpvm一、主机发现 二、端口扫描1、快速扫描 2、全端口扫描 只开放了1337、3306端口 3、针对开放端口做详细探测 1337是ssh服务，3306是mysql数据库服务；推测跑在Linxu服务器上 这里很奇怪，没有web服务开放，推测应该在mysql中拿信息 4、针对开放端口做漏洞探测虽然这样探测出来的可能性微乎其微，但必要的流程还是走一下 这里给了几个漏洞测试的脚本信息，但是他们的利用都失败了 三、MySQL数据库信息收集mysql无疑是本靶场最重要的一个突破点，先测试一下mysql是否允许外部连接 哦，这里是肯定的，那接下来我们可以尝试爆破 rockyou这个字典属实爽快，很快就爆破出来了；接下来登陆数据库查看有无敏感信息 在data这个数据库中发现有个hash值 这样看着有点乱，我们分开字段值来查看 大佬勿喷，笔者还是首次碰到这个加密方法，因此查找了一些资料，下面简单对这个加密算法做出一个说明 Fernet 算法是一个安全的加密方法，它使用 AES 作为底层加密算法，并结合 HMAC 来确保数据的完整性。 其是一种对称加 ...

【流量加密】AntSword流量RSA加密一、新建编码器在蚁剑的【编码管理】中，新建一个编码器，选择【PHP RSA】，名称随意 在【RSA配置】中点击【生成】将重新配置公私钥 复制最下面的PHP代码到靶机 二、测试连接测试默认的编码器，连接失败 使用新建的【PHP RSA】编码器 三、查看流量我们执行whoami，在靶机上抓取流量 可以看到，请求包已经没有了传统的@ini_set("display_errors", "0");与@set_time_limit(0);了 但是响应包依然是明文，这里稍有不足

【玄机应急】第六章 流量特征分析-蚁剑流量分析一、附件下载下载附件，在Wireshark中打开 二、步骤一：木马的连接密码是多少 筛选HTTP流量数据，典型的蚁剑流量特征 蚁剑的连接密码也正是开头的1 三、步骤二：黑客执行的第一个命令是什么 看来是需要对蚁剑的流量解密了，之前提到过蚁剑的流量解密 找到第一条蚁剑的流量，进行解密，记得去掉前两位的AK 解密结果如下 1cd "/var/www/html";id;echo e124bc;pwd;echo 43523 我们追踪http流，查看响应结果，执行的命令是id，这里感觉稍微有点那啥。。 四、步骤三：黑客读取了哪个文件的内容 当我们一条一条的解密，或者看响应包会发现，看的是/etc/passwd 五、黑客上传了什么文件到服务器，提交文件名 在437号的响应包中出现了当前目录下所有的文件以及需改日期等信息 flag.txt文件的日期是后面修改，说明该文件很可能是黑客上传的 六、黑客上传的文件内容是什么还是锁定黑客上传的的422号请求包 那另一组类似十六进制的值大概就是上传的内容，解密下 七、黑客下载 ...