- 博客(98)
- 收藏
- 关注
RSS订阅原创 HTB-Tally
当我 Google“Windows TCP 32843”时,第一个链接是。其中包括 808、32843、32844 和 32864 作为 SharePoint 使用的服务,访问确实返回一些东西:可以 gobuster dir -w /usr/share/seclists/Discovery/Web-Content/CMS/sharepoint.txt -u 10.10.10.59 找到该目录可以从中间的文档获得信息把前面_layouts/15/start.aspx删除这个可以访问。
2024-06-02 10:34:00
575
原创 HTB-sniper
端口扫描HTTP(TCP 80)、NetBios/SMB(TCP 135、139、445)和 RPC 端口(TCP 49667)是 Windows 10 或 Server 2016/2019。
2024-06-01 16:55:27
694
原创 HTB-Querier
端口扫描smb枚举smbmap -u invaliduser -H 10.10.10.125 不行smbclient -N //10.10.10.125/Reports 可以,枚举这个目录下有一个.xlsm文件,提取出来'xx xx xx.xlsm' 与 xx\ xx\ xx.xlsm但像(olevba的一部分)这样的工具将为我提供 Linux 计算机上的 VBA记得查一下windows中office如何开启hong。
2024-06-01 16:53:11
582
原创 HTB-Atom
该页面包含下载 Heed 的链接,Heed 是 QA 文档中提到的笔记应用程序。端口扫描HTTP (80)、HTTPS (443)、RPC (135)、SMB (445)、WinRM (5985)、Redis (6379) 以及 7680 上的一些端口。它是一种常用的文件类型,用于存储有关计算机程序配置和设置的信息。大多数类型的CFG 文件都以文本格式存储,不应手动打开,而应使用文本编辑器打开。我们用于连接到远程服务器并使用我们找到的密码登录的第一个命令。或者,我们可以从服务的配置文件中找到密码。
2024-06-01 16:52:05
876
原创 HTB-areo
端口扫描根据 IIS 版本,主机可能运行现代 Windows 操作系统(Window 10/11 或 Server 2016+)。访问80底下有一个上传自定义主题的表单尝试上传图片会失败,他需要.theme和.themepack扩展名制作一个虚拟文件test.theme并上传它该网站还表示将测试该主题,这意味着有人会打开它底部有一封电子邮件。页面上的所有链接都指向同一页面的其他部分。没有什么有用的进行目录爆破。
2024-06-01 16:50:29
707
原创 HTB-Absolute
与许多 Potato 攻击的工作原理非常相似,我需要具有正确权限的有效 RPC 服务的 CLSID。因此,我们的想法是授予 m.lovegod 网络审计组的权限/ACL,将 m.lovegod 添加到该组,对 winrm_user 执行影子凭证攻击,最终获取他的 TGT。因此,如果我们可以写入该属性,则意味着我们可以获得该帐户的有效 TGT。使用kinit d.klay 直接生成票据的时候不行,是我的/etc/krb5.conf没配置好,后面有空来看看这两个错误。该用户名未知,并且不符合其他帐户的格式。
2024-06-01 14:24:15
814
原创 HTB-Scrambled
Silver Ticket 是伪造的 TGS(票证授予服务)票证,直接在客户端和服务之间使用,无需经过 DC。我们的自助密码重置系统将很快启动并运行,但在此期间,请致电 IT 支持热线,我们将重置您的密码。如果没有人接听,请留言说明您的用户名,我们将重置您的密码,使其与用户名相同。该脚本旨在获取任何用户的权限属性证书,这只需要作为域中的用户进行身份验证。有大量有关该帐户的信息,但就我当前的目的而言,最后一项(在末尾看似随机的十六进制之前)是域 SID。我需要字符串形式的 SID,因此我将使用。
2024-06-01 14:15:33
631
原创 HTB-Outdated
端口扫描smbclient -L查看共享文件有几个关于WSUS(Windows Server Update Services) 相关的共享(和WSUSTemp),Windows Server Update Services (WSUS) 是一个用于在整个网络中分发补丁的系统。在share目录下下载get NOC_Reminder.pdf内容:第一个暗示是他们正在寻找将 Web 应用程序链接发送到的人。这很有用,并表明有人会点击这些链接。
2024-06-01 14:14:31
682
原创 HTB-Monteverde
Azure AD 是 Microsoft Azure 云平台的基本组件,广泛用于管理用户身份并实现对应用程序和资源的安全访问。第一个,也可以说是最有趣的是密码哈希同步 (PHS),它将用户帐户和密码哈希从 Active Directory 上传到 Azure。现在,默认情况下,部署连接器时,会使用 SQL Server 的 LOCALDB 在主机上创建一个新数据库,里面有个文件有用户的详细信息加密。该文件是在user目录下的由于该配置文件位于 mhope 目录下发现的,判断他是mhope的密码。
2024-06-01 14:09:35
901
原创 htb-Intelligence
端口扫描smb无dig无ldap无枚举子域dnsenum将自动化其中大部分以及强力子域。它找到 dc.intelligence.htb,以及其他几个看起来像域控制器的文件:来到80页面,可以下载两个pdf文件exiftool 2020-01-01-upload.pdf查看一下爆破一下目录测试一下exif得到的pdf的用户是否有效尝试一下GetNPUsers.py -no-pass 失败。
2024-06-01 14:08:54
729
原创 HTB-cascade
在加密过程中,它使用了128位的块大小和密钥大小,采用了Cipher Block Chaining (CBC) 模式。首先,该程序作为服务帐户运行,这意味着它需要以某种方式验证该用户的身份(脚本中的密码?从收集到的信息来看,最引起我兴趣的文件是“VNC Install.reg”,因为 VNC 是一个远程软件。最后一个非常有趣,因为它是我之前发现的旧电子邮件中提到的临时管理帐户(其中还说它使用与普通管理员帐户相同的密码)。此外,据观察,ArkSvc帐户是AD 回收站组的一部分,这可能是该程序所需要的。
2024-06-01 14:06:24
622
原创 HTB-Escape
端口扫描开放SMB (445)、NetBIOS (135/139)、LDAP (389 等) 和 WinRM (5985),以及通常在 DC 上监听的 53 (DNS) 和 88 (Kerberos)。还有一个 MSSQL 服务器 (1433)。加入/hostsnmap扫描里面有有关证书的提示了解一下正在使用的 TLS 证书,使用openssl拉取和格式化它Data:Validity有趣的是,请注意颁发证书的证书颁发机构,续集sequel-DC-CA。smb枚举。
2024-06-01 14:03:14
659
原创 HTB-search
如何将 JSON 文件转换为 Microsoft Excel将已生成的名称列表转换为用户名:它显示“将密码发送给 Hope Sharp”,下一行显示IsolationIsKey?。这可能是用户名,也可能是密码。头显示ASP.NET,这意味着我应该期待.aspx文件。目录爆破一下这个字典可以查找查找 IIS 特定的东西目录/certsrv和表明该服务器是的一部分。访问/certsrv请求身份验证,只返回403。枚举一下smb,没有凭据是失败的。
2024-05-26 21:22:54
362
原创 HTB-mantis
在1337端口进行目录扫描8080端口目录扫描从 nmap 扫描中我们可以看到这是一个主机名为 MANTIS 的域控制器,并且是域 htb.local 的 DCdnsenum 10.10.10.52 没有rpcclient 10.10.10.52 -N 也都不行由于这是一台 Server 2008 计算机,我使用 nmap 执行了漏洞检查,以查看该主机是否容易受到 MS17-010 的攻击使用eternal_checker.py测试了永恒之蓝,发现该主机确实已打补丁。
2024-05-22 21:16:11
991
原创 HTB-blackfield
尝试了 Kerberoast,GetUserSPNs.py -request -dc-ip 10.10.10.192 'blackfield.local/support:#00^BlackKnight'无票据返回。随着 Z:\ 驱动器暴露,我现在可以再次使用 robocopy,但这一次它将用于将备份 ntds.dit 文件移动到我的临时文件夹,而不是正在运行的文件。是一个默认的 Windows 组,旨在使用某些方法来备份和恢复计算机上的文件,以读取和写入系统上的所有(或大多数)文件。
2024-05-22 21:14:52
917
原创 HTB-support
我们将 DC 的 FQDN 添加到主机文件 (/etc/hosts) 中,并使用 impacket-psexec 和 Kerberos 身份验证来获取目标上的 SYSTEM shell。如果攻击者不控制具有 SPN 设置的帐户,则可以使用 Impacket 的 addcomputer.py 示例脚本添加新的攻击者控制的计算机帐户。我们现在需要配置目标对象,以便攻击者控制的计算机可以委托给它。最后,我们可以获得我们想要“假装”为“admin”的服务名称(sname)的服务票证。尝试rpc匿名登入失败。
2024-05-22 21:12:27
685
原创 HTB-suna
gobuster dir -u http://10.10.10.175/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -o scans/gobuster-root -t 40 目录爆破没有什么有趣的。kerbrute.py -user 'fsmith' -password 'Thestrokes23' -dc-ip 10.10.10.175 -domain Egotistical-bank.local 是有效的。
2024-05-21 20:31:40
959
原创 HTB-forest
因为比较简单就随笔记了rpcclient 罗列用户user:[mark] rid:[0x47f] user:[santi] rid:[0x480] 利用awk等命令该文本中的用户名提取出来可以使用awk命令来提取文本中的用户名。假设你的文本保存在一个文件中,比如,你可以使用以下命令:-F'[][]':指定awk使用方括号[]作为字段分隔符。:当行中包含字符串"user:"时,打印第二个字段。使用这个命令,它将提取出文本中所有包含"user:"的行中的用户名。
2024-05-19 20:37:10
677
原创 HTB-pivotapi
还是主要知识点的汇总ftp:// 是指定连接协议,然后⽤户名是anonymous,密码可以什么都不写,本处我们写了获得一组用户名。
2024-05-19 19:32:50
493
原创 HTB-pivotapi
还是主要知识点的汇总ftp:// 是指定连接协议,然后⽤户名是anonymous,密码可以什么都不写,本处我们写了获得一组用户名。
2024-05-19 19:32:06
625
原创 HTB-Timelapse
您还可以使⽤Windows LAPS⾃动管理和备份Windows Server Active Directory域控制器上的⽬录服务还原模式(DSRM)账户密码。使⽤LAPS(Local Administrator Password Solution),域控制器可以管理域中计算机的本地管理员密。要读取LAPS(本地管理员密码解决⽅案)密码,只需要使⽤Get-ADComputer命令,并明确请求ms。通常会创建⼀个⽤户组,并赋予其读取这些密码的权限,从⽽允许可信管理员访问所有本地管理员。
2024-05-18 19:48:15
915
原创 HTB-acute
端口扫描只开放445,添加域名到/etc/host访问用wappalyzer扫是wordpress大概枚举一下记下来目录爆破一下,没有什么有用的接着去枚举。
2024-05-17 20:49:59
965
原创 htb-Bounty
端口扫描该网站本身只是提供了一个向导的图像merlin.jpgf12 抓包响应标头表明该站点由以下人员提供支持ASP.NETgobuster -u http://10.10.10.93 -w usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 30 -o gobuster_root -x aspx爆破目录呈现一个带有“浏览...”和“上传”按钮的简单表单:上传一个图片看看aspx shell 的副本,并尝试上传它。
2024-05-15 22:57:28
1910
原创 HTB-Blue
nmap 10.10.10.52 --script=smb-vuln* -p139,445 可以扫描smb漏洞。meterpreter的使用。面对一台Server 2008 机器。ms17010是永恒之蓝漏洞。
2024-05-15 22:14:19
197
原创 HTB-Bastion
它存储虚拟机(VM)硬盘的内容,其中可能包括磁盘分区,文件系统,文件和文件夹。它是 Libguestfs 项目的一部分,该项目提供用于访问和修改虚拟机 (VM) 磁盘映像的工具。SAM 文件是 Windows 安全基础结构的关键组件,用于系统上的本地身份验证。检查器是一个可以自动检测映像中有关操作系统和磁盘结构的信息的工具。然而,在备份中它们是可以访问的,因为它们没有“使用中”。:指定要访问的虚拟机磁盘映像的路径。在这种情况下,路径指向位于指定目录的VHD(虚拟硬盘)文件。:指定磁盘映像应以只读模式安装。
2024-05-15 20:54:03
919
原创 HTB-Devel
目录扫描暴露有ftp (TCP 21) 和 http (TCP 80)可以ftp匿名登入看到一堆文件,包括一些反向shell,但也有一些与IIS服务相关,也可以get下载到本地WEB好像ftp里面有这个文件,尝试能不能访问别的文件可以的,接下来的思路就是利用ftp上传木马。
2024-05-15 20:18:51
848
原创 HTB-Arctic
在其上方,它显示了“执行有效负载”和“侦听器连接”的定义,以定义脚本导航到执行有效负载的位置,并使用 netcat 捕获 shell。显示了adobe的应用程序(专门用于创建动态网页以及网络应用程序和设计的开发工具)。searchsploit Cold Fusion ,这边我利用了文件上传和rce都不行,利用目录遍历的可以。和上台一样是Windows 2008 R2 服务器没打补丁且土豆提权的前提有 可以利用试试(这边先不用)以合理的字符串结尾,,然后得到admin的hash值。可能工具太老了,用不了。
2024-05-15 19:31:04
477
原创 HTB-Bastard
提权学习文章难度中级端口扫描开放80,135,49154nmap详细信息 扫描表明是windows下IIS7.5,运⾏着drupal的内容管理系统。通过ping返回值ttl=127,也能确定是windows操作系统whatweb 10.129.77.8查看一下drupal等信息根据公开信息IISIIS7.5安装的操作系统环境很可 能是Windows Server 2008 R2访问web找公开漏洞利⽤,前提是知道Drupal的版本,
2024-05-15 19:02:43
948
原创 vulhub-Matrix 2
morpheus 'BEGIN {system("/bin/sh")}执行试试,成功提权root。这里面可以看到密码储存在 **/var/www/p4ss/.htpasswd。查看一下它得到**Tr1n17y 的用户的密码哈希值,用john破解。在nmap扫描时12322有爆出目录/robots.txt看看。file_view.php访问后是空白页面。fuzz一下参数(上一章节有),是file。”的工具来查找图像中是否隐藏有任何文件。是ngnix的服务读取敏感文件看看。用它登入12320端口ssh。
2024-05-14 23:22:31
129
原创 vulhub-HA:Pandavas
Hydra -l karna -P /root/passwd.txt ssh://192.168.217.128 爆破。SNMP 服务(端口 161),该服务通常错误配置为“公共”通道,该通道通常显示组织的服务和其他应用程序的机密信息。列出了机器的接口,发现至少三个服务中有docker的存在。cat /etc/passwd有个 Krishna用户。要将内容用nano看就可以得到第一个旗帜。我们有一个用户了,想着爆破,抓个字典。udp端口也有,68,161。这个已经可以直接提权了。这台靶机还有别的知识。
2024-05-14 23:05:59
153
1
原创 vulhub-HA:Natraj
因为这是 auth.log 并且访问机器的唯一方法是通过 ssh。3.在kali上创建一个php的reverseshell并将其上传到目标。检查了是否可以访问任何日志文件(apache2、auth 等)。尝试了不同的 shell(nc、python2、python3)。Python3 是成功的。fuzz大法,看看有没有参数(可以用Bp)一开始是fuzz文件,后来直接fuzz参数。2.使用wget将文件上传到目标机器并复制该文件以替换apache2的实际配置文件。尝试访问这些用户的 ssh 密钥,没成功。
2024-05-14 22:52:36
264
1
原创 vulhub-GreenOptic:1
在消息中,Terry 还向 Sam 提到,他已通过电子邮件向他发送了打开受密码保护的 zip 文件的密码。从 Terry 的消息中,我们知道 Sam 在他的电子邮件中拥有密码,但是我们如何查看它呢?我们仍然可以使用 LFI 方法访问文件,所以也许我们可以查看这个文件?将盒子的 IP 地址添加到 /etc/resolv.conf 文件中,该文件分配用于 DNS 请求的 IP 地址。因为前面一直提示说邮件,可以筛选ftp的流量包,然后很快就可以看到alex:FwejAASD1。”文件完成的,利用上面发现的。
2024-05-14 22:32:33
265
原创 vulhub-Glasgow Smile:1.1
账号:penguin,密码:scf4W7q4B4caTMRhSFYmktMsn87F35UkmKttM5Bz。结合文件内容,发现.trash_old属于用户penguin,root组并且任何人都可执行。2>/dev/null 找与penguin有关的文件 -iname就是包含。我们之前查看/etc/passwd是由abner penguin rob三个用户的,AllIHaveAreNegativeThoughts?咱们想先去枚举一下joomla目录下有没有有凭证密码的文件。
2024-05-14 20:55:13
287
原创 vulhub-GitRoot:1
hook 是在每次成功的提交后执行的脚本。我们会给你所有必要的权限,我们将用7zip压缩它并复制到“让我们用一个包含反向 shell 的 .zip 给他一个惊喜,该 zip 包含一个 git 上的“文件是一种脚本文件,它允许你在特定的Git事件发生时触发自定义操作。子域名,.git信息泄露(githack使用),多用户提权,.git仓库使用,git提权。这是确保在仓库中设置Git钩子的一种常见方式。选项,这使得命令会递归地创建指定的目录,如果目录不存在的话。是一种特定类型的 Git hook。
2024-05-14 20:33:47
911
1
原创 vulhub-DMV:1
echo "chmod u+s /usr/bin/find" >> clean.sh 过一段时间执行。在检查 Github 链接时,我们发现了有关此 Web 应用程序可以接受哪些命令句柄的选项。或者直接上传一个.sh文件后,利用命令执行直接执行文件,反弹shell也可以。测试框中粘贴随机的 YouTube URL 后,我们点击转换按钮。,无奈使用php弹了一个shell到攻击机上,发现可以运行成功。直接写入反弹shell,kali监听,等待一会就提权了。可以用用其他方式绕过,比如。单击拦截并将其打开。
2024-05-14 20:07:43
182
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人