- 博客(6)
- 收藏
- 关注
RSS订阅原创 THE PLANETS: EARTH
经过多次手动测试后发现是txt格式,访问testingnotes.txt。加密算法是 XOR,并且有一个testdata.txt文档用于测试加密,用户名是terra。这里发现当前用户是apache用户,不是root用户,因此想办法获取root权限。发现/var/earth_web/user_flag.txt文件,查看一下。这里发现443端口有DNS解析,在hosts文件中添加DNS解析。登录后发现有个输入框,经过多次尝试发现存在命令执行漏洞。发现开放了22,80,443。
2024-03-04 23:24:07
625
原创 CLTPHP
进入界面后,先信息收集,挨个都点一下看看,看看能不能得到什么信息,点到会员中心的时候,发现可以登录,我们随便注册一个登录上去看看。
2023-11-20 14:51:42
57
1
原创 webdeveloper靶场渗透实操手册
用nmap扫出靶机ip在扫出开放的端口接着dirb扫描一下目录扫描完之后可以发现有一个ipdata的网站用wireshark打开可以找到后台的账号和密码账号:webdeveloper密码:Te5eQg&4sBS!接着登入后台登入之后发现又文件上传漏洞上传一个一句话木马 php文件上传好了之后 打开upload目录找一下刚刚上传的文件IP找到我们刚刚上传的php文件打开然后用蚁剑链接这个网站可以找到web的账号密码在kali里面登录账号:webdeveloper。
2023-11-17 14:40:00
160
原创 Hadoop未授权访问 getshell——漏洞复现
Hadoop是一个由Apache基金会所开发的分布式系统基础架构,由于服务器直接在开放了 Hadoop 机器 HDFS 的 50070 web 端口及部分默认服务端口,黑客可以通过命令行操作多个目录下的数据,如进行删除,下载,目录浏览甚至命令执行等操作,产生极大的危害。
2023-10-17 10:48:23
1172
原创 毯子靶场.
当我们的ubuntu镜像添加了以后,和容器启动了以后,我们就可以访问这个页面在浏览器输入ip+端口,访问后发现一个登录页面需要账户名和密码,而我们不知道账户名和密码用了几次弱密码暴力破解,没破解出来,尝试换一个角度破解就先用御剑扫一下,尝试得到点有用的东西扫出来了六个网址。
2023-10-08 16:11:25
98
1
原创 黑盒渗透项目实操手册
背景:Kali :192.168.83.141黑盒机器 me-and-girlfriend:不知道用户名和密码和 IP 地址信息收集用nmap -sP 192.168.83.0/24查本网段内的所有ip查出目标ID是192.168.83.185nmap 192.168.83.185 查目标IP所开放的端口查到目标主机开放了22端口和80端口所以尝试用http和ssh
2023-08-24 21:44:14
454
2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人