适合新手入门的靶场 TryHackMe

最新推荐文章于 2025-03-19 10:38:26 发布
最新推荐文章于 2025-03-19 10:38:26 发布
阅读量953 收藏 11
点赞数 18
分类专栏: 个人阅读 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lucker_YYY/article/details/142351518
版权

对于不少喜欢网络安全的小伙伴,一直在很焦虑。如何学习网络安全,但由于各类平台和自身硬件等方面的限制。学习起来很吃力,故而本文为搭建分享一款在线靶场环境TryHackMe

推荐理由

  • 对自身硬件没有太高的要求,有个浏览器就行了。

  • 支持THM AttackBox 无需安装kali等系统,在浏览器直接启动虚拟系统。

注册

注册需要友好接入网络。没有不能愉快上网,我们需要在浏览器中安装插件Header Editor

图片

安装完成后,将下面内容保存为txt。导入插件中!

{
 "request": [
  {
   "enable": true,
   "name": "Google APIs",
   "ruleType": "redirect",
   "matchType": "regexp",
   "pattern": "^http(s?)://ajax\\.googleapis\\.com/(.*)",
   "exclude": "",
   "isFunction": false,
   "action": "redirect",
   "to": "https://gapis.geekzu.org/ajax/$2",
   "group": "Google Redirect"
  },
  {
   "enable": true,
   "name": "reCaptcha",
   "ruleType": "redirect",
   "matchType": "regexp",
   "pattern": "^http(s?)://(?:www\\.|recaptcha\\.|)google\\.com/recaptcha/(.*)",
   "exclude": "",
   "isFunction": false,
   "action": "redirect",
   "to": "https://recaptcha.net/recaptcha/$2",
   "group": "Google Redirect"
  }
 ],
 "sendHeader": [],
 "receiveHeader": [
  {
   "enable": true,
   "name": "Content Security Policy Header Modification",
   "ruleType": "modifyReceiveHeader",
   "matchType": "all",
   "pattern": "",
   "exclude": "",
   "isFunction": true,
   "code": "let rt = detail.type;\nif (rt === 'script' || rt === 'stylesheet' || rt === 'main_frame' || rt === 'sub_frame') {\n  for (let i in val) {\n    if (val[i].name.toLowerCase() === 'content-security-policy') {\n      let s = val[i].value;\n      s = s.replace(/googleapis\\.com/g, '$& https://gapis.geekzu.org');\n      s = s.replace(/recaptcha\\.google\\.com/g, '$& https://recaptcha.net');\n      s = s.replace(/google\\.com/g, '$& https://recaptcha.net');\n      s = s.replace(/gstatic\\.com/g, '$& https://*.gstatic.cn');\n      val[i].value = s;\n    }\n  }\n}",
   "group": "Google Redirect"
  }
 ]
}

完成之后,便可以正常注册了。

图片

图片

图片

图片

牛刀小试

点击右上角的IP地址,出现如下效果。我们选择AttackBox

图片

完成后,左边为靶场环境,右边为在线Linux主机。里面常用的安全工具都包含了。当然你也可以用apt命令进行安装。

图片

图片

Hash破解

我们可以来到实践关卡。Crack the hash破解!

图片

给你给出了hash值,需要我们破解后,在下方输入解密后的信息。

图片

🤖方法一:我们可以借助第三方平台快速破解,省时省力!如

图片

当然,有些hash值这些在线平台是无法破解的。需要我们借助第三方工具破解如hashcat

🐸方法二:

在使用hashcat破解之前,我们需要确定其加密类型。在kali中我们可以利用hash-identifier这款工具检测。

图片

当然,还可以用第三方网站。这里推荐www.tunnelsup.com/hash-analyzer/

图片

一些不常见的加密类型,我们可以利用这个网站查找其类型。接下来,需要到hashcat官网查找对于模式编号

图片

如bcrypt 为3200

😘破解

hashcat -m 3200 hash.txt password.txt

图片

图片

  • hash.txt 里面存放hash值

  • password.txt 密码字典 当然也可以掩码攻击。

hashcat破解虽然很牛叉,但是成功率依赖与字典或者你对掩码的设置,破解过程比较费时费力。因此,笔者建议先用Hash在线解密网站。如不能解密,在考虑hashcat!

☢️两个非常牛叉的hash解密网站

  • https://www.somd5.com/

  • https://hashes.com/en/decrypt/hash

【全网最细】TryHackMe Overpass 题解
m0_57363026的博客
05-16 946
1.端口扫描 2.目录探测 3.web漏洞1 4.web漏洞2
TryHackMe - magician靶场
z4yn:)的博客
03-12 349
magician CVE-2016–3714 This magical website lets you convert image file formats 0x01 信息收集 Nmap扫描端口开放服务,开放了21,8080,8081端口 根据靶场提示要把ip指向域名:magician 0x02 漏洞利用(CVE-2016–3714) 先访问21端口,有个匿名访问,被做了点手脚“延迟”。登录进去里面是空的,根据提示访问https://imagetragick.com. 根据给的..
网络安全实战指南:TryHackMe与HackTheBox教程
最新发布
weixin_42181686的博客
03-19 610
简介:本博客资源详细记录了网络安全爱好者和专业人士在TryHackMe与HackTheBox这两个在线安全平台上的学习体验和挑战解决方案。文章涵盖密码学、网络扫描、漏洞利用、系统渗透测试等多方面知识,提供CTF比赛的策略和技术,帮助读者理解安全问题解决方法。
适合新手入门靶场 TryHackMe(非常详细),零基础入门到精通,看这一篇就够了
weixin_51725318的博客
10-21 6275
适合新手入门靶场 TryHackMe(非常详细),零基础入门到精通,看这一篇就够了
TryHackMe - Source靶场
z4yn:)的博客
02-09 358
Source(Webmin) Exploit a recent vulnerability and hack Webmin, a web-based system configuration tool. ##0x01 信息收集 利用Namp扫描端口,只开放了22,10000端口,切入点应该是10000端口 访问10000端口是个Webmin的登录页面,试了一下账号爆破均不行 ##0x02 寻找EXP 搜索一下公开的漏洞,看到MSF上集成有许多个RCE的EXP ...
Tryhackme靶场-My Robot CTF
m0_64777251的博客
04-10 337
先访问80 http端六个命令提供使用prepare 显示一个动画fsociety 一句话inform四张照片没发现啥有用的question批判这四个patriot,executive,capitalist,businessmanwakeup 一段视频没理解感觉很吊join 留下邮箱 加入。
tryhackme靶场: Mr Robot CTF
m0_64348326的博客
06-20 329
6.再来爆破出密码,这里字典太长且有很多数据重复,直接查看这部分的结果,在第八万多条的。8.根据选项面版RCE描述的方法,主题编辑器右侧找到404页面,添加。搭建的博客站登陆页面,根据登陆时的报错回显,利用下载的字典和。按照最新版的burp社区版爆破速度,估计要爆破到靶机结束。解密,但是还是得付费。需要收费,只能手动搜索了。,由于Linux系统的问题后面不需要再加。工具配合默认字典进行目录扫描,结果中的。7.进入后台后,准备查找历史漏洞,但是。命令,发现要输入密码,读取目录下的。命令开出bash命令窗。
pikachu(新手web安全入门靶场).7z
08-29
《Pikachu:新手Web安全入门靶场》 在网络安全领域,靶场是学习和实践安全技能的重要平台。Pikachu靶场是一个专为初学者设计的Web安全学习环境,它提供了一系列精心构造的安全漏洞场景,让新手能够通过实战操作,...
为新手快速入门CTF-Web开发的一款把靶场.zip
01-16
靶场,是指为信息安全人员提供实战演练、渗透测试和攻防对抗等训练环境的虚拟或实体场地。在不同的领域中,靶场扮演着重要的角色,尤其是在网络安全领域,靶场成为培养和提高安全专业人员技能的重要平台。 首先,...
红日Web安全新手入门专刊.pdf
08-08
目录 1 web 安全新手入门指南 2 安全靶场实例分析
Sqli-labs靶场搭建(适合新手小白围观)
热门推荐
记录开发和安全学习过程中的点点滴滴
09-12 1万+
本章是对SQL注入进行一个简单的回归,然后就是对于自己在搭建靶场中所遇到的一些问题的解决办法,以及进行安装步骤的总结,对于自己的自主配置和独立解决问题的能力是一种培养每日一言真正的有福之人,是经历极大的挫折磨难后,依然屹立不倒的人。一个人能承受的东西越多,他所能得到的馈赠才越多。
tryhackme
03-08
tryhackme
TryHackMe - Res靶场
z4yn:)的博客
03-15 615
Res(Redis未授权利用) Hack into a vulnerable database server with an in-memory data-structure in this semi-guided challenge! 0x01 信息收集 Nmap扫描目标机器开放端口信息,6379开放明显就是redis数据库。首先想到的就是redis未授权。 0x02 漏洞利用 用redis-cli连接目标机试试,info成功枚举出信息 目标机还开放了80端口,尝试写入...
TryHackMe-Gatekeeper
网安星空
12-28 1008
TryHackMe靶场,缓冲区溢出,使用Immunity进行溢出测试,
TRY HACK ME | Hack Park 「Hydra+Winpeas」
AKAHRZ的博客
04-23 3945
TRY HACK ME 渗透测试靶场,以基础为主层层深入,知识点讲解详细,对于想实现从零到一飞跃的白客,TRY HACK ME无非是最好的选择。而网络上资源良莠不齐,好的资源难找的一逼。因此,今天起我将与大家一起详细学习THM重要的ROOM里的内容,力求让每个人都能理解、掌握其中的内容,让我们一起学习、一起进步、一起GET THE FLAG! Steel Mountain「利用powershell提权」THM靶场:Steel MountainTASK1 谁是最佳员工?TASK2 获得初始 shellTA.
tryhackme--Blog
qq_45414878的博客
11-15 445
tryhackme–Tony the Tiger
Tryhackme - Retro
冬萍子癸水
05-28 1197
1 扫描 80进网页搜集信息,3389是远程控制端口 可以xfreerdp /u:wade /v:10.10.140.239然后远程控制桌面。但是要知道密码。或者用别的方法登进去。 C:\root> masscan -p1-65535,U:1-65535 10.10.140.239 --rate=1000 -e tun0 Starting masscan 1.0.5 (http://bit.ly/14GZzcT) at 2020-05-28 00:41:40 GMT -- forced optio
Try hack me——永恒之蓝——ms17-010
m_de_g的博客
01-08 5726
Try hack me——永恒之蓝 1.开启靶场 2.开启完成后,可以在右边进行测试,由于平台是外国人开发的,可以借助翻译软件进行翻译(如:有道词典) 一、Recon模块 1.根据提示回答问题,使用nmap扫描 2.我们直接使用nmap对靶机进行扫描 nmap -A -v 10.10.240.121 3.通过扫描,可以知道目标靶机,开放了135,139,445,3389,49152,49153,49154,49158,49160等多个端口 4.可以回答第二个问题 How many ports
新手Web安全漏洞靶场DVWA训练入门
DVWA(Damn Vulnerable Web Application)是一个非常著名的用于学习web安全和渗透测试的靶场程序。它被设计成为一个容易搭建和...对于新手来说,DVWA不仅是一个入门的好工具,也是理解安全基础和实践技能的重要途径。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值