- 博客(15)
- 收藏
- 关注
RSS订阅原创 active
该漏洞主要源于 **组策略首选项会将配置的本地用户密码(含域管理员账号)、服务账号密码等以可逆方式加密并存储在域控的 SYSVOL 共享中**,而域内所有经过身份验证的用户都可读取这些文件并轻松解密其中的密码。意外发现 desktop中有user.txt (自己没想到这点,这个是用户,应该是有user.txt的)impacket-GetADUsers 工具的作用在于知道一个用户后,可以枚举域内的其他用户。准备进行kerberorasting攻击。发现有一个用户名SVC_TGS和加密的密码。
2025-03-19 21:02:20
278
原创 Return
sc.exe 是 Windows 操作系统中的一个命令行工具,全称为 “Service Control”,类似于cmd.exe,但是它常与 Windows 服务控制管理器进行交互,允许用户管理和配置系统中的服务。`sc.exe` 是 Windows 操作系统中的一个命令行工具,用于与服务控制管理器进行交互。它可以用于启动、停止、查询和配置 Windows 服务。我们可以看到这个组织的信息。该组的成员可以启动/停止系统服务。让我们修改一个服务二进制路径来获得一个反向shell。evil-winrm登录。
2025-03-19 13:51:40
114
原创 Forest(很多windows内容)
bloodhound-python -d htb.local -u svc-alfresco -p s3rvice -ns 10.10.10.161 --zip -c all 需要加上(-c all)参数。有时候用sharphound.exe弄得zip包会无法导入,推荐使用bloodhound-python。注意,这里使用evil-winrm登录不行。决定谁能读、写、执行、删除或修改对象属等。vim编译时如何到达最后一行。neo4j是非关系型数据库。这里有一个错误,收集不够。必须要加上-c参数!
2025-03-18 16:56:32
294
原创 Timelapse
PFX文件(也称为PKCS#12文件)是一种用于存储加密证书和私钥的文件格式。它通常是加密的,文件中包含多个证书和私钥,并且通常是以二进制格式存储的。smbmap -H 10.10.11.152 -u 'guest' -r (-r 递归罗列文件)- `-S`:启用 SSL/TLS 连接。因为证书是SSL/TLS认证的,不添加,连接不了。powershell 查看隐藏文件命令 dir -Force。解压后遇到一个pfx文件,这里通常是大家的知识盲区。使用smbclient扫描也是可以的。
2025-03-17 21:21:05
143
原创 Bastard(非ad域)
drupal官方介绍了endpoint就像一个API一样,允许drupal充当一个轻量级端点,这些端点都是可以自己设置的,但是需要进入后台的凭证,那走到这里究竟改怎么办,换个脚本,是不错的选择,但我们不妨使用gobuster爆破以下api路径。我爆破的时候网络不加,加上gobuster的威力,全是报错,于是我放弃了这个方法,后续我查文章,尝试了test,rest,bastard,endopoint,test_endpoint 最后发现rest是正确的endpoint。
2025-03-12 23:19:40
384
原创 Driver(Hard)
还有一个目前最厉害的协议是kerberos协议,这通常用在域的环境中,而目前不是,可以猜测使用的是NTMLv2(此猜测是突破点)大家知道内网中都会有DNS解析ip,但内网不一定都有DNS解析ip,企业内网也一样,当没有的时候,便会协议降级。那么没有dns解析的时候要怎么办呢,会使用到一种非常愚蠢的方式,就是广播,他会通过广播方式去寻找对应的主机名。难度高的靶机都不会存在给你的漏洞,只有自己不断探测,不断的与网站交互,这样才会触发网站出现漏洞。htb的hard难度,会上升到0day或着osi网络模型的利用。
2025-03-11 21:00:11
312
原创 Sau(懵)代理,SSRF
path/to/program,我们指示分页器暂停其当前操作并执行指定的命令——在本例中,我们使用/bin/bash,它打开一个具有与分页器本身相同特权的新shell。它用于指代本地计算机。这里利用的是systemctl的版本漏洞,当不知道sudo -l 出来的命令是什么意思的时候,可以上网执行,他就是进行一个系统的状态跟踪。exp:(exp地址:https://www.exploit-db.com/download/51676)填写http://127.0.0.1:80。一、拿webshell。
2025-03-11 12:02:16
250
原创 NullByte
hydra 192.168.111.144 http-form-post "/kzMb5nVYJw/index.php:key=^PASS^:invalid key" -l siznwaa -P /usr/share/wordlists/rockyou.txt 这里的-l用户名随便指出,是为了符合hydra的语法。ln -s /bin/sh ps 创造完软链接,接着export 当前的PATH,这些指令的原理是什么?注意,必须要用双引号,2,3位置上要填空值,不然写不进去。
2025-03-11 11:59:45
233
原创 BoardLight(难度偏低,可以盲打
进入shell后发现有另一个用户也有bash权限,很明显要横向提权,在当前目录下一步一步向上找敏感文件。通过Linpeas提示,suid中有一个有问题,便查看他的版本,然后在谷歌上搜索漏洞exploit。这个是网站后台的shell,一般敏感信息都在配置文件中,我们可以根据此思路,慢慢寻找。搜索发现是个开源的库,搜索他的默认凭据 admin:admin。通过ffuf爆破子域名爆破出crm.board.htb。立足点脚本:CVE-2023-30253。垂直提权脚本CVE-2022-37706。
2025-03-11 11:58:15
341
原创 CozyHosting(难)(这个靶机必须要懂)
在这里,`127.0.0.1` 是本地主机的 IP 地址,表示你要连接的是本地运行的 PostgreSQL 数据库服务器。在许多 Unix/Linux 系统中,你可以使用 `unzip` 命令来解压 `.jar` 文件,因为 `.jar` 文件实际上是一个 ZIP 格式的压缩文件。如果你已经安装了 Java 开发工具包 (JDK),可以使用 `jar` 命令来解压 `.jar` 文件。- `{}` 是一种分组命令的方式,可以将多个命令放在一起执行。要知道网站背后的服务器,和框架,他们都有啥特征,有啥功能。
2025-03-11 11:57:03
297
原创 Editorial
**HTTP 请求**: 当按钮被点击后,浏览器会生成一个 HTTP 请求(如 GET 或 POST),并将其发送到指定的服务器端点。- **请求内容**: 请求中可能包含用户在表单中输入的数据(如书名、电子邮件等),这些数据会被发送到服务器进行处理。一般获得一个shell后,在进入的当前目录下,都会有敏感信息,一般要考虑将当前目录挖干净,再去考虑其他提权。- **提交哈希**: 每个提交都有一个唯一的 SHA-1 哈希值,用于标识该提交。接下来,我们可以继续右键单击图像并选择在新选项卡中打开图像。
2025-03-08 19:49:45
663
原创 keeper
快速搜索“keepass主密码漏洞”会让我们找到CVE-2023-32784,以及这个用于从keepass内存转储中转储主密码的概念验证工具。扩展名为.kdbx的文件通常引用KeePass密码数据库,并在加密数据库中包含密码,可以使用主密码查看。`dotnet run` 是 .NET CLI(命令行接口)中的一个命令,用于编译并运行 .NET 项目。例如,当输入“Password”时,它将导致这些剩余的字符串:•a,••s,•••s,••••w,KeePass 1。
2025-03-08 14:41:32
317
原创 本地文件包含漏洞
1.文件包含漏洞概述和SQL注入等攻击方式一样,文件包含漏洞也是一种注入型漏洞,其本质就是输入一段用户能够控制的脚本或者代码,并让服务端执行。什么叫包含呢?以PHP为例,我们常常把可重复使用的函数写入到单个文件中,在使用该函数时,直接调用此文件,而无需再次编写函数,这一过程叫做包含。有时候由于网站功能需求,会让前端用户选择要包含的文件,而开发人员又没有对要包含的文件进行安全考虑,就导致攻击者可以通过修改文件的位置来让后台执行任意文件,从而导致文件包含漏洞。
2024-11-11 16:22:52
963
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人