渗透测试练习靶场hackthebox——Starting Point Oopsie攻略

最新推荐文章于 2024-05-18 09:34:20 发布
最新推荐文章于 2024-05-18 09:34:20 发布
阅读量3.3k 收藏 5
点赞数 8
分类专栏: hackthebox
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_48066270/article/details/108641892
版权

目录

连接配置

见这篇文章开始部分,在此不再赘述

扫描

根据给出的IP地址,使用nmap进行扫描

nmap -sS -F -sV 10.10.10.28

-sS:半开扫描,Nmap发送SYN包到远程主机,不建立完整的三次握手
-F:快速扫描,扫描一些常用端口
-sV:探测开启的端口来获取服务、版本信息

在这里插入图片描述
如图所示,发现其开放了22和80端口,接下来我们用浏览器进入网站(10.10.10.28:80)进行检查

路径泄露

方法一

在这里插入图片描述
发现可以登录,但是目前没有找到入口,于是我们打开burpsuite截包,在站点地图(Target-Site map)内可以找到一个有趣的路径

在这里插入图片描述

方法二

这里还有另外一个方法,在浏览器内F12打开调试,发现html文件中也会泄露路径

在这里插入图片描述

我们用浏览器访问这个路径:http://10.10.10.28/cdn-cgi/login

在这里插入图片描述

登录

出现了一个登录框,可以去尝试采用爆破等手段,但这里的账号是admin密码是上一节(点这里)已经获得的MEGACORP_4dm1n!!,登录后跳转到门户页面,随便点一点,注意到Uploads页面需要超级管理员才可以上传

在这里插入图片描述
但是目前我们不是超级管理员权限,但是发现Account页面会显示当前用户信息,在burpsuite中截包

SQL注入尝试与越权

在这里插入图片描述

最低0.47元/天 解锁文章
TF0xn
关注
  • 8
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
cloudflare入门之 /cdn-cgi/ 端点
蛐蛐的博客
09-26 1479
将域添加到 Cloudflare时,Cloudflare 会向该域添加一个/cdn-cgi/端点此端点由 Cloudflare 管理。它不能被修改或定制。
Hack The Box : Starting Point - Oopsie
qq_60201815的博客
09-04 411
环境准备 攻击机:kali-linux 靶机:Archetype --------------------------------------------------------------------------------------------------------------------------------- 需要下载的工具:dirsearch ----------------------------------------------------------------------
htb:Starting Point
LainWith的博客
10-19 1341
第0层部分靶机免费,部分靶机收费。由于这部分太过简单,因此一笔带过。 第一关Meow是telnet靶场:https://www.bilibili.com/video/BV1nS4y137GQ 第二关Fawn是ftp靶场:https://www.bilibili.com/video/BV11F41147Kf 第三关Dancing是SMB靶场:https://www.bilibili.com/video/BV1nS4y137vm 第四关Redeemer是Redis靶场:https://www.theethica
渗透测试练习靶场汇总
zz12345600354的博客
05-18 309
Vulfocus 官网:在线演示:2.BUUCTF在线评测writeup文章:https://github.com/niudaii/my-vulstack-wphttps: //
HTB Hack The Box -- Oopsie
Gh0st_1n_The_Shell的博客
09-10 182
开放了22ssh,80端口,其ssh有弱口令爆破端口 先打开网页,然后进行目录爆破,在这期间先看一下网页的大概信息 没爆到什么有用的东西,但是有uploads文件夹说明是不是说明有文件上传?
渗透练习-XVWA渗透测试靶场
01-26
Xtreme Vulnerable Web Application (XVWA)是一款使用PHP/MySQL编写的靶场,可以帮助初学者快速学习安全姿势巩固渗透测试知识。建议将这个靶场部署在本地服务器来提升你的能力。 指令:XVWA采用一站式安装,你可以在windows, linux 或 Mac平台下进行设置,为了能正常使用XVMA你需要按以下几个步骤配置Apache-PHP-MYSQL环境,这里我们使用的是XAMP,你也可以自己选择喜欢的集成包。 将xvwa文件复制到你的web目录,确保目录名依旧为xvwa。 配合kali效果更佳
渗透测试经典靶场学习-DVWA练习.
07-02
渗透测试经典靶场学习-DVWA练习.
渗透测试靶场搭建;视频解说详细搭建过程.zip
12-06
人群:适合渗透测试初学者,需要搭建渗透测试模拟真实场景——靶场的学者,以及在搭建过程,出现的问题,不成功等学者使用; 场景:适合学习渗透测试的学生,搭建模拟真实坏境,进行渗透测试学习和练习的学者;
hackthebox注册教程
01-20
hackthebox是一个靶场,听说和vulnhub很像,最近迷上了做靶场,于是就像去hackthebox看看,发现还是注册,而且注册好像还没有那么简单 在首页的最下面有个join,进行点击 发现需要邀请码,上网搜了搜,发现邀请码得...
Web漏洞渗透测试靶场(请勿在生产环境搭建)
最新发布
06-28
【作品名称】:Web漏洞渗透测试靶场 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【项目介绍】: Web漏洞渗透测试靶场 安装方法...
渗透测试靶场,模拟搭建渗透测试真实环境,搭建靶场详细流程即相关包.zip
12-05
内容:详细的渗透测试靶场搭建包,以及详细搭建流程,提供了靶场所有环境,比如sql注入,木马,获权等模拟真实环境 适用于:需要学习渗透测试相关知识,但是没有搭建好模拟真实环境的靶场人群下载以及使用,同时针对...
渗透测试靶场练习——WARRIOR
Aibne_的博客
06-13 575
渗透测试靶场练习——WARRIOR
文件上传漏之Durian靶场练习(完整版)——学习日记-渗透day14
qq_62716256的博客
09-14 1942
文件上传漏之Durian靶场练习(完整版)——学习日记-渗透day14
渗透测试靶场练习——hackmyvm System
Aibne_的博客
06-09 316
渗透测试靶场练习——hackmyvm System
Vulnhub靶场渗透练习(二) Billu_b0x
weixin_30655569的博客
07-07 195
运行虚拟机直接上nmap扫描 获取靶场ip nmap 192.168.18.* 开放端口 TCP 22 SSH OpenSSH 5.9p1 TCP 80 HTTP Apache httpd 2.2.22 192.168.18.143 打开页面 爆破路径 得到 test.php、add.php、in.php、c.php、index.php、show.php等 猜测c...
全!CTF靶场、渗透实战靶场总结 (适合收藏)
热门推荐
Appleteachers的博客
05-20 3万+
CTF靶场、渗透实战靶场总结 (适合收藏) CTF靶场:CTF刷题,在校生备战CTF比赛,信安入门、提升自己、丰富简历之必备(一场比赛打出好成绩,可以让你轻松进大厂,如近期的美团杯); 渗透实战靶场:挖洞、渗透实战(web、域、横向渗透),适合实战能力需要大幅度提升的同学。 目录 ▶0x01 CTF赛事发布网站 ▶0x02 CTF在线靶场 ▶0x03 漏洞靶场(本地搭建) ▶0x04 渗透实战靶场 0x01 CTF赛事发布网站 i春秋和XCTF社区经常会发布各类CTF赛事 i春秋: https://www.
渗透测试靶场练习——Djinn
Aibne_的博客
06-13 782
渗透测试靶场练习——Djinn
hack the box oopsie 靶场练习
鸥鹭忘机
07-30 1126
扫描收集信息 今天来练习hack the boxoopsie靶场,如何连接这里不做过多赘述。 连接过程可以参考上一篇博客进行了解:https://blog.csdn.net/rpsate/article/details/119190220 首先扫描一下端口与服务信息 nmap -sV -F 10.10.10.28 -sV 代表扫描端口和开放的服务信息 -F 快速扫描,扫描常用的端口 好我们看到了开放了80端口,应该是一台WEB服务器,我们通过浏览器访问一下这个IP试一下。 果然出现了网页,
hackthebox - reel
11-03
HackTheBox - Reel是一个在黑客社区非常受欢迎的虚拟机靶场。这个靶场的目标是通过渗透测试和攻击手法,找到并获得系统的管理员权限。靶场基于漏洞存在和网络安全问题,提供了一个真实的环境来练习和提升安全技能。 Reel虚拟机是以恶意软件传播为主题的,这是一个很常见但危险的网络攻击。在解决这个靶场时,你需要进行全面的信息搜集,发现可能的漏洞,并利用这些漏洞来控制系统。你还需要进行各种网络嗅探和流量分析操作,以便找到系统的隐藏服务和登录凭证。 在攻击过程,你需要利用各种漏洞包括未经授权的访问和远程执行代码等。还需要理解和使用不同的入侵技术,例如命令注入和文件上传等。此外,你可能还需要对恶意软件的分析和行为进行深入研究,以了解其运行机制。 HackTheBox - Reel不仅测试了你的渗透测试技能,而且还促使你加强对恶意软件攻击和防护的了解。同时,这个靶场还有很多高级技术和技巧需要掌握。通过挑战这样的虚拟机,你可以提高你的安全意识和技能,以应对更复杂和高级的网络攻击。 总之,HackTheBox - Reel是一个非常有挑战性的虚拟机靶场,通过攻击和渗透测试,你将提高你的安全技能,并了解到如何防范和对抗恶意软件传播。这是一个很好的方式来锻炼和提升你的网络安全技术。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值