Vulnhub-Tiki

最新推荐文章于 2024-11-16 14:44:01 发布
最新推荐文章于 2024-11-16 14:44:01 发布
阅读量1k 收藏
点赞数 1
分类专栏: Vulnhub 文章标签: web安全 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52016680/article/details/127144318
版权

一、主机IP探测

 arp-scan -l

 

靶机IP:192.168.1.106

二、端口扫描

 nmap -T4 -sV -p- -A 192.168.1.106

 

开放了22、80、139和445四个端口。

三、端口分析

22端口下有一个robots协议,查看一下。

 

看看tiki。

 

是一个tiki的cms。

四、版本确认

cms一般有可用的payload,找一下tiki的版本。

直接访问tiki目录下的changelog.txt文件,可以看到版本是21。


 

 

五、寻找payload

 searchsploit Tiki Wiki 21

 

利用exp

 python3 /usr/share/exploitdb/exploits/php/webapps/48927.py 192.168.1.106

 

它这个提示的意思是用burpsuite登录admin账户,不填密码直接登录。

登录成功。

每一个页面都点一点,发现了一个像密码的东西 Credentials

 

 

六、ssh登录

用上面credentials里的账户密码登录ssh。

 ssh silky@192.168.1.106

 

登录成功。

 sudo -i

用刚才credentials里的密码提权,成功

4ooo
关注
专栏目录
ONYX文石BOOX Kon-Tiki-2安装说明书.pdf
02-11
ONYX文石设备说明书
靶机渗透练习11-Tiki
hirak0的博客
04-15 2374
靶机描述 靶机地址:https://www.vulnhub.com/entry/tiki-1,525/ Description Oh no our webserver got compromised. The attacker used an 0day, so we dont know how he got into the admin panel. Investigate that. This is an OSCP Prep Box, its based on a CVE I recently foun
vulnhub-Tiki - 类oscp靶机攻略1
yutianovo的博客
07-14 1309
本文为类oscp靶机打靶1
Tiki靶机(CMS漏洞)
m0_66299232的博客
11-11 922
5.直接运行后发现,可以结合bp使用admin用户免密登录。2.sudo -l 发现可以执行任意命令,成功拿下!3.searchsploit tiki 查到可利用脚本。攻击机系统:kali linux 2021.1。4.下载下来后,查看是用pytho3写的脚本。6.抓包后把密码删掉,放包 即可成功登录。2.根据提示访问后,发现是一个cms。1.用已知的账号密码进行22端口登录。7.随便点点后,发现一组用户名密码。1.探测目标靶机开放端口和服务。虚拟机网络链接模式:桥接模式。2.用gobuster扫目录。
VulnHub靶场-Tiki
hxync的博客
08-08 1003
靶场下载地址:tiki. 下载之后导入virtualbox启动 不能直接看到IP地址 先看一下kali的ip: Nmap扫一下192.168.1.0/24网段的主机,找到了靶机的IP地址 再扫一下靶机开放的端口: 开放了22 80 139 445 这四个端口 浏览器访问80端口没有发现什么有用的东西 Dirbuster扫一下目录 浏览器访问一下扫到的robots.txt 发现robots.txt文件里也有扫到的tiki目录,访问一下 发现提示是tikiwikicms 再加上下载靶场时有提示是cve漏洞
vulhub漏洞复现69_Tiki Wiki
weixin_44193247的博客
02-13 921
vulhub漏洞复现练习篇
TINA-TI电路仿真软件中文版V9.3
11-10
《TINA-TI电路仿真软件中文版V9.3详解》 TINA-TI是一款由德州仪器(Texas Instruments,简称TI)开发的专业电路仿真软件,主要用于电子工程师进行电路设计、分析和验证。这款软件的强大之处在于它提供了丰富的元件...
Tina-TI User Examples
07-27
Tina-TI User Examples
Tina-TI 官方汉化版
12-20
《TI官方汉化版——Tina-TI:硬件电路仿真的得力助手》 Tina-TI是一款由Texas Instruments(TI)公司推出的强大硬件电路仿真软件,其官方汉化版的发布,无疑为中文用户提供了更为便捷的使用体验。这款软件在电路...
Tiki Wiki CMS Groupware-开源
04-16
Tiki可用于创建各种Web应用程序,站点,门户,知识库,Intranet和Extranet。 Tiki是具有最多内置功能的开源Web应用程序。 高度可配置和模块化,所有功能都是可选的,可通过基于Web的界面进行管理。 主要功能包括...
Tiki Wiki CMS Groupware 认证绕过漏洞(CVE-2020-15906)复现
玄道的网安博客
03-05 3302
漏洞概述 Tiki Wiki CMS Groupware或简称为Tiki(最初称为TikiWiki)是一种免费且开源的基于Wiki的内容管理系统和在线办公套件。在如下这些版本21.2, 20.4, 19.3, 18.7, 17.3, 16.4前存在一处逻辑错误,管理员账户被爆破60次以上时将被锁定,此时使用空白密码即可以管理员身份登录后台。 影响版本 Tiki Tiki <21.2 环境搭建 https://github.com/vulhub/vulhub/...
Tiki Wiki CMS Groupware 认证绕过漏洞(CVE-2020-15906)
EC_Carrot的博客
08-17 748
漏洞详细 Tiki Wiki CMS Groupware或简称为Tiki(最初称为TikiWiki)是一种免费且开源的基于Wiki的内容管理系统和在线办公套件。在如下这些版本21.2, 20.4, 19.3, 18.7, 17.3, 16.4前存在一处逻辑错误,管理员账户被爆破60次以上时将被锁定,此时使用空白密码即可以管理员身份登录后台。 漏洞复现 我们使用POC来进行复现,该POC先使用CVE-2020-15906绕过认证,获取管理员权限;再使用Smarty的沙盒绕过漏洞(CVE-2021-26119)
【vulhub系列】CVE-2020-15906 Tiki Wiki CMS Groupware 认证绕过漏洞复现
Wiofgb的博客
08-15 1133
CVE-2020-15906 Tiki Wiki CMS Groupware 认证绕过漏洞复现
网络安全】OSI网络安全体系结构
Hacker_Fuchen的博客
11-13 760
OSI安全体系结构是在开放式系统互联(OSI)参考模型的基础上,为了解决网络通信中的安全问题而提出的。随着计算机网络技术的快速发展,数据传输的安全性变得越来越重要。OSI安全体系结构的提出,旨在为网络通信提供一个标准化的安全框架,确保信息在传输过程中的机密性、完整性和可用性。国际标准化组织(ISO)在20世纪80年代提出了OSI参考模型,随后为了应对日益增长的网络安全需求,进一步发展了OSI安全体系结构。
2024年三个月自学手册 网络安全(黑客技术)
2401_85027336的博客
11-14 1002
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
《Python网络安全项目实战》项目6 编写密码工具程序
最新发布
zheng_ruiguo的专栏
11-16 948
在密码的使用过程中,我们给出一个密码经常是弱密码,这样的密码有一定的规律可以比较容易记忆。但是使用弱密码,很容易就可以对你的密码进行破解。所以我们要编写一个密码工具程序,对给出的密码进行测试,确定这个密码是不是弱密码,是不是可以使用。并且我们给出的程序功能,需要自动生成强密码,并对密码进行测试确定不是弱密码。
网络安全】记一次APP登录爆破
anquan2233的博客
11-13 458
改写为python代码。密码 + 随机10位。
网络安全(黑客技术)2024年三个月自学手册
2401_85026116的博客
11-11 1639
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
密码学在网络安全中的应用
QQ_778132974的博客
11-10 840
在实际应用中,如SSL/TLS协议就使用了密码学技术来保护Web通信的安全,确保数据在传输过程中不被窃取或篡改。哈希函数将任意长度的数据映射为固定长度的哈希值,且任何微小的输入变化都会导致哈希值的巨大变化。四、其他应用密钥管理:密码学技术还用于密钥的生成、分发、更新和销毁等管理过程,确保密钥的安全性和可用性。安全协议:如IPSec协议等,这些协议使用密码学技术来保护网络层通信的安全,防止数据在传输过程中被窃取或篡改。它不仅保护了数据的机密性、完整性和可用性,还确保了网络通信的安全性和身份的真实性。
TINA-TI电路设计与仿真实战教程
TINA-TI教程是一份全面介绍电路设计与仿真工具TINA-TI的实用指南。TINA-TI由德州仪器(TI)与DesignSoft合作开发,它结合了SPICE引擎的强大功能和TI特有的宏模型及器件模型,特别适合于模拟电路和开关式电源(SMPS)...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值