![](https://img-blog.csdnimg.cn/20201014180756724.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
渗透测试学习日记
文章平均质量分 77
_rev1ve
这个作者很懒,什么都没留下…
展开
-
[渗透测试学习] Clicker - HackTheBox
NFS最大的功能就是可以透过网络,让不同的机器、不同的操作系统、可以彼此分享个别的档案(share files)。这个NFS服务器可以让你的PC来将网络远程的NFS服务器分享的目录,挂载到本地端的机器当中,在本地端的机器看起来,那个远程主机的目录就好像是自己的一个磁盘分区槽一样(partition),使用上相当的便利。否则,将会构建一个 MySQL 命令并执行它,因为拼接的路径为。很明显,保存的数据中只有nickname可以让我们写马,而如何修改nickname的值就和刚刚修改role一样的办法。原创 2024-01-10 20:16:27 · 800 阅读 · 0 评论 -
[AFCTF 2021]google authenticator
然后就是提权,由于我们是反弹shell,而redis-cli需要交互模式,但是反弹shell不是交互模式,我们需要将非交互模式变为交互模式(就是进入终端)这里用的是redis-cli结合定时任务来反弹root权限的shell提权。利用redis提权方式有几种,主从复制版本问题用不了,写马权限不够。然后开启监听,过一会就会发现反弹shell成功并且是root权限。连接上后发现权限不够,开始想用suid提权发现不行。我们下载下载该项目,然后按照给的exp修改一下。开启监听,过一会反弹成功得到root权限。原创 2023-12-20 12:39:29 · 473 阅读 · 0 评论 -
[渗透测试学习] Manager - HackTheBox
扫出来很多端口,其中80端口有http服务,88端口是采用一个身份验证协议kerberos,以及NetBIOS-SSN(端口139)和Microsoft-DS(端口445)都与SMB有关。如果我们已经满足了此攻击的先决条件,我们可以首先请求基于 SubCA 模板的证书。如果您只有“管理 CA”访问权限,则可以通过将您的用户添加为新官员来授予自己“管理证书”访问权限。但是会出现报错,重要的是通过与Kerberos同步时间来解决这些错误。通过管理 CA 和管理证书,我们可以使用 ca 命令和。原创 2023-12-25 10:57:59 · 1182 阅读 · 0 评论 -
[渗透测试学习] Zipping - HackTheBox
只能说靠意识了,我们通过strace可以知道调用.so文件并且该文件不存在(也可以直接sudo运行该命令发现无限循环),所以我们自己写一个可以getshell的.so文件,调用即可拿到root权限。这个靶机打了两天,原因就在于文件上传的漏洞被修复了不能用截断攻击绕过(早点知道就好了hhh),然后至于密码为什么是那个。的文件,但是我们在该目录下并未找到此文件,那么我们可以利用动态链接库劫持,实现提权。要求是上传zip文件,那我们试试zip软链接读取文件。我们随便买一件商品,去到购物车的页面,bp抓包。原创 2023-12-21 14:47:43 · 1394 阅读 · 0 评论 -
[渗透测试学习] Analytics - HackTheBox
它旨在为非技术用户提供一种简单的方式来探索和分析数据,无需编写复杂的查询语句或使用复杂的分析工具。Metabase提供了一个直观的用户界面,允许用户通过简单的拖放和点击操作来创建和定制数据仪表板、报表和查询。token是刚刚得到的,然后记得修改Content-Type为json。我用的是curl本地反弹shell的sh文件,在本地开启服务。发现两个端口,22端口为ssh服务,80端口有http服务。直接ssh连接,得到user的flag。看了下其他师傅的wp,用的是内核提权。然后修改为POST请求,访问。原创 2023-12-18 20:34:19 · 622 阅读 · 0 评论 -
[渗透测试学习] Keeper - HackTheBox
KeePass是一个免费且开源的密码管理器,它可以帮助您存储和管理密码。它的设计目的是为用户提供一个安全的方式来管理他们使用的各种帐户的登录凭据,如用户名和密码。访问发现是登录框,对应的request tracker系统版本为4.4.4不过没有发现可以利用的漏洞。进一步发现备注是密钥文件,那么我们可以转换为OpenSSH私钥格式。发现有两个端口,22端口为ssh服务,80端口是http服务。我们在GitHub上找到对应的开源项目,知道默认用户和密码。得到了一串类似于密码的,我们去搜一下发现是一个菜名。原创 2023-12-16 18:33:12 · 193 阅读 · 0 评论 -
[渗透测试学习] Codify - HackTheBox
靶机会将我们提交的密码与数据库的密码进行比对,比对成功与否对应不同回显,关键点在于比对是弱等于,也就是说这里的漏洞是由于 Bash 中 [[ ]]内部使用了 == ,它执行模式匹配而不是直接字符串比较。扫出来三个端口,22端口为ssh服务,80端口有http服务,3000端口为nodejs框架。得到信息为sqlite数据库,还有用户joshua的密码哈希值。发现提供的代码编辑器是vm2沙箱,搜了下相关文章发现存在漏洞。当前用户svc,那么我们可以利用的应该就是joshua。查看下有什么可以利用的命令。原创 2023-12-15 22:00:19 · 148 阅读 · 0 评论 -
[渗透测试学习] Sau - HackTheBox
获得线索request-baskets版本为1.2.1,搜索发现存在漏洞。发现存在两个端口,55555端口有http服务,访问一下。我们cat一下,得到信息admin和local的密码。发现是Maltrail服务,还有版本号0.53。成功反弹shell,找到user的flag。创建后打开点击设置,写入ssrf的url。然后nc开启监听,bp构造payload。路径下存在远程执行漏洞,构造如下。首先是信息搜集,nmap扫一下。这里直接按照步骤来(不用抓包)可以用,搜一下相关提权方式。我们查看下能用的命令。原创 2023-12-14 23:45:59 · 199 阅读 · 0 评论 -
[渗透测试学习] CozyHosting - HackTheBox
这里使用得到密码尝试登录到postgres用户失败了,于是尝试连接数据库。发现靶机环境中存在postgresql数据库连接工具psql,尝试连接数据库。拖到最下面,存在一个使用SSH和密钥进行添加远程主机的功能。得到密码后,查看下用户发现只剩下josh为普通用户。那么我们尝试ssh连接,成功得到user的flag。nmap扫描一下,发现存在80端口和22端口。观察发现是企业网站,扫描一下没有子域名。ls一下发现有jar包,我们找一下密码。我们抓包看看,发现存在rce漏洞。成功提权,得到root的flag。原创 2023-12-11 23:50:54 · 244 阅读 · 0 评论 -
[渗透测试学习] Devvortex - HackTheBox
我们用kali自带的工具去扫描出Joomla版本信息。然后修改error.php,添加反弹shell命令。发现80端口有http服务,并且是nginx服务。我们访问发现是企业站点,扫描一下是否存在子域名。,我们登录web界面访问robots.txt。由于ssh连接不上,我们采取反弹shell。刚开始ls还没找到,加个参数-al才发现有。然后记住该脚本序号,使用-m参数复制下来。发现有个脚本,我们谷歌尝试搜一下。尝试访问web界面,发现跳转到。但是我们发现目前用户的权限不够。查看一下得到密码,数据库名。原创 2023-12-08 23:46:04 · 810 阅读 · 0 评论 -
[渗透测试学习] Unified - HackTheBox
LDAP 轻量级目录访问协议,默认端口389,如果存在漏洞发送payload消息,会发送数据报文到本机389端。尝试读取管理员密码,UniFi程序的默认数据库ace,查询admin表的数据。替换mongdb中的administrator的密钥,如下加密admin。问题:在MongoDB中,我们用来枚举数据库中的用户的功能是什么?问题:在MongoDB中,我们用来更新数据库中的用户的功能是什么?然后可以自己再看看会发现,已经把密钥改为我们设置的admin的。问题:在端口8443上运行的软件的标题是什么?原创 2023-12-06 23:17:44 · 467 阅读 · 0 评论 -
[渗透测试学习] Vaccine - HackTheBox
问题:John the Ripper工具集附带了什么脚本,并以允许破解尝试的格式从受密码保护的zip档案中生成哈希?问题:此服务可以配置为允许使用特定用户名的任何密码登录。解压zip时发现有加密,运用工具破解加密的zip中生成哈希。拿到密码解压zip后,在index.php找到MD5加密的。问题:除了SSH和HTTP,这个盒子上还托管了什么服务?利用刚刚得到的密码登录,发现能用的有一个配置文件。问题:通过此服务下载的文件的名称是什么?问题:网站上管理员用户的密码是什么?退出后再次进入配置的文件,直接输入。原创 2023-12-05 21:31:21 · 227 阅读 · 0 评论 -
[渗透测试学习] Oopsie - HackTheBox
其含义是bugtracker调用系统中的cat命令输出了位于/root/reports/目录下的bug报告,robert用户本应无权访问/root目录,而bugtracker设置了setuid后就拥有了/root目录的访问,就拥有了root权限。且cat命令是使用绝对路径而不是相对路径来调用的,即在当前用户的环境变量指定的路径中搜寻cat命令,可以考虑创建一个恶意的cat命令,并修改当前用户环境变量,将权限提升为root。既然是root了,那么读取root下面的root.txt文件,拿到最后的flag。原创 2023-12-04 21:20:12 · 590 阅读 · 0 评论 -
[渗透测试学习] Archetype - HackTheBox
问题:可以使用 Impacket 集合中的哪些脚本来建立与 Microsoft SQL Server 的经过身份验证的连接?问题:可以使用 Microsoft SQL Server 的哪些扩展存储过程来生成 Windows 命令 shell?kali上自带的mssql客户端impacket-mssqlclient可以用来连接靶机上的SQL服务。创建名为shell.ps1的PowerShell 脚本,它的作用建立一个 TCP 连接并执行远程命令。问题:SMB 共享上的文件中标识的密码是什么?原创 2023-12-03 19:53:54 · 339 阅读 · 0 评论 -
[渗透测试学习] Fawn - HackTheBox
详细过程可参考day1难度:very easy(ftp服务的靶机)3 个字母的缩写 FTP 代表什么?Task 2FTP 服务通常侦听哪个端口?Task 3FTP 的安全版本使用什么缩写词?Task 4我们可以使用什么命令发送 ICMP 回显请求来测试与目标的连接?Task 5根据您的扫描,目标上运行的 FTP 版本是什么?这边利用nmap 指定参数-sV 即可扫描出FTP的运行版本-sV 探测打开的端口以确定服务/版本信息根据您的扫描,目标上运行的操作系统类型是什么?前一原创 2023-11-07 15:29:06 · 192 阅读 · 0 评论 -
[渗透测试学习] Meow - HackTheBox
hackthebox难度:very easy步骤如下打开linux虚拟机,访问依次点击 选择443端口,然后下载然后在下载文件的地方打开终端,输入当出现说明完成我们可以查看ip地址,第三个tun0为我们创建的VM 缩写代表什么?我们使用什么工具与操作系统交互,以便通过命令行发出命令,例如启动 VPN 连接的工具?它也称为控制台或外壳。我们使用什么服务来建立与 HTB 实验室的 VPN 连接?我们使用什么工具通过 ICMP 回显请求来测试与目标的连接?用于查找目标上开放端口的最常用工具的原创 2023-11-06 13:11:24 · 172 阅读 · 0 评论