_rev1ve
这个作者很懒,什么都没留下…
展开
-
[渗透测试学习] PermX-HackTheBox
路径下以及防止目录穿越,最后就是目标必须是文件。由于是www-data的shell没什么权限,在本机开启http服务。开始是在阿里云漏洞库找并没有收获,后面去CVE官网找到可利用漏洞。如果存在的话,就可以允许将任意文件上传到Web根目录下的。,然后修改root用户对应的密码即可提升至root权限。su切换到root用户,得到root的flag。这里网上找了篇利用漏洞的文章,按照文章打就行。下对应用户为mtz,尝试用数据库密码登录。登陆成功,拿到user的flag。访问马的上传路径,成功命令执行。原创 2024-08-01 16:19:23 · 227 阅读 · 0 评论 -
[渗透测试学习] Editorial-HackTheBox
观察前面可以输入网址加载书籍信息,我们在本机监听下80端口,输入我们本机的ip后点击Preview。不过由于存在ssrf漏洞,我们可以抓包探测端口情况。只有这一个脚本能利用,我们查看下GitPython版本。路由应该是书籍作者的信息,继续使用ssrf内网探测。尝试文件上传一句话木马,不过并没有回显上传路径。,我们前面在扫描的时候就知道22端口是开放的。脚本第一个参数可控,刚好对应exp的。访问80端口,类似于阅读书籍的网站。我们访问此路由,发现存在信息泄露。存在文件上传路径,访问一下。原创 2024-08-01 16:16:38 · 208 阅读 · 0 评论 -
[渗透测试学习] SolarLab-HackTheBox
得知reportlab是一个用于生成PDF和图形的Python库,并且存在Python Reportlab 代码注入漏洞(CVE-2023-33733)修改一下脚本中执行的命令为反弹shell,测试发现是windows系统,用在线网站生成powershell版本的shell。发现第7列对应的键值可能是凭证之类的,用github上的openfire工具后台管理密码解密。并且用户登录的用户名的尾部是大写字母,我们尝试对其爆破出用户。大概翻了一下没有什么可以利用的,我们查看下连接的端口情况。原创 2024-06-15 16:19:58 · 352 阅读 · 0 评论 -
[渗透测试学习] BoardLight-HackTheBox
Enlightenment 0.25.4之前版本中的enlightenment_sys允许本地用户获得特权,因为它是setuid root,并且系统库函数错误处理以/dev/.开始的路径名。不过大部分漏洞都要登录到后台界面才能利用,猜测存在admin用户。下看到larissa用户,尝试用上面得到的数据库密码去ssh连接。在测试CVE-2023-30253的时候搜到网上现成的poc。用参考文章的exp打就行,得到root的flag。同理添加到hosts文件即可访问,注意到。,添加到hosts文件中成功访问。原创 2024-06-15 16:16:02 · 360 阅读 · 0 评论 -
[渗透测试学习] Runner-HackTheBox
在本机开启监听6150端口,并执行反向连接,然后靶机主动去监听ip为10.10.14.60的本机并将9000端口映射到本机9000端口。是个管理容器的平台,点击容器查看docker版本为25.03,对应runc版本1.0.0-rc93。这里注意到9000端口是开放的,使用工具chisel搭建隧道把目标9000端口映射到本地。拿到user的flag,由于不知道john的密码,无法用sudo提权。发现状态码为401,将该子域名添加到hosts文件,访问是登陆界面。下载下来后,在users文件找到用户及密码。原创 2024-06-15 16:14:07 · 310 阅读 · 0 评论 -
[渗透测试学习] IClean-HackTheBox
我们可以利用其参数读取root的flag(注意要在tmp目录下才能下载root.txt)参数,网上搜索发现qpdf是一个内容转换工具,有对应的使用文档。得到cookie后我们来验证一下,使用cookie成功访问。回显49应该就是Jinja2,直接payload测试一下(先识别一下是什么加密,然后john爆破记得加上format。直接反弹shell(注意bash命令URL编码一下)(xss注入的payload均url编码过)勾选上去抓包,测试各个参数是否存在注入。路由可以,应该是经过身份验证跳转到。原创 2024-06-15 16:10:17 · 130 阅读 · 0 评论 -
[渗透测试学习] TwoMillion-HackTheBox
由于路由是admin的,大概率是要admin的email。,我们只能回到刚刚的update路由下再看看,我们添加上email参数值为我们注册的邮箱,回显如下。参数应该是用来判断是否为admin用户,我们添加上并改为1后发包。,应该是要添加Content-Type解析json数据。得到admin用户的密码,那么我们直接连接本地数据库。,成功提权(该目录还有其他师傅传的exp)路由,用PUT请求可以更新user的设置。不过没什么用,因为我们可以直接ssh连接。我们不妨看看源码是如何注入的,查看下。原创 2024-04-18 21:08:59 · 208 阅读 · 2 评论 -
[渗透测试学习] Pov-HackTheBox
在Windows操作系统中,SeDebugPrivilege是一种特别强大的权限,可以让持有该权限的进程读取或修改几乎所有其他进程的内存空间,即使是那些以系统或管理员级别运行的进程。winlogon.exe 是 Windows 的登录系统进程,它在用户登录时启动,并处理用户登录和注销的过程。当用户输入用户名和密码后,winlogon.exe 验证用户的凭据,并启动用户环境。在呈现页面的 HTML 期间,页面的当前状态和回发期间要保留的值将序列化为 base64 编码的字符串。原创 2024-04-18 20:55:38 · 201 阅读 · 1 评论 -
[渗透测试学习] Monitored-HackTheBox
MIB文件中的变量使用的名字取自ISO和ITU管理的对象标识符(object identifier)名字空间。一个特定对象的标识符可通过由根到该对象的路径获得,一般网络设备取iso节点下的对象内容。任何一个被管理的资源都表示成一个对象,称为被管理的对象。MIB是被管理对象的集合。它定义了被管理对象的一系列属性:对象的名称、对象的访问权限和对象的数据类型等。可以控制服务,注意到npcd文件可控,并且能够以root用户执行npcd服务的开启和关闭,因此可以在npcd服务中加入一段反弹shell来提权。原创 2024-04-18 20:49:59 · 211 阅读 · 2 评论 -
[渗透测试学习] Headless-HackTheBox
说明思路没错,那么我们可以利用xss注入得到admin的cookie值,payload如下。发现只有admin才可以,我们注意到cookie值为JWT加密,拿到揭秘网站验证下猜想。都是payload触发点,但是message参数值的不同。有的是下图这样而有的是。cookie为user用户,那么我们要想访问必须拿到admin的cookie。而我们在根目录下并没有找到该sh文件,那么我们可以简单利用一下。路径存在类似提交留言的功能,应该是存在xss注入。经过多次尝试,发现我触发payload的条件必须在。原创 2024-04-18 20:44:32 · 140 阅读 · 0 评论 -
[渗透测试学习] Hospital - HackTheBox
直接下载shell.php然后上传,用bp将php后缀改为phar(后面测试了一下发现pht后缀会有问题,只能显示源码不解析)文件构造curl命令我们本地的nc程序,然后Brown使用解释器打开后触发该命令下载nc程序;由于我们前面namp扫描出3389端口是ms-wbt-server服务,我们就可以尝试连接一下。那么我们可以在刚刚连接的windows靶机上,curl我们本地的shell文件来实现RCE。我们查看当前用户的哈希值,发现有drwilliams的。原创 2024-01-15 22:55:21 · 292 阅读 · 0 评论 -
[渗透测试学习] Surveillance -HackTheBox
仔细分析此payload的执行过程,原来是调用的call_user_func函数只有一个参数,想反弹shell就卡住了。那么我们添加下域名然后访问80端口,发现是企业网站尝试扫描子域名和目录无果后,用Wappalyzer插件看看。具体是指参数user的值可以为文件,那么我们可以上传shell脚本然后利用其user参数实现getshell。使用工具LinPEAS,我们现在本地开启http服务,然后使用curl命令去弹。本地转发的777端口为target,然后1028为nc监听的端口。原创 2024-01-11 22:56:28 · 275 阅读 · 0 评论 -
[渗透测试学习] Redeemer - HackTheBox
Redis(Remote Dictionary Server)是一种开源的内存数据结构存储系统,也被称为键值存储数据库。Redis 是什么类型的数据库?从以下选项中进行选择:(i) 内存数据库,(ii) 传统数据库。连接到Redis服务器后,使用哪个命令来获取Redis服务器的信息和统计信息?select+index(索引号,此处选择0号索引)表示选择索引为0的数据库。使用哪个命令在 Redis 中选择所需的数据库?目标机器上使用的Redis服务器版本是什么?哪个命令用于获取数据库中的所有密钥?原创 2024-01-11 16:27:32 · 325 阅读 · 0 评论 -
[渗透测试学习] Appointment - HackTheBox
我们在 Gobuster 中使用什么开关来指定我们要发现目录,而不是子域?返回的网页第一个单词是什么?HTTP 协议的默认端口是80,HTTPS 协议的默认端口是443,因此HTTP服务器在这些端口上等待请求。Nmap 报告在目标的 80 端口上运行的服务和版本是什么?MySQL 中可以使用什么单个字符来注释掉一行的其余部分?“未找到”错误的 HTTP 响应代码是什么?最常见的 SQL 漏洞类型之一是什么?HTTPS 协议使用的标准端口是什么?Web 应用程序术语中的文件夹是什么?SQL 缩写代表什么?原创 2024-01-11 16:25:06 · 249 阅读 · 0 评论 -
[渗透测试学习] Crocodile - HackTheBox
问题: 我们从FTP服务器下载的“allowed.userlist”中听起来权限更高的用户名是什么?问题:匿名连接到FTP服务器后,我们可以使用什么命令下载在FTP服务器上找到的文件?问题:我们可以用目录暴力识别哪个PHP文件,从而提供向web服务进行身份验证的机会?问题:使用FTP客户端连接到FTP服务器后,当提示匿名登录时,我们提供什么用户名?问题:我们可以在Gobuster中使用什么开关来指定我们正在寻找特定的文件类型?问题:在扫描过程中,什么NMAP扫描开关使用默认脚本?原创 2024-01-11 16:22:12 · 399 阅读 · 1 评论 -
[渗透测试学习] Responder - HackTheBox
问题:“page”参数的以下哪个值是利用本地文件包含(LFI)漏洞的示例:“french.html”、“//10.10.14.6/somefile”、“…/windows/system32/drivers/etc/hosts”、“minikatz.exe”问题:“page”参数的以下哪个值是利用远程文件包含(RFI)漏洞的示例:“french.html”、“//10.10.14.6/somefile”、“…问题:当使用IP地址访问web服务时,我们被重定向到的域是什么?问题: 管理员用户的密码是什么?原创 2024-01-11 16:20:56 · 435 阅读 · 0 评论 -
[渗透测试学习]Three - HackTheBox
使用命令通过指定的 S3 端点连接到 s3.thetoppers.htb,然后列出 thetoppers.htb 存储桶中的对象。问题:在没有DNS服务器的情况下,我们可以使用哪个Linux文件将主机名解析为IP地址,以便能够访问指向这些主机名的网站?问题:哪个命令行实用程序可以用于与在发现的子域上运行的服务交互?问题: 网站“联系人”部分提供的电子邮件地址的域是什么?问题:此服务器配置为运行用何种web脚本语言编写的文件?问题:在进一步枚举期间发现哪个子域?问题:发现的子域上运行的是哪个服务?原创 2024-01-11 16:19:08 · 350 阅读 · 0 评论 -
[渗透测试学习] Sequel - HackTheBox
问题:此 MySQL 实例中存在三个在所有 MySQL 实例中通用的数据库。问题:在 SQL 中,我们可以使用什么符号在查询中指定要显示表中的所有内容?问题:使用MySQL命令行客户端时,我们需要使用什么开关来指定登录用户名?问题:哪个用户名允许我们在不提供密码的情况下登录此 MariaDB 实例?问题:在扫描过程中,我们发现哪个端口为 MySQL 提供服务?问题:目标正在运行哪个社区开发的 MySQL 版本?问题:在SQL中我们需要用什么符号来结束每个查询?然后查询config表,得到flag。原创 2023-11-30 17:45:07 · 485 阅读 · 0 评论 -
[渗透测试学习] Meow - HackTheBox
hackthebox难度:very easy步骤如下打开linux虚拟机,访问依次点击 选择443端口,然后下载然后在下载文件的地方打开终端,输入当出现说明完成我们可以查看ip地址,第三个tun0为我们创建的VM 缩写代表什么?我们使用什么工具与操作系统交互,以便通过命令行发出命令,例如启动 VPN 连接的工具?它也称为控制台或外壳。我们使用什么服务来建立与 HTB 实验室的 VPN 连接?我们使用什么工具通过 ICMP 回显请求来测试与目标的连接?用于查找目标上开放端口的最常用工具的原创 2023-11-06 13:11:24 · 192 阅读 · 0 评论 -
[渗透测试学习] Unified - HackTheBox
LDAP 轻量级目录访问协议,默认端口389,如果存在漏洞发送payload消息,会发送数据报文到本机389端。尝试读取管理员密码,UniFi程序的默认数据库ace,查询admin表的数据。替换mongdb中的administrator的密钥,如下加密admin。问题:在MongoDB中,我们用来枚举数据库中的用户的功能是什么?问题:在MongoDB中,我们用来更新数据库中的用户的功能是什么?然后可以自己再看看会发现,已经把密钥改为我们设置的admin的。问题:在端口8443上运行的软件的标题是什么?原创 2023-12-06 23:17:44 · 500 阅读 · 0 评论 -
[渗透测试学习] CozyHosting - HackTheBox
这里使用得到密码尝试登录到postgres用户失败了,于是尝试连接数据库。发现靶机环境中存在postgresql数据库连接工具psql,尝试连接数据库。拖到最下面,存在一个使用SSH和密钥进行添加远程主机的功能。得到密码后,查看下用户发现只剩下josh为普通用户。那么我们尝试ssh连接,成功得到user的flag。nmap扫描一下,发现存在80端口和22端口。观察发现是企业网站,扫描一下没有子域名。ls一下发现有jar包,我们找一下密码。我们抓包看看,发现存在rce漏洞。成功提权,得到root的flag。原创 2023-12-11 23:50:54 · 256 阅读 · 0 评论 -
[渗透测试学习] Codify - HackTheBox
靶机会将我们提交的密码与数据库的密码进行比对,比对成功与否对应不同回显,关键点在于比对是弱等于,也就是说这里的漏洞是由于 Bash 中 [[ ]]内部使用了 == ,它执行模式匹配而不是直接字符串比较。扫出来三个端口,22端口为ssh服务,80端口有http服务,3000端口为nodejs框架。得到信息为sqlite数据库,还有用户joshua的密码哈希值。发现提供的代码编辑器是vm2沙箱,搜了下相关文章发现存在漏洞。当前用户svc,那么我们可以利用的应该就是joshua。查看下有什么可以利用的命令。原创 2023-12-15 22:00:19 · 166 阅读 · 0 评论 -
[渗透测试学习] Analytics - HackTheBox
它旨在为非技术用户提供一种简单的方式来探索和分析数据,无需编写复杂的查询语句或使用复杂的分析工具。Metabase提供了一个直观的用户界面,允许用户通过简单的拖放和点击操作来创建和定制数据仪表板、报表和查询。token是刚刚得到的,然后记得修改Content-Type为json。我用的是curl本地反弹shell的sh文件,在本地开启服务。发现两个端口,22端口为ssh服务,80端口有http服务。直接ssh连接,得到user的flag。看了下其他师傅的wp,用的是内核提权。然后修改为POST请求,访问。原创 2023-12-18 20:34:19 · 640 阅读 · 0 评论 -
[渗透测试学习] Clicker - HackTheBox
NFS最大的功能就是可以透过网络,让不同的机器、不同的操作系统、可以彼此分享个别的档案(share files)。这个NFS服务器可以让你的PC来将网络远程的NFS服务器分享的目录,挂载到本地端的机器当中,在本地端的机器看起来,那个远程主机的目录就好像是自己的一个磁盘分区槽一样(partition),使用上相当的便利。否则,将会构建一个 MySQL 命令并执行它,因为拼接的路径为。很明显,保存的数据中只有nickname可以让我们写马,而如何修改nickname的值就和刚刚修改role一样的办法。原创 2024-01-10 20:16:27 · 830 阅读 · 0 评论 -
[渗透测试学习] Manager - HackTheBox
扫出来很多端口,其中80端口有http服务,88端口是采用一个身份验证协议kerberos,以及NetBIOS-SSN(端口139)和Microsoft-DS(端口445)都与SMB有关。如果我们已经满足了此攻击的先决条件,我们可以首先请求基于 SubCA 模板的证书。如果您只有“管理 CA”访问权限,则可以通过将您的用户添加为新官员来授予自己“管理证书”访问权限。但是会出现报错,重要的是通过与Kerberos同步时间来解决这些错误。通过管理 CA 和管理证书,我们可以使用 ca 命令和。原创 2023-12-25 10:57:59 · 1196 阅读 · 0 评论 -
[渗透测试学习] Archetype - HackTheBox
问题:可以使用 Impacket 集合中的哪些脚本来建立与 Microsoft SQL Server 的经过身份验证的连接?问题:可以使用 Microsoft SQL Server 的哪些扩展存储过程来生成 Windows 命令 shell?kali上自带的mssql客户端impacket-mssqlclient可以用来连接靶机上的SQL服务。创建名为shell.ps1的PowerShell 脚本,它的作用建立一个 TCP 连接并执行远程命令。问题:SMB 共享上的文件中标识的密码是什么?原创 2023-12-03 19:53:54 · 346 阅读 · 0 评论 -
[渗透测试学习] Oopsie - HackTheBox
其含义是bugtracker调用系统中的cat命令输出了位于/root/reports/目录下的bug报告,robert用户本应无权访问/root目录,而bugtracker设置了setuid后就拥有了/root目录的访问,就拥有了root权限。且cat命令是使用绝对路径而不是相对路径来调用的,即在当前用户的环境变量指定的路径中搜寻cat命令,可以考虑创建一个恶意的cat命令,并修改当前用户环境变量,将权限提升为root。既然是root了,那么读取root下面的root.txt文件,拿到最后的flag。原创 2023-12-04 21:20:12 · 602 阅读 · 0 评论 -
[渗透测试学习] Zipping - HackTheBox
只能说靠意识了,我们通过strace可以知道调用.so文件并且该文件不存在(也可以直接sudo运行该命令发现无限循环),所以我们自己写一个可以getshell的.so文件,调用即可拿到root权限。这个靶机打了两天,原因就在于文件上传的漏洞被修复了不能用截断攻击绕过(早点知道就好了hhh),然后至于密码为什么是那个。的文件,但是我们在该目录下并未找到此文件,那么我们可以利用动态链接库劫持,实现提权。要求是上传zip文件,那我们试试zip软链接读取文件。我们随便买一件商品,去到购物车的页面,bp抓包。原创 2023-12-21 14:47:43 · 1412 阅读 · 0 评论 -
[渗透测试学习] Fawn - HackTheBox
详细过程可参考day1难度:very easy(ftp服务的靶机)3 个字母的缩写 FTP 代表什么?Task 2FTP 服务通常侦听哪个端口?Task 3FTP 的安全版本使用什么缩写词?Task 4我们可以使用什么命令发送 ICMP 回显请求来测试与目标的连接?Task 5根据您的扫描,目标上运行的 FTP 版本是什么?这边利用nmap 指定参数-sV 即可扫描出FTP的运行版本-sV 探测打开的端口以确定服务/版本信息根据您的扫描,目标上运行的操作系统类型是什么?前一原创 2023-11-07 15:29:06 · 210 阅读 · 0 评论 -
[渗透测试学习] Sau - HackTheBox
获得线索request-baskets版本为1.2.1,搜索发现存在漏洞。发现存在两个端口,55555端口有http服务,访问一下。我们cat一下,得到信息admin和local的密码。发现是Maltrail服务,还有版本号0.53。成功反弹shell,找到user的flag。创建后打开点击设置,写入ssrf的url。然后nc开启监听,bp构造payload。路径下存在远程执行漏洞,构造如下。首先是信息搜集,nmap扫一下。这里直接按照步骤来(不用抓包)可以用,搜一下相关提权方式。我们查看下能用的命令。原创 2023-12-14 23:45:59 · 221 阅读 · 0 评论 -
[渗透测试学习] Keeper - HackTheBox
KeePass是一个免费且开源的密码管理器,它可以帮助您存储和管理密码。它的设计目的是为用户提供一个安全的方式来管理他们使用的各种帐户的登录凭据,如用户名和密码。访问发现是登录框,对应的request tracker系统版本为4.4.4不过没有发现可以利用的漏洞。进一步发现备注是密钥文件,那么我们可以转换为OpenSSH私钥格式。发现有两个端口,22端口为ssh服务,80端口是http服务。我们在GitHub上找到对应的开源项目,知道默认用户和密码。得到了一串类似于密码的,我们去搜一下发现是一个菜名。原创 2023-12-16 18:33:12 · 212 阅读 · 0 评论 -
[渗透测试学习] Devvortex - HackTheBox
我们用kali自带的工具去扫描出Joomla版本信息。然后修改error.php,添加反弹shell命令。发现80端口有http服务,并且是nginx服务。我们访问发现是企业站点,扫描一下是否存在子域名。,我们登录web界面访问robots.txt。由于ssh连接不上,我们采取反弹shell。刚开始ls还没找到,加个参数-al才发现有。然后记住该脚本序号,使用-m参数复制下来。发现有个脚本,我们谷歌尝试搜一下。尝试访问web界面,发现跳转到。但是我们发现目前用户的权限不够。查看一下得到密码,数据库名。原创 2023-12-08 23:46:04 · 836 阅读 · 0 评论 -
[渗透测试学习] Dancing - HackTheBox
简言之:有两种SMB,TCP端口139是NETBIOS(网络基本输入/输出系统协议)上的SMB。而TCP 445是基于TCP/IP的SMB,是较新的版本的SMB。我们可以与 smbclient 实用程序一起使用来“列出”Dancing 上的可用共享的“标志”或“开关”是什么?我们可以在 SMB shell 中使用什么命令来下载我们找到的文件?我们的 Nmap 扫描中出现的端口 445 的服务名称是什么?我们最终能够使用空白密码访问的共享名称是什么?3 个字母的缩写 SMB 代表什么?然后找到flag文件。原创 2023-11-09 11:30:44 · 188 阅读 · 0 评论 -
[渗透测试学习] Vaccine - HackTheBox
问题:John the Ripper工具集附带了什么脚本,并以允许破解尝试的格式从受密码保护的zip档案中生成哈希?问题:此服务可以配置为允许使用特定用户名的任何密码登录。解压zip时发现有加密,运用工具破解加密的zip中生成哈希。拿到密码解压zip后,在index.php找到MD5加密的。问题:除了SSH和HTTP,这个盒子上还托管了什么服务?利用刚刚得到的密码登录,发现能用的有一个配置文件。问题:通过此服务下载的文件的名称是什么?问题:网站上管理员用户的密码是什么?退出后再次进入配置的文件,直接输入。原创 2023-12-05 21:31:21 · 247 阅读 · 0 评论