tao0845-CSDN博客

原创域基础-NTLM协议

协议之后微软提出了HTML协议，这一协议安全性更高，不仅可以用于工作组中的机器身份验证，又可以用于域环境身份验证，还可以为SMB、HTTP、LDAP、SMTP等上层应用提供身份验证。

2024-05-11 20:28:17 838

发现/usr/bin/ansible-playbook /etc/ansible/install.yml 会被定时执行。源码没什么东西，只有一张图片，进行隐写分析后发现并没有什么隐写，唯一利用点只剩url了。3.将/var/www/html打包成/var/backup/site.zip。4.执行who的指令，将结果输出到/tmp/who.txt。2.安装/opt/packages/下面的debian包。1.执行/opt/script.sh这个脚本。好消息端口不是很复杂 22 80两个端口。

2024-04-06 12:19:45 823

原创 [HackMyVM]靶场Deeper

我拿去直接爆破ssh发现失败了，重新回到网页源码发现下面还藏了东西。由于没有python服务，我用scp传到了kali。先16进制转字符串然后base64就解码拿到密码。开启了22 80两个端口，先简单地扫一下目录。然后su到root就能拿到root flag。alice用户下还有.bob.txt。扫不出来什么东西，直接去web看。bob目录下有个root.zip。应该是bob的密码，同理解密。拿到一个用户名 ALICE。轻松拿到user flag。让我去deeper目录。用密码bob成功解开。

2024-04-05 20:25:16 289

原创 [HackMyVM]靶场Logan2

发现system不能用，那就用popen，结果发现自己是root了，那就把user flag和root flag都交了。那就只能使用文件包含，想到扫目录的时候扫到一个config.php,里面可能有东西。发现可以apache日志包含，那就可以实现rce了，不过我的rce总是不能实现。然后用执行phpinfo的时候发现命令执行函数都被ban了。觉得终端用不习惯的也可以弹个shell，都一样。有个子域，先添加到hosts。个人习惯，弹到kali上。不给看，那就执行以下看看。测试发现可以目录穿越。

2024-04-04 21:12:24 376

原创 [HackMyVM]靶场Economists

尝试用获取的username爆破一下ssh，用rockyou没爆破出来，可能字典不对，用cewl获取网页单词生成字典。好多pdf文件，get下来看了一下，pdf上面没什么东西，分析一下有什么username。拿到一组账号密码 joseph:wealthiest。然后再底端命令行输入!bash就拿到了root权限。开启端口：21 22 80。直接拿到user flag。拿到几个用户名，可能有用。试一下ftp匿名登录。这才是easy难度的。

2024-04-04 19:31:21 295

原创 [HackMyVM]靶场Boxing

看到群里大佬发现boxing.hmv:[email protected]:5000/?我们可以添加一个参数-f 变成file -f filename就能输出文本内容。另一个监听窗口下就能获得一个1.txt，里面就是/root/root.txt。当前目录是/opt/pidstat而不是/var/www/html。当user.txt文件属性修改的时候就会触发 sos.sh这脚本。在sos.sh里面,有file *,这个在之前某一个靶机遇到过。进入看看，这个数据库第一次用，.tables可以查看表。

2024-04-03 22:54:31 384

原创 [HackMyVM]靶场Flossy

脚本会将opt目录下的文件复制到/etc/NetworkManager/dispatcher.d/并赋予可执行权限，那就可以写个脚本再opt里面，然后执行disp，就会把它复制到/etc/NetworkManager/dispatcher.d/这个脚本会发送 sophie的私钥，但是tty得是/dev/pts/24。sophie用户有user flag，但是没有权限读。没有找到，把character修改成user看一下。目前tty是/dev/pts/0。好像有东西了，爆破一下id。去web看看什么情况。

2024-04-01 21:44:36 307

原创 [HackMyVM]靶场Pipy

开了22 80两个端口扫一下目录还是有很多东西的去web看一下我去扫出来的几个目录看了一下没有发现什么有用的信息那就看框架有什么漏洞，源码发现是SPIP 4.2.0的框架然后搜到了一个cve。

2024-03-31 21:27:07 248

原创 [HackMyVM]靶场Zurrak

127.0.0.1的smb会执行emergency.sh脚本，那么我们劫持一下然后反弹shell。回到index.php,抓包发现cookie里面有token也是一个jwt，解析一下。跳转到New folder可以用cd "New folder"，不然有空格挂载不了。md我不知道该如何下载到我的kali上，这里先不说，继续。有密码了，但是没有用户名，猜测是exe文件名asli。连接成功(后面我都不会，看着wp做的，也记录一下)这次不一样了，多一个isAdmin参数。一个朴素的登录界面，源码里给了账号密码。

2024-03-30 19:37:19 893

原创 [HackMyVM]靶场Factorspace

不管了，后面就是通过wireshark抓192.168.56.138的udp包，报文里面有个私钥，用私钥登录root就能拿到root权限。无奈之下去看了一手wp，发现他们在ss -tulnp有个特殊的udp，为什么我没有，靶机重启了一下还是没有，我淦。就是']把前面的['闭合，后面的['闭合后面的']，然后//*是列出文档中的所有元素。直接去那几个php看试了一下其他几个都会跳转到login.php，那么只能从这里下手。有login ，result，check，auth应该是登录相关的php。

2024-03-30 11:43:48 588

原创 [HackMyVM]靶场Darkside

抓包发现cookie里面有个side=whiteside，根据源码泄露改成darkside并修改一下目录添加。sh 1>&0 2>&0就能拿到root shell。给出了kevin的密码kevin/ILoveCalisthenics。传linpeas看一下，也没扫到什么东西，前面肯定有东西遗漏。登录界面，根据前面投票结果猜测用户名是kevin，密码爆破一下。我淦，kevin的历史指令泄露了rijaba的密码，粗心了。开启了22 80两个端口，常规扫一下目录。貌似是一些用户名，最后祝凯文好运。

2024-03-28 21:10:30 422 1

原创 [HackMyVM]靶场quick5

靶机刚出来的时候自己就做到了这里就卡住了，当时想到的是那种钓鱼pdf，下载者打开就会上线那种，后来群里大佬给了思路，用msfconsole里面的openoffice模块生成一个恶意odt，当打开的时候就会执行写在里面的宏命令。怎么说，这个靶场，easy的难度，感觉不止easy。我昨天也是这样做的，但是shell没弹过来，很奇怪，我昨天也是这样做到，shell没弹过来，今天shell就弹过来了。这里好玩的是，我在一一尝试各种文件的时候，打开andrew的snap文件夹的时候发现了火狐的文件包。

2024-03-27 20:10:24 629

原创 [HackMyVM]靶场Crossbow

也是成功拿到user flag，怪不得polo和lea都没有user flag，原来还有一个user。根据博客作者Polo，猜测用户名是Polo，登录9090端口，测试发现用户名是polo。polo用户下没有user flag，也没有sudo -l权限，西巴。失败，看一下/etc/passwd，发现还有一个用户pedro。可以利用ssh代理劫持进入其他系统，这里有篇利用文章。进行端口转发用了ssh和nc一下就断了不知道为什么。也没有有用的信息，现在只剩下一个hash值能利用。

2024-03-26 23:30:06 896

原创 [HackMyVM]靶场 Minimal

这里第一个解决方案是创建一个prize->/root/root.txt的软连接，但是要在www-data用户的家目录下进行，否则在/opt/quiz下进行我们没有读取这个目录下指向/root/root.txt的软连接。但是我不知道密码，想到页面存在一个忘记密码功能，看一下后端逻辑。这里用到了一个secret_2的加密，其实就是凯撒加密，偏移量是v3就是5，解密出来是bacon pancakes。剩下的静调，计算偏移量，socat什么的我就看不懂了😓，不过学习了软连接，收获挺大。

2024-03-25 22:05:48 440

原创 [HackMyVM]靶场RooterRun

会将.sh文件从文件夹pre-prod-tasks复制到pre-tasks文件夹并运行它们，那么我们就可以创建一个反弹shell的sh,注意添加一下权限。linpeas.sh测一下发现/opt/maintenance/backup.sh有root权限并且定时执行。可以看到优先使用/usr/local/sbin的指令，这个是我们可以修改的。一般这种操作文件的都是定时任务，注意到用到bash。然后到pre-tasks将sh文件改一下名字。我习惯将shell反弹到kali。爆破一下加盐的hash。

2024-03-25 16:24:49 231

原创 [HackMyVM]靶场 Slowman

有用户gonzalo的账号密码并且给了登录界面 /secretLOGIN/login.html。想提权root，尝试了sudo -l，无果，尝试看进程定时任务无果。ssh连接直接拿到user flag，还有一个python历史指令。linpeas跑一下发现python有capabilities。爆破出来账号密码是trainerjeff/soccer1。那就python的capabilities提权了。21端口匿名登陆，把passive模式关了。用john爆破一下这个hash。一下就爆出来了密码是。

2024-03-24 16:07:02 314

原创 [HackMyVM]靶场 Submissions

binwalk stegeek都看了一下没什么东西。ssh连接之后henry目录下又user flag。我用gobuster不知道为什么扫描失败。学了一下巨魔，使用feroxbuster。索性vim看到了一个base64字符串。进去发现是个图片，那大概率是隐写了。爆破出来密码leahcim1996。easy难度的靶场开的端口就是少。web界面看了一下没什么东西。用hydra爆破一下ssh。base64解码拿到文件名。还有一个Note.txt。又学到一个工具cupp。切换到henry用户。

2024-03-24 12:08:55 208

原创 [HackMyVM]靶场 XMAS

可以用root权限执行 /usr/bin/java /home/alabaster/PublishList/PublishList.jar。发现会定时执行一个python脚本/opt/NiceOrNaughty/nice_or_naughty.py。并且这个jar是alabaster用户的，我们可以自己重写一个jar反弹用来反弹shell。这个py文件是可以修改的，那么直接改成反弹shell。通过目录扫面可以初步判断有文件上传。kali开个监听然后登就行了。web往下滑看到文件上传点。

2024-03-22 18:35:57 481

原创 [HackMyVM]靶场 Nebula

第一种方法，因为我们可以write 这个head，所以可以手改head，注意修改环境变量，把head改成我们修改的head。ssh连接之后发现pmccentral没有user flag，用户目录下有个employees的文件，里面全是人名。成功跳转到laboratoryadmin用户，并且用户目录下有user.txt拿到第一个flag。第二种，就利用原来的head，因为它里面是bash -p也能让我们拿到root权限。经过md5碰撞发现pmccentral的密码是999999999。

2024-03-22 13:01:32 511

原创 [HackMyVM]靶场 Liceo

但是我在提权root时候遇到了问题，没有什么敏感文件，也没有定时任务，也没有suid提权，也没有什么root权限脚本...搜索一番知道home目录下.bash_profile .bashrc这两个文件被删了就会出现这种情况。然后回到这个bash上，一般bash都是www-data,为什么这次是bash-5。测试发现不准上传php文件，但可以上传phtml文件。用phtml上传一个一句话马，然后弹个shell。然后尝试用bash -p就拿到了root权限。upload.php可以文件上传。

2024-03-22 11:19:22 450

原创 [Java安全入门]六.CC2+CC4+CC5+CC7

与前面几条cc不同的是，cc2的依赖是4.0版本，并且解决了高版本无法使用AnnotationInvocationHandler类的弊端。cc2使用javassist和PriorityQueue来构造链。

2024-03-21 15:22:26 973

原创 [Java安全入门]六.CC3

前几天学了一下cc1和cc6，对于我来说有点小困难，不过经过几天沉淀，现在也是如拨开云雾见青天，经过一上午的复习对cc1和cc6又有深入的了解。所以，今天想多学一下cc3。cc3执行命令的方式与cc1和cc6不一样，不是通过ChainedTransformer来执行，而是通过动态加载类执行。

2024-03-20 19:53:35 955 1

原创 [HackMyVM]靶场 Pyrat

经过翻文件，在/opt/dev/.git/config下翻到了用户think的密码。nc连接之后输入admin 再输入密码再输入shell就能拿到root。nc连上之后，经过测试发现可以执行python语句。wp给了两个脚本，第二个部分就是爆破。最后爆破出来密码是september。里面找到一个py脚本，不过没什么用。这里直接看wp了，给了一个爆破脚本。开启了22 8000两个端口。在github上面有东西。根据readme 的提示。然后也没有suid提权。

2024-03-19 16:15:13 189

原创 [HackMyVM]靶场 Zon

经过测试，修改文件头，%00隔断都没用，最后一句话马用shell.jpg .php(注意有一个空格)的名字成功上传。上传要求是zip里面包一个jpeg文件，然后再uploads里面就能看到这个文件。进去找到了Freddie的密码，测试发现用户名首字母小写。经过一一测试发现choose.php可以文件上传。bash就能拿到root权限。发现一个可疑文件hashDB.sh。reportbug可以提权。总结:文件上传空格绕过。泄露了数据库账号密码。运行之后我就乱按一通。

2024-03-18 18:49:49 291

原创 [HackMyVM] Quick

测试发现url可以RFI，注意把文件末尾的.php去掉，因为该网站会自动添加.php。找到SUID权限发现php7有suid权限。现在可以直接拿到userflag。

2024-03-17 14:28:56 298

原创 [HackMyVm] Vinulizer

usr/lib/python3.10/random.py是有修改权限的，正好又是导入的那个random模块。shopadmin的password经过md5解密得到addicted2vinyl。/opt/vinylizer.py有root权限。在login界面测试发现可以sql注入。打开发现引入json和random模块。但是文件不可修改，只能从模块下手。但是登录不上网页可以连接ssh。抓包放到sqlmap里面跑。lana登录发现没有东西。在import的下面加上。

2024-03-13 23:09:13 228

原创 [Java安全入门]五.CC6链

上一篇讲到CC1链是利用AnnotationInvocationHandler来触发setValue(),但是在Java 8u71以后AnnotationInvocationHandler的readObject()里面已经没有了setValue()方法，cc6链不受jdk版本约束，较于其他cc链，更为通用。

2024-03-12 16:32:51 507

原创 [HackMyVm] Quick

测试发现[email protected] 和[email protected]'#结果相同，[email protected]'报错，说明存在sql注入。根据数据库爆破出来的uploads/3_andrew.jpg猜测上传的头像位置在这。发现比前几个quick系列多出来了employee目录。字段就dump了几条没发现有用的东西，密码也登不上。但是登录界面可以用万能密码登上去。home目录下有user.txt。添加一个GIF的文件头上传成功。前面的数字试到2找到了文件位置。sqlmap跑一下请求包。上传一句话木马时候提示。在查看进程的时候发现。

2024-03-12 15:30:41 442

原创 [HackMyVM]靶场 Espo

发现是个定时执行的任务，一分钟执行一次，并且UID是1000，是mandie的权限，如果在脚本里面添加一条反弹shell的指令，我们就能拿到mandie的权限，但是发现无法编辑这个文件。但是用directory-list-2.3-medium.txt和common.txt 都不跑，换个字典。mandie目录下有user.txt但是权限不够，而且有个奇怪的可执行文件copyPics。web源码里面显示2022，所以我就找2022及以后的cve。好像直接越步了，无所谓，照样能拿到user和root。

2024-03-10 13:11:52 534

原创 [Java安全入门]三.CC1链

Apache Commons Collections是一个扩展了Java标准库里的Collection结构的第三方基础库，它提供了很多强大的数据结构类型和实现了各种集合工具类。Commons Collections触发反序列化漏洞构造的链叫做cc链，构造方式多种，这里先学习cc1链。

2024-03-09 19:58:43 1213 1

原创 [HackMyVM]靶场 Zeug

总结:1.SSTI注入绕过，可以先上传一个反弹shell的sh文件然后再bash执行。v5是个伪随机数，如果v5^输入的值为-559038737则拿到shell。尝试将exia.so的共享库加载到/home/exia目录中。尝试反弹shell无法执行，打算上传个反弹shell的脚本。在exia用户下，/user/bin/zeug可以提权。那么就把模板注入放在html的body里面，确实可以。/home/exia/seed 可以提权到exia。跟之前wild靶场利用一样链接库劫持。/console确实存在。

2024-03-08 21:41:47 667

原创 [HackMyVM]靶场 Run

创建.gitea/workflows目录并写入一个反弹shell的yaml文件。然后用dev/developer88登录gitea。6.2.0-20-generic搜索知道有个CVE。运行actions需要运行器，下载一个运行器。然后在setting里面开启action。在设置添加runner里面获取token。之前开的监听端口也是返回了shell。密码是developer88。ip地址就是instance。不过目前还在docker里面。不过在历史文件里面可以看到。打开是一个gitea服务。

2024-03-07 23:34:56 526 1

原创 [Java安全入门]三.URLDNS链

readObject()->HashMap.putVal()->hash()->hashCode()(URL类)->getHostAddress()->getByName()如果传入的key是url，那么就会调用URL类里面的hashCode方法。HashMap为了保证键的唯一性，将键里面的每个元素进行计算，在类的最下面有个putVal方法，里面调用了hash方法，跟进到hash方法。在初步学习java的序列化和反序列化之后，这里学习java反序列化漏洞的一个利用链，也是比较基础的一条链。

2024-03-07 21:35:47 596

原创 [HackMyVM]Quick 2

根据昨天靶场的经验用php_filter_chain_generator.py，而且不用二次编码绕过。在capabilities里面发现/usr/bin/php8.1 cap_setuid=ep。在file.php可以本地文件包含，并且可以使用filter。但是不能有filter过滤没法用php链getshell。php8.1可以进行capabilities提权。直接拿到root权限，然后拿到flag。在nick目录下拿到user.txt。网段进程也看了没有什么东西。开启了 22 80端口。

2024-03-07 14:17:49 406

原创 [Java安全入门]二.序列化与反序列化

Serialization（序列化）是一种将对象以一连串的字节描述的过程；反序列化deserialization是一种将这些字节重建成一个对象的过程。将程序中的对象，放入文件中保存就是序列化，将文件中的字节码重新转成对象就是反序列化。

2024-03-06 21:13:01 1323

原创 [Java安全入门]一.反射

JAVA反射机制是在运行状态中，对于任意一个类，都能够知道这个类的所有属性和方法；对于任意一个对象，都能够调用它的任意一个方法和属性；这种动态获取的信息以及动态调用对象的方法的功能称为java语言的反射机制。简单来说，反射就是把java类中的各种成分映射成一个个的Java对象，一个类的成员变量，方法，构造方法等等都可以通过反射映射成一个个对象。

2024-03-06 19:57:29 420

原创 [HackMyVM]靶场 Wild

username为realm然后再对username:realm:password进行md5加密再转16进制。在/domain/configuration/mgmt-users.properties里面发现点东西。在host-primary.xml里面发现realm name为ManagementRealm。i的16进制编码是%69,%的16进制编码是25，所以可以用%2569表示i。看下面的php源码，知道网页对iconv,/,..进行了过滤。又因为源码中过滤了iconv,可以进行双重编码绕过。

2024-03-06 13:55:22 1024

空空如也

空空如也