hack the box[HTB]web题之Fuzzy

最新推荐文章于 2024-01-30 15:09:01 发布
最新推荐文章于 2024-01-30 15:09:01 发布
阅读量1.8k 收藏
点赞数
分类专栏: hackthebox 文章标签: php web 渗透 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39682037/article/details/105761445
版权

Fuzzy

题目描述

We have gained access to some infrastructure which we believe is connected to the internal network of our target. We need you to help obtain the administrator password for the website they are currently developing.

流程

大致是说给我们一个内网入口,叫我们去获得管理员密码

登网站看一下

欢迎来到Acme的公司…XXX(看着就是简介)
在这里插入图片描述
上图肯定不会是管理员界面,用目录扫描工具扫一下有什么吧。

gohb@gohb:~/桌面$ gobuster dir -u http://docker.hackthebox.eu:30568/ -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt

在这里插入图片描述
css,js这是拿来渲染界面的没啥用,/api 应该是什么接口之类的文件,扫一下下面有什么

gohb@gohb:~$ gobuster dir -u http://docker.hackthebox.eu:30568/api -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -x php,txt,html,htm

index.html 估计是首页,看看action.php吧
在这里插入图片描述
进入action.php界面如下:
在这里插入图片描述
提示说参数未设置,估计是后面要跟什么参数吧,用wfuzz测一下

wfuzz --hh=24 -c  -w /usr/share/dirb/wordlists/big.txt http://docker.hackthebox.eu:30568/api/action.php?FUZZ=testc

在这里插入图片描述
找到个reset,risorse(只有reset下面有东西),继续wfuzz

gohb@gohb:~/桌面$ wfuzz --hh=27 -c  -w /usr/share/dirb/wordlists/big.txt http://docker.hackthebox.eu:30568/api/action.php?reset=FUZZ

在这里插入图片描述
扫到一个参数20和334,?reset=334好像错了
在这里插入图片描述

?reset=20成功

在这里插入图片描述

qq_39682037
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HackTheBox靶场系列(一)之HackTheBox靶场简介
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
11-30 3388
Hack The Box是国外的一个网络安全在线平台,允许用户实践渗透测试技能,并与其他类似兴趣的成员交流想法和方法。它包含一些不断更新的挑战,其中有许多模拟真实场景的机器。HackTheBox靶场是一个虚拟的渗透测试训练平台,用于帮助安全研究人员、渗透测试人员和学生提高他们的技能。它包含一系列的虚拟机,其中每一个虚拟机都代表一个可攻击的目标系统。通过攻击这些虚拟机和解决它们的漏洞,用户可以提高自己的技能和知识,以更好地了解实际环境中的攻击和防御。
Hack The Box,一款有意思的渗透测试平台
m0_60571990的博客
11-28 6542
Hack The Box,一款有意思的渗透测试平台
HTB笔记
shuaizhijun的博客
07-19 1367
HACK THE BOX:Emdee five for life 目类型:web 目难度:简单 目考点:requests模块,session,选取元素 注意点:可能会因为网络延迟的原因导致没有出结果,请多试几次! import requests from bs4 import BeautifulSoup import hashlib url1="http://46.101.20.243:32456/" # headers="'User-Agent':Mozilla/5.0 (Windows NT
Hack The Box真实靶机环境搭建教程
大河之犬的博客
05-23 1985
应该是连接VPN走的端口,既然我们是在中国,还是选择UDP这种无连接的协议比较好。然后就可以下载VPN配置文件了。接下来,这里有欧洲和美国两个地区,每个地区只有一个服务节点,选择自己的VPN对应的节点。
HTB-writeups:此仓库包含HackTheBox的文章
05-01
【标】"HTB-writeups:此仓库包含HackTheBox的文章" 这个标表明这是一个与网络安全相关的资源库,特别是关于HackTheBoxHTB)的挑战和机器的解决过程记录。HackTheBox是一个在线平台,允许安全专家和爱好者通过...
hackthebox:HTB 机器和 InfoSec 社区的笔记
08-04
黑盒子 HTB机注意事项将定期更新,旨在解开所有可能的方式并准备考试还有更多待更新创建和维护: cyberwr3nch内容向无国界医生说不!这个不断地从5月3日更新RD 2020感谢造访菜鸟cyberwr3nch :wrench: TCSC Learn and...
vagrant-htbHackTheBox的Vagrantfile
03-01
流浪汉 Kali流浪者设置(最低) 安装工具 vim 网络工具 python3 解压缩 多路复用器 纳帕 网页壳 ...如果要添加更多,只需编辑Provision / kali.yml文件。...再一次,g,如果您想添加更多,只需将git repo...cd vagrant-htb
hackthebox-writeups:HacktheBox'boot2root'计算机的编写
05-12
hackthebox撰写HacktheBox计算机(boot2root)的文章和用西班牙语或英语编写的挑战。有关密码保护的重要说明直到2020年3月的机器写入都受到相应的根标志的保护。 但是自此日期以来,HTB标志是动态的,并且对于每个...
Hack the box的Easy难度比较有价值的靶机.rar
11-04
"Hack the Box"(HTB)是一个在线平台,提供各种虚拟靶机,让安全专家和爱好者通过模拟真实世界的攻击场景来提升自己的技能。这个“Easy”难度级别的靶机是为初学者设计的,旨在帮助他们入门渗透测试的基础知识。 ...
Hack The Box 玩转指南:初学者到高手的渗透测试之旅》
最新发布
2201_75353421的博客
01-30 1808
Hack The Box 实战指南:从注册到成功通关的渗透测试之旅》介绍了在Hack The Box平台上进行渗透测试的全过程。从注册开始,通过连接实验室、生成自己的服务器,一直到成功通关的每一步都得到详细解说。这是一篇适合初学者的实用指南,旨在帮助读者提高渗透测试技能和实际操作经验。
Hack The Box靶场使用流程及方法
z875611510的博客
06-09 4136
协议有两个:UDP1337、TCP443,应该是连接VPN走的端口,既然我们是在中国,还是选择UDP这种无连接的协议比较好。国内视频介绍(kali连接htb):https://www.bilibili.com/video/BV1Q94y1f73u。以上就是hackthebox靶场的使用和第一关详解,总的来说这个靶场还是基础的,里面的资源也比较丰富,适合安全初学者入门。登录我们的HTB账号,点击右上角的“CONNECT TO HTB”,上面有两个选项,这里选择入门的就行。
入坑 Hack The Box
LainWith的博客
10-19 1万+
视频介绍:https://www.bilibili.com/video/BV17T4y1i7Uh 官方文档:https://help.hackthebox.com/en/articles/5185158-introduction-to-hack-the-box个人感觉前者偏向实战一些,后者偏向练习一些。更详细的区别,参见: https://hacktalk.net/hacking-the-box-htb-vs-vulnhub/过去注册HTB的时候,需要拿到邀请码才行,类似下面视频这种,但是现在你不需要邀请
Hackthebox入门
热门推荐
DTSknanLP的博客
02-28 2万+
Hackthebox-Paper
连接Hack The Box靶场教程
Atopos545的博客
01-24 1023
进去后选好节点,随便选一个就行。免费的就是下载对方vpn并连接,付费的就直接开启一个Pwnbox,我就用的是免费的,这里只介绍免费的方法。下好后把文件放到kali虚拟机里面,创建一个文件放进去就可以了,或者放桌面都行,就看你启动的时候方不方便。之后在终端启动openvpn,就刚才放进kali的文件。新手都是从Starting Point开始的,这里就以这个为例,其他的复刻一下这个步骤就好了。这三种分别对应左边的三种靶机,你要打那个靶机就去开启那个靶机对应的vpn。这样就可以尽情的去打靶,去渗透了!
第一章 网络安全从实战入门 hack the box
qq_42676415的博客
04-24 633
这会下载一个后缀为ovpn的文件,这个文件就是链接hack the box 的网络文件。(3)输入openvpn (路径)文件名,然后回车开始链接hack the box 的网络。二、我们使用kali系统,这个可以安装虚拟机,网络上教程一大堆,不在手把手教。(不会安装,不知道如何在官网下载的可以私信我)(2)输入sudo -I 命令切换为超级管理员用户。我们利用hack the box 进行教学,官方网址。在终端显示如下后,刷新网页如下右边就是链接成功。三、链接hack the box 的网络。
HackTheBox配置详解
2301_78325931的博客
06-02 389
2023HackTheBox配置一次过
HackTheBox 如何使用
网络安全学习
04-14 4639
如何开始? 1.到官网注册一个账号 https://www.hackthebox.com/ 2.验证自己的邮箱 3.下载 openvpn 4.到左边的 labs 实验室开始学习或直接点击 start point 5.点击想要完成的靶机,比如第 0 层的第一个靶机,选择 connnect to htb 选择 openvpn 会自动下载 openvpn 的文件,然后用 openvpn 导入,稍等一下即可连接 在 kali(linux)中如何连接? 同样是执行下载的文件 ┌──(root💀kali)-[~/d
生命在于折腾——HackTheBox入门
易水哲的博客
01-12 1508
HackTheBox入门教程
hackthebox
09-11
Hack The Box (HTB) 是一个在线的渗透测试和网络安全训练平台。它提供了一系列虚拟机,供用户尝试攻击和入侵。用户可以通过解决一系列的密码学、网络、应用程序等挑战来增强他们的渗透测试技能。HTB 的目标是帮助...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值