Hack The Box Starting Point 渗透测试入门靶场 TIER 1 - Appointment

最新推荐文章于 2023-08-15 12:00:00 发布
最新推荐文章于 2023-08-15 12:00:00 发布
阅读量477 收藏 1
点赞数
文章标签: web安全 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42445757/article/details/124273493
版权

因为俺是一个学生,所以只打HTB免费的靶机。。。
这一关的类型是SQL相关。
在这里插入图片描述

TASK 1,SQL是什么?Structured query language,结构化查询语言。
在这里插入图片描述

TASK 2,一种最常见的SQL漏洞类型?以n结尾,很明显是SQL注入,即SQL Injection
在这里插入图片描述

TASK 3,PII是什么?Personally Identifiable Information。
在这里插入图片描述
在这里插入图片描述

用户数据保护中的常用术语,搜索一下:
个人可识别信息(PII,Personally Identifiable Information)是一个与信息安全环境有关的法律术语。虽然PII有几个正式的定义,但一般来说,它是可以被组织单独使用或与其他信息一起使用的信息,以识别、联系或定位一个人,或识别一个人的背景。

TASK 4,OWASP TOP 10将此漏洞命名为什么?A03:2021-Injection。
在这里插入图片描述
在这里插入图片描述

TASK 5,80端口上运行的服务和版本。Apache httpd 2.4.38 ((Debian))
在这里插入图片描述

nmap扫描一下(-sV:探测版本,-sC:使用默认脚本),得到Apache httpd 2.4.38 ((Debian))
在这里插入图片描述

TASK 6,HTTPS协议的标准端口是什么?443。
在这里插入图片描述

TASK 7,运气好的话怎么利用登陆页面?应该是暴力破解,brute-forcing
在这里插入图片描述

TASK 8,WEB应用中文件夹的术语叫什么?目录,Directory
在这里插入图片描述

TASK 9,Not Found错误的响应码是多少?404 Not Found,常见。
在这里插入图片描述

TASK 10,使用Gobuster指定寻找目录而非子域。dir,指定扫描目录。
在这里插入图片描述

TASK 11,使用什么符号注释代码?#
在这里插入图片描述

最后要拿到flag,我们之前nmap扫描到该80端口是一个login页面,首先使用弱口令admin/admin尝试,经过测试呢,好像行不通,那么我们想到,这一关是SQL相关的知识,这里也应该使用SQL相关语句,那么我们就测试admin’ #,密码随意,使用单引号将前面闭合,使用#注释掉后面的密码部分,构造出类似username = ‘admin’ #’ and passwd = 'asdawe’的登陆语句,后面的密码部分被#注释掉。成功登陆。
在这里插入图片描述
在这里插入图片描述

D4vid
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HTB靶场 Shared
weixin_45682839的博客
08-22 2016
HTB靶场shared靶机通关攻略记录,涉及知识点包括:端口服务扫描、sql注入(cookie)、linux提权(ipython越权漏洞、redis逃逸漏洞)
soloproject-tier1-website-template:Chingu Solo Project-Tier 1-网站模板
05-25
Chingu Solo Project-Tier 1-网站模板 概述 该项目通过克隆HTML / CSS / JS中的“征服”网站模板而没有Bootstrap,jQuery或其他库(例如Materialize),为您提供了制作Modern Looking Web应用程序的绝妙实践! 当您...
靶场笔记-HTB Soccer
最新发布
xnxqwzy的博客
08-15 98
发现该靶机开放了22和80端口,并且使用Nginx。
HTB靶场记录】TIER-0
Madess的博客
04-25 593
HTB靶场好像从21年取消获取邀请码这个小门槛之后就可以直接注册,虽然他是个氪金游戏,但是还是想小摸一把,在经历曲折的注册过程(明白了科学上网的重要性,以及被谷歌的验证码折磨了一轮)... 1.连接靶场的vpn 点击lab打开第一个靶场,点击connect to HTB 选择端口下载并打开文件 刷新显示连接成功 2.Meow 获取靶机IP,kali可以直接ping通靶机IP地址 靶机:10.129.5.209 开始答题(直接配合翻译食用) 第一题:首字母缩写VM代.
HTB靶场系列 Windows靶机 Blue靶机
weixin_57543652的博客
01-10 396
本文已参与「新人创作礼」活动,一起开启掘金创作之路ms17-010漏洞,也就是广为人知的永恒之蓝,非常简单的一个靶机,因为几乎不用提权,ms17-010漏洞使用成功获取的就是system级别的权限。
Hackthebox靶场连接
weixin_47100211的博客
04-03 2935
关于注册账号 刚开始注册账号 注册账号需要科学上网之后才可以注册,否则点击注册后没有反应 另外在填写全名时需要在姓后面加空格否则不符合规范 例如: Zhang san 靶场会提供免费的机器来供参与者使用,VIP会有更多的功能和把靶场使用,并且有官方的靶场解析,每周会有新的靶场加入到免费的使用中。 使用靶场有两种方式,第一种是在线环境,但是免费用户只有2个小时的使用时间,我使用本地的第二种方法,用kali连接VPN使用靶场。 选择第一个靶场后下载VPN文件: 有两种方法可以连接,我选择的
HTB靶场使用教程
鹧鸪的起点
07-25 958
简单介绍下HTB注册教程
入坑 Hack The Box
LainWith的博客
10-19 9384
视频介绍:https://www.bilibili.com/video/BV17T4y1i7Uh 官方文档:https://help.hackthebox.com/en/articles/5185158-introduction-to-hack-the-box个人感觉前者偏向实战一些,后者偏向练习题一些。更详细的区别,参见: https://hacktalk.net/hacking-the-box-htb-vs-vulnhub/过去注册HTB的时候,需要拿到邀请码才行,类似下面视频这种,但是现在你不需要邀请
htb:Starting Point
LainWith的博客
10-19 1244
第0层部分靶机免费,部分靶机收费。由于这部分太过简单,因此一笔带过。 第一关Meow是telnet靶场:https://www.bilibili.com/video/BV1nS4y137GQ 第二关Fawn是ftp靶场:https://www.bilibili.com/video/BV11F41147Kf 第三关Dancing是SMB靶场:https://www.bilibili.com/video/BV1nS4y137vm 第四关Redeemer是Redis靶场:https://www.theethica
[HTB靶场记录]TIER-1(上)
Madess的博客
05-03 485
Appointment靶机+Sequel靶机
vulnhub靶机-School: 1
臭nana的博客
02-06 1973
1、找到靶机ip:192.168.75.18 nmap -sn 192.168.75.0/24 2、扫描靶机端口 root@chounana:~# nmap -p- -A 192.168.75.18 Starting Nmap 7.80 ( https://nmap.org ) Nmap scan report for 192.168.75.18 Host is up (0.00042s latency). Not shown: 65532 closed ports PORT STATE
soloproject-tier1-chingu-trivia:Chingu Solo Project-Tier 1-Chingu Trivia
05-25
Chingu Solo Project-Tier 1-Chingu Trivia概述这个项目是开发干净现代的网页的绝好机会。 Trivia应用程序将跨层完成,而每一层都将复杂性提高到新的水平。 您目前在第1层存储库中。 您将负责对HTML , CSS和...
Data Center Site Infrastructure Tier Standard- Topology中文.pdf
04-14
该文档为Data Center Site Infrastructure Tier Standard- Topology的中文翻译,能够为数据中心设计者提供辅助和参考,适用于数据中心的建设者、设计者、运营者
Tier-1-Coding-in-JPEG2000-master.zip
11-22
JPEG2000 T1编码,MATLAB 找了很久才找到的
Tier-1-Load.py.zip_damage_damage plastic_elasto-plastic_plastic
09-24
Calculation of Damage elasto plastic constants MTS output
HTB Lame[Hack The Box HTB靶场]writeup系列1
重新启程
02-01 2455
首先祈祷一下SARS病情尽快过去,武汉加油!湖北加油! 为了不给国家添乱,所以我在HTB订阅了VIP,准备搞下Retired Machines的靶机。 目录 0x00 靶场介绍 0x01 扫描端口 0x02 ftp服务 0x03 smb服务 0x00 靶场介绍 我们从第一个lame开始。 如何注册账号,购买vip,网上有大把文章,这里我就不再记录了。 这个系列主要是...
Hack The Box靶场练习之Lame
qq_44767905的博客
01-31 461
HTB-----Lame
Hacker The BoxAppointment 4
Angelxiqi的博客
04-11 250
在这是跳过几个的,那几个要开会员才能申请机器。(我还没有开) 第一题 第二题 第三题 第四题 注意符号 第五题 nmap -A -p80 10.129.158.179 -p指定端口 第六题 第七题 第八题 第九题 状态码200 表示成功 状态码30X 表示跳转 状态码40X 表示请求失败 状态码50X 表示服务器端错误 详细的可以参考这个 https://blog.csdn.net/...
入门渗透:SQL注入登录页面——Appointment
栉风沐雪的博客
02-16 625
它是最受欢迎的HTTP服务器之一,通常在标准HTTP端口上运行,例如端口 80 TCP、443 TCP 以及 HTTP 端口(如 8080 TCP 或 8000 TCP)上的端口。发现80端口http服务开启,Apache版本为2.4.38,通过搜索引擎查看该版本的漏洞,发现不含任何已知的可以利用的漏洞。/home /login /contact /login/forgot 均无所发现,尝试使用gobuster工具。#在其中表示注释语句,那么尝试利用用户名一栏注释掉密码需求,实现只用用户名就可以登入,
汽车tier1和主机厂的区别
06-09
汽车 Tier1 企业和主机厂在汽车供应链中扮演着不同的角色。Tier1 企业通常是供应链中的一级供应商,他们向主机厂提供汽车零部件和系统。Tier1 企业通常专注于某个特定领域,例如发动机、底盘、电子系统等,他们负责...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值