M1n9K1n9的博客

2022/12/14 ------我已经把thm比较多的有关渗透测试的中、容易难度的room都做了很多，还有关于web、linux、linux提权方面的room。虽然有很多room我都没有写wp，我会补回来的，就当复习吧。我在完成渗透测试path后，并没有着急继续学习red path，而是选择在thm搜索实践的room并完成它，巩固渗透测试所有知识点，以及通过这些大量的room学习到更多的点。由于room比较多，比较花费时间，我只写paths的学习过程，尽量习惯去写writeUp。

ffuf还能扫目录，通过-u参数: “https://baidu.com/FUZZ” ‘FUZZ’将会被程序识别并匹配字典。python3 sublist3r.py -d 通过一大堆osint，搜索相关的子域信息。https://crt.sh/ 可以查站点ssl/tls的证书，作用就是可以收集子域。这里通过利用namelist.txt 爆破请求头中的host字段，以达到搜索出子域。记录点刚学的有意思的，前面有一些挺简单的没记录。-fs参数过滤多数size相同的结果。

TryHackMe 身份验证绕过

/ 穿越 返回上一级后面不可控，%00或0x00 截断注意：%00技巧是固定的，不适用于PHP 5.3.4及更高版本. 一个点代表当前目录/etc/passwd/. 等价于/etc/passwd 绕过如果有…/替换成空字符串可以尝试重写绕过 …//…//…//…//etc/passwd原理也很简单如果前面的路径不可控，可以直接…/穿越。

tryhackme讲的也比较清晰，摘抄点 点可以通过多种不同的方式在 Web 应用程序中发现潜在的 SSRF 漏洞。

tryhackme讲到的主要的点就是尝试闭合标签或者其他符号绕过，fetch()用于发起http请求btoa()用于将数据进行base64 encode。

首先是BS基础使用，很简单不解释。刚学完基础和repeater、intruder的使用。

whois、https://dnsdumpster.com/、nslookup的使用，侦察网站的公开信息。

使用此挑战来测试您对网络安全模块中获得的技能的掌握程度。这个挑战中的所有问题都可以只使用，和来解决。

进到后台可以增删改book数据，/admin_add.php可以增加book数据，还可以上传图片，于是尝试.txt、.php等的后缀，发现是可行的，根据首页源代码分析，这里上传的"图片"都被保存到了/bootstrap/img/尝试/admin.php，结果还真进去了，刚准备burp suite爆破，结果随手一输admin，密码123，还真进去了。但是我们访问/bootstrap/img/，该目录可直接访问，并且flag.txt就在这里。因为这里不是重点，所以就不继续下去，

Matesploit 主要用于漏洞查找、漏洞利用。

以下问题将帮助您更好地了解如何在开发后使用 Meterpreter。您可以使用以下凭据来模拟通过 SMB（服务器消息块）的初始入侵（使用 exploit/windows/smb/psexec）msf6[*]msf6[*]msf6exploit(msf6exploit(msf6exploit(msf6exploit(msf6exploit() > run。

Shell and WebShell

https://tryhackme.com/room/windows10privesc

上面的有效负载实质上调用子进程。http://MACHINE_IP:5000/profile/{{ ‘’.http://MACHINE_IP:5000/profile/{{ ‘’.http://MACHINE_IP:5000/profile/{{ ‘’.http://MACHINE_IP:5000/profile/{{ ‘’.http://MACHINE_IP:5000/profile/{{ ‘’.http://MACHINE_IP:5000/profile/{{ ‘’.Python 中的类有一个名为 .

https://tryhackme.com/room/owasptop10

这里的主要目标是尽可能多地学习。确保您使用OpenVPN配置文件连接到我们的网络。部署机器并连接到我们的网络查找计算机公开的服务按照上面这句话，我们先使用nmap简单扫一圈┌──(root💀kali)-[]└─#nmap-sS访问80端口的web，好像没东西，到8080端口看一下，有网页。

你在酒吧里不停地吹嘘你的精英黑客技能，一些赏金猎人决定接受你的索赔！证明你的身份不仅仅是在酒吧喝几杯。我感觉到你的未来有甜椒和牛肉！

存在sqli漏洞，绕过登录进入后台后，存在任意文件上传漏洞，然后我们上传reverseshell，得到shell。在/var/backups下发现mike_home_backup文件夹，并存在.bash_history。翻看/var/www/html，最终在initialize.php发现了登录数据库的用户名和密码。可以运行bash /opt/rootkit.sh。进入数据库获得admin的MD5密码，提交。到这里就没了，于是去找找有没有备份文件。分析了一下exp，其实很简单。找到文件上传点，上传一句话。

我看了一下别人的writeup，别人是通过fuel的database.php获得root的密码。进去后查看系统版本为ubuntu 16.04且gcc命令正常，尝试CVE-2021-3943。打算通过http将reverseshell的payload上传过去，再直接运行。感觉我这个有点非预期，谁让这个cve这么猛呢，简直是通杀般的存在。只开80，直接访问，好家伙 FUEL CMS 1.4。尝试直接反弹shell，各种payload都不行。结果回显在网页源代码。成功getshell。

nmap可执行文件：https://raw.githubusercontent.com/andrew-d/static-binaries/master/binaries/linux/x86_64/nmap。CVE-2021-38647 解读文献：https://www.wiz.io/blog/omigod-critical-vulnerabilities-in-omi-azure。我们目录穿越到/bin/bash，作为我们的处理程序，我们的data就会被传入bash处理。然后把nmap传进去扫一下内网。

另外我发现ubuntu版本是18.04，并且gcc正常，有可能存在CVE-2021-3493。这段代码很简单，只要我们携带了SessionToken，不管这个值是什么，都可以。我们可以修改/etc/hosts将ip改为我们攻击机的ip并开启服务。查看一下源代码，发现了login.js和cookie.js。gobuster扫一波web，扫到/admin。得到了一个ssh密钥和用户名james。使用ssh2john为密钥生成hash。修改密钥文件的权限为600并登录ssh。循例，nmap扫一波。

进入仙境并夺取旗帜循例，nmap扫一波只开了22和80先进web查看一下,gobuster也扫一波目录查看源代码有个/img文件夹，里面有三张图片gobuster扫到：[Size: 0][Size: 0][--> ./][Size: 0][--> r/]对着/r/再扫一波子目录扫出/r/a与/r页面一样的内容，继续这样扫直到/r/a/b/b/i/t/尝试登录ssh：:~$成功登录这里的一切都是颠倒的:~"}我们可以修改python path。

版本小于1.8.28，在thm的另一个sudo漏洞教学的room中，我学到了关于小于1.8.28版本的漏洞。有一张图片，但是看这个图片竟是那个熟悉的女人，我相信学过misc或者图像处理的。重新加载页面，就一个视频，啥也没了，然后再看一下burp，看看每个请求的信息。我的burp安装了logger++，类似浏览器开发工具的network。直接复制这段东西去百度，得知是brainfuck ，果然都带个fuck。打开burp进80的web页面看一手，顺便gobuster爆一下目录。gobuster啥也没爆出来。

linux 内核 任意可读文件覆盖漏洞。

事实上pwnkit我已经用很多次了，感受到了其通用性的强大，我第一次使用它只是一次偶然的了解到，于是便一发不可收拾。那么我们今天就来了解一下原理吧CVE-2021-4034（俗称“Pwnkit”）是一个可怕的 Local Privilege E扩展 （LPE） 漏洞，位于 Linux 操作系统（以及许多其他 *nix 操作系统）上默认安装的“Polkit”包中。

在此会议室中，您将枚举Windows计算机，使用Metasploit获得初始访问权限，使用Powershell进一步枚举计算机并将权限升级到管理员。循例 nmap 扫一大堆端口，其中有80、8080、145、139、445、3389…进入8080的web页面看到是HTTP File Server v2.3searchsploit搜索相关版本的cve设置好相关的参数并运行exp，getshell。

即使您具有更高特权的令牌，您实际上也可能没有特权用户的权限（这是由于 Windows 处理权限的方式 - 它使用进程的主令牌而不是模拟令牌来确定进程可以或不能执行的操作）。使用之前先下载 https://github.com/samratashok/nishang/blob/master/Shells/Invoke-PowerShellTcp.ps1。有一处地方能够执行命令，查阅文档：https://www.jenkins.io/doc/book/managing/script-console/

题目要求使用metasploit，首先使用msfvenom生成payload。攻击机开启http服务，目标上使用powershell下载payload。网站上找不到，把图片也下载下载strings看看有没有东西，很遗憾没有。将payload的ip和port修改为我们的，并且将文件名修改为。然后通过社交得知，这是一部电影 小丑回魂中的🤡，百度得知名字。hydra爆web稍微确实是麻烦了点，直接用burp会更方便。题目提问网站的小丑图片中的小丑叫什么名字。题目要求使用hydra爆破。成功getshell。

本房间将介绍SQLi（手动或通过SQLMap利用此漏洞），破解用户散列密码，使用SSH隧道揭示隐藏的服务以及使用metasploit有效负载获得root权限。在目标上使用curl能够得知其服务是web，但是似乎被防火墙拦截了，该端口无法被外网访问。开启burp，正常发起搜索，然后在burp将该请求的信息导出到文件。将我们本地的8888端口流量通过ssh转发到目标的10000端口。我们已知的就是agent47的ssh登录凭据，尝试登录，成功。一个搜索页面，按照题目的要求，这里使用sqlmap。

attention.txt文件告诉我们系统出现漏洞，许多用户密码被更改，并且出现了疑似管理员的名字：miles dyson。里面有几封关于miles dyson的邮件，其中一封包含他的smb密码。很好，还是root权限执行，我们利用tar通配符注入尝试getroot。顺便看一下smb的anonymous下有没有东西，有四个文件。根据密码表，使用burp尝试爆破admin，无果，想起刚刚的miles dyson，尝试爆破，成功。进入这个页面跳转到了一个登录页面，尝试了之前的账号和密码，失败。

通过SQLi破坏Joomla CMS帐户，练习破解哈希并通过利用yum提升您的权限。找了一会，这里可以修改页面php内容，我们将其修改成reverse shell。这个文件包含了数据库的密码等，这个密码也是jjameson的用户密码。升级shell，目标主机没有python3，所以用python2。pwnkit CVE-2021-4034，pkexec利用。了解了一下这个exp，其实就是存在报错注入并进一步的利用。在web兜兜转转一番后，能力有限，找不到比较有用的信息。爆了近十分钟，爆出来了。

客户要求最小 提供有关评估的信息，希望参与 从恶意行为者的眼睛进行（黑匣子渗透 测试）。getshell翻车了，没事，按照已经做过的题的思路，我们换个shell后缀再尝试一下，asp不行尝试aspx。很好，那么根据一般思路，应该就是要上传个reverse shell然后在web上访问getshell。此外就没别的了，正当我想随便输入个错误路径时，发现没有任何错误页面和回显。此服务中允许使用任何工具或技术，但我们要求您先尝试手动利用。循例 nmap 扫，80的web访问不了，检索smb看看。

通过uname -a和cat /proc/version，我们得知其内核版本和ubuntu版本，手上捏着好几个适用的CVE，我尽量克制一下，先不用。当前的目录下存在wp-config.php，里面包含了数据库的账户和密码，但是数据库也没啥有用的东西。在/blog下发现了/wp-login.php，是一个wp的登录页面，尝试弱口令，失败。后台中的添加页面处存在图片上传点，但是似乎有白名单，尝试绕过了半天，都失败了。burp用腻了，换种工具玩玩，没错，它就是我们熟悉的hydra。

https://tryhackme.com/room/winadbasics

访问第一组 AD 凭据的两种常用方法是开源情报 （OSINT） 和网络钓鱼。我们在这里只简要提及这两种方法，因为它们已经在其他房间中进行了更深入的介绍。OSINT 用于发现已公开披露的信息。就 AD 凭据而言，发生这种情况可能有多种原因，例如：在公共论坛（如 Stack Overflow）上提问但在问题中披露敏感信息（例如其凭据）的用户。使用硬编码凭据将脚本上传到 Github 等服务的开发人员。由于员工使用其工作帐户注册其他外部网站，因此在过去违规行为中披露的凭据。

一旦我们有了第一组 AD 凭据以及在网络上对其进行身份验证的方法，一个充满可能性的全新世界就会打开！我们可以通过经过身份验证的访问（甚至是超低特权访问）开始枚举有关 AD 设置和结构的各种详细信息。在红队参与期间，这通常会导致我们能够执行某种形式的权限提升或横向移动以获得额外的访问权限，直到我们有足够的权限来执行和实现我们的目标。在大多数情况下，枚举和利用严重交织在一起。一旦枚举阶段显示的攻击路径被利用，将再次从这个新的特权位置执行枚举，如下图所示。

简而言之，横向移动是攻击者用来在网络中移动的一组技术。一旦攻击者获得了对网络第一台计算机的访问权限，移动就是必不可少的，原因有很多，包括： - 实现我们作为攻击者的目标 - 绕过现有的网络限制 - 建立额外的网络入口点 - 制造混乱并避免检测。虽然许多网络杀伤链将横向移动作为线性过程中的额外步骤，但它实际上是循环的一部分。在此周期中，我们使用任何可用的凭据来执行横向移动，从而使我们能够访问新计算机，在这些机器中，我们可以提升权限并在可能的情况下提取凭据。使用新发现的凭据，循环再次开始。

现在我们已经进行了内部侦察，并了解了有关AD结构和环境的土地布局，是时候进入开发阶段了。此阶段利用错误配置来执行横向移动和权限提升的组合，直到我们到达合适的位置来执行我们的目标，如下图所示。这个阶段通常与坚持相结合，以确保我们不会失去我们获得的新位置，但这将在下一个房间中介绍。它通常也与额外的枚举相结合，因为我们的新位置可能允许我们获得有关土地布局的其他信息。Active Directory 可以通过称为权限委派的功能委派权限和特权（不要与下一个任务中将讨论的 Kerberos 委派混淆）。

终于也要接近尾声了，学了好几天的ad，每天花十几个小时进去，这段学习过程还算是有点难度的。