M1n9K1n9的博客

条件竞争（Race Condition）是一种经常出现于并发编程中的问题，发生在多个进程或线程并行执行时，它们对共享资源的访问和修改没有适当的同步机制。简而言之，当程序的行为依赖于执行顺序，而这个顺序在不同的运行中可能会变化时，就会产生条件竞争。在这里，带来TryHackMe近期的挑战房间中的条件竞争提权，以及过去与它相似的windows11 theme主题RCE漏洞themebleed。

最近执行任务时，需要动用自己的免杀知识却发现它们不再生效，于是就有了本文。这次对windows api和C#又有了比在thm​学习时更深的认识和了解。

事实上在去年htba的学习中就接触了xxe的这些知识和技巧，今天我们在thm上通过这个房间进行回顾一下。

使用服务器利用技能来控制 Web 应用程序。

nps是一款轻量级、高性能、功能强大的内网穿透代理服务器。目前支持tcp、udp流量转发，可支持任何tcp、udp上层协议（访问内网网站、本地支付接口调试、ssh访问、远程桌面，内网dns解析等等……），此外还支持内网http代理、内网socks5代理、p2p等，并带有功能强大的web管理端。

最简单而具有代表性的总结：之前所学的知识为我带来了大量帮助，坚持不懈，重新分析所有信息、战至攻防最后一刻是我这次做的最正确的事情。第二场某市的攻防演练，也就是我们本文的重点，有了第一次攻防演练的教训和哑巴亏、以及经验，第二场攻防在与队友的配合之下，取得很多成果，在众多企业队伍的高排名中，我们夺得了属于我学校队伍的一席之地。以下所有内容均以技术角度进行分享，不涉及任何保密协议相关的内容，所有截图也已脱敏，确保不泄露任何不利信息，仅在技术角度做技术知识、经验共享。

WebSocket走私相关的知识在前段时间学习过http1/2走私、websocket走私，所以令我对response status code 101和426有了从未有过的并成功在实战中关注到101和426的http响应，最终找到一处WebSocket走私导致了SSRF此处 WebSocket升级时导致走私的原因是设置了错误的版本，如，请求头：Sec-WebSocket-Version: 777再将Content-Length设置为0，即可触发WebSocket走私，进而导致SSRF。

跨源资源共享，也称为 CORS，是一种允许 Web 应用程序安全地从不同域请求资源的机制。这对于网络安全至关重要，因为它可以防止一个页面上的恶意脚本通过浏览器访问另一个网页上的敏感数据。同源策略，也称为SOP，是一种限制网页与不同来源的资源交互的安全措施。源由方案（协议）、主机名（域）和 URL 端口定义。简单来讲就是通过CORS控制SOP进行跨域资源访问跨源资源共享 (CORS) 是一种由 HTTP 标头定义的机制，允许服务器指定如何从不同源请求资源。

Holo是一个Active Directory（AD）和Web-App攻击实验室，旨在教授核心Web攻击媒介和更高级的AD攻击技术。此网络模拟公司网络上的外部渗透测试。Holo 是一个 Active Directory 和 Web 应用程序攻击实验室，教授核心 Web 攻击媒介和高级\晦涩的 Active Directory 攻击以及一般的红队方法和概念。该网络模拟了具有一个预期杀伤链的公司网络“Hololive”上的外部渗透测试。

在遥远的未来的元宇宙中，一个名叫杰克剥削者的臭名昭著的网络犯罪分子被抓获，试图从国王的加密钱包中窃取。作为惩罚，他被迫参加多个沙盒游戏。你能帮助他逃脱，远离国王的军队并找到所有的旗帜吗？为了帮助剥削者杰克，你需要通知他你正在接受挑战！

学完、打完后的复习。

将近四个月没发博客了，今天交代一下最近发生的事情和规划。

2022/12/14 ------我已经把thm比较多的有关渗透测试的中、容易难度的room都做了很多，还有关于web、linux、linux提权方面的room。虽然有很多room我都没有写wp，我会补回来的，就当复习吧。我在完成渗透测试path后，并没有着急继续学习red path，而是选择在thm搜索实践的room并完成它，巩固渗透测试所有知识点，以及通过这些大量的room学习到更多的点。由于room比较多，比较花费时间，我只写paths的学习过程，尽量习惯去写writeUp。

ffuf还能扫目录，通过-u参数: “https://baidu.com/FUZZ” ‘FUZZ’将会被程序识别并匹配字典。python3 sublist3r.py -d 通过一大堆osint，搜索相关的子域信息。https://crt.sh/ 可以查站点ssl/tls的证书，作用就是可以收集子域。这里通过利用namelist.txt 爆破请求头中的host字段，以达到搜索出子域。记录点刚学的有意思的，前面有一些挺简单的没记录。-fs参数过滤多数size相同的结果。

TryHackMe 身份验证绕过

/ 穿越 返回上一级后面不可控，%00或0x00 截断注意：%00技巧是固定的，不适用于PHP 5.3.4及更高版本. 一个点代表当前目录/etc/passwd/. 等价于/etc/passwd 绕过如果有…/替换成空字符串可以尝试重写绕过 …//…//…//…//etc/passwd原理也很简单如果前面的路径不可控，可以直接…/穿越。

tryhackme讲的也比较清晰，摘抄点 点可以通过多种不同的方式在 Web 应用程序中发现潜在的 SSRF 漏洞。

tryhackme讲到的主要的点就是尝试闭合标签或者其他符号绕过，fetch()用于发起http请求btoa()用于将数据进行base64 encode。

首先是BS基础使用，很简单不解释。刚学完基础和repeater、intruder的使用。

whois、https://dnsdumpster.com/、nslookup的使用，侦察网站的公开信息。

使用此挑战来测试您对网络安全模块中获得的技能的掌握程度。这个挑战中的所有问题都可以只使用，和来解决。

进到后台可以增删改book数据，/admin_add.php可以增加book数据，还可以上传图片，于是尝试.txt、.php等的后缀，发现是可行的，根据首页源代码分析，这里上传的"图片"都被保存到了/bootstrap/img/尝试/admin.php，结果还真进去了，刚准备burp suite爆破，结果随手一输admin，密码123，还真进去了。但是我们访问/bootstrap/img/，该目录可直接访问，并且flag.txt就在这里。因为这里不是重点，所以就不继续下去，

Matesploit 主要用于漏洞查找、漏洞利用。

以下问题将帮助您更好地了解如何在开发后使用 Meterpreter。您可以使用以下凭据来模拟通过 SMB（服务器消息块）的初始入侵（使用 exploit/windows/smb/psexec）msf6[*]msf6[*]msf6exploit(msf6exploit(msf6exploit(msf6exploit(msf6exploit() > run。

Shell and WebShell

https://tryhackme.com/room/windows10privesc

上面的有效负载实质上调用子进程。http://MACHINE_IP:5000/profile/{{ ‘’.http://MACHINE_IP:5000/profile/{{ ‘’.http://MACHINE_IP:5000/profile/{{ ‘’.http://MACHINE_IP:5000/profile/{{ ‘’.http://MACHINE_IP:5000/profile/{{ ‘’.http://MACHINE_IP:5000/profile/{{ ‘’.Python 中的类有一个名为 .

https://tryhackme.com/room/owasptop10

这里的主要目标是尽可能多地学习。确保您使用OpenVPN配置文件连接到我们的网络。部署机器并连接到我们的网络查找计算机公开的服务按照上面这句话，我们先使用nmap简单扫一圈┌──(root💀kali)-[]└─#nmap-sS访问80端口的web，好像没东西，到8080端口看一下，有网页。

你在酒吧里不停地吹嘘你的精英黑客技能，一些赏金猎人决定接受你的索赔！证明你的身份不仅仅是在酒吧喝几杯。我感觉到你的未来有甜椒和牛肉！

存在sqli漏洞，绕过登录进入后台后，存在任意文件上传漏洞，然后我们上传reverseshell，得到shell。在/var/backups下发现mike_home_backup文件夹，并存在.bash_history。翻看/var/www/html，最终在initialize.php发现了登录数据库的用户名和密码。可以运行bash /opt/rootkit.sh。进入数据库获得admin的MD5密码，提交。到这里就没了，于是去找找有没有备份文件。分析了一下exp，其实很简单。找到文件上传点，上传一句话。

我看了一下别人的writeup，别人是通过fuel的database.php获得root的密码。进去后查看系统版本为ubuntu 16.04且gcc命令正常，尝试CVE-2021-3943。打算通过http将reverseshell的payload上传过去，再直接运行。感觉我这个有点非预期，谁让这个cve这么猛呢，简直是通杀般的存在。只开80，直接访问，好家伙 FUEL CMS 1.4。尝试直接反弹shell，各种payload都不行。结果回显在网页源代码。成功getshell。

nmap可执行文件：https://raw.githubusercontent.com/andrew-d/static-binaries/master/binaries/linux/x86_64/nmap。CVE-2021-38647 解读文献：https://www.wiz.io/blog/omigod-critical-vulnerabilities-in-omi-azure。我们目录穿越到/bin/bash，作为我们的处理程序，我们的data就会被传入bash处理。然后把nmap传进去扫一下内网。

另外我发现ubuntu版本是18.04，并且gcc正常，有可能存在CVE-2021-3493。这段代码很简单，只要我们携带了SessionToken，不管这个值是什么，都可以。我们可以修改/etc/hosts将ip改为我们攻击机的ip并开启服务。查看一下源代码，发现了login.js和cookie.js。gobuster扫一波web，扫到/admin。得到了一个ssh密钥和用户名james。使用ssh2john为密钥生成hash。修改密钥文件的权限为600并登录ssh。循例，nmap扫一波。

进入仙境并夺取旗帜循例，nmap扫一波只开了22和80先进web查看一下,gobuster也扫一波目录查看源代码有个/img文件夹，里面有三张图片gobuster扫到：[Size: 0][Size: 0][--> ./][Size: 0][--> r/]对着/r/再扫一波子目录扫出/r/a与/r页面一样的内容，继续这样扫直到/r/a/b/b/i/t/尝试登录ssh：:~$成功登录这里的一切都是颠倒的:~"}我们可以修改python path。

版本小于1.8.28，在thm的另一个sudo漏洞教学的room中，我学到了关于小于1.8.28版本的漏洞。有一张图片，但是看这个图片竟是那个熟悉的女人，我相信学过misc或者图像处理的。重新加载页面，就一个视频，啥也没了，然后再看一下burp，看看每个请求的信息。我的burp安装了logger++，类似浏览器开发工具的network。直接复制这段东西去百度，得知是brainfuck ，果然都带个fuck。打开burp进80的web页面看一手，顺便gobuster爆一下目录。gobuster啥也没爆出来。

linux 内核 任意可读文件覆盖漏洞。

事实上pwnkit我已经用很多次了，感受到了其通用性的强大，我第一次使用它只是一次偶然的了解到，于是便一发不可收拾。那么我们今天就来了解一下原理吧CVE-2021-4034（俗称“Pwnkit”）是一个可怕的 Local Privilege E扩展 （LPE） 漏洞，位于 Linux 操作系统（以及许多其他 *nix 操作系统）上默认安装的“Polkit”包中。

在此会议室中，您将枚举Windows计算机，使用Metasploit获得初始访问权限，使用Powershell进一步枚举计算机并将权限升级到管理员。循例 nmap 扫一大堆端口，其中有80、8080、145、139、445、3389…进入8080的web页面看到是HTTP File Server v2.3searchsploit搜索相关版本的cve设置好相关的参数并运行exp，getshell。

即使您具有更高特权的令牌，您实际上也可能没有特权用户的权限（这是由于 Windows 处理权限的方式 - 它使用进程的主令牌而不是模拟令牌来确定进程可以或不能执行的操作）。使用之前先下载 https://github.com/samratashok/nishang/blob/master/Shells/Invoke-PowerShellTcp.ps1。有一处地方能够执行命令，查阅文档：https://www.jenkins.io/doc/book/managing/script-console/