墨痕诉清风的博客

连接openvpn，会出现一个172.16.233.2的网络，模拟vps，创建一个1.dtd，本地起http服务。administrator用户桌面上：右键桌面->个性化，背景选择“幻灯片放映”然后权限比较低，需要提权，使用BadPotato.exe上线Vshell。因为后台有路径随机化，猜测一下是cslab。本地起一个http服务，上线Vshell。拿到ldap_root_password。打开是海洋cms，版本为12.09。查看flag，添加用户开启3389。登录成功，直接打Nday，抓包。

查看后台的功能点，有模板功能，可以直接修改文件，修改tag下的index.php文件，插入webshell。这里感觉是和封神台的一样，要win7+菜刀才能连接，7月份一个学校的作业题遇到过这种情况.....爆破密码的时候好像有问题，手动试一下弱口令发现是:admin123456。转发上线——设置监听——建立socks代理——运行即可。看到302，去拦截的地方放包，放完之后就进后台了。进入后台找到工具——风格模板——可用模板，抓包。设置监听——生成后门——运行即可上线。通过枚举用户名，发现admin存在。

Weblogic服务器不仅可以访问到Tomcat服务器，也可以访问到172.26.0.30主机，因此我们可以利用它来实现访问在二层的内网网段172.26。这里因为中国蚁剑的模拟终端会自动的把进程放到后台，因此，无法直接在终端中与我们留下的后门进行命令交互，这里采用管道。为了能够持续的对目标进行控制，我们可以通过在目标机器上留下一个后门，方便我们下次继续控制目标，并得到。往下拉，找到Tomcat项目部署功能，此功能允许用户通过上传war包，来部署自己的应用项目。

DCSync（域控制器同步）攻击利用的是域控制器之间的数据同步复制机制。172.22.1.15就不用看了，172.22.1.21是个存在永恒之蓝的Win7，172.22.1.18是个信呼OA的系统，172.22.1.2是个域控。拿到所有用户的hash，172.22.1.2 的 445 端口开放，利用 smb 哈希传递，直接用 kali 自带的 crackmapexec攻击。回显出来的就是写进去一句话木马的路径，访问路径就可以执行命令，然后在蚁剑上配置一下代理，如果不配的代理话蚁剑也是没法直接访问到内网的。

主机信息收集、Java代码审计、Java内存马注入、恶劣环境下的权限获取(不出网)、容器化信息收集、容器逃逸、蜜罐对抗、Webshell杀软对抗、多级代理域渗透等技术。

CVE 编号影响：Windows 7、Windows 8.1、Windows 10、Windows Server 2008、Windows Server 2012、Windows Server 2016 等版本。类型：本地权限提升（Local Privilege Escalation, LPE）

这种漏洞允许攻击者注入恶意XPath代码，从而操纵应用程序对XML数据的处理方式。当应用程序使用用户提供的输入来查询XML数据时，如果这些输入没有经过适当的验证或清理，攻击者可以注入恶意XPath代码。这些代码可能在正常查询的上下文中执行，导致应用程序产生意外的结果或行为，类似于SQL注入。例如，假设一个应用程序使用用户提供的ID来检索XML数据。如果没有对ID进行适当的验证，攻击者可以注入类似于的XPath代码，从而获取所有具有管理员权限的用户的数据。

URL 跳转漏洞是指后台服务器在告知浏览器跳转时，未对客户端传入的重定向地址进行合法性校验，导致用户浏览器跳转到钓鱼页面的一种漏洞。访问 http://www.abc.com?url=http://www.xxx.com 直接跳转到 http://www.xxx.com 说明存在URL重定向漏洞。

Payload: `http://your-ip:8080/%0d%0aSet-Cookie:%20a=1`，可注入Set-Cookie头。Nginx会将`$uri`进行解码，导致传入%0d%0a即可引入换行符，造成CRLF注入漏洞。进入 /vulhub/nginx/insecure-configuration 目录。启动前关闭现有的 8080、8081、8082 端口服务，避免端口占用。利用 docker 搭建 vulhub 靶场。

Web应用程序期望用户指定域用户指定在DNS服务器中绑定了2个IP的域。应用程序处理用户请求并将域解析为Blocked IP（本例中为127.0.0.1），并提示错误消息。用户不断尝试一次又一次地触发相同的HTTP请求。当TTL到期的域IP，Web服务器将重新解析IP。现在，Web服务器将请求DNS服务器解析域的IP，这次DNS返回未列入黑名单的不同IP（8.8.8.8）。安全检查将通过，应用程序将继续从指定URL获取内容的过程。

8080 端口为映射到宿主机的访问端口。1. 安装 docker。

5. 在文本编辑器中打开“c0nnection.php”，并在PHP中进行以下更改。3. SQL命令创建一个名为“billu”的新用户。6. 导入SQL转存文件：ica_lab. sql。4. 设置用户可远程登录。

使用rpcclient，我发现我可以运行的命令有限，而使用smbclient，我可以列出机器上的所有共享。但是，在此之前，我想运行enum 4linux扫描，因为我发现我能够获得对这两个服务NULL访问。出于这个原因，我们将需要使用帖子中的DiskShadow示例来制作C:\ drive的阴影副本，然后我们将能够复制ntds.dit文件，因为它不会“使用”。由于所有的目录都是空的，我复制了所有的用户名并将它们粘贴到一个名为user.txt的TXT文件中，以使用kerbrute查看哪些是有效的。

除了自定义共享之外，我还可以看到SYSVOL共享，它包含一组文件和文件夹，这些文件和文件夹驻留在域中的每个域控制器上，并由文件复制服务（FRS）复制。找到密码后，我做的第一件事就是创建users.txt文件和password.txt文件，并将我的发现添加到相应的文件中。由于这不是一个标准的NTLM散列，我需要破解它，所以我完整地复制了它，并将其粘贴到一个名为hash.txt的文件中。接下来，我打开了递归模式并关闭了提示，这样我就可以在共享中一次看到所有文件，并下载我想要的文件，而不会被提示继续。

一旦nc.exe被下载到受害者上，我关闭了我的HTTP服务器，然后在我的攻击者机器上的端口445上启动了一个netcat侦听器。对于这个例子，我只是将请求转发到我的IP，而没有指定端口，因为我的Web服务器在端口445上，这个请求将针对端口80，该端口未打开。此外，当使用WinRM来获得我们的立足点时，我们进入了用户文档文件夹，在那里观察到有一个用于启用此权限的脚本，这暗示这是我们最有可能到达admin/SYSTEM的路径。然而，由于我们不是管理员用户，我们可能会发现我们没有执行此操作所需的权限。

到目前为止，我们已经得到了一个用户名aeolus，所以我们试图用hydra暴力破解它，经过长时间的等待，我们成功地得到了一个密码sergiotaemo。由于端口80是打开的，我们试图在浏览器中打开IP地址，但在网页上没有找到任何有用的信息。之后，我们能够访问在端口8080上运行的Web服务。为了证实我们的发现，我们在smbclient的帮助下使用空密码列出目标机器的共享资源，并得到了相同的结果。我们在Metasploit中搜索了LibreNMS应用程序可用的任何漏洞，并发现了一个可用的命令注入漏洞。

现在使用此密码尝试打开/helios目录。从该文件中我们发现了一条包含3个密码的短信[epidioko，qwerty，baseball]。通过使用这个漏洞，我尝试将部分导出为curl，这有助于调用/bin/bash [默认shell]执行/opt/statuscheck。现在转到/etc/hosts文件并添加symfonos。现在，我通过telnet使用SMTP服务注入恶意PHP代码，以将本地文件包含升级到远程代码执行。在日志文件中注入恶意PHP是给予邮件的详细信息。

所以，当我们运行测试脚本时，它没有提供任何有用的东西，因为它是一个测试工作bash脚本的演示，因此文件“test”是无用的，但它由root用户拥有，这对我们来说是可疑的。因此，我们创建了一个恶意文件，在给定命令的帮助下获取bash shell，并命名为“test”，然后尝试将其上传到/upload目录中，因为它是一个可写文件夹。因此，我们再次决定使用FTP匿名登录来替换真正的/test文件与伪造的/test文件，这将是一个后门，以提供更高的特权外壳。txt文件和机密文件。

在注册页面的源代码中，看到密码以明文形式留下。注册为一个随机的新用户，发布的问题admin.forum，可以在源代码中找到他的电子邮件地址。检查用户主目录中的内容，可以看到bashrc文件包含一个不寻常的大负载。一个有用的技巧是对用户主目录中的所有文件运行wc，这是一个很好的实践，这样就不会错过任何东西。注释不能被编辑，所以创建一个新的html元素并粘贴相同的注释代码。检查它的源代码，有一个表单，但输入和提交字段被注释掉了。当以管理员身份登录时，会在这个下拉列表下看到一个额外的选项。

最感兴趣的是一个条目，它似乎是使用SSH协议硬编码的凭证。现在的目标是在这台机器上安装一个反向shell，并滥用它来运行它，因为shell将作为SYSTEM返回。端口21上的SSH和3389上的RDP很少是初始入口点，但是如果遇到一些凭据，可以记住这一点。单击一个按钮重定向到另一个IP，这是有趣的，但也在端口33333，这是另一个服务器。.pdf文件是受密码保护的，可以使用John来破解文件，名为PDFCrack的工具。netstat命令中值得注意的是端口80，在最初的nmap扫描中不可用。

现在需要将请求发送到repeater，以便编辑它并注入PHP反向shell。在下面的请求中，确保文件名以“.php”结尾，并且原始请求的第一行被保留，因为这些是用于识别正在上传的文件类型的魔术字节。然后在magic byte sequence下面我们可以注入一个PHP Reverse shell。目录页/dev/index. php允许GIF上传。尝试上传不同的文件类型将被拒绝。上传文件并使用Burpsuite捕获请求。这可以通过首先上传合法的GIF文件来绕过。完成后，发送请求并检查是否上传。

查看了GlassFish的配置文件，看看我们是否可以读取任何敏感的凭据文件。此StackOverflow。从描述中可以看出，由于已经在系统上利用了目录遍历漏洞，因此可以读取所需的AppConfig.xml。看起来运行的GlassFish易受目录遍历攻击。以下漏洞利用示例可用于读取已知系统文件。手动查看其余的开放端口，会看到页面“SynaMan”，观察到它运行的是4.0版本。事实证明，我能够阅读管理散列的GlassFish与一点点猜测。使用链接中的一个示例，使用正确的IP和端口，我们可以构建一个。

攻击机器上设置一个Python SimpleHTTPServer来托管shell。在这样做之后，编辑了利用代码，包括我们拥有的凭据，并执行cmd.exe和certutil.exe。在端口8081上，在3.21.0.05版本上运行Sonar Nexus Repository manager。nexus：nexus的登录凭据可以访问Nexus。搜索漏洞利用会显示已验证RCE exploit-db。用msfvenom创建了一个反向shell来连接端口21。

使用SQL注入在服务器上编写一个PHP web shell，您必须首先创建一个帐户，然后登录到issuetracker应用程序来利用它，urlencode下面的有效载荷并将其注入http://192.168.96.147:17445/issue/checkByPriority?使用admin:admin登录nextcloud，网址为http://hawat.pg:50080/cloud/。经过一些源代码分析后，发现了一个SQL注入漏洞，它会影响这个端点上端口17445上的问题跟踪程序。

目标应用程序具有所谓的“操作”，当满足某个参数时，它允许执行某些脚本和文件。枚举端口，有40443，它没有从Nmap产生任何信息。可以从页面的页脚看到该软件是应用程序管理器（版本号：14700）。猜了一下密码就登录了。完成后，需要创建一个批处理文件，因为只有批处理文件和脚本在目标Web服务器上。使用searchsploit搜索漏洞，显示了build 14700的RCE。完成后打开python SimpleHTTPServer。reverse shell. 反壳。确保最底层的选项为'

知道了这一点，可以返回并使用凭据搜索LDAP，并专门查找 ms-Mcs-AdmPwd属性。使用有效的SMB凭据，无法列举任何进一步的有趣信息。从之前的Nikto结果来看，确实启用了Webdav。通过查看结果，没有得到很多有趣的信息，但是我们确实得到了DC的命名连接offsec.hutch。在最后一行中有一个密码，可以将其与fmcsorley条目列表中的最后一个用户相关联。在没有启用特定目录的情况下，以尝试在根页面上使用curl上传。使用本地管理员帐户对LDAP进行了验证，并获得了成功确认。

如果机器无法ping www.example.com（Google DNS服务器），脚本将根据脚本在目标系统上退出8.8.8.8，并且如果机器名称“受损”，脚本将退出。移除这些条件，剩下下面的脚本。但是，能够访问用户“scripting”的整个用户目录。从输出中，注意到下面的命令的多个实例正在系统上执行。正如可以通过命令所知道的，有效载荷是以base64编码的。从脚本中提取Base64字符串并通过base64运行它，发现一个潜在的密码字符串。检查用户组成员身份，看到用户脚本是“事件日志读取器”组的成员。

目录/hidden_text/包含一个文件secret.dic.我们可以提取这些信息并将其加载到。当阅读note.txt的内容时，看到e有一个潜在的用户名'ariana'。通过对feroxbuster运行secret.dic文件得到以下结果。查看根页面http://192.168.218.95。使用bash作为值再次运行脚本，然后能够执行。可以进入'share'目录并下载其中的内容。文件messenger.sh内容。命令得到用户selena。在端口80上打开了HTTP。该用户为docker组成员。

运行后，确定是“filter”组的成员，这是一个非默认组。浏览这篇文章，似乎盒子上的管理员已经遵循了安装和配置alterMIME的步骤，以获得附加到电子邮件中的声明。然后，在POP3的端口110上使用telnet登录到销售帐户，并能够检索到一封单一的电子邮件。再次表明布莱恩·摩尔是销售经理我们已经知道他的电子邮件地址从早些时候以及从我们的smtp枚举。对每个用户重复此操作，并将结果保存到文本文件中。然后，可以对每个用户运行脚本，这将生成用户名的变体。查看“我们的团队”的链接可以看到更多的部门和用户。

再次将这个恶意的exploit.jpg上传到Subrion CMS，大约10-15秒后，/bin/bash有SUID位。面板目录显示了确切的版本，即Subrion CMS 4.2.1和所需的用户凭据。ExploitDB和许多在线论坛都公开了此版本Subrion CMS的漏洞利用。访问了该网站，并立即注意到该网站上制作的CMS（Subrion CMS）。2. 上传runme.jpg文件到目录下，等待一分钟。创建了自己的恶意php文件，扩展名为. phar。使/bin/bash成为SUID二进制文件的步骤。

ftp服务器允许匿名登录。但是看不到目录列表。很快尝试了暴力强制一些默认的ftp凭据，并找到了匹配。共享文件夹中没有任何内容。也许以后可以用它来上传内容。下面来枚举端口80上的Web服务。现在使用redis-client导入模块，假设共享ftp文件夹在默认位置并且它工作正常。Redis 5.x存在远程代码执行漏洞。既可以运行它，也可以手动操作。执行完成后，将module.so文件上传到ftp服务器上。并构建module.so文件，执行bash命令。下载漏洞并将其传输到目标机器并执行。

它确实为提供了一个拒绝访问的页面，还显示Tomcat的默认凭据 tomcat：s3cret。可以使用Max中的use id_rsa文件来连接并使用更有用的东西来覆盖包装器文件，例如'bash'而不是'scp'。然后把Max的'id_rsa'密钥移到SSH文件夹/home/kali/.ssh/中，准备连接到SCP。编辑scp_wrapper. sh文件，使其包含命令'bash'，并更改了错误消息，以便进行故障排除。这意味着当以用户身份连接到SSH时，只能执行以'scp'开头的命令。

进一步查看linpeas，我们可以看到以下SUID权限文件，其中一个文件的名称很有趣，为'/usr/bin/password-store'。如果二进制文件允许sudo以超级用户身份运行，那么它不会放弃提升的特权，并且可以用于访问文件系统、升级或维护特权访问。在文本的输出中，将看到一个字段，该字段下有一个名为“001的密码：root：'获取this下的值，并尝试使用。命令完成后，移动到目标目录，并在文件上运行strings命令，以使其更具可读性。枚举一下，收集用户、组并执行RID循环。google搜索一下。

既然已经通过了身份验证，就可以搜索经过身份验证的漏洞了。我发现了一个针对3.9.3的经过验证的远程代码执行漏洞。有3.9.4，可以尝试它无论如何。在端口8081上，我们进入rConfig的登录页面。从着陆页可以看到，rConfig运行在3.9.4版本上。使用rockyou.txt。在FTP上进行了匿名登录的快速检查，并返回了登录错误。80的默认页面带到CentOS Apache测试页面。设法提取一个哈希值。现在有了以下rConfig的凭据。使用以下语法运行漏洞利用。suid find提权。

上传了一个简单的web shell到favicon.ico上传部分。确实尝试了一个标准的PHP反向shell，但无法让它进行回复。等待大约3分钟，cron作业执行，收到一个root shell。通过查看输出，有一个设置为每3分钟运行一次的cron作业。使用上述信息，可以读取带有以下URL的passwd文件。匿名登录的FTP进行初始检查会导致登录被拒绝的消息。由于FTP正在运行，最终将攻击机器托管在端口21上。作为www-data，可以编辑该文件。有几个文件要通过这里发现的有趣信息。

目标机器的根页面将带到标题为“UNDER CONSTRUCTION”（建设中）的空白页面。/test/目录将带到下面的页面，根据右下角，该页面正在ZenPhoto上运行。查看页面源代码并滚动到底部可以看到正在运行的ZenPhoto的确切版本。该shell不太稳定，反弹一个稳定的shell。爆破目录 和 nikto 一下。以下漏洞检测为“极有可能”google搜索查看漏洞。

从前面的结果中，确实有.NET远程处理在端口17001上运行。因此，此漏洞应适用于目标计算机。下载了漏洞并编辑了以下部分以匹配我的IP并使用本地端口21。端口9998引导到一个SmarterMail的登录页面。设置监听，获得一个反弹shell。端口80重定向到默认IIS页。已经是system权限了。google搜索漏洞。

提供了交互式或反向shell的选择。我选择了交互式shell，看起来有一个反向shell，但它不是很干净。因此，我在端口8080上打开一个侦听器，并再次运行脚本，这次使用了reverse shell选项。google搜索redis漏洞。已经是root权限了。

转到OpenSMTPd 2.0的端口25，searchsploit展示了一些远程代码执行的结果，包括Metasploit的一些结果。看到了一个很大的用户列表，但实际上只对那些拥有bash shell的用户感兴趣。为这些实体使用grep，并将这些用户添加到一个文本文件中，以备以后使用。有一个名为“passwd.bak”的文件，可以使用“get”命令在本地下载。端口80上的网页，看到一个名为FlaskBB的CMS。快速搜索一下，发现这里没有什么有趣的东西。用-q 标志靴子它，这样我们就不会得到响亮的垃圾横幅;

OSCP-Twiggy（ZeroMQ、SaltStack）