HTB-Crocodile(FTP和web综合利用)

于 2024-09-01 08:00:00 发布
阅读量374 收藏 2
点赞数 7
分类专栏: 安全靶场训练营 文章标签: 前端 web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_58038441/article/details/141756099
版权

前言

  • 各位师傅大家好,今天给大家讲解Crocodile靶机
    在这里插入图片描述

渗透过程

信息搜集

在这里插入图片描述
在这里插入图片描述

  • 服务器开放了21FTP和80HTTP服务
  • 思路:可以尝试 匿名登录FTP 或者 尝试WEB登录后台

FTP匿名登录

在这里插入图片描述

  • 通过anonymous 匿名登录到FTP服务器
  • allowed.userlist 和 allowed.usserlist.pass 分别是 账户和密码

Web目录爆破

在这里插入图片描述

  • 服务器有login.php 可以尝试拿ftp的账号密码,做一个碰撞
    在这里插入图片描述
    账号:
    在这里插入图片描述
    密码:
    在这里插入图片描述
    在这里插入图片描述
    flag:c7110277ac44d78b6a9fff2232434d16

答案

  • 1.nmap的默认脚本扫描参数是?

-sC

  • 2.21端口运行的服务版本是?

vsftpd 3.0.3

  • 3.如果匿名登录成功,返回的是什么状态码?

230

  • 4.使用什么用户进行匿名登录?

anonymous

  • 5.使用什么命令下载FTP文件?

get

  • 6.下载的allowed.userlist 感觉权限最高的用户是?

admin

  • 7.服务器运行的apache web是什么版本?

Apache httpd 2.4.41

  • 8.gobuster用什么参数指定后端文件?

-x

  • 9.服务器的后台登录文件名是?

login.php

  • 10.flag是?

c7110277ac44d78b6a9fff2232434d16

总结

  • 通过对FTP匿名登录,拿到相关敏感文件,碰撞登录
qmx_07
关注
  • 7
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HTB-Solutions
03-09
HTB-Solutions 主文件夹中,你可能会找到针对每个靶机的详细步骤,包括使用哪些工具(如 Nmap、Wireshark、Burp Suite、John the Ripper 等)、如何识别和利用漏洞、如何编写自定义脚本等。这些文档可能是文本...
qos-htb-开源
05-03
qos-htb是您一直在等待的简单带宽管理解决方案,graphix制作了图表,您可以在一秒钟之内查看到底谁在消耗带宽!
HTB-writeups:此仓库包含HackTheBox的文章
05-01
5. **操作系统攻防**:如Windows、Linux系统的漏洞利用和防护策略。 6. **逆向工程**:可能有关于二进制分析、调试技巧和恶意软件分析的内容。 7. **CTF比赛策略**:如何有效地参与CTF比赛,团队协作、时间管理以及...
xml-HTB-开源
05-02
xml-HTB是用于自动生成bash脚本的工具,该工具可在Linux上设置HTB。 它使用xml配置文件。 它易于使用,具有许多功能:多种深度的类,可配置的叶子,u32和fw过滤器,可同时配置两个输入
my-htb-tools3
03-19
my-htb-tools3
write-ups:来自CTF和HTB演练的文章
03-21
6. **HTB-Walkthroughs(hackthebox htb-walkthroughs)**:具体到Hack The Box平台的靶机攻破过程,详述每个靶机的攻克策略和技巧。 文件名称列表中的"write-ups-main"可能是一个包含所有文章的主目录或者文件夹,...
HTB-Gen:脚本para gerar邀请de HackTheBox
03-29
HTB-Gen 脚本para gerar邀请de HackTheBox Windows / Linux Qualquer pessoa pode usar o script para fins lucrativos,para usar apenas tens abrir o teu Terminal / CMD dentro do diretorio do script depois...
HTB-Recon:Hackthebox计算机的自动侦查脚本(hackthebox.eu)
03-09
例如: ./htb-recon.sh 10.10.10.10. ServMon Windows ./htb-recon.sh 10.10.10.10. ServMon Windows 然后通过tmux a -t htb_recon附加会话 它能做什么 在您的主目录中创建一个工作区。 创建不同的文件夹以使事情...
T-HTB manager-开源
05-03
T-HTB免费网络界面,内置PHP,简单的Java脚本,Ajax,嵌套集模型MySQL,rrd图,使用iptables创建tc命令CLASSIFY
htb21-reg:htb 2021注册引擎
05-20
您需要在(最好是CompSoc的) 上创建一个项目,为Web oauth应用程序发布客户端ID和密码,并正确配置回调URL。 更详细地说: 登录 ,然后通过单击标题栏上的项目标题并单击“新建项目”来创建一个新项目。 理想...
ROS3.30 +HTB+DSCP-L7
10-11
ROS3.30 +HTB+DSCP-L7
HTB[-tools] Config Generator-开源
05-06
HTB-tools配置生成器是一个脚本,可以使您的生活变得轻松。 您只需5分钟即可生成一个完整IP地址类别的配置文件。 您可以自定义任何内容,只需使用它即可:)
HtB-桑拿浴:我为HackTheBox机器写的文章:桑拿浴!
02-21
NMAP:root @ kali:〜#nmap -A 10.10.10.175在2020-03-11 01:45 EDT启动Nmap 7.80( )NDT扫描报告10.10.10.175主机已启动(0.010s延迟)。 未显示:988个过滤的端口端口状态服务版本53 / tcp开放域?...
HTB setup script-开源
05-02
HTB.init是从CBQ.init派生的Shell脚本,它允许在Linux上轻松设置基于HTB的流量控制。 HTB(分层令牌桶)是一种新的排队规则,它试图解决当前CBQ实施中的弱点。
armageddon-htb
04-01
【压缩包子文件的文件名称列表】:“armageddon-htb-main”可能是这个挑战的主要资料或配置文件,包含了攻防过程中所需的详细信息,如IP地址、初始凭证、端口扫描结果、漏洞利用脚本、系统日志等。挑战者可能需要...
HTB_tools-开源
05-02
`HTB_tools-开源`是一款专为网络带宽管理设计的开源软件,它致力于简化网络环境中的上传和下载带宽分配的配置过程,同时提供了方便的监控功能。这款工具对于网络管理员来说尤其重要,因为它可以帮助他们高效地管理和...
The-Waitlisted-HtB
05-04
等待名单的HtB 一个与语言交换伙伴匹配的Web应用程序
hackthebox:HTB 机器和 InfoSec 社区的笔记
08-04
黑盒子 HTB机注意事项将定期更新,旨在解开所有可能的方式并准备考试还有更多待更新创建和维护: cyberwr3nch内容向无国界医生说不!这个不断地从5月3日更新RD 2020感谢造访菜鸟cyberwr3nch :wrench: TCSC Learn and...
HTB script for shaping services-开源
07-06
【标题】"HTB Script for Shaping Services - 开源" 【描述】中提到的"HTB 脚本"指的是 Hierarchical Token ...了解并掌握这些知识点,你就能有效地利用HTB脚本来优化你的网络环境,实现更高效、公平的带宽管理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值