靶机-ORASI: 1
background学到了很多东西 这个靶机是我目前这段时间做过的最有意思的一个了
打点开了个80和5000 80这不知道是什么东西 5000啥也没有
22端口可以匿名访问 尝试了下没有生成文件的权限,ftp里对应的文件也不是web目录的
文件执行就是这个样子 没有可用信息
逆一下 这堆insert不知道是干什么的
可以看到对应的字符 得/sh*4d0w$s
两个端口拼接了路径访问都没东西 在伪代码里直接转成char 得/sh4d0w$s
访问5000端口有反应 提示我们需要参数 测了下不支持post参数 上了我有的所有字典 都找不到参数
到这里就无解了 后面都是看了wp的 因为提权也确实提不动(没用系统漏洞 21年的靶机拿22年的cve提 没啥意义 重点是学习)
实际上80端口的提示就是参数的提示 组成和长度啥的都是leet语里面的 使用crunch可生成字典文件
crunch 6 6 1337leet > cs.txt
然后使用ffuz去fuzz 第一次用ffuz 真的好用啊 下次实战就用他了 这里参数错误的提示Size是8 所 ...
darkhole_2靶机
background:自己独立完成的第一个hard级别的靶机 难度其实都不大 跟三年前的一样 只不过是自己拥有了独立思考到解题的一个过程 更多的也是一直经验
https://www.vulnhub.com/entry/darkhole-2,740/
口子做个目录扫描发现了.git文件泄露 并且还有目录浏览
http://192.168.0.130/.git/
那就直接上githack
python2 GitHack.py http://192.168.0.130/.git/
login.php.php里没有有用的信息 dashboard.php里是goto加密了
https://enphp.djunny.com/ 在线解goto加密
解开感觉就出货了 很明显的一个注入 moblie直接拼接了
直接构造数据包却发现不行 源码里面也没有输出Not Allowed的逻辑啊 那就只能证明我们拿到的源码不是当下的业务代码
查看一下git修改记录
git log
查看修改的内容 最终发现上一个版本的代码中直接写了账号密码
git diff a4d900a8d85e893 ...
vulnhub_Web-Machine-N7
background就是个脑洞题目
上来扫目录 主要找html后缀
gobuster dir -u http://192.168.1.5/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x .php .html
得到http://192.168.1.5/exploit.html 把里面的localhost地址改了传文件就行 能得到一半flag
http://192.168.1.5/enter_network/ 这里不知道怎么来的 大家都不知道
然后就是登录框注入出全部flag。或者这里改cookie得到另一半flag
测试了下写shell的可行性 不太行 /var/www/html没有写入权限 只能写入/tmp 没啥用
POST /enter_network/index.php HTTP/1.1Host: 192.168.1.5User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:135. ...
vulnhub-doubletrouble
background:随便找了个靶机 主要是他小 其他有的靶机是真的大 这个难度是简单 确实简单 没啥说的 这个靶机里面还包含了个靶机 口子那个洞出了点问题 别人写的exp我看不懂 看着像老外写的 直接用根本用不了 后面就去看wp了 其实不用exp 直接上传php文件就行了 应该是口子不一样吧 然后我这里用了个新的方法 网上我没看到有 但估计是靶场本身留下来的 fofa搜了一圈发现不是通用的。
getshell上来就是这个 qdPM 9.1
searchspoit导出的都有问题 跑不动 这题关键是要有账号密码 网上的方法都是在secert目录下找个图片解隐写的 其实可以不用这样
访问install就能重装 填自己的数据库就行了 会让你自己设置密码
登录之后加个用户就行了 用添加出来的用户进行getshell
更新头像处直接上马就行 http://192.168.1.5/uploads/users/ 目录遍历读文件
提权朴实无华的suid
交互式shell进新的shell 然后反弹即可
sudo awk 'BEGIN {system(&quo ...
一次心血来潮VulnHub-Chronos
background:寒假这个月基本都是在休息,也没做啥事情。突发奇想就想做做vulnhub,以前都是看着wp做的,想试试自己独立思考的过程。现在看自己四年前vulbhub的笔记,当时都是不能知其所以然,随着后面实战项目越来越多自己的各方面能力都能得到提升。才能了解这个逻辑。
所以这次就想看看自己水平到底怎么样了,哪知道下的这个靶场是nodejs的,我第一次接触,没办法不会做的又看了wp。https://www.vulnhub.com/entry/chronos-1,735/
自己的成果都配置好hosts解析了,一开始想试试nodejs反序列化的,后来发现了口子是base58编码,一直以为这里是nodejs格式化字符串的漏洞。需要拼接nodejs代码实现rce,没想到就是朴实无华的exec。我真没看出来,要是我能看出来那段字符串是date命令的话,也许结果就不一样了。
漏洞点直接访问没东西 看到js了这个请求地址 所以就想到改hosts
比较有意思的一点就是谷歌浏览器里面访问不了 得去火狐里面
后面看了源码知道是限制了user-agent。需要是Chronos才行,我感觉应该是谷歌 ...
关关难过关关过,轻舟终过万重山
再见202424年所有的东西都告一段落了 我回到了自己从小长大的地方 刚好手机电池寿命不够,去售后换了个电池,然后走了很多小时候走过的路 每一次走 总会有一些不同的心境
今年我就22了 以前总觉得22是个大人了 现在自己到了这个年龄还是觉得自己不够成熟 有时候我好迷茫 好彷徨 我好像从出生开始 每一步都走的那么艰难 我依旧记得t4哥说的“学技术能够改命”技术我一直在“努力”的学,可是现在的我好像依旧不支持改命。但对比三年前,已经是有了很大的改变。
望着火 与母亲聊着近况。越聊我越焦虑,越彷徨。有时候我在想,是不是我不留级现在就已经工作能挣钱了,母亲就可以休息了。但转念一想也不可能,问题不是我早工作几年就能解决的。对未来,我既期待又恐惧。
废了 一时间不知道从哪里说起了 从我恋爱以来 已经没正经写过一些自己的想法了 突然感觉 自己已经不善于用自己的话来表达了。
那就不说了 本想今天写点东西的 但不知道从何说起 那就都在火里了 不管以后多么难 走一步看一步吧
关关难过关关过
内网安全-横向移动
弱口令1.超级弱口令检查工具https://github.com/shack2/SNETCracker
2.CrackMapExechttps://github.com/byt3bl33d3r/CrackMapExec
3.NetExechttps://github.com/Pennyw0rth/NetExec
4.PsMapExechttps://github.com/The-Viper-One/PsMapExec
账号密码爆破https://github.com/ropnop/kerbrute/releases
#爆账号kerbrute_windows_amd64.exe userenum -d org.gm7 username.txt#密码喷洒kerbrute_windows_amd64.exe passwordspray -d org.gm7 username.txt 单个密码
AS-REP Roasting在用户开启Dot not require Kerberos preauthentication(不要求 Kerberos 预身份验证)时,此时向域控制器的88端口发送AS ...
内网安全-基础命令
判断是否出网#TCP/HTTP出网: powershell curl http://baidu.com#DNS出网: nslookup baidu.com#ICMP出网: ping baidu.com、tracert baidu.com
判断域环境查看网卡 如果存在主dns后缀则很有可能存在域
ipconfig /all
系统信息内会包含域 没域会显示WORDGROUP
systeminfo | findstr "域:"systeminfo | findstr "Domain:"
查看网络配置 没域会显示WORDGROUP
net config workstation
通过时间查看
net time /domain
查看域控机器名称
nltest /dclist:de1ay
可以看到启动进程的用户 可能有域用户
tasklist /v
查看主机详情查看软件、版本
wmic product get name,version
看进程
tasklist /svc
查看域用户
net user /domain
查看防火墙配置
n ...
内网安全-凭证收集
密码搜集cs里的插件能自动搜集很多软件的密码 这里记录一些命令
检索文件绝对路径
dir /s /b c:|findstr "index.php"
查询文件内的配置信息
findstr /c:"user=" /c:"pass=" /c:"uid=" /c:"pwd=" /si *.ini *.conf *.jsp *.php web.config
linux下搜索
find ./ -name *.phpfind ./ -name *.php | xargs egrep -i "user|pass"
假设拿到shell 不知道数据库的加密方式 解不开hash 可以尝试抓跟网站交互的数据包
tcpdump -i eth0 -s 0 -nnA 'tcp dst port 80 and host 192.168.1.108' | egrep -i 'login=|password=' --color=auto --line-bu ...
内网安全-内网协议
1.NTLMNTLM是一种认证协议,存在NTLM v1和HTLM v2两个版本Windows登陆认证时的流程如下:用户输入密码 -> winlogon.exe -> 接收用户输入的密码 -> 保存为密文 -> lsass.exe -> 登陆成功所以通过创建lsass.exe的转储文件可以拿到机器登陆过的用户hash
Windows 2008以下可以使用非管理员用户进行hash传递Windows 2008以上不可以使用非管理员用户进行hash传递
2.KerberosKerberos是一种认证协议和NTLM是不同的,他的认证在域控端(KDC)上认证
● KDC为密钥分发中心,主要用于Kerberos请求,部分是AS负责认证,部分是TGS负责票据授予● AS为身份验证服务,主要用于接收客户端验证身份的请求● TGS为票据授予服务,当接收到客户端身份验证请求并且认证成功之后会向客户端发放相应的服务票据● kerberos默认88端口
在内网内网端口时一定要留意88端口,如果开放了88端口那么80%的几率是域控或者是LDAP服务
使用ip连接是ntml协议
n ...