lazySysAdmin
一、信息收集1、主机发现使用arp-scan来寻找存活的主机
192.168.22.135是目标地址
2、端口扫描使用nmap对目标端口进行扫描nmap -p 0-65535 -sV -T4 192.168.22.135
进入web页面,发现web根目录下只是一个静态页面
3.目录扫描
发现存在wordpress站点
提示myname is togie
收集WordPress上面的用户名
二、打靶利用收集到的用户名进行密码进行暴力破解,但是进行了很长时间也没爆破出来。
靶机开启了samba服务
就直接连接samba
没有得到任何信息
使用enum4linux来枚举到samba服务器上面的信息
开启了匿名共享
share$列出共享的内容
deets.txt文件泄露服务器密码
登录上
togie可以sudo提权
做法2目录扫描时候扫到了一个phpmyadmin
任何samba也泄露了wp的配置文件。里面记录着数据库用户Admin的账号和密码
登录进去phpmyadmin
发现一个表也查看不了
可以用show columns from wp_users来查询wp_ ...
driftingblues2
一、靶机安装VMware打开靶机
定义好虚拟机的路径,进行安装
安装后网卡改为nat
然后还需要按照看完这篇 教你玩转渗透测试靶机Vulnhub——DriftingBlues-2进行网卡配置
二、信息收集1.主机发现
其他的ip地址都是我其他虚拟机的ip除了192.168.22.132
2.端口扫描
80端口开启了web服务
访问
就一个图片背景的网页。没什么东西
3.目录扫描
三、打靶流程根据目录扫描结果推测是用wordpress搭建的博客,博客根目录在/blog
点击网页中的链接会调转到driftingblues.box域名下
配置一下本地hosts文件
都是些文章,没找到什么重要信息
使用wpscan来收集wordpress用户名
wpscan --url "http://driftingblues.box/blog" --enumerate u
此时也要配置一下kali中的/etc/hosts文件
找到用户名albert
进行弱口令爆破wpscan --url http://driftingblues.box/blog/ -P /usr/sh ...
DC-4
一、靶机安装靶机下载地址DC: 4
下载后将解压zip包得到ova文件,然后用VMware打开ova文件
然后给靶机分配好名字和存储位置后导入
二、主机发现使用arp-scan进行主机发现
三、端口扫描使用nmap -p 0-65535 -T4 -sV 192.168.72.158进行端口扫描
在80端口开放了http服务,在22端口开放了ssh服务
四、访问web页面
访问web页面后。我试了试SQL万能密码。几个简单的弱口令。没有成效
由于我弱口令爆破从来没成功过。所以这个靶机我也没想去用弱口令爆破
然后又dirsearch扫了一下,什么都没有扫出来
到这里就没什么思路了。。。。。。
去看了一眼wp。。。。。
我*…..还真是让弱口令爆破。。。。。。。
admin的密码是happy
我去我常用的字典里面看了看
没有一个有happy的
登录上去直接就可以进行rce了
当我尝试反弹shell的时候。
问题来了。
试了好多命令都无法成功反弹shell
个人猜测或许与www-data用户对html文件夹只有执行的权限有关。。。。但也不确定
写文件也写不了
直接反弹shel ...
DC-3
一、靶机安装靶机下载地址DC: 3.2
下载压缩包后得到DC-3.ova文件,将其用VMware打开。
设置好虚拟机名称和存储路径之后,导入虚拟机
导入失败点击重试即可
将网络设置改为nat模式
这里报错的话需要我们将磁盘设置改一下
将IDE设备重0:1改为0:0
二、信息收集1.主机发现
2.端口扫描只在80端口开放了http服务
三、访问web页面
在登录框处试了试弱口令,sql万能密码。无成果
用dirsearch进行一波目录扫描
扫到了很多东西,扫出了后台登录页面/administrator/。
在这个页面尝试了,弱口令、sql万能密码也没有任何成果。
上面用dirsearch扫描出了很多目录,访问了之后,大多也是空白页面,没有任何回显。
在网站README.txt文件中找到了cms的版本
在网上搜了一下,发现这个版本存在sql注入漏洞
用上面的poc来验证,确实存在SQL注入漏洞。
因为没有什么过滤,为了节省时间,这里我就用sqlmap跑了。
1sqlmap -u "http://192.168.72.157/index.php?opti ...
DC-1
一、靶机下载靶机下载地址DC: 1
下载后将压缩包中的ova文件解压出来,然后用VMware打开
填上虚拟机名称和报错路径
这边点重试即可
二、主机发现1.使用arp-scan
2.使用msf进行主机发现使用auxiliary/scanner/discovery/arp_sweep 模块进行主机发现
如果无法扫到主机,把虚拟机的网络配置换成nat模式
三、端口扫描1.使用nmap进行端口扫描
2.使用msf进行端口扫描使用msf的auxiliary/scanner/portscan/tcp 模块进行扫描
四、访问web页面80端口开放了http服务,我们访问web页面看看
进入web页面,进行注册账号,发现账号注册后需要管理员审核。
找回密码功能也是会对用户绑定的邮箱发送邮件
在登录功能中、尝试了sql 没有发现什么问题
弱口令爆破也没用什么结果(还因为爆破的次数太多导致ip被封了)
web页面用的Drupal cms
搜他的历史漏洞
这里看msf上面刚好有些exp
配置好之后,这里就拿到一个shell
五、提权先尝试SUID提权,通过find查找有s权限的 ...
AI Web 1.0
一、靶机下载靶机下载地址AI Web 1.0
下载以后得到一个压缩文件
解压之后,放到一个文件夹中。用VMware扫描虚拟机
二、主机发现1.使用arp-scan
2.使用msf使用msf的auxiliary/scanner/discovery/arp_sweep模块
三、端口扫描1.使用nmap
2.使用msf使用msf的auxiliary/scanner/portscan/tcp 模块
在80端口开放了web服务
四、访问web页面
先进行一个目录扫描
robots.txt文件下暴露了两个路径
这两个路径都禁止访问
对这两个路径进行更近一层的目录爆破
在m3diNf0目录下发现info.php
在se3reTdir777/uploads/目录下没有爆破到什么结果
在se3reTdir777目录下面有index.php文件,不知道我什么我没有扫出来(字典中有index.php)
输入'‘存在数据库报错
bp抓包,暴库名
没有发现过滤,用sqlmap跑了
用sqlmap跑post的方法
先将数据包保存到一个txt文件中,在存在注入的参数后面加一 ...
zico2
一、靶机安装靶机下载地址zico2: 1
下载后得到ova文件,用VMware打开
导入虚拟机填一下虚拟机的名称和存储位置
这里不知道为什么会失败,点击重试就行
二、主机发现1.使用arp-scan进行主机发现这里其他地址都是我其他虚拟机的ip地址
2.使用msf进行主机发现前天刚看了看msf基础,想着也用着msf里面的exp模块进行一下主机发现
这里使用auxiliary/scanner/discovery/arp_sweep模块进行主机发现
使用set rhosts 192.168.72.1/24来设置目标网段
使用set rtheads 100来设置线程数
使用run来开始扫描
三、端口扫描1.使用nmap进行端口扫描
2.使用msf进行端口扫描
在80端口上面开启了web服务
四、访问web页面网页可以互的地方挺少的
点击CHECK THEM OUT!跳转到了展示页面
看页面传参,推测有文件读取漏洞
利用目录穿越可以读取到/etc/passwd
目录扫描目录扫描的时候,发现了一处路径
访问该路径
弱口令admin登录进去
test_users数据库 ...
2024ciscn“sanic”复现
参考原文
CISCN2024-WEB-Sanic gxngxngxn - gxngxngxn - 博客园 (cnblogs.com)
sanic右键查看源码,/src路由找到源码
123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354from sanic import Sanicfrom sanic.response import text, htmlfrom sanic_session import Sessionimport pydash# pydash==5.1.2class Pollute: def __init__(self): passapp = Sanic(__name__)app.static("/static/", "./static/")Session(app)@app.route('/', methods=['GET ...
刷BuuCTF
WEB[网鼎杯 2020 朱雀组]phpweb
查看html源码发现有用post传的func和p
bp随便传些数据,发现有call_user_func()函数报错
猜测后面有用call_user_func()函数
测试发现system() popen() exec() shell_exec() passthru() file_put_contents()这些写入文件和命令执行的函数都被过滤了。
file_get_contents()没有被过滤,读出源码
123456789101112131415161718192021222324252627282930<?php$disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","e ...
刷DASCTF
Web[2022DASCTF X SU 三月春季挑战赛]ezpop源码
123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869<?php class crow{ public $v1; public $v2; function eval() { echo new $this->v1($this->v2); } public function __invoke() { $this->v1->world(); }} class fin{ public $f1; public function __destruct() { echo $this->f1 . ...