- 博客(36)
- 收藏
- 关注
RSS订阅原创 HackTheBox-Spider WP
0x01 端口探测nmap -sC -sV -v 10.10.10.243PORT STATE SERVICE VERSION22/tcp open ssh OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)| ssh-hostkey: | 2048 28:f1:61:28:01:63:29:6d:c5:03:6d:a9:f0:b0:66:61 (RSA)| 256 3a:15:8c:cc:66:f4
2021-10-24 17:32:42
506
原创 HackTheBox-Monitors WP
0x01 端口探测使用nmap对靶机端口进行探测:nmap -sC -sV -v 10.10.10.238发现只有两个端口是开着的:PORT STATE SERVICE VERSION22/tcp open ssh OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)| ssh-hostkey: | 2048 ba:cc:cd:81:fc:91:55:f3:f6:a9:1f:4e:e8:be:e5:2e
2021-10-23 12:28:53
2792
原创 HackTheBox-Intelligence WP
0x01 端口探测使用nmap对靶机进行探测:nmap -sV -sC 10.10.10.248比较标准的DC端口,还多了个WEB的80。0x02 user.txt进WEB看看,发现在主页目录可以下载文档。主页能下载的文档文件名为2020-01-01-upload.pdf遂写了脚本进行爆破,将所有的文档下载下来:import requestsfor month in range(1, 13): for day in range(1, 32):
2021-10-19 22:15:24
2893
原创 HackTheBox-dynstr WP
0x01 端口探测使用nmap对靶机端口进行探测:nmap -sV -sC 10.10.10.244结果如下,除了传统的22和80端口外,还有一个不同寻常的53端口(从后面的渗透过程来看,可以说整个Box都围绕这个端口展开:Starting Nmap 7.91 ( https://nmap.org ) at 2021-10-08 21:57 CSTNmap scan report for 10.10.10.244Host is up (0.56s latency).Not shown:
2021-10-19 21:43:27
2365
原创 HackTheBox-Sink WP
insane难度初体验 & HTTP Smuggle攻击实操 & 云渗透学习0x01 信息收集nmap -sC -sV -v 10.10.10.22发现端口22、3000、5000开启访问3000端口,可以看到为某代码托管平台:目前没有用户名和密码,但是explore可以发现存在的三个账户信息:目光转向5000端口,注册并进行登录:对该网站进行探索,发现的交互点如下:首页最底下的评论功能:首页的搜索功能:笔记功能另外还能发现a
2021-09-30 12:26:00
217
原创 HackTheBox-StartingPoint-Pathfinder WP
通过这题继续熟悉一下BloodHound的使用0x01 信息收集使用nmap进行端口扫描和服务探测:nmap -sC -sV -v -Pn 10.10.10.30在StartingPoint中,靶机是环环相扣的。之前的 Shied Box中我们能拿到账号和密码,结合nmap中扫描出的域名,我们可以使用blood-python进行域内信息的收集,后续可导进bloodhound分析。bloodhound-python -u sandra -p Password1234! -d MEGA
2021-09-14 21:37:41
165
原创 HackTheBox-StartingPoint-Archetype WP
吐槽下VPN,太不稳定了。。但没交钱嘛,俺无话可说0x01 信息收集nmap -sC -sV -v 10.10.10.27-sC:使用默认脚本进行扫描,等同于–script=default-sV:探测开启的端口来获取服务、版本信息-v:vpn不稳定,开了看扫描是不是挂掉了典型的windows配置,没有WEB站点:0x02 user.txt445端口的话可以尝试SMB爆破、匿名访问等,winserver版本那么高就不可能有永恒之蓝啦。这里最后试出来是匿名访问,使用如下命令访
2021-09-12 11:01:35
156
原创 HackTheBox-Schooled WP
0x01 信息收集使用nmap进行扫描,老样子还是只开了ssh和http的端口:访问IP地址,将得到的域名添加进Host,扫了扫目录,依旧没有什么发现:然后从子域名入手,使用ffufFUZZ了一下,能够找到两个子域名,将其丢进host文件里绑定IP。题外话:用BURP试了一下测不出来,不知道为什么burp会受host文件的影响,看来Repeater不能用来做这种测试。0x02 Webshell登录moodle.schooled.htb的站点,注册用户能够看到上传文件的点,
2021-09-11 17:17:13
267
原创 HackTheBox-Previse WP
0x01 信息收集端口信息:目录扫描:0x02 打靶在之前的收集信息中,可以发现有很多存在的页面,但是由于重定向跳回了login.php进行登录验证。我们使用burp可以渲染页面,可以看到很多页面是有有用的信息的。账户注册界面:服务器状态浏览界面:在文件浏览界面可以发现网站的源码:也可以发现下载的链接,但是访问会跳回login.php进行登录验证,无奈只能先注册账户。访问一开始的accounts.php,同时让burp拦截响应,将响应包状态码修改成2
2021-09-07 21:11:45
519
2
原创 HackTheBox-Horizontall WP
0x01 准备该靶机设置了域名,需要手动在host文件配置ip地址。配置完成后即可访问靶机。看到vue的图标也就不难看出这是一个前后端分离的网站,我们的目标应该主要放在后端的接口上。0x02 user.txt我安装的burp插件帮我找到了一个子域名,同样我们需要将其录入hosts文件中绑定靶机的ip,这样才能正常访问:如下即可:访问得到结果,但是不是我们想要的东西,我们可以通过目录扫描的方式查找接口:对主域名horizontall.htb的目录扫描没有发现有用的
2021-09-07 21:09:49
1723
4
原创 HackTheBox-Cap WP
0x01 信息收集端口信息:0x02 打靶访问首页的Dashboard,可以看到存在疑似可遍历的id字段:将id改成0,可以拿到一个数据包。拿到可以看到ftp的用户名和密码:使用该账户密码尝试登录ssh,成功:0x03 提权上传提权辅助脚本linpeas:运行脚本,观察输出信息后可以发现python3被设置了cap标记,可以用它来帮助我们提权:在网站 https://gtfobins.github.io/gtfobins/python/ 上找到利用的
2021-09-07 21:06:35
124
原创 HackTheBox-BountyHunter WP
0x01 信息收集.端口信息目录扫描0x02 打靶一通乱点后来到一个后台地址:提交后在burp中能够发现网站和后台通信的数据:进行URL解码和BASE64解码后发现是xml:于是可以试试XXE,首先读取文件:成功了,接下来可以试试读取别的文件:但是该读什么文件呢,在之前的扫描目录可以发现db.php,于是尝试读取db.php:<?xml version="1.0"?><!DOCTYPE ANY [ <!ENT
2021-09-07 21:03:55
504
3
原创 为什么CSRF Token能够放在Cookie中
0x01 前言在某次测试中注意到网站的CSRF的TOKEN放在Cookie中,感觉和之前的一些知识起了冲突。遂查了些资料整理明白了,并记录于此文。0x02 CSRF与CSRF Token相信有很多师傅的知识都是通过道哥的《白帽子讲WEB安全》中习得的,里面有一个删除搜狐博客的例子,从大体来说可以概括如下:对于防御方法,很多博文中也有介绍,就是通过种种形式添加CSRF Token0x03 疑问&解答然后呢在某次测试中,抓到的包如下可以看到有多个csrftoken的字样,当
2021-08-30 16:17:33
2567
原创 ATT&CK实战系列-红队评估(五)WP
环境搭建0x01 网卡配置在WEB靶机上如下,其中133网段为NAT即外网地址,195网段为内网地址在域控上,如下0x02 启动在WEB靶机中开启phpstudy即可渗透流程0x01 WEB层打开WEB靶机地址,发现是TP5然后直接找了个RCE的POC进行验证/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]
2021-08-28 19:21:58
397
原创 ATT&CK实战系列-红队评估(四)WP
环境准备0x01 网络环境我们总共拿到了3台机器,除了WEB机器需要配置双网卡外,其他的机器都只配置183网段的内网网卡即可。0x02 WEB服务在官网给出了参考的学习路径,故我们启动前三个进行WEB服务的搭建Struts2漏洞(S2-053)pma文件包含漏洞(CVE-2018-12613)tomcat PUT文件上传漏洞(CVE-2017-12615):启动完成后,相应靶机的地址如下渗透流程0x01 Struts2使用工具进行检测根据得到
2021-08-25 19:31:56
696
原创 ATT&CK实战系列-红队评估(三)WP
环境搭建靶机下载地址 http://vulnstack.qiyuanxuetang.net/vuln/detail/5/将虚拟机下载下来后按照官方说明配置好网络环境即可开始测试渗透流程0x01 WEB信息收集查看靶机WEB服务,发现是Joomla CMS搭建的demo站点扫描目录得到配置文件的备份configuration.php~在其中翻到后端数据库的用户名和密码同时端口扫描发现数据库服务可以外联尝试用得到的账户密码登录,连接成功0x02 添加管理员账
2021-08-18 13:06:48
522
翻译 内网攻防-提权-Linux
Linux提权一文通前言原文来自于https://www.freebuf.com/articles/251884.html感觉很多都是机翻,还有些大大小小的格式问题遂去外网找到原文重新翻译排版了一遍,同时也参考了原文的翻译0x01 Linux提权描述大多数计算机系统设计为可与多个用户一起使用。特权是指允许用户执行的操作。普通特权包括查看和编辑文件或修改系统文件。特权升级意味着用户获得他们无权获得的特权。这些特权可用于删除文件,查看私人信息或安装不需要的程序,例如病毒。通常,当系统存在允许
2021-08-17 12:19:22
1025
原创 ATT&CK实战系列-红队评估(一)WP
环境配置靶机下载地址 http://vulnstack.qiyuanxuetang.net/vuln/detail/2/按要求对三个靶机进行网络环境配置,最终网络拓扑结构如下win7 外网192.168.133.143/内网 192.168.58.128win server 2003 内网 192.168.58.141win server 2008 内网192.168.58.138按靶场介绍,口令统一为hongrisec@2019
2021-08-16 11:07:53
507
原创 ATT&CK实战系列-红队评估(二)WP
环境搭建靶场下载地址http://vulnstack.qiyuanxuetang.net/vuln/detail/3/根据平台介绍,虚拟机的密码统一为1qaz@WSX将虚拟机导入后更改WEB靶机的IPV4地址为你所使用的NAT网段中的任意地址这里注意可能一开始WEB靶机的账号密码不对,方法是使用Administrator账号登录,然后改回来即可在目录C:\Oracle\Middleware\user_projects\domains\base_domain下有startWeblog
2021-08-15 12:29:02
768
1
原创 某大学某校区大范围交换机弱口令调查报告
1. 前言在某次例行的测试中发现某交换机存在弱口令,进行横向测试时发现影响范围较广,遂有此报告。本次受影响的交换机有 620 台,涉及主机 4362 台,光缆 865 条。对学校整体具有较大的威胁性2. 探测过程对校内 10 段内网地址进行大规模扫描发现有 1124 个交换机的相关接口...
2021-03-01 14:41:34
1539
原创 某大学新版学工系统SQL注入与WAF绕过
声明:本文所做所有操作已得到学校官方授权,漏洞已经报送并确认修复,认出来的同学请勿将本文用于非法用途在挖掘校内SRC时发现核心系统之一学工系统存在SQL注入,遂有此文前期的信息收集:①**大学的学生工作管理系统,在校期间几乎所有学生的业务办理都会经过这个系统。是非常敏感的业务点②系统对外网开放,需要经过学校的cas系统进行认证才能进入(但对于校内学生来说问题不大)③该系统上了某知名安全的商业waf,在之后的渗透中很大一部分时间是在尝试着对waf进行绕过网站打开是这样的:一般来说
2021-02-05 22:19:36
635
原创 PHPSTORM 2020.1 调试 Nodejs 的几种方法
捣鼓nodejs的调试时踩了一堆坑,看了看国内好多教程有点年分了,重新记录下环境就是PHPSTORM2020.1首先安装nodejs然后在phpstorm中edit configuration第一种方法:Node parameters 不要有任何东西,JS文件和工作目录填自己的然后直接Debug:需要有最后一句话 Debugger attached,并且调试器显示已经连接第二种方法:Node parameters加上 --inspect 参数(或–debug 见
2020-09-10 12:32:39
633
原创 DDCTF 2020 Web WP
Web一堆题卡在最后一步出不来,难受。Go语言实乃知识盲区这是一篇复现记录,赞美师傅wywwtwx参考:DDCTF 2020 Writeup - 安全客,安全资讯平台Web签到题前面的相信大家都懂,是JWT爆破,但还是梳理一下根据提示在用POST传参可以拿到JWT在拿去爆破后可得到Secret值(似乎是你的用户名,然后群里有师傅用户名乱输然后没爆破出来。。)爆破工具是c-jwt-cracker(需要的自取)爆破后去网站https://jwt.io 篡改JWT后就可以拿到client,
2020-09-07 18:01:43
1614
原创 Gin框架安装记录
框架被玩坏了。。重新搭一遍环境先采用git clone方法下载gin包,再使用go install安装(1)下载到当前终端所在路径:git clone https://github.com/gin-gonic/gin.git(2)安装:go install github.com/gin-gonic/gin得到报错,需要安装模块(这里忘截图了,另外找的)使用语句:git clone --branch v8.18.2 https://github.com/go-playground/validat
2020-09-07 16:17:51
482
原创 GACTF 2020 MISC trihistory WP
这题要是对docker的镜像分层原理有所了解会舒服得多,不会的可以先看看https://www.cnblogs.com/woshimrf/p/docker-container-lawyer.html按题目所要求的,拉下来后进去看看(这里发现有80端口开着,映射后没找到东西)docker pull impakho/trihistory:latestdocker run impakho/trihistory:latestdocker exec -it (容器ID) /bin/bash用命令 fin
2020-09-07 00:13:11
412
原创 BUUCTF RE crackMe WP 详细解析
前前后后参考了几篇博文,感觉自己有些值得分享的东西,就有了这篇文章题目地址:https://buuoj.cn/challenges#crackMe首先,国际惯例,查壳没壳,拖进IDA里通过String定位到关键代码:首先是主函数代码:int wmain(){ FILE *v0; // eax FILE *v1; // eax char v3; // [esp+3h] [ebp-405h] char v4; // [esp+4h] [ebp-404h] char v5;
2020-09-06 23:10:30
1353
1
原创 安恒8月赛 MISC 标错的字符 WP
《关于WEB狗在转到RE的过程中两个都不会了只能在MISC混分这件事》这个题做完发现有非预期解,而且速度快得多。。先看看题目打开一看又双叒叕是验证码,而且这个给数据的方式越看越像机器学习。。那就机器学习一把嗦了吧用了别人的轮子:https://github.com/nickliqian/cnn_captcha基本上就是按着人家给者的教程来,就是要改改一些参数训练完后开本地接口(这些还是在人家的教程里)然后现在问题是机器学习依然有失误的概率,所以我采用的方法是删除识别正确的图片:
2020-08-25 19:47:38
556
3
原创 PHP反序列化题目中对符号 “&“ 的记录
近日在研习那本《CTF特训营》,发现了一些知识盲区,特此记录参考:https://skysec.top/2017/06/20/GCTF的一道php反序列化题目https://github.com/paul-axe/ctfPHP因为其和C的密切关系其语言特性和C有十分相似的地方,其中一个就是这个PHP引用(&)在反序列化题目中通过引用可以达到绕过某些过滤的目的这里摘抄一个代码片段大体的意思就是需要构造一个不被转义的php tag(即绕过htmlspecialchars()),从ren
2020-08-23 13:52:03
213
原创 CyBRICS CTF 2020 NetWork部分 WP
国内CTF流量分析的题目较少,就想着整理点东西刚好这会有空把之前打的cybrics ctf 2020 的流量题的WP给写了XCorpbaby难度的题拿到数据包直接用wireshark打开根据提示我们将SMB对象导出可以得到几个文件,关键的就是那几个能用的exe(22KB的都是,那个xcorp是改了名的)打开显示需要输入用户名再去流量包里搜索得到用户名即可得到flag得到flagGoogle Cloud一打开就是一堆ICMP报文。。随便看看可以在
2020-08-21 12:06:35
468
原创 CISCN 2020 线上初赛 z3 WP
IDA打开后核心代码如下:int __cdecl main(int argc, const char **argv, const char **envp){ int v4; // [rsp+20h] [rbp-60h] int v5; // [rsp+24h] [rbp-5Ch] int v6; // [rsp+28h] [rbp-58h] int v7; // [rsp+2Ch] [rbp-54h] int v8; // [rsp+30h] [rbp-50h] int v9;
2020-08-21 10:49:33
1175
11
原创 CISCN 2020 线上初赛 电脑被黑 WP
文件下载下来是ext linux磁盘文件,挂载上去后可以得到四个文件在demo中使用IDA可以看到加密过程,核心代码为推测为加密后将加密的flag删除了,我们只需要恢复加密后的flag并用逆向还原即可故我们使用工具extundelete将数据恢复,命令为:extundelete disk_dump --restore-all可以恢复被删除的加密flag之后编写脚本解密即可if name == “main”:with open(r"C:\Users\shinelon\Downloads\
2020-08-21 10:44:32
733
原创 攻防世界 RE hackme WP
本题为 XCTF 3rd-GCTF-2017 的 RE, 该题目有一些小坑,特此记录拿到题目后反编译如下:这是通过字符串查找找到的主方法main:__int64 sub_400F8E(){ char v1[136]; // [rsp+10h] [rbp-B0h] int v2; // [rsp+98h] [rbp-28h] char v3; // [rsp+9Fh] [rbp-21h] int v4; // [rsp+A0h] [rbp-20h] unsigned __int
2020-08-19 18:42:48
267
原创 VMware下的Ubuntu找回root密码记录(2020版)
VMware下的Ubuntu找回root密码记录(2020版)目前好些方法都不适用了,磕磕绊绊探索后终于成功了环境:Ubuntu18.04 VMware15.4首先,开机进入grub界面(开机后立马长按shift),之后按e可看到如下图:滑到最底部,修改linux /boot/vmlinuz-3.11.0-15-generic root=UUID=… 这一行(倒数第二行)其中 ro 修改为 rw ,quiet修改为init=/bin/bash按F10进入如下界面:敲入命令(撤销不得修改的
2020-07-27 17:56:34
573
原创 Windows易升升级指南(解决大版本间更新95%的问题)
Windows易升升级指南折腾这东西真是要了老命了。。我就想用用Terminal容易吗我以下为升级过程中需要注意的点:1.卸载第三方杀毒软件官方解释是可能会阻止升级时系统核心文件的移动2.卸载OneDrive对应的是这个:(这个还是和具体的电脑环境有关,有的不卸载也没事)另外网上有人提到可能是BattleEye的问题,反正就是和你装的软件冲突了,百度看看把可能的都卸掉3.使用msconfig命令禁用非核心组件运行->msconfig->服务->隐藏所有microsoft
2020-07-16 09:17:48
2830
原创 CTF各方向思维导图整理(更新中)
起初发出来是为了做一个备份本项目为有兴趣或者刚入行的CTFer们提供了一个从入门到中高端的各方向的题目以导图形式呈现的思路整理本项目将在未来的两到三年内持续更新,喜欢的可以去github给个star~传送门目前项目中已经更新了MISC和Web这两大我认为比较适合入门的方向,其中MISC中又整合了Crypto的内容,Web中代码审计由于内容较多又单独做了一份。Reverse和PWN等有空再更...
2020-05-08 09:32:43
8585
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人