- 博客(13)
- 收藏
- 关注
RSS订阅原创 SQL注入
站位到7报错order by 7说明该数据库列表有6位第4位和第5位显示出来,在4,5进行插入语句查询数据库版本,服务器操作系统查询数据库名,用户名查询数据库表名查看表明为“admin”中的列名查询表名为“admin”,列名为“username,password”的第一个字段查询表名为“admin”,列名为“username,password”的第二个字段查询是否有读取权限并没有权限,需要在my.ini添加secure_file_priv=“”读取d盘下的123.txt文件写入后门代码使用哥斯拉连接。
2024-04-26 22:53:23
743
原创 HTB Manager ESC7 域提权
使用kerbrute爆破administrator用户,未爆破出来,因为administrator用户通常是未设置密码错误阀数,不推荐直接爆破,会有安全日志。使用responder开启伪造服务器,当mssql访问时就会把凭证发过来,再通过破解hash登录mssql获得最高权限。将用户名放入user.txt,使用crackmapexec进行爆破密码同用户名一样的。访问权限来进行域权限升级,但可以使用它来颁发或拒绝待处理的证书请求。这里爆破的时间很长,下面是爆破出来的用户名。
2024-01-11 21:11:49
612
原创 HTB Keeper CVE-2023-32784
登录进去发现一个lnorgaard用户在他的备注中说的,初始密码设置为Welcome2023!带●的是遗失的,第二个字符是猜测的,有些wp不懂就去看资料,说●像o,又懂完了,别误人子弟。把域名及子域名添加到hosts,发现一个登录框,以及是RT 4.4.4版本。下载putty工具,并将其转成openssh格式的id_rsa文件。解压后发现是一个dmp文件,dmp文件是系统错误产生的文件。使用G搜索,密码为:rødgrød med fløde。使用sudo -l查看使用有sudo权限,并没有。
2024-01-09 15:35:46
417
原创 HTB | Codify [email protected] 中的沙箱逃逸
上传linpeas进行信息收集有一个数据库文件/var/www/contact/tickets.db。在其他wp 找到的破解root密码用python编写的脚本,使用gpt加上了注释使我更容易理解。可以看见这个是一个备份mysql的脚本,用户是root,这里需要验证root密码。将codify添加到hosts,访问80端口发现是vm2沙盒版本为3.9.16。在/var/www/contact/tickets.db发现一个hash。使用hashcat进行进行破解,先查找使用什么模式进行破解。
2024-01-08 18:59:35
445
原创 HTB Sau Maltraill-v0.53 CVE-2021-3560
编译报错Package ‘dbus-1’, required by ‘virtual:world’, not found使用apt安装libdbus-1-dev解决。sh就提权成功了,为什么会用trail服务因为sudo-l只有这个服务才能不用输入密码。手撮失败,sys返回的值为0.002s,改成0.001和改成0.002都创建不了pwn用户,试了无数次,换个方向。maltrail配置文件在/opt/maltrail/maltrail.conf下发现一串hash。搜索sudo systemctl提权。
2023-12-27 21:33:59
401
原创 HTB | Surveillance CVE-2023-41892 CVE-2023-26035
BusyBox 包含了一些简单的工具,例如ls、cat和echo等等,还包含了一些更大、更复杂的工具,例grep、find、mount以及telnet。在/var/www/html/craft/storage/backups中发现一个sql的压缩包,使用python开启http服务,访问并下载文件。使用hash-identifier识别hash属性,识别出来为SHA-256,Haval-256。使用sudo执行shell脚本 pass中的密码是上文linpeas找到的。1888吉利数保存一下。
2023-12-24 23:33:46
955
原创 使用proxychains代理流量转发至burp
有时候使用exp脚本,不知道流量数据包是什么样的,需要抓包看看数据包。秃子教过在windows下使用Proxifier代理工具进行流量转发至burp,举一反三。kali自带了proxychains,编辑文件,注释掉socks4,添加本机真实ip,不能写127.0.0.1记住端口后面设置burp端口需要一致。就正常执行exp的前提上加上proxychains4。在burp代理添加上代理ip。在burp上成功捕获流量。
2023-12-21 22:20:20
388
原创 HTB-Devvortex-CVE-2023-1326
Devvortex使用nmap扫描服务器使用wfuzz进行子域名爆破爆破出dev的子域名,将子域名加入hosts使用gobuster对dev.devvortex.htb进行目录扫描扫描出administrator的目录发现登录页面扫描出README.txt,发现joomla版本为4.2发现是joomla cms在网上发现有专门的漏洞扫描工具:joomscan下载使用joomscan进行扫描扫描出joomla的版本为4.2.6 并且扫描出部分目录。
2023-12-17 20:20:15
144
原创 HTB Hospital——CVE-2023-35001,CVE-2023-2640-CVE-2023-32629,CVE-2023-36664
查看htdocs权限,发现有system权限,文件夹是system权限的,那么webshell拿到的也应该是system的,上传个web后门进行提权。————本文章仅用于学习记录,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。在c盘看见一个xammp的文件----XAMPP(Apache+MySQL+PHP+PERL)是一个功能强大的建站集成软件包。登录到8080WEB端口,注册一个用户进入发现一个文件上传点。
2023-12-17 17:05:23
346
原创 在kali下安装BurpSuitePRO V2023.10.3 及google浏览器在kali下导burp证书
burpsuitepro直接去官网地址下载:https://portswigger.net/burp/releases/professional-community-2023-10-3-7?再将注册机jdk 放入burpsuite pro安装目录,使用命令打开jdk,使用root权限执行这条命令就不会出现注册码,直接就能使用。各个环境不同,我设置了sudo不需要输入密码,我就设置了这样方式。到这里就安装结束了,但是我使用的是google浏览器,不能直接导burp证书,经过了查询,直接用工具导证书。
2023-12-11 23:23:16
605
原创 渗透综合靶场---SqlServer提权
再次查询是否开启3389端口,已开启就使用mstsc连接----exec xp_cmdshell'netstat -ant | find "3389"'查看目标是否开启3389端口----exec xp_cmdshell'netstat -ant | find "3389"'如何找到上传的文件所在目录,使用burp抓包点击文件,然后修改文件名,然后再放包,浏览器因为找不到文件会报错。扫描端口,知道目标ip,扫描目标ip开启了多少端口,(1-65535) 扫描出下面端口。
2022-12-22 00:31:02
996
2
原创 slurm配置安装 本地源制作+SSH+NFS+NTP+NIS
制作本地源,ssh免密登录,NTP时间服务配置,NFS共享文件,NIS账号共享,MUNGE安装,SLURM安装
2022-08-12 14:37:25
1811
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人