Tag: Pentest

Set up 目标机器在 10.10.10.168. Recon Nmap # Nmap 7.80 scan initiated Tue Apr 28 03:28:16 2020 as: nmap -A -T4 -p- -v -oN nmap.txt 10.10.10.168 adjust_timeouts2: packet supposedly had rtt of -935420 microseconds. Ignoring time. adjust_timeouts2: packet supposedly had rtt of -935420 microseconds. Ignoring time. adjust_timeouts2: packet supposedly had rtt of -1170053 microseconds. Ignoring time….

Recon Nmap 目标开放了 22 和 80 端口。 查看一下网页。 有个 login 页面。 我先尝试了一下 sql injection，但是没有成功，无法登录。 截取了请求，也没有什么特别的。 Dirbuster 很快找到了换个 /login 目录是可以访问的。 重点是 config.php 和 .swp 两个文件。但是 config.php 没有什么内容，看一下 .swp 。 我尝试 vi -r login.php.sqp，但是无法恢复。 扩展阅读 VIM Recovery Mode 直接 vi 打开之后，是个乱码。 但是下面有字符串，那就用 strings 看一下。 这里看到了比较用户名密码的登录逻辑。 那么问题肯定在这里，只是我还不知道。 搜索一下 php strcmp exploit 很多 bypass，那这个肯定就是有漏洞可以利用了。 扩展阅读 PHP String Comparison Vulnerability…

Recon Nmap 目标机器只开放了 22 端口。 之前的用户，daniel 和他的 private key 还是可以用来登录 10.10.10.50 代号 Guard 的机器。 进去之后发现 find， cd ，cat 这些都用不了，会显示 rbash: cd: restricted 这样的错误。 搜索一下 rbash，会发现 Linux 有一个限制环境 （restricted shell） 扩展阅读 GNU Restricted Shell Restricted Shell Explained 搜索 how to exit restricted shell 这篇文章 就有解除限制的方法。 用 less 是可以的 I’m in… 之后的内容不写了，不太切实际。主要学习一下 restricted shell。

Markup Video Walkthrough 😄 Recon Nmap nmap 还在跑的时候，我就去这个 ip 看下有没有 web 服务。这是主页。 然后记得上一个 Included 结束的时候，在 login.sql 里有一个登陆信息（移步 这里查看），我试了一下果然登陆成功。 首页。 有个 cookie。 源码没有什么信息。 contact 页面假的，按钮点了没有任何反应。 order 页面，随便填了一些信息，点击提交显示已处理 我看到订单页面的源码里是提交到 process.php 我在地址栏直接访问，并添加了 null byte 在后面，防止 php 被执行，但是报错了。 加上两个 0 报错还不一样。 目标机器运行的技术栈全部暴漏了 – Apache/2.4.41 (Win64) OpenSSL/1.1.1c PHP/7.2.28。 20 分钟过去了，我的 nmap 还没结束。 那就根据这个信息搜索一下漏洞好了。 Enumeration 搜索一下 apache 2.4.41 exploits 排前几位的文章都看了一下，没有发下有用信息。 openssl…

Recon Masscan nmap 超时了，换成 masscan 只开放了一个 80，又一个 webapp 练习。 Enumeration 主页是这这样的。我今天正好看了 这篇讲 Directory Traversal 的文章。 直接列出了 /etc/passwd 的内容。 打开源码，可以更清楚看到目标机器有一个普通用户 mike。 没有权限直接访问用户家目录。 再找找敏感信息。 我查看了 /home/mike/.ssh/，/home/mike/.bashrc，/tmp，没得到什么信息。 应为有 web 服务，配置文件可以看一下。 首先确定服务器的技术栈。 跑的是 apache 2.4。 搜索 几个地方可以查看。 没有发现什么有用的信息。 尝试下载本地的 php 代码，也没有奏效。 扩展阅读 OWASP Directory Traversal 如果能再地址栏直接执行命令，问题就解决了。 More Enumeration 看看系统信息。 都是 local 的漏洞。 再回去看 web。 跑一遍 dirsearch，但是并没有什么发现。 扩展阅读 这篇文章讲了很多关于 LFI…

Lame Video Walkthrough 😀 Recon Nmap # Nmap 7.80 scan initiated Sun Apr 26 01:45:41 2020 as: nmap -A -T4 -p21,22,139,445 -oN nmap.txt 10.10. 10.3 Nmap scan report for 10.10.10.3 Host is up (0.32s latency). PORT STATE SERVICE VERSION 21/tcp open ftp vsftpd 2.3.4 |_ftp-anon: Anonymous FTP login allowed (FTP code 230) | ftp-syst: |…

HackTheBox-Magic Video Walkthrough 😀 Recon Masscan ➜ Magic masscan -p 1-65535 10.10.10.185 -e tun0 –rate=1000 Starting masscan 1.0.5 (http://bit.ly/14GZzcT) at 2020-04-23 16:31:14 GMT — forced options: -sS -Pn -n –randomize-hosts -v –send-eth Initiating SYN Stealth Scan Scanning 1 hosts [65535 ports/host] Discovered open port 80/tcp on 10.10.10.185 Discovered open port 22/tcp on 10.10.10.185 ^Cwaiting several…

Pathfinder Walkthrough Video!😄 我在 0x00 开篇中有说过，在慢慢学习，和记录的过程当中，一个渗透测试学习者应该形成自己的学习思路，和测试工作流程。 这是第五篇博文，我个人的学习思路初步已经形成，那就是 nmap 一下 HackTheBox 的目标机器，查看开放端口 对照 Ports and Services，查询不熟悉的服务类型 大致上明白这个机器是用来做什么练习的，比如这个 Pathfinder，是关于 Kerberos 和 ActiveDirectory 的 如果这个主题自己还不是很熟悉，那么就先找很多的资料看一下， 比如搜一下 pentest kerberos exploits 如果这个主题比较熟悉，那么直接切入，尝试获取控制权 大多数情况下，都是不熟悉的主题，因为我是个菜鸟😜！ 我尽可能晚地去寻求 Walkthrough 的帮助，因为第一，这就像看电影，而 Walkthrough 就像是剧透，很扫兴；第二，形成了这样的习惯，之后不免会沦为工具党，对往后的发展也不好。因此，不到万不得已，我不会去看 Walkthrough（前篇那个 Rotten Potato 的漏洞那真是没办法，怎么也找不到解决方案）。给自己定个大原则，总有好处的 😀 至于工作流程，现在说还太早。 Help Desk 对于 Kerberos 我一无所知，所以一下是我在尝试 Pathfinder 之前阅读的资料。 How does Kerberos Work? Kerberos Exploits Kerberos Exploitation Cheetsheet…

Shield Video Walkthrough！😀 Via今天回来继续 HackTheBox 系列。有事耽误了两天。前两天发现 Vaccine 这个机器老是会出现网络问题，我就跳过不做了。那么今天就是 Shield。 目标机器在IP地址 10.10.10.29。 Recon Nmap 只有 80 和 3306 端口开着，一个网站，加一个 mysql server。 攻击者可以继续跑一些漏洞脚本，进一步发掘线索。 并没有很多有用的信息，漏洞脚本发现了这个服务器上跑着一个 wordpress。 The Website 查看源码。 没有线索，背景是一张图片，点击之后跳转到微软的网站。 下一步就需要进一步扫描一下隐藏目录。 Dirbuster 很快就发现服务器上跑着一个 wordpress，确认了 nmap 的发现。 线索：发现有 wordpress 操作：wpscan 查看一下目标 第一个出现的是 xmlrpc，查一下是否有可用的漏洞。 扩展阅读 XMLRPC 可能成为目标漏洞，看一下这篇文章吧。 What is XMLRPC 这是剩下的扫描结果，包括 wordpress 的版本是 5.2.1，有一个用户是 admin。 攻击者可以用 wpscan 尝试暴力破解 admin 的密码，但是效率太低。…