2301_80148821的博客

开通cnd服务后（访问加速）安全测试相当于对节点进行测试，如果拿到服务器权限也就是节点的权限。通过这些网站的IP和可以进入内网服务进攻服务器，然后进行www.123.com的内网渗透。查同网段下面的不同服务器IP下的web应用查询技术：查c段。CDN服务，假设ip为12.34.56.155。使用超级ping进行判断开没开cdn服务。查同服务器的不同web应用：旁注。waf：识别防火墙Wafw00f。负载均衡：lbd 识别负载均衡。防火墙：主要是内网，输入输出流。CMS识别（指纹识别）

然后，用impacket工具包中的GetNPUsers.py进行密码破解。这里只有上传到tmp目录下才能有权限执行。然后直接kali中登录，抓取flag就行。然后上传fscan和毒液进行代理和扫描。根据扫描结果，可以看到那个后台登录。尝试cve-2021-34371。尝试端口，发现7474有界面。然后，用大佬的脚本提权用户名。没开放80端口，网站看不到。然后代理到本机和kali上。直接抓包上sqlmap跑。得到很多密码和flag2。并且看到是Nei4j的。windows远程连接。用猕猴桃抓取hash。

通过certipy-ad创建一个机器账号Test2，并且设置DNS Host Name为域控的 XR-DC01.xiaorang.lab。然后，Schannel 将证书传递到 LDAPS, 修改 LDAP 配置 (例如配置 RBCD / DCSync), 进而获得域控权限。进入网站，发现是wordpress，这种一般都不会有啥直接漏洞，应该是插件漏洞，或者弱口令。爆破密码，弱口令admin，123456，之前lazysysadmin好像打过。然后申请证书模版，打了两次，不成功就继续打。

并且我们当前这个用户对这些文件可读可写，那么提权思路就有了，我们可以通过在这些sh脚本中写入一个修改root用户密码的命令，这样当我们通过ssh用户登录到inferno这个账号上的时候，我们这些motd的sh脚本就会被以root用户的权限执行，这时候我们写入的修改root用户密码的命令也会被执行，之后我们只需要切换到root用户即可完成提权。当我们通过ssh登录成功的时候，我们如果留意的话，我们会发现输出的那些欢迎信息和日期等等，如果这些输出以上信息的脚本是以root权限运行的。成功访问，成功连接。

找到了alice的笔记，意思是我喜欢这个公司，并且希望找到一个比bab好的伴侣。注册用户cat，观察url有url_id=,改为5，发现alice用户。看到my_secret进入目录。看到alice有可以执行php命令的root权限。find找到flag2。使用浏览器查看，使用xff伪造本地用户。sudo -l查看用户权限。使用php回调bash提权。所以发现130为目标靶机。将不可见的type删除。nmap扫描存活主机。然后向root进发。

（MSF终端，The Metasploit Framework）是目前Metasploit框架最流行的用户接口。观察，开放了21端口，为ftp应用，使用Pro.FTPD 1.3.3.3c。-r range 指定ip段，比如192.168.0.0/24。-t ARP发送间隔，单位毫秒。-p被动模式，默默倾听指定的网卡以发现别的二层主机。-i 网卡 选择监控的网卡，比如eth0。设置监听地址，就是我们kali的地址。看到RHOSTS，填写目标地址。搜索版本，查找漏洞和脚本。使用第10个那个脚本。