- 博客(15)
- 收藏
- 关注
RSS订阅原创 OSCP靶机39--yousef
就是这个,我一开始还疑惑,这也是挺离谱,一个www用户竟然还有flag,因为看文件很明显有一个正常用户、root用户。目录遍历暴露资产---403绕过,弱口令访问后台---文件上传---base64编码,提权。在这里,我认为,22端口应该是在80端口找到私钥或者密码之后用来连接的。功能点里上传文件最有用,这里上传反弹shell文件有简单的拦截。还是这个用户的密码,我以为要suid或者sudo提权。目录遍历出这些路径,一一试过,均无有效信息。下一步,尝试su root用户,你猜怎么着,
2025-09-01 15:18:34
269
原创 OSCP靶机36--Intelligence
一堆pdf,还都是拉丁语,翻译软件都解决不了问题。比如看长篇文章主要看标题,其实在大多数场景下,都是先看大标题,看看是不是自己想要的。)来执行Kerberos协议中的S4U2Self攻击,以获取特定服务的票据授予票据(TGT)。到这里的正确思路是:既然命令规则一样,是否同命名规则下有更多文件,这些文件里可能有敏感信息?可以读SVC_INT账户的密码,而该账户有约束委派权限,可向域控申请服务票据。----分析脚本,dns投毒,ntml截获,横向移动。---Kerberos委派攻击,请求TGT,接管域控。
2025-08-31 17:53:55
305
原创 OSCP靶机41--Vault
信息收集---smb的某个文件夹有可写权限---上传恶意文件截获网络身份认证信息---爆破出密码---GPO Abuse(组策略对象滥用)---将当前用户加入该计算机的本地管理员组,并强制刷新组策略--获得管理员权限。因为对GPO有完全的控制权限,所以可以把该用户直接加入域内所有计算机的本地管理员组中,再强制更新组策略即可。这里按照我的方式就是收集域信息了,但WP不是这么写的,我不知道我的方法行不行。先按照WP的方式走下去。可以上传恶意文件,以便有用户点击时,截获该用户的 NTLM hash。
2025-08-29 18:02:19
345
原创 OSCP靶机35--Forest
文章摘要:攻击者通过LDAP枚举域用户,发现未开启Kerberos预认证的账户,实施AS-REPRoasting攻击获取svc用户hash并爆破密码。随后利用evil-winrm连接,使用SharpHound收集域信息,分析发现高权限组ExchangeWindowsPermissionsgroup,添加用户并授予DCSync权限。最终通过DCSync攻击获取所有用户hash,以管理员身份登录。攻击过程包括信息收集(88端口GetNPUsers.py枚举)、边界突破(爆破hash连接)和提权(分析域结构获取D
2025-08-21 20:01:22
124
原创 OSCP靶机38-- so-simple
目录遍历,知晓CMS版本 --- 漏洞复现,获得www-data用户权限(低权限)--- 文件翻找,获得更高用户权限---sudo -l 用户平移,获得其他用户shell --- sudo -l 对特定有root用户权限,无密码可执行 --- 手动创建文件,写反弹脚本,回弹root的shell,获得flag目录攻击链信息收集突破边界提权sudo -l (这个知识点用了两次)第一次第二次nmap获取端口号&服务版本站点一定要目录遍历,dirsearch和gobuster一起用,发现CMS是w
2025-08-20 16:22:27
397
原创 OSCP靶机34--Jeeves
攻击链:信息收集&目录遍历---找到可访问网址,搜集信息,漏洞利用---突破边界---找到数据库文件---解密管理员hash---获得最终的flag.txt知识点:查看隐藏的ADS认识CEH.kdbx,并学会破解。各种常用工具的复盘。漏洞搜索和临时复现能力。
2025-08-18 15:56:36
584
原创 OSCP靶机32--Gaara
这里其实可以尝试ssh爆破,但是kali的用户名字典和密码字典组合爆破要花很大的时间成本,建议尝试找到更多信息,比如:服务器名,再尝试爆破。文件内容很奇怪,其实和brainfuck语言有关,但我是要考试,又不参加CTF。6)suid(这里find到我知识点的纰漏,因为garra不让用sudo,我就以为suid不能提权。ok,你会在家目录中发现这这个,有 == = 的标志,可能是base64。鉴于我着急拉进度,这个问题,下次解决。所以,其实如果信息就这么多,那目录遍历不出来就再换几个字典进行遍历。
2025-08-14 14:48:48
795
原创 OSCP靶机33--Chatterbox
攻击链:Achat缓冲区漏洞,利用脚本---获得低权限用户---信息收集获得Winlogon凭据---提权知识点(仅适合myself):默认nmap top 1000 有哪些端口windows上开的135,139端口的用处管理员对自己的root.txt无读权限,该怎么处理。
2025-08-12 09:32:35
370
原创 OSCP靶机21--potato
也就是说,strcmp函数,当传入非字符串类型(如数组)时,函数会报错,但在 PHP 5.3 之前的版本中,错误处理逻辑会错误地 返回。我估计这个中括号里边默认为0,所以,array(0 => ' ')。三个log文件的请求都是一样的,只是文件名不一样,所以需要一个好的爆破字典。(这靶场也是挺奇怪,一会行一会儿不行的),我本来是用burp爆破,但是没有成果。发现文件包含的同时,也可以查看/dashboard.php文件,代码审计后。分析代码--》账户名有个admin,密码是potato。
2025-06-13 21:15:54
891
原创 OSCP靶机18--Administrator
那就 python3 targetedKerberoast.py --dc-ip 10.129.201.144 -d administrator.htb -u emily。打开文件后,获得emily用户的账号和密码,在bloodhound中发现emily对ethan有genericwrite权限,也就是可以进行。就是使用bloodhuond收集信息,导入分析的bloodhound。所以第三个问题,直接搜索Michael就ok了。把json文件导入bloodhound,接着,用hashcat破解。
2025-06-10 17:38:18
319
原创 OSCP靶机20--SUNSET DECOY
(这里要提一嘴,我同时在目录遍历,but没有可用的路径)anyway,拿到296640a3b825115a47b68fc44501c828的密码。是可以连接,但是看看passwd文件,这个用户用的是rbash(超级阉割版)所以22端口能有啥漏洞,先考虑80端口,看看zip文件是个啥。(其实这里疏忽了,我把整个文件拿去爆破了,哈哈哈哈哈哈哈)复现第一个要红框的东西,谁知道有没有,直接尝试第二个。这不就手拿把掐😼,跟我念 so easy!不是还有个22端口,拿去连接啊~😼。如图,不赘述,so easy。
2025-06-06 20:06:38
301
原创 OSCP靶机16--loly
Linux服务器所部署的CMS- wordpress框架的插件—AdRotate有文件上传漏洞,允许用户上传可执行文件。导致服务器可以被攻击者获取低权限用户,wordpress的配置文件wp-config.php中包含loly用户的密码,所以攻击者可以切换到权限更高的用户loly。Linux服务器有[CVE-2017-16995] eBPF_verifier漏洞,所以使用loly用户运行对应脚本后,获得该服务器最高权限。(当然此处不是用的脏牛漏洞,我只是CV了之前的命令,没有修改名字。
2025-05-12 11:50:26
1913
原创 其他sql注入写入webshell的方式
这时,我们可以通过修改MySQL的log文件来获取Webshell。fields terminated by原理为在输出数据的每个字段之间插入webshell内容,所以如果select返回的只有一个字段,则写入的文件不包含webshell内容,例如下面语句。注入原理:利用lines starting by语句进行拼接,拼接后面的webshell内容,lines starting by可以理解成以每行开始的位置添加xx语句。写入的文件中只包含username的值而没有webshell内容。
2023-03-31 16:04:23
561
原创 SQL注入写入Webshell(Lines terminated by写入)
在输出每条记录的结尾或开始处插入webshell内容,所以即使只查询一个字段也可以写入webshell内容。找到物理路径,但是这是个布尔注入,只返回真假。因为是同一网站,尝试使用上篇文章找到的物理路径来写入webshell。1.当mysql注入点为盲注或报错,Union select写入是不能利用的,那么可以通过分隔符写入(SQLMAP的–os-shell命令,所采用的就是这种方式)页面仅显示有无用户,无其他报错信息,初步判断用布尔盲注。(菜鸟一枚,日常记录,写的不对的地方欢迎大家指正)
2023-03-31 12:10:41
1349
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人