Future_Hk的博客

nmap起手5.6.2符合漏洞利用版本来到后台存在用户名test-corp默认用户存在弱口令test来到漏洞利用页面><!%init;%trick;创建恶意WAV文件创建dtd文件p=%file;'>" >开启端口我们上传wav文件??查看wp-config.php将路径改为。

目录扫描子域名枚举可以访问127.0.0.1访问我自己的端口成功验证了这里有SSRF漏洞。

nmapsmb扫描无信息这似乎是一个会分析你上传文件的功能不过没啥用发现了一个特殊的js文件包这是一个Apache Tika 1.17服务器。

同时 你也可以使用dig命令。使用工具nslookup。

本次挑战重点测试枚举能力。

nmap扫描查找相应exploit。

nmap扫描一波一个商城给出的域名为nahamstore.thm先进行子域名枚举使用ffuf进行子域名枚举-w字典， -H枚举目标域名 FUZZ为枚举位置， -u 为目标URL -t 设置线程注意： 当访问不存在的域名时或许也会返回200响应码，我们需要找出其响应大小 通过-fs参数过滤出正确存在的域名-fs你会注意到我的响应大小不是固定的，而是动态的，不过没关系，通过观察发现这些错误的响应大小在910-940之间浮动最终payload将他们添加到/etc/hosts 主机配置中。

nmapgobuster目录扫描遍历一下/retro可以使用找回密码功能 确认存在的用户名尝试Wade用户名 发现成功了使用hydra爆破密码然后爆破好久 没有收获回到刚刚的网址 寻找信息parzival将其作为密码直接登录后台成功该方法似乎不起作用回过头来我发现之前的端口3389开着这个端口用于Windows远程连接试试用wade账号能不能连接rdp成功连接。

我们发现在WP这里找回密码功能可以遍历得到用户名。该字典中有很多重复的凭据。请AI帮我写一个爆破脚本。访问wp-content。使用hydra爆破密码。

Get-ChildItem(相当于dir,ls) 核心命令，用于获取指定位置中的项目和子项目（即文件和文件夹）：这是执行哈希计算的核心 cmdlet。它的功能是使用指定的算法为文件生成一个唯一的哈希值。: 这是一个 Windows 系统自带的命令行工具，全称是。它接收一个对象集合，并计算该集合中有多少个对象。：这是 cmdlet 的一个参数，用于指定使用哪种。： 告诉筛选器，我们要检查每个命令对象的。： 筛选器，负责检查集合中的每一个对象。： 这个 cmdlet 的默认行为是。它指定了工具要执行的操作是。

坏字符：\x00\x01\x02\x03\x04。retn填上 \xf3\x12\x17\x31。padding 填上 "\x90" * 16。使用msfvenom生成反弹shellcode。找到一个exe文件 准备进行内存溢出攻击。连接9999端口 但是需要密码。使用gobuster扫描目录。这个命令给了我们三个选项；使用msfconsole。5.执行payload。

得到一个gatekeeper.exe。

nmap扫描一下有ftp并且匿名账号访问被允许FTP（文件传输协议）支持两种传输模式：主动模式和被动模式。被动模式（PASV模式）是为了应对防火墙和NAT（网络地址转换）等网络环境的限制而设计的。这里要把 passive模式关闭不然当查看目录时会一直卡使用binary命令将传输模式设置为二进制，然后使用get命令下载文件。如果不使用binary命令，默认的ASCII模式可能会导致文件损坏。监听9999端口这似乎是一个消息发送的平台。

push var 压入变量pop var 弹出变量。

WINDOWS程序动态调试工具immunity debugger。

nmap + gobuster一套由WordPress运作发现版本为5.4.2没有相关exploit空密码被禁止回到刚刚的WP后台登录页面有一个找回密码的功能点我们可以知道admin是一个存在的用户利用hydra进行爆破查询记得添加-f 选项 这会在发现第一个匹配的密码后停止爆破线程-t最大为64my2boys邮件：登录后台看到这个功能眼前一亮 和之前一期同样的漏洞原理我可以任意修改代码将404.php代码替换为我的网页shell代码。

几个网页都没什么信息第一行密文像是base64加密Bob -!P@$$W0rD!123$$$我得到了登录凭据 却没有登录网页去使用它使用nmap的vuln脚本扫描潜在的漏洞SMB存在CVE=2017-0143漏洞这是一个著名漏洞-永恒之蓝这个漏洞要使用metasploit我们可以去找到相关的自动化脚本一直显示超时 没有办法偶然发现浏览器通过49663端口可以访问到passwords.txt 文件，

nmap查看端口 + gobuster目录遍历查看htaccess.txt 似乎是使用RewriteCond规则重写了URL过滤特殊符号Joomla 3.7.0版本没有默认账号密码exploit提到使用sqlmap破解thm告诉我们为什么不使用py脚本呢？由于SQLMAP在OSCP考试中不被允许使用查找一个关于该漏洞的py脚本得到jonah的哈希值破解密码spiderman123登录刚刚的后台没有什么内容在网上查找joomla后台getshell。

这个房间将涵盖 SQLi（手动利用此漏洞和通过 SQLMap），破解用户的哈希密码，使用 SSH 隧道揭示隐藏服务，以及使用 metasploit payload 获取 root 权限。

nmap扫描端口页面没什么实践内容使用gobuster扫描一下squirrelmail有点可疑直接得到cms的版本查找相关exploit需要账号密码尝试用hydra爆破失败查看其他端口尝试枚举Samba使用get指令下载内容由于最近系统的故障，所有的skynet用户都要更改密码的公告Miles Dyson用户名再一次出现只有log1有内容看起来像是密码字典得到smb密码连接上milesdyson的smb这个页面也没什么信息再次选择gobuster进行目录扫描。

网址被黑了 我们需要分析流量包。

使用Hydra对网站登录进行暴力破解，识别并利用公开的漏洞，然后在这台Windows机器上提升你的权限。

利用 Jenkins 获取初始 shell，然后通过利用 Windows 认证令牌提升权限。

破解一台以 Mr. Robot 为主题的 Windows 机器。使用 metasploit 进行初始访问，利用 powershell 进行 Windows 权限提升枚举，并学习一种新的技术以获取管理员权限。

演练利用Linux机器的过程。枚举Samba共享，操作一个易受攻击的proftpd版本，并通过路径变量操作提升你的权限。

futurevera.thm Blog.futurevera.thm support.futurevera.thm添加到/etc/hosts。是识别给定域名的所有子域名的过程。是属于另一个（主）域名的域。例如，如果一个域名在其网站的一部分提供在线商店。，一种在Web服务器和Web浏览器之间创建加密连接的安全协议。是一个数字证书，用于验证网站的身份并启用加密连接。老规矩nmap gobuster连招。过滤Size:4605失败响应。虽然有时候不包含有用的信息，但。，它可能会使用子域名。

老规矩nmap + gobuster打开网址抓个包看看情况发现会回显账号 密码状态可以通过此来查找存在的用户名admin为一个存在的用户。

背景：房间表明需要得到shell 并且暴力破解不在范畴之内。

因此我们知道 这个XOR前8位(由所学知识可知 每两位十六进制字节为一个解码字符)便是THM{的XOR值 进而我们能推出key值。XOR加密涉及将旗标的每个字符与密钥的对应字符（如果密钥较短，则循环使用）进行XOR位操作。我们知道Tryhackme的flag的传统，flag一贯以THM{...}的格式。这段代码搭建了一个服务器，挑战用户解码一个XOR加密的消息。然后，将加密后的消息转换为十六进制格式并发送给客户端。当客户端连接时，服务器会生成一个随机的。得到了第一个flag的XOR信息。

通常可以在几秒钟内直接从任何二进制文件中提取CTF旗标——无需依赖任何库，无需繁琐操作。：表明只显示长度 ≥6 的字符串（避免短噪声）是一个普普通通的俄罗斯方块游戏。内置的实用工具strings。

给了n c e的值要逆向求出flag。

先进行nmap常规扫描打开是一个登陆页面下方可查询API文档打开调试器 发现一个api.js文件审计后 疑似为一个JS混淆代码直接在终端输出结果利用此处输出的c的值来登录刚才的API文档登录成功后 显示了生成邀请码的PHP代码接下来缺少相应的信息目录扫描一下alpha@fake.thm用户的邀请码MTM0ODMzNzEyMg==为base64数据解码后得到1348337122alpha@fake.thm用户注销后创建了新的用户hello@fake.thm。

要求执行已知明文攻击，以恢复重复密钥的XOR密钥并解密隐藏的信息每条消息总以以下头部开始：ORDER:这是一个连续的十六进制字符串，每代表（因为因此第一个十六进制为0x1c 对应十进制28对于同一个数据 进行两次异或 会得到其本身利用这个特性 可以用XOR来加密重要信息Message和CipherText可以通过Key互相转换

自从在THM学习后就一直在尝试通过Kali去连接THM，因为基于web的Attackbox简直卡的不行，怀疑是误将梯的tun0当成OpenVpn的网卡接口导致的接口冲突。该脚本显示我已经连接上THM 但是返回的IP地址为空 即。再次去下载一个不同区域的配置文件 然后openvpn运行。那么关于OpenVpn连接THM的经历到这也就结束了。博主使用的是vmware的kali来进行连接。多出来的tun1才是OpenVpn的虚拟接口。分享我的经历，希望能对你有所帮助。于是将梯的UDP配置打开。