ke1nys`Blog

此环境是没有域的 纯是内网 目标ip 192.168.52.130 fscan扫一下 1234567891011121314┌──(root㉿kali)-[~/vulntarget]└─# ./fscan_amd64 -h 192.168.52.130 -p 1-65535 ___ _ / _ \ ___ ___ _ __ __ _ ___| | __ / /_\/____/ __|/ __| '__/ _` |/ __| |/ // /_\\_____\__ \ (__| | | (_| | (__| < \____/ |___/\___|_| \__,_|\___|_|\_\ fscan version: 1.8.2start infoscan(icmp) Target 192.168.52.130 is alive[*] Icmp alive hosts len is: 1192.168.52.130:80 o ...

目标ip 192.168.52.128 先使用fscan扫一下 1234567891011121314151617181920212223242526┌──(root㉿kali)-[~]└─# ./fscan_amd64 -h 192.168.52.128 -p 1-10000 ___ _ / _ \ ___ ___ _ __ __ _ ___| | __ / /_\/____/ __|/ __| '__/ _` |/ __| |/ // /_\\_____\__ \ (__| | | (_| | (__| < \____/ |___/\___|_| \__,_|\___|_|\_\ fscan version: 1.8.2start infoscan(icmp) Target 192.168.52.128 is alive[*] Icmp alive hosts len is: 1192.168.52.128:81 ...

192.168.52.132 外网目标ip fscan扫一下 1234567891011121314151617181920212223242526272829303132333435363738┌──(root㉿kali)-[~/vulntarget]└─# ./fscan_amd64 -h 192.168.52.132 -p 1-10000 ___ _ / _ \ ___ ___ _ __ __ _ ___| | __ / /_\/____/ __|/ __| '__/ _` |/ __| |/ // /_\\_____\__ \ (__| | | (_| | (__| < \____/ |___/\___|_| \__,_|\___|_|\_\ fscan version: 1.8.2start infoscan(i ...

内网只有linux机器 不是域的 拿到一个ip 开始fscan和nmap扫一下 这里的话一共就是三个端口 这里的这个2376端口没啥用 本来是想着docker -H上的 结果发现不行 1docker -H tcp://47.116.19.50:2376 ps 发现其会访问我们的网站 于是看看能不能打ssrf或者用除了http以外的协议来尝试 这样是可以的 接下来尝试ssrf 先使用file协议来读取一下 内网网络地址 123file:///etc/hosts/etc/network/interfaces /proc/net/arp (权限高的情况下读取) 发现一个192.168.0.2的地址 刚开始我是想着dict://协议去探测内网端口 然后来打ssrf 加xxx服务进入内网的 但是这里发现不行 于是尝试使用http协议来对该地址进行C段的爆破(其实本质上就是看80端口是否开了服务) 扫出来的地址的话一共是有5个的 并且都是开启了服务 123456789192.168.0.1192.168.0.2(快照)192.168.0.10 葫芦娃1 ...

正向代理是 被控机器监听端口 监听的端口是我们vps上开的socks的端口 方向代理是 被控机器将其自身的端口转发出来 先fscan和nmap扫一下 就三个端口 1280 443 5985 (135 139那些端口根本用不了了 ) 这里说一下这个前期信息收集步骤 先是fscan和nmap跑一下 然后dirsearch开扫 子域名扫描 ffuf smb默认尝试一下 看看会不会能匿名登录 访问80端口 一个普通的页面 扫路径没发现什么东西 直接去注册个账号来进行登录 登录是个病人后台 抓包看看注册流程 看看是不是存在可以动手脚的地方来获取到别的账户 (这里抓这个https的包的话 记得要导入证书 ) 这里的话是修改为2就行了 这样的话创建的账户就是医生的了 直接去登录 这里的话是没有发现什么东西 然后去扫一下子域名(其实这里的话应该是前期准备的时候就应该干的了) 1ffuf -w ./subdomains-top1million-5000.txt -u "https://meddigi.htb/" -H 'Host: FU ...

还是先扫一下 这里是推荐fscan和nmap同时扫 这样获取到的信息能多点 1234一共就是80 5985 8433 这个三个端口 其他端口一般是默认就开的域名 authority.htb80端口是个IIS服务器目标机器是个win主机 收集到这些信息后 访问这个80端口的话是啥也没的 然后就从其他方面入手 先尝试一下看看能不能匿名登录smb 1smbclient -L 10.10.11.222 只有这两个地方是我们能够访问的 123smbclient //10.10.11.222/Department Shares/smbclient //10.10.11.222/vv/ 这里的话就发现只有Development这个共享文件夹能够访问到 开始查看看有哪些东西可以进行利用 这个文件夹名字的话 百度一下就会发现他是个配置管理工具 Ansible是一个开源配置管理工具，可以使用它来自动化任务，部署应用程序实现IT基础架构。Ansible可以用来自动化日常任务，比如，服务器的初始化配置、安全基线配置、更新和打补丁系统，安装软件包等 那么我们就把其下载下来 1 ...

域渗透 先fscan扫一下 信息整理一下 110.10.11.236 80 88 1433 445 139 smb dc01 5985 winrm端口 manager.htb 这里这个manager.htb的话fscan没扫出来 这里用nmap来扫 记得把这个域名加到hosts里 不然等会打的时候会失败 先去访问这个80端口 发现是个纯静态的网页 没办法入手 于是尝试进行cme来获取域内的用户 来爆破其密码 123crackmapexec smb manager.htb -u anonymous -p "" --rid-brute 100004//匿名爆破RID 来爆破出域内的用户 1234567SMB manager.htb 445 DC01 1113: MANAGER\Zhong (SidTypeUser)SMB manager.htb 445 DC01 1114: MANAGER\Cheng (SidTypeUser)SMB ...

打之前把防火墙全关了 不然容易打一些步骤的时候会报错 这个靶机没云镜的好玩 域渗透的过程过于简单了 MS17梭哈全场 (实际上说是两层代理 其实就一层代理 52是可以出网的 只有93是内网) 防火墙记得关一下就行了 https://www.freebuf.com/articles/network/264560.html https://xz.aliyun.com/t/9574#toc-5 上面有搭建环境的步骤 就不写了这里 fscan扫一下这个ip 10.6.221.204 123456789101112131415161718192021222324┌──(root㉿kali)-[~/VulnStack]└─# ./fscan_amd64 -h 10.6.221.204 -p 1-10000 ___ _ / _ \ ___ ___ _ __ __ _ ___| | __ / /_\/____/ __|/ __| '__/ _` |/ __| |/ // /_\\____ ...

https://su-team.cn/passages/2023-10-28-ACTF/ https://wm-ctf-team.feishu.cn/docx/PLbbdhwdyoAefuxokXwcYppzn1c https://mp.weixin.qq.com/s?__biz=Mzk0NjM5OTc1NQ==&mid=2247483873&idx=1&sn=3b771293296edae5cf913c2bc85ba1a8&chksm=c307fe85f4707793149c2aeebe76c086e375f9f666c143b68556e5fa358fa62694533cc630e8&mpshare=1&scene=23&srcid=10317I620Rz9DLyGPvjH4heX&sharer_shareinfo=fa0d322996aa33d12e0962e62f42eb67&sharer_shareinfo_first=fa0d322996aa33d12e0962e62f42eb67#rd craftcm ...

先fscan扫一下 就开了个80端口 是wp框架 直接wpscan开扫 并没有发现什么有用的东西 直接去访问后台 /wp-admin 存在弱口令登录 admin/123456 然后在后台处写马 然后访问路径并连接蚁剑 1/wp-content/themes/twentytwentyone/404.php 这里不需要提权 www-data权限就能够访问flag了 这里的话有个点就是这个靶机不开3306端口(或者其他替代3306端口的端口) 导致看到config.php的数据库配置内容 也不能连接数据库 接下来就是扫内网挂代理了 先弹个shell到vps上 不想在蚁剑终端进行操作 信息整理 12345678910172.22.15.26 getshell主机172.22.15.13 XR-DC01 XR-DC01.xiaorang.lab172.22.15.18 XR-CA XR-CA.xiaorang.lab (poc-yaml-active-directory-certsrv-detect)172.22.15.24 3306 X ...