Ed3n's Blog

Forest WalkthroughBox Info官网在这里：Forest Forest in an easy difficulty Windows Domain Controller (DC), for a domain in which Exchange Server has been installed. The DC is found to allow anonymous LDAP binds, which is used to enumerate domain objects. The password for a service account with Kerberos pre-authentication disabled can be cracked to gain a foothold. The service account is found to be a member of the Account Operators group, which can be used to add users to privileged Exchange groups. Th ...

Weasel WalkthroughBox Info官网在这里：Weasel I think the data science team has been a bit fast and loose with their project resources. The Hack对目标 IP 进行端口发现和对开放的端口进行应用版本发现 nmap -sC -sV 10.10.236.197 --min-rate 250 发现 22 端口 SSH 服务，135 端口 RPC 服务，139 和 445 端口 SMB 服务，3389 端口远程桌面服务和 8888 端口 HTTP 服务 先来看开放在 139/445 端口的 SMB 服务，以下命令枚举失败 nmap -p139,445 --script=smb-enum-* 10.10.236.197nmap -p139,445 --script=smb-vuln-* 10.10.236.197smbmap -H 10.10.236.197 使用 smbclient 匿名登陆 smbclient -N -L //10.10.236 ...

Blueprint WalkthroughBox Info官网在这里：blueprint Hack into this Windows machine and escalate your privileges to Administrator. The Hack对目标主机做全端口扫描 nmap -p- 10.10.253.208 --min-rate 500 发现开放 80 、135、139、443、445、3306、8080 端口 对开放的端口进行应用版本发现 nmap -p 80,135,139,443,445,3306,8080 -sC -sV 10.10.253.208 80、8080 开放 HTTP 服务，443 端口开放 SSL/HTTP 服务，139/445 端口开放 SMB 服务，135 端口开放 RPC 服务 先来看 SMB 服务，使用 smbclient 枚举共享目录 smbclient -N -L //10.10.253.208 发现共享目录 Users 和 Windows 远程登陆 Users 共享目录，枚举文件 smbcli ...

SkyTower WalkthroughBox Info官网在这里：SkyTower: 1 The Hack由于官网只给了 vbox 文件，需要将其导入 Vitrual Box 后导出 ova 文件才能放在 VM 内运行 确定存活的主机 nmap -sP 192.168.186.0/24 对目标 IP 进行端口发现 nmap -p- 192.168.186.157 发现开放 80，3128 端口，22 端口处于 filter 状态 对开放的端口进行应用版本发现 nmap -p 22,80,3128 -sC -sV 192.168.186.157 80 端口开放 http 服务，3128 开放 http-proxy 代理服务 先来看 80 端口，进行目录扫描 dirsearch -u http://192.168.186.157/ 仅发现 login 页面 访问 192.168.186.157 主页面，发现是登陆页面，而 /login.php 需要登录才能访问 先来看看主页面是否存在 SQL 注入？在 email 和 passwd 输入 '&qu ...

PwnLab: init WalkthroughBox Info官网在这里：PwnLab: init The Hack确定存活的主机 nmap -sP 192.168.186.0/24 对目标 IP 进行端口发现 nmap -p- 192.168.186.154 发现开放 80，111，3306，39907 端口 对开放的端口进行应用版本发现 nmap -p 80,111,3306,39907 -sC -sV 192.168.186.154 80 端口开放 http 服务，111 端口开放 rpcbind 服务且开放 39907/tcp 服务 status ，3306 端口开放 mysql 先来看 80 端口，进行目录扫描 dirsearch -u http://192.168.186.154/ 发现 config.php 但是内容为 0 ，没有权限访问，同时发现 images、upload、login 页面 发现 login 页面 url 为 http://192.168.186.154/?page=login 尝试路径遍历 ../..&# ...

SickOs 1.1 WalkthroughBox Info官网在这里：SickOs: 1.1 The Hack确定存活的主机 nmap -sP 192.168.186.0/24 对目标 IP 进行端口发现 nmap -p- 192.168.186.153 发现开放 22，3128 端口 对开放的端口进行应用版本发现 nmap -p 22,3128 -A 192.168.186.153 22 和 3128 端口都没有什么可以直接利用的漏洞， 3128 端口是作为代理使用的，所以想访问 80 端口必须走 3128 端口代理，使用代理对 80 端口进行目录扫描 dirsearch -u http://192.168.186.153/ --proxy=http://192.168.186.153:3128/ 发现 /connect 和 /robots.txt 目录 开启 Firefox 全局代理，所有请求都要通过 3128 代理转发 访问 80 端口主页面，没有泄露任何信息 访问 connect 发现是谜语 访问 robots.txt ，会发现除 ...

Kioptrix Level 5 WalkthroughBox Info官网在这里：Kioptrix: 2014 (#5) The Hack目标主机启动后需要输入 ufs:/dev/ada0p2 才算登陆成功 确定存活的主机 nmap -sP 192.168.186.0/24 对目标 IP 进行端口发现 nmap -p- 192.168.186.152 发现开放 80，8080 端口 对开放的端口进行应用版本发现 nmap -p 80，8080 -A 192.168.186.152 80 和 8080 端口开放的服务版本是一样的，但是 8080 端口状态码是 403 Forbidden 那先来看 80 端口，或许能从中找到为什么 8080 端口是 403 状态码 进行目录扫描 dirsearch -u http://192.168.186.152 看起来没有发现什么有用的东西 那就直接访问页面，在源码中发现新的目录 /pChart2.1.3/index.php 访问一下看看，发现被重定向到 /pChart2.1.3/exa ...

Kioptrix Level 4 WalkthroughBox Info官网在这里：Kioptrix: Level 1.3 (#4) The Hack确定存活的主机 nmap -sP 192.168.186.0/24 对目标 IP 进行端口发现 nmap -p- 192.168.186.151 发现开放 22，80，139，445 端口 对开放的端口进行应用版本发现 nmap -p 22,80,139,445 -A 192.168.186.151 22 端口开放 SSH 服务，80 端口开放 HTTP 服务，139 和 445 都是 SMB 服务 先来看 22 端口 SSH 服务，看看对应版本有无可直接利用的漏洞 searchsploit openssh 4.7 暂时没有发现什么可利用的漏洞 再来看 80 端口，进行目录扫描 dirsearch -u http://192.168.186.150 发现可疑目录 /images 目录下有张 cartoon_goat.png 图片 将其保存至本机，看看图片是否泄露信息 strings cartoon_goa ...

Kioptrix Level 3 WalkthroughBox Info官网在这里：Kioptrix: Level 1.2 (#3) The Hack确定存活的主机 nmap -sP 192.168.186.0/24 对目标 IP 进行端口发现 nmap -p- 192.168.186.150 发现开放 22，80 端口 对开放的端口进行应用版本发现 nmap -p 22,80 -A 192.168.186.150 22 端口开放 SSH 服务，80 端口开放 HTTP 服务 先来看 22 端口 SSH 服务，看看对应版本有无可直接利用的漏洞 searchsploit openssh 4.7 展示没有发现什么可利用的 再来看 80 端口，进行目录扫描 dirsearch -u http://192.168.186.150 /gallery 目录似乎加载不完全 查看源代码后发现，/gallery 目录中的链接指向的是 Kioptrix3.com 将该域名与 IP 绑定 vim /etc/hosts 再次访问，发现排序图片的站点 使用任 ...

Kioptrix Level 1 WalkthroughBox Info官网在这里：Kioptrix: Level 1 (#1) The Hack确定存活的主机 nmap -sn 192.168.186.0/24 对目标 IP 进行端口发现 nmap -p- 192.168.186.146 对开放的端口进行应用版本发现 nmap -p 22,80,111,139,443,32768 -A 192.168.186.146 发现 SSH、HTTP、RPC、SMB、HTTPS 和未知服务的端口 先来看 80 端口，进行目录扫描 dirsearch -u http://192.168.186.146/ 发现有部分页面重定向 IP 至 127.0.0.1 使用 SSH 本地端口转发 sudo systemctl start sshssh -CNfg -L 80:192.168.186.146:80 kali@127.0.0.1 这样访问 127.0.0.1 就是目标 IP 地址了 看来看去没有泄露敏感信息 再来看看 111 端口 RPC 服务，对开放的 service ...