安全矩阵

 找回密码
 立即注册
搜索
查看: 2398|回复: 2

徐淑丽学习日记

[复制链接]

3

主题

5

帖子

77

积分

注册会员

Rank: 2

积分
77
发表于 2021-10-1 00:04:38 | 显示全部楼层 |阅读模式
本帖最后由 xslday 于 2021-10-1 00:08 编辑

bugku一个脑洞
where is flag 番外篇
下载解压,得到key.rar和出师表.rar。解压出师表.rar需要密码,推测要先获得密码,解压,得到flag
先解压key.rar,发现

每个文档字数不一样,且含有的大写字母个数也不一样
查看压缩包
2345解压缩

win解压缩

对其做减法,得到
75 101 121 58 90 104 117 71 76 64 64 46 48
ascii解码得ZhuGL@@.0
解压是一张图

使用winhex查看LjFWBuxFNTzEWv6t2NfxjNFSH1sQEwBt5wTTLD1fJ

Base58解码

flag为bugku{th1s_1s_chu_Sh1_B1A0!!@}



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

3

主题

5

帖子

77

积分

注册会员

Rank: 2

积分
77
 楼主| 发表于 2021-10-19 23:02:27 | 显示全部楼层
https://mp.weixin.qq.com/s/C606GO4WbXKL7s9vkU4-Lw
靶机地址:https://www.hackthebox.eu/home/machines/profile/222
OpenNetAdmin框架提权
使用Kali Linux作为解决该HTB
整理了大致思路:
1.信息收集--获取到靶机ip为10.10.10.171
Masscan扫描端口22,80
nmap详细扫描
apache添加域名,爆破,存在ona,访问。页面是OpenNetAdmin框架,版本号v18.1.1
存在漏洞,exp绕过,获得www低权用户信息并枚举发现了db_passwd密码信息
2.提权
i)虽然获得db_passwd,成功登录jimmy用户界面,但是无法查看user_flag,进一步获得joanna用户
main.php可以直接获得joanna用户的id_rsa密匙
index.php查看到了MD5,解密Revealed
访问52846/main.php获得了id_rsa密匙
利用index和id_rsa仍无法登录
最后利用利用ssh2john和john爆破,获得密码
再登录,获取user_flag
ii)将PHP shell编写到/var/www/internal文件夹中...然后植入简单shell获得反向外壳
sudo -l 发现nano执行priv可提权
执行nano后,`control+r`在加`control+x`进入execute执行命令(随意输入shell命令都可提权)
成功获得了root权限并获得了root_flag信息
大致就是这样,有时间可以整整看


回复

使用道具 举报

3

主题

5

帖子

77

积分

注册会员

Rank: 2

积分
77
 楼主| 发表于 2021-10-20 22:49:37 | 显示全部楼层
渗透tips
https://github.com/Power7089/PenetrationTest-Tips
1.提示缺少参数,如{msg:params error}:字典模糊测试构造参数
2程序溢出:整数溢出,观察现象
3.403,404响应:dirsearch等探测目录
4.验证码绕过:重复使用、万能验证码(0000,8888)、空验证码(code=undefined)、验证码可识别(PKAV HTTP Fuzzer工具)、cookie参数构造钓鱼链接;如果验证码有实效,一段时间内重复发送获取验证码(可能延长验证码的时长)
5.短信轰炸绕过:手机号前+86、手机号输入邮箱、邮箱处输入手机号
6.SQL注入:数据库是Mysql,可用&&替换and;如果waf过滤=,可用like替代
7.信息搜集:搜狗搜索选择微信可以搜索相关企业相关公众号资产
8.JS文件:搜索关键字API、Swagger UI等,寻找API接口地址(swagger组件特征固定title)
9.权限认证:(后台页面一闪而过,接着让你登录)
一、GET /xxx HTTP/1.1 à403
Host: test.com
绕过:
GET /xxx HTTP/1.1 à200
Host: test.com
X-Original-URL: /xxx
二、GET /xxx HTTP/1.1 à403
Host: test.com
绕过:
GET /xxx HTTP/1.1 à200
Host: test.com
Referer: http://test.com/xxx
三、302跳转:拦截并drop跳转的数据包,使其停留在当前页面。
四、前端验证:只需要删掉对应的遮挡模块,或者是验证模块的前端代码。
10.万能密码:'=0#
这个总结了很多,这里只是简单记录下

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-3-29 07:54 , Processed in 0.015351 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表