Cengbox2识别目标主机IP地址─(kali㉿kali)-[~/Vulnhub/Cengbox2]└─$sudonetdiscover-ieth1-r192.168.56.0/24Currentlyscanning:Finished!|ScreenView:UniqueHosts3CapturedARPReq/Reppackets,from3hosts.Totalsize:180_____________________________________________________________________________IPAtMACAddressCountLenMACVendo

Vulnhub百个项目渗透Vulnhub百个项目渗透——项目二：Lampiao（SSH爆破，脏牛提权）靶场地址提取码：rong🔥系列专栏：Vulnhub百个项目渗透🎉欢迎关注🔎点赞👍收藏⭐️留言📝📆首发时间：🌴2022年8月30日🌴🍭作者水平很有限，如果发现错误，还望告知，感谢！`巅峰之路Vulnhub百个项目渗透前言一、梳理流程二、使用步骤1.端口发现2.web突破1.SSH突破2.msf突破3.漏扫突破三.内网突破1.寻找exp2.利用漏洞四.总结前言本文章仅用作实验学习，实验环境均为自行搭建的公开vuinhub靶场，仅使用kali虚拟机作为操作学习工具。本文仅用作学习记录，不做任何导向。

CarelessPy一进来就是个任意文件下载功能，不过做了些限制，这题从头到尾都在骂杂鱼。。。(虽然我确实是(bushi)查看页面源代码，给了个/eval/login两个路由，/eval是个目录遍历，/login尝试登录无果，有session，应该需要伪造session，利用/eval查看app下的pyc文件，然后down下载在线找个pyc反编译，成功拿到密钥直接flask-session-manager伪造session，登录成功后拿到/th1s_1s_The_L4st_one这个路由，访问查看，xml的页面，猜想存在xxe漏洞，抓个包分析分析，直接payload打，注意得加个Content

MISC签到题八道网络安全选择题，百度都能搜索到答案，这里如果只知道部分题目答案，可以通过枚举测试fuzz答案，获得flagflag:flag{a236b34b-8040-4ea5-9e1c-97169aa3f43a}REre693直接下载附件用golang打开看main函数可以发现会打印两句话，要求输入有六个参数并且第三个为gLIhR 的函数、被调用三次并且会调用到cHZv5op8rOmlAkb6的函数Inputthefirstfunction,whichhas6parametersandthethirdnamedgLIhR:输入第一个函数，它有6个参数，第三个名为gLIhR：Inputth

考点：堆叠注入，MySQL和mssql中||运算符的区别，运算符的意义转换（操作符重置，短路算法打开靶机，尝试输入1查看回显：可以看到表格回显了内容：1，用其他非0数字尝试全都回显1，那我们换个数字尝试，比如0：什么都没有。用字母同理无回显。使用Sql堆叠注入查看信息，先用show指令查看数据库：1;showdatabases;再查看一下表：1；showtables； 看到Flag表，猜测flag应该在Flag中。但是用1;showcolumnsfromFlag;无法回显出flag只会回显Nonono. -->说明flag被过滤掉了（注：1;showcolumnsfrom用来查询表中列名称）接

考点：堆叠注入，MySQL和mssql中||运算符的区别，运算符的意义转换（操作符重置，短路算法打开靶机，尝试输入1查看回显：可以看到表格回显了内容：1，用其他非0数字尝试全都回显1，那我们换个数字尝试，比如0：什么都没有。用字母同理无回显。使用Sql堆叠注入查看信息，先用show指令查看数据库：1;showdatabases;再查看一下表：1；showtables； 看到Flag表，猜测flag应该在Flag中。但是用1;showcolumnsfromFlag;无法回显出flag只会回显Nonono. -->说明flag被过滤掉了（注：1;showcolumnsfrom用来查询表中列名称）接

一、Vulnhub介绍Vulnhub它是一个提供各种网络攻防靶场的平台，里面大部分的环境是要用VMware或者VirtualBox打开运行的。二、下载去vulnhub的官网https://www.vulnhub.com可以看到各种镜像。点击某一个进入我们可以看到关于镜像的详细信息，包括：镜像描述、难度等级、下载地址等。通过下载地址下载完成后会看到一个ovf后缀的文件。三、导入打开VMware，依次点击文件-打开，选择我们刚才下载的ovf文件打开，修改虚拟机名称及存储路径并导入。四、修改网络配置1.设置虚拟机网络适配器检查虚拟机网络适配器是否选择的NAT模式，不是的话改成NAT模式。2.配置网络

easynote create：堆大小可以任意分配只要不超过0xFFFcreate() unsigned__int64create(){inti;//[rsp+0h][rbp-20h]unsignedintsize;//[rsp+4h][rbp-1Ch]void*size_4;//[rsp+8h][rbp-18h]charbuf[8];//[rsp+10h][rbp-10h]BYREFunsigned__int64v5;//[rsp+18h][rbp-8h]v5=__readfsqword(0x28u);for(i=0;*(&chunk_ptr+i);++i);puts("Thelengtho

前言早写好了，忘发了，题目质量还行，够我坐大牢ezpop简单的反序列化，exp如下night=$d1;$d1->day=$d;$d->dark=$l;$l->light=$d2;$d2->day=$d3;$d3->dark='php://filter/read=convert.base64-encode/resource=/flag';echoserialize($n);?>传参这有个坑，用了Unicode编码，得copy下来进行url编码才能传参，不知道这么干有什么意义，还得绕过Exception,把变量数改一下就能绕过了，跟绕wakeup一样ezrcepreg_replace采用了/e的模

VulnhubDecoy提权补充在拿到用户296640a3b825115a47b68fc44501c828的密码server后，为了方便观察现象，同时开启两个shell,并且需要指定-t"bash--noprofile"以逃避受限shell,登录成功后，要修改PATH环境变量，使其包含正常的环境变量:PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/bin:/sbin296640a3b825115a47b68fc44501c828@60832e9f188106ec5bcc4eb7709ce592:~$catSV-502/logs/l