七天啊-CSDN博客

从输出可以看出，组BUTLTIN\Users 对 bat.job 文件具有完全控制权限，BUILTIN\Users 组表示所有本地用户，肯定也就包含 Daniel 用户。我们对该二进制文件job.bat具有完全访问权限，这意味着我们可以修改job.bat文件并插入任何我们构造好的payload。如何wevtutil.exe进程正在运行的话，我门就可以利用job.bat进行计划任务反弹shell了。但是job.bat只能由管理员用户执行，目前是Daniel用户权限，无法利用。1.在网页源代码中，发现存在。

2023-11-17 12:05:22 277

原创 HackTheBox-Starting Point--Tier 2---Included

TFTP (Trivial File Transfer Protocol)是一种简单的协议，提供基本的文件传输功能，不需要用户身份验证。文件包含执行reverse-shell.php文件，TFTP文件路径在之前读取/etc/passwd的时候已经发现：/var/lib/tftpboot。TFTP服务器已经连接上，可以上传下载文件，此时可以通过TFTP服务器上传一个反弹shell，使用文件包含漏洞执行shell。在包含/etc/passwd文件后，发现存在mike、tftp用户。3.文件包含漏洞探测。

2023-11-16 17:28:31 119

原创 HackTheBox-Starting Point--Tier 2---Oospsie

在执行过程中，调用者会暂时获得该文件的所有者权限，且该权限只在程序执行的过程中有效。通俗的来讲，假设我们现在有一个可执行文件ls，其属主为root，当我们通过非root用户登录时，如果ls设置了SUID权限，我们可在非root用户下运行该二进制可执行文件，在执行文件时，该进程的权限将为root权限。SUID (Set UID)是Linux中的一种特殊权限，其功能为用户运行某个程序时，如果该程序有SUID权限，那么程序运行为进程时，进程的属主不是发起者，而是程序文件所属的属主。

2023-11-16 16:09:56 79

原创 HackTheBox-Starting Point--Tier 2---Archetype

2 将 nc64.exe 上传至 C:\Users\sql_svc\Downloads 目录，从http web服务器输出可以看出，nc64.exe 上传成功。激活了 xp_cmdshell，使用xp_cmdshell 执行命令，whoami执行成功，如果可以执行命令的话我们就可以执行反向shell。查看backups，并发现 prod.dtsConfig 文件，在 prod.dtsConfig 中发现了。通过nc将cmd.exe绑定到监听器，执行命令，获取到shell。尝试激活 xp_cmdshell。

2023-11-16 12:03:09 203

原创 HackTheBox-Starting Point--Tier 2---Unified

页面跳转到：https://10.129.96.149:8443/manage/account/login?google搜索UniFi Default Database可以发现，UniFi默认数据库为ace。输出可以看出，administrator用户与其他多个用户，密码为hash。3.搜索Unifi 6.5.54是否存在相关漏洞。3.尝试获取administrator用户密码。发现Unifi 6.5.54版本存在。2.访问8080端口。1.查看系统运行服务。

2023-11-15 17:10:33 146

原创 HackTheBox-Starting Point--Tier 2---Vaccine

输出显示 postgres用户权限下，可以使用sudo权限编辑pg_hba.conf文件。2.FTP允许匿名登录，发现backup.zip。6.访问80端口，admin：qwerty789登录。7.搜索接口使用$searc变量，尝试对其进行注入。4.编辑pg_hba.conf获取shell。3.使用john解密backup.zip。4.backup.zip文件信息泄漏。爆破hash密码，得到密码是。，查看index.php，发现。参数获取一个shell。8.获取反弹shell。

2023-11-14 17:33:34 149

原创 HackTheBox-Starting Point--Tier 2---Base

swp文件是一个临时文件，它包含许多非可读的内容，因此可以使用 strings命令来读取这个交换文件， strings命令可以显示人类可读的文本。进行比较，结果将返回NULL，==运算符只检查变量的值是否相等，但是NULL的值为0。返回0，则登录成功。访问80端口，点击Login，页面跳转到 http://10.129.198.121/login/login.php。如上代码块中：开发人员使用strcmp()来检查用户名和密码的组合，当用户输入正确时，返回0，此时登录成功。，会把变量转化为数组。

2023-11-09 17:50:14 281

原创 HackTheBox-Starting Point--Tier 1---Three

S3 是一种对象存储服务，它将数据作为对象存储在存储桶中。对象是一个文件和描述该文件的任何元数据。桶是存放对象的容器，存储在 Amazon S3存储桶中的文件被称为S3对象。它允许我们将东西存储在称为桶的容器中。AWS S3存储桶有各种用例，包括备份和存储，媒体托管，软件交付，静态网站等。

2023-11-08 10:18:32 121

原创 HackTheBox-Starting Point--Tier 1---Funnel

使用本地端口转发，则在现有的有效SSH会话中创建一个单独的隧道，该隧道将网络流量从客户端机器的本地端口转发到远程服务器的端口。在底层，SSH在给定端口的客户机上分配一个套接字侦听器，当连接到该端口时，该连接将通过现有的SSH会话转发到远程服务器的端口。使用SSH在我们本地机器上的4444端口上打开了一个套接字，我们可以访问4444端口，将我们想要转发的流量直接转发到目标机器上的5432端口。当连接到该端口时，该连接将通过现有的SSH会话转发到本地客户端的端口。

2023-11-06 19:05:51 282