风清竹喧

一、基本理论知识隔离区（DMZ）两个防火墙之间，为了解决安装防火墙后外部网络用户不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区。 该缓冲区位于企业内部网络和外部网络之间的小网络区域内。放置一些必须公开的服务器设施，如企业Web服务器（攻击点） 、FTP服务器 和论坛等。 有一些web服务器也放在内网，这样更加危险。 另一方面，通过这样一个DMZ区域，更加有效地保护内部网络。因为这种网络部署，比起一般的防火墙方案，对来自外网的攻击者来说又多了一道关卡。 工作组&域环境工作组：地位平等，管理分散，没有集中管理。（范围小的计算机在局域网内） 域环境：地位不平等，管理集中，实现集中管理。（共享文件，不需要每台计算机去配置用户进行访问，可以直接访问） 域环境也可以简单的理解为工作组的升级版，更好管理。 这里我们把域环境和工作组区分开来是因为他们的攻击手段不同。 工作组中的攻击手法如DNS劫持、ARP欺骗在域环境下是没有作用的。有一些攻击手段需要一些条件，这些条件在域环境下没有，相应的攻击手段就会失效。 域控制器DC域控DC是这个域中的管理者，域里面的最高权限 ...

一、VMware网络在我们安装 VMware 虚拟机后，在 PC 网络连接中会多出两个虚拟网卡： 简单说明一下 VMware 的几个虚拟设备 VMnet0：用于虚拟桥接网络下的虚拟交换机 VMnet1：用于虚拟 Host-Only（仅主机）网络下的虚拟交换机 VMnet8：用于虚拟 NAT 网络下的虚拟交换机 VMware NetworkAdepter VMnet1：Host 用于与 Host-Only 虚拟网络进行通信的虚拟网卡 VMware NetworkAdepter VMnet8：Host 用于与 NAT 虚拟网络进行通信的虚拟网卡 二、网络连接1、桥接模式（Bridged Networking）桥接模式是指本地物理网卡和虚拟网卡通过 VMnet0 虚拟交换机进行桥接，那么物理网卡和虚拟网卡就相当于处于同一个网段，因此该虚拟机和 PC 是处于同一网段的： 因此该虚拟机中的虚拟网卡可以通过 PC 中的物理网卡直接访问到外部网络，就相当于在局域网中新增了一台计算机，它可以访问这个局域网内的所有主机，大致联网过程如下图： 2、NAT模式NAT（网络地址转换），使用 NAT ...

一、配置环境将手机和PC连到同一子网下（如GUET-WiFi） 手机IP：10.33.80.238 PC的IP：10.33.35.83 二、WireShark抓包打开WireShark，选择WLAN过滤器 然后在过滤出resource IP是手机IP的数据包：ip.src == 10.33.80.238 通过QQ从手机发送一张图片给PC，此时WireShark会截获大量数据包，找到其中一个是HTTP协议的数据包 右键单击然后选择追踪TCP流 然后在下面展示数据的格式中选择原始数据（raw data） 然后将这些原始数据另存为一个新文件即可 三、还原文件用十六进制编辑器（010 Editor）打开该文件，找到图片的十六进制文件头（FFD8FF） 然后删除该文件头之前的所有数据 然后保存，修改文件后缀名为图片格式（jpg）即可成功打开该图片

一、PHP命令执行函数 system() 该函数执行有回显，将执行结果输出到页面上 <?php system("whoami");?> passthru() 该函数执行也有回显，将执行结果输出到页面上 <?php passthru("whoami");?> exec() 该函数执行无回显，通常和echo一起使用，默认返回最后一行结果 <?php echo exec("whoami");?> shell_exec() 该函数执行无回显，通常和echo一起使用，默认返回最后一行结果 <?php echo shell_exec("whoami");?> 反引号` shell_exec()函数实际上是反引号`的变体，当禁用shell_exec时，反引号也不能执行 <?php echo `whoami`;?> popen() 该函数需要两个参数，一个是执行的命令，另一个是指针文件的打开方式（r | w）。该函数不会直接返回执行结果，而是返回一个文件 ...

一、环境搭建 攻击机：Kali-2021.3：192.168.11.132 靶机：Vulnhub-DC-7：192.168.11.141 二、信息收集主机探活 1nmap -sP 192.168.11.1-255 扫描目标端口 1nmap -A -p- 192.168.11.141 同时也知道了这个网站的CMS是Drupal 8 既然知道了CMS，那就去看看有没有什么漏洞可以利用 1searchsploit drupal 8 我尝试了几个，但都没有什么结果 接着我又用msf尝试一下 但也是一样的结果，没有什么利用的上的 那就说明这个靶机不是按照正常套路来的，那就直接访问一下看看，访问之后发现有作者给出的线索 DC-7 引入了一些“新”概念，但我会让你弄清楚它们是什么。 :-) 虽然这个挑战并不完全是技术性的，但如果您需要诉诸暴力破解或字典攻击，您可能不会成功。 你要做的，就是跳出框框思考。 方式“外”框。 :-) 作者告诉我们思维不要被限制，那就来看看这个网站的特点吧 在这个页面的footer也就是页脚处发现一个看起来并不正常的东西 直接复制去必应搜索一下，搜索后发现有 ...

一、环境搭建 攻击机：Kali-2021.3：192.168.11.132 靶机：Vulnhub-DC-6：192.168.11.140 二、信息收集主机探活 1nmap -sP 192.168.11.0/24 扫描目标端口 1nmap -A -p- 192.168.11.140 发现开启了80端口，同时发现CMS是WordPress 先尝试访问，发现会自动跳转到域名wordy 因此修改一下hosts文件，加入内容：192.168.11.140 wordy 保存即可，再次访问即可访问成功 既然已经知道CMS是WordPress了，那就直接用wpscan开始扫描 列举用户名 1wpscan --url http://wordy/ --enumerate u 成功找到五个用户 将五个用户名存入txt 1echo -e "admin \njens \ngraham \nmark \nsarah" > users.txt 在DC-6的官网中有个提示 因此这个很有可能就是我们需要的密码 进入目录，发现还未解压，那么就解压一下 参考解压方式： *.tar ...

一、安装WinDbgMicrosoft商店中下载安装即可，默认安装路径 （C:\Users\用户名\AppData\Local\Microsoft\WindowsApps） 添加名为_NT_SYMBOL_PATH的系统变量，值为 SRV\*C:\mysymbol\* http://msdl.microsoft.com/download/symbols 二、启动WinDbg1.打开可执行文件进行调试（Launch executable） 2.将调试器附载到一个正在运行的进程中（Attach to process），右边选择要附载的进程 3.开启即时调试 输入命令Windbg -l就能成功开启即时调试，当程序崩溃时会自动启动Windbg 三、功能展示1.显示信息模块显示使用lm命令显示指定的已加载模块，输出包括模块的状态和路径。 lm [Options] [a Address] [m Pattern | M Pattern] [Options]： D 使用调试器标记语言显示输出 o 仅显示加载的模块 l 仅显示其符号 ...

一、环境搭建 攻击机：Kali-2021.3：192.168.8.105 靶机：Vulnhub-DC-5：192.168.8.122 二、信息收集主机探活 1nmap -sP 192.168.8.0/24 扫描目标端口 1nmap -A -p- 192.168.8.122 开放了80端口，那就访问看看 看起来没什么特别的，只是一些静态页面 指纹识别一下 1whatweb 192.168.8.122:80 感觉只是一个简单的页面 在网站里四处看了看，发现Contact里可以产生交互 随便输入一些内容试试 发现我们写入的内容都进入了URL，并且跳转到了thankyou.php里 好像没有什么很明显的利用点，那就扫一下后台看看有无可以利用的文件吧 1nikto -host 192.168.8.122 似乎什么都没有，换一个字典更大的dirsearch来试试 1python3 dirsearch.py -u http://192.168.8.122 三、实战漏洞分析扫目录后发现有个在网页里没见过的footer.php文件 访问一下 发现就是之前页面下面的Copyright ...

一、环境搭建 攻击机：Kali-2021.3：192.168.8.105 靶机：Vulnhub-DC-4：192.168.8.168 二、信息收集主机探活 1nmap -sP 192.168.8.0/24 扫描靶机ip 1nmap -A -p- 192.168.8.168 发现开放了22和80端口，把信息都记录起来 继续收集信息 1whatweb 192.168.8.168:80 1nikto -host 192.168.8.168 nikto是kali自带的工具，用于扫描网站后台文件 扫描完后发现并没有什么有用的信息了，也没有发现网站的框架、CMS等有用的信息 三、实战先尝试访问IP的80端口 发现是个登录入口，查看源代码，感觉就只是一个简单的登录窗口 既然是一个登录页面，尝试一下弱口令爆破吧，单独对密码进行爆破，字典使用Burp自带的 爆破完之后发现密码为：happy 漏洞利用得到的账号密码 admin happy 回到登录页面进行登录，第一次登录后页面并没有改变，再次登录后才能登录成功 随便试试，发现里面可以执行命令，怀疑有命令执行的漏洞 把数据包拦截可 ...

一、环境搭建 攻击机：Kali-2021.3：192.168.8.105 靶机：Vulnhub-DC-3：192.168.8.180 二、信息收集主机探活 1nmap -sP 192.168.8.0/24 找到目标IP后继续扫描其开放端口 1namp -A -p- 192.168.8.180 看到它只开放了80端口，同时也扫描到了网站的CMS 或者我们也可以用whatweb来扫描网站信息 1whatweb 192.168.8.180:80 再或者我们可以先访问IP的80端口，利用Firefox的插件来找出网站的相关信息 在网站首页有与一段文字，翻译一下，意思是只有一个flag，只有获得root权限才能找到 欢迎来到 DC-3。 这一次，只有一个flag，一个入口，没有任何线索。 要获得flag，您显然必须获得 root 权限。 如何成为 root 取决于您 - 显然，取决于系统。 祝你好运 - 我希望你喜欢这个小挑战。 :-) 三、实战1、漏洞分析首先我们知道它的CMS是Joomla，所以我们就使用专门的扫描工具来对其扫描 1joomscan --url http://1 ...