China_I_LOVE的博客

该靶场的几个方面是我不太熟练的，通过这个靶机也是加深了印象dig指定目标进行对应的域名挖掘隐藏信息的提示，不可忽略，所以要能看懂一些英文XXE漏洞的利用，获取关键信息对于用户的主目录下的一些常见文件要有印象，或者有自己的一个字典SSTI注入的利用，这个要清楚提权的的几种权限，大致知道，并且要知道权限之间也是可以提升的。

为了方便，我放置在自己的网盘中红队实战系列，主要以真实企业环境为实例搭建一系列靶场，通过练习、视频教程、博客三位一体学习。另外本次实战完全模拟ATT&CK攻击链路进行搭建，开成完整闭环。后续也会搭建真实APT实战环境，从实战中成长。关于环境可以模拟出各种各样实战路线。该靶场，本人目前以cs为主进行的域渗透，并没有深入学习相关漏洞知识，目前只是以了解流程以及掌握cs工具的使用，后续会发布不借助工具的方式，或者借助其他工具的形式，如msf、viper等目前我个人获取到根域的权限，完全借助的是cs。

该靶机主要考察的就是信息收集js文件中信息发现---->访问路径---->目录爆破---->发现配置文件---->找到数据库信息---->登录网站---->文件上传----->php命令执行---->反弹shell---->sudo提权。

该靶机主要考察点在于的检测与使用，主要就是poc的构造，这里要清楚的知道。

该漏洞，主要就是因为可以出网，并且通过函数导致命令可以在请求的时候，执行相关命令"b":{这是主要利用代码，就是通过json格式的数据传给服务器，可以执行rmi中的class文件的内容。

vulhub靶场环境搭建

billu_b0x1靶机，IP地址为kali，IP地址为靶机和攻击机都采用VMware虚拟机，都采用桥接网卡模式文章涉及的靶机及工具，都可以自行访问官网或者项目地址进行获取，或者通过网盘链接下载首先理清攻击路线网站目录扫描—>文件包含test.php—>配置文件—>phpmyadmin查看数据—>登录网站—>代码审计—>文件上传—>命令执行—>CVE提权文件包含有妙用，敏感文件可以查看，主要还可以查看相关的代码，以进一步把目标白盒文件上传的几种绕过方式要知道提权的CVE原理可以去理解一下。

venom靶机，IP地址为kali，IP地址为靶机和攻击机都采用VMware虚拟机，都采用桥接网卡模式文章涉及的靶机及工具，都可以自行访问官网或者项目地址进行获取，或者通过网盘链接下载开放了SMB服务，你能做什么，可以发现什么开放了FTP服务，你能联想到怎么做隐藏信息，你能感觉这个信息是做什么的网站CMS漏洞，会利用备份文件会找吗提权的sudoers配置你能看懂吗。

该靶机的考察主要就是从web到内网网站主流CMS的识别wpscan的使用，当然爆破也可以使用其他工具，如burp等，不过这个工具是专门针对wordpress，所以，建议使用文件上传如何绕过检测，这里应该是利用对于压缩包的一个解析漏洞，导致执行了php代码wordpress的配置文件要清楚靶机内的信息收集，内核等信息。

该靶机很适合刚开始学习的时候去打靶，因为该靶机把几个方向都涉及了，并且不是很深入，但也可以说入门了网站信息收集，涉及目录爆破方面的工具等linux命令实际运用，结合起来的使用等web渗透，涉及TOP10漏洞，以及反弹shell密码爆破，涉及hydra工具的使用加壳与解壳，涉及upx工具编码与解码，这里主要base家族为主加密与解密流量包分析脚本编写处理数据(python或shell都要会)socat转发流量，所谓的内网转发，把数据发到某一个端口。

该靶机从头到尾的重点就是漏洞，就是tiki的CMS漏洞。构造路线如下：SMB服务---->网站信息获取---->CVE漏洞利用---->获取ssh凭证---->sduo提权。

该靶机的考察点主要侧重在web界面，也就是网站目录爆破的时候，字典的强度决定你的强度CMS的历史漏洞，这里提醒，要会编写脚本CMS的一些功能点要会测试，并能够找到可利用点对于环境变量提权的手法要会。

该靶机主要就是枚举，枚举，枚举！！！！FTP服务的匿名探测SMB服务的用户名枚举SSH服务的暴力破解靶机内信息收集，找到的密码最终提权，就是不同用户直接的切换。

该靶机的考察很广，基本上都涉及一点对于网站的robots.txt，以及图片的隐藏信息，不一定隐写，可能就在图片上对于网站的页面源代码一定要看对于文件上传漏洞的简单测试对于php代码以及反弹shell的测试对于靶机内信息收集的全面性对于提权一些信息也要知道，这里就是查看命令的历史记录。

该靶机更贴近现实，两个网站的反弹shell考察点都不一样对于git信息泄露的获取，搞到一些源码文件，进一步扩大影响网站目录爆破很重要，这里就是因为没有爆破到，错过网站数据库管理系统。虽然是通过git信息泄露也获取到了对于php，以及一些模板的了解，这里的80端口网站的一些文件，所用的模板并非常见的，也是需要知道的，这里我就是模仿的，才获取到一个命令执行的漏洞构造备份文件要会寻找，以及文件要能抓到信息。这里抓到的数据库连接信息，配合网站数据库管理可以进一步操作。

对于不存在漏洞的网站，并且需要登录才能看到内容，而且不支持注册的网站，或许爆破是最好的手段了，这里的爆破不仅仅包括密码爆破存在smb服务的，都可以枚举一下用户，这个会有用处的对于网站中的信息，也就是每一个模块，最好就是通过burp抓取数据包，至少要有历史记录，这样复盘很轻松。且网站中可能存在的隐藏信息，不一定通过页面源代码就能看到，建议使用浏览器的开发者工具，这里就是通过发现了一个私钥文件，才有下一步的ssh的私钥文件，对于设置密码的，可以通过john套件进行处理，ssh2john转换，john。

网站的sql注入，其主要就是执行sql语句，那么sql中可以执行的，在网站注入都是可行的。squid代理服务器，若是别的机器可以通过这个代理服务器，并且能够成功使用的话，就可以借助其所在的网段进行操作，就可以绕过防火墙的限制代理链的配置，这里就是借助这个然后测试ssh连接隧道搭建，当确定需要使用代理的时候，可以借助这个工具，搭建一个隧道，使得访问更便捷rbash的配置文件，名称为.bashrc，一般在用户的主目录下会有该文件，这个配置可以限制用户登录时的一些操作，这里的逃逸是经过ssh连接与su。

smb枚举出用户qiu访问80端口网站，发现文章编辑者qiu，并且通过目录爆破，找到一个后门文件，具有文件包含漏洞3306端口虽然开放，但是不能直接连接通过文件包含漏洞，首先测试系统有哪些用户，然后通过访问linux中的一些文件，最终确定用户qiu下的ssh文件，发现私钥对于提权，这个靶机比之前的都简单，直接查看history命令历史记录，即可发现疑似密码的内容。

对于网站，最好就是在浏览时，借助抓包工具，这样可以分析很多，可以使用burp或yakit等对于一些网站中的请求方式，请求方式不同，也会导致返回不同，这个是重点的，还有许多http的请求头不同，返回也会不同的对于http协议中的一些东西，一定要了解，这里比如请求体数据格式，请求头cookie等等python搭建的网站也是要了解的，这里的flask也是有很多漏洞的，具体可以百度搜索一下。

这个靶机其实主要就是密码的猜测对于网站，并非一定是突破口smb匿名登录获取分享中的数据，主要就是围绕一个压缩包，其中的txt文件都是作为其密码的根据，这个我没想到，网站我想到了，但是这个是真的没想到，所以思维要广对于压缩包的破解后，获取到的文件，一定有用的，所以不要放弃，这里是给出了提示，所以排列组合少了很多，若没有提示呢，啧靶机内的信息收集一定要全面，我这里忽略了udp端口在靶机的监听状态，导致漏掉了tftp提权，这里还是sudo，主要就是发现tftp，以及tftp。