ctfshow渗透赛复现前置：我那时候只做到了第二章，第三章往后的都没做出来，主要是复现3到5章的内容,前两章的大概思路就是通过爆破，可以得到压缩包的密码，然后解一下RSA可以得到网址，账号密码的话，xxx.gxv 那个网站存在一个任意文件下载，通过wpscan api扫出来的 可以下载config.php得到初始的账号密码，然后登录进去，对jwt进行一个爆破，得到密钥，伪造身份，然后就是扫靶机的

Empire: LupinOne信息收集首先扫描存活主机。 得到ip地址为192.168.29.170 然后扫描端口信息，进行服务的访问。 80和22端口开放，没啥特别的漏洞，那就去扫一下后台看是否存在敏感文件。 访问/manual 会跳转到一个Apache HTTP Server Version 2.4 服务的界面。 没找到什么可以利用的漏洞，然后去访问robots.txt 可以看到有一

Active Directory 基础知识Windows域当一个区域有多台计算机，难以逐个管理时，通常会将这些计算机的通用组件的管理集中在一个被称为Active Directory(AD)的存储库中,运行AD的服务器被称为DC(域控制器) 管理员通过控制AD从而控制其他计算机，并在AD中配置策略应用到网络中。 ADAD中包含很多对象，包括用户，机器，安全组，打印机等。 域中比较重要的安全组：

Internal信息收集：nmap扫一波 22和80端口开放 扫下后台 有一个phpadmin和wordpress的后台登录 使用wpscn扫一下看看情况 1wpscan --url "http://10.10.50.8/blog" -eu 利用wpscan爆破密码 1wpscan --url "http://10.10.50.8/blog" -U

Daily Bugle扫了一下 22 80 3306端口开启 访问README.txt 可以得到版本号 是3.7.0 找到一个sql注入的洞 用sqlmap可以跑。但还是挺慢的。 但最后没跑出数据。 去找一下这个cve CVE-2017-8917 https://github.com/stefanlucas/Exploit-Joomla 1Found user [u'811'

Skynet扫一下端口。 44 80 22 等端口开放，看下80端口。 扫下后台找到登录的地方，尝试爆破密码，结果没结果。 回到445端口，利用enum4linux探测一下samba服务。 用smbclient 去登录anonymous 这个是无密码的。 进入logs下有三个日志文件。 利用more命令进行查看。 只有log1.txt里面有文件。 1234567891011121314151

gamezome信息收集利用-F扫了一下，发现22和80端口开放。 去访问80端口，可以看到有一个登录框。 漏洞利用尝试爆破一下密码。 好像没啥结果，抓个包，用sqlmap跑一下看看，是否存在sql注入。 存在的话，就尝试能否爆出账户和密码。 可以跑出来，但是就是太慢了。。。 1sqlmap -r 'xxxx/txt' --dbms=mysql --dump 利用jo

Relevant信息收集： nmap扫下端口 访问80端口，是IIS服务 发现445和139端口开启，尝试利用MS17-010 但是并不太行，利用msf模块里面的永恒之蓝检测发现，通过445登录时超时 这个思路不行的话，就换一个思路 枚举smb服务 发现能枚举到一个nt4wrksv 发现是无密码的 里面有一个passwords.txt文件 把它给get下来 1get passwords.tx

HackPark信息收集：nmap扫了一下，发现只有80和3389端口开放。 扫下目录 扫到后台登录入口。 这里尝试利用hydra进行密码的爆破，用户名设置成admin. 利用hydra进行post登录表单的爆破。 注意格式。 1234567hydra -P <单词列表> -v <ip> <协议> 对您选择的协议进行暴力破解hydra -v -V -

Alfred信息收集nmap扫下端口。 8080端口是一个后台登录的，弱口令admin admin进行登录。 漏洞利用参考链接： https://www.jenkins.io/doc/book/managing/script-console/ 里面有这样一句话： Jenkins 具有 Groovy 脚本控制台，允许用户在 Jenkins 控制器运行时或代理运行时运行任意 Groovy 脚本。