2024年3月28日
HackTheBox Bizness Writeup
摘要: 这道题是关于Apache OFBiz 身份验证绕过漏洞 (CVE-2023-51467)的题 这道题我学了john gohashmatch 但是这几个还是不行 回头再学学 还有linpeas.sh提权 https://github.com/carlospolop/privilege-escalati 阅读全文
posted @ 2024-03-28 21:24 毛利_小五郎 阅读(9) 评论(0) 推荐(0) 编辑
渗透测试中的域名伪装
摘要: 我们通常使用的都是以下这种格式的域名: www.example.com 浏览器在将域名发往dns服务器之前,会先对域名进行第一步处理,这里就涉及到一个隐含的知识:“@”符号 如果在浏览器地址栏中输入一个包含“@”符号的域名,浏览器在发送该域名之前,会自动忽略“@”符号之前的所有内容。 这个应该不算是 阅读全文
posted @ 2024-03-28 13:14 毛利_小五郎 阅读(2) 评论(0) 推荐(0) 编辑
2024年3月27日
Apache OFBiz 身份验证绕过漏洞 (CVE-2023-51467)
摘要: Apache OFBiz Authentication Bypass Vulnerability (CVE-2023-51467) Apache OFBiz Authentication Bypass Vulnerability (CVE-2023-51467) Published by Diksh 阅读全文
posted @ 2024-03-27 21:04 毛利_小五郎 阅读(2) 评论(0) 推荐(0) 编辑
2024年3月26日
Devvortex Hack the box
摘要: nmap -A -oN initial_scan 10.10.11.242 发现打开了80和22 用dirsearch和fuff扫子域名和子目录 直接发现目录/administrator 进去发现是Joomla页面 发现版本是4,那么就和漏洞Joomla(CVE-2023-23752)一样 可以看h 阅读全文
posted @ 2024-03-26 22:03 毛利_小五郎 阅读(2) 评论(0) 推荐(0) 编辑
2024年3月25日
hashcat的简单使用
摘要: 参数 -a 指定要使用的破解模式,其值参考后面对参数。“-a 0”字典攻击,“-a 1” 组合攻击;“-a 3”掩码攻击。 -m 指定要破解的hash类型,如果不指定类型,则默认是MD5 -o 指定破解成功后的hash及所对应的明文密码的存放位置,可以用它把破解成功的hash写到指定的文件中 --s 阅读全文
posted @ 2024-03-25 15:17 毛利_小五郎 阅读(2) 评论(0) 推荐(0) 编辑
2024年3月24日
Hack The Box-Perfection
摘要: 总体思路 端口扫描->SSTI RCE->db文件泄露->hashcat破解密码 第一步 用nmap Nmap扫描选项 Nmap扫描选项 -A : 全面扫描. 综合扫描. 是一种完整扫描目标信息的扫描方式. -sP : Ping扫描,效率高,返回信息少. 例: nmap -sP 192.168.1. 阅读全文
posted @ 2024-03-24 22:39 毛利_小五郎 阅读(8) 评论(0) 推荐(0) 编辑
2024年3月21日
linux不能上网怎么办
摘要: ifconfig eth0 up // 启用网卡 这条命令用于启用名为eth0的网络接口。 ifconfig -a // 查看IP 这条命令会显示所有接口的状态,包括尚未激活的接口,以查看它们的IP地址和其他网络参数。 dhclient eth0 // 分配IP 这条命令是用来为名为eth0的网络接 阅读全文
posted @ 2024-03-21 12:15 毛利_小五郎 阅读(3) 评论(0) 推荐(0) 编辑
2024年2月14日
json是啥
摘要: ![](https://img2024.cnblogs.com/blog/3379706/202402/3379706-20240214192532587-1037160459.png) 阅读全文
posted @ 2024-02-14 19:27 毛利_小五郎 阅读(3) 评论(0) 推荐(0) 编辑