ARIES

 濫用 Windows 庫文件(Library File) 首先在 Kali 上設置一個 WebDAV 共享，透過 pip3 先行安裝 指令 pip3 install wsgidav 建立一個路徑 /home/kali_r/webdav 目錄以用作包含 .link 文件的 WebDAV 共享 先在此路徑下建立一個 test.txt 文件 mkdir /home/kali_r/webdav & touch /home/kali_/webdav/test.txt 接下來將從 /home/kali_r/.local/bin 目錄運行 WsgiDAV。整個過程中使用 wsgidav 作為啟動服務器的命令。 提供的第一個參數是 --host，它指定要提供服務的主機 我們將監聽所有帶有 0.0.0.0 的接口 接下來使用 --port=80 指定偵聽端口，並使用 --auth=anonymous 禁用對共享的身份驗證 最後使用 --root /home/kali_r/webdav/ 設置為 WebDAV 共享目錄的根目錄 指令 └─$ /home/kali_r/.local/bin/wsgidav --host=0.0.0.0 --port=80 --auth=anonymous --root /home/kali_r/webdav/ netstat 一下可以看到已經有 listen 80 Port 用瀏覽器開啟測試，可以看到前面建立的 test.txt 接著使用 xfreerdp 登入到某台 windows  帳號 : offsec、密碼 : lab、掛載本機的 /home/kali_r 為遠端的網路磁碟機 aries └─$ xfreerdp -v:192.168.203.194 -u:offsec -p:lab -drive:aries,/home/kali_r 使用該台機器已安裝的 Visual Studio Code 來進行編輯接下來要用的攻擊檔案 建立一個新的文字檔 建立如下內容檔案 下面的列表包含庫文件的命名空間 。這是從 Windows 7 開始的庫文件格式版本的命名空間。該列表還包含庫描述的結束標記。涵蓋的以下所有標籤都將添加到 libraryDescription 標籤內。 <?xml version="1...

 客戶端攻擊(Client-Side Attack) 查看檔案 metadata 訊息，第一步透過 curl 下載檔案 curl -o [local file name] [File URL]，範例 : └─$ curl -o oldd.pdf http://192.168.187.197/old.pdf 讀檔案 metadata 用指令 exiftool，範例 : └─$ exiftool -a -u oldd.pdf     -a          (-duplicates)        Allow duplicate tags to be extracted -u          (-unknown)         Extract unknown tags 使用 gobuster 查找某網站是否有 PDF 檔案，指令如下 └─$ gobuster -w directory-list-2.3-medium.txt dir -u http://192.168.187.197/ -t 100 -x php 下載 info.pdf，└─$ curl -o info.pdf http://192.168.187.197/info.pdf 一樣 exiftool 看一下 metadata，└─$ exiftool -a -u info.pdf Linux 上透過 RDP 連線到 Windows 使用之指令 xfreerdp 範例 : └─$ xfreerdp -v:192.168.187.196 -u:offsec -p:lab -size:80%  -v : 遠端主機  -u : 遠端登入帳號  -p : 遠端登入密碼  -size : 遠端桌面視窗比例  -drive:davidou,/home/kali_r #掛載遠端硬碟到對方去(davidou 表示網路磁碟機分享名稱)，掛載如下圖  -tls-seclevel:0 : 當遇到 win7 或是更早以前的系統時，因為只...

 SQL Injection 練習 練習 1 : 靶機 IP : 192.168.218.47(花了太多時間解，IP 有換過) 攻擊端 IP : 192.168.45.187 第一步 rustscan，22/80 Port 看來是台 Linux Web Server 80 Port 網頁呈現一個網域 alvida-eatery.org 當中也提到請你去訪問這個網站 那就改一下 hosts 將網域名稱 alvida-eatery.org 指向靶機，成功開啟如下 看來目標應該在此網站，網站上相關欄位測試過第一輪沒有發現 SQL Injection 真的不行再來測試 command injection whatweb 下去看一下，是個 WordPress 網站 看到 WordPress 第一步就是 wpscan 下去，指令 └─$ wpscan --url http://alvida-eatery.org/ -e u u 表示列舉使用者，結果如下圖，比較有用的資訊先記錄下面兩個  - WordPress theme in use : oceanwp 版本是 3.3.2  - User 只有一個 admin 帳號 Google 一下 wordpress oceanwp exploit 3.3.2 如下圖前幾名看來沒有漏洞，看來不像是要利用這個佈景主題的漏洞，加上這個練習是 SQL Injection，所以暫時先放旁邊，其他方向不行再來看 回頭繼續 wpscan 看看，其中一個顯示可以 POST only 有個 /wp-content/uploads/ 可以列舉，該不會要每個目錄給他點一下收集資訊吧 爬了一下看來是文章的貼圖，暫時沒啥有用的資訊 逛了一下網站看來可以在文章留言，跟著留言測試了一下成功 通常有 POST 的地方就有貓膩 回頭到 wpscan 有列舉出使用者 admin，那就 rockyou 一下試試看 進階 wpscan 指令與參數  -U : 已知 admin 帳號就直接指定用 admin 當作帳號來破解  -P : 指定的密碼檔  --rua : 等於 --random-user-agent 就是隨機使用 Agent  -e : 預設沒輸入都會帶入，就是列舉的方式 不知道...