ARIES

 Proving Grounds Practice : Wheels Walkthrough Foothold : 80 網站有個註冊系統，註冊時使用枚舉到的信箱當作信箱值 後續登入後可以成功進入到員工使用介面並列舉使用者帳號 在搜尋的頁面發現 XPATH Injection 參考 Hacktricks 後獲得密碼，SSH 成功登入 PE : 很特別的 PE 利用，SUID 發現一個不常見的指令 /opt/get-list 實際跑跑看僅能須入指定的值，透過 Path Traversal 的方式加上 #<值> 成功繞過 讀取 /etc/shadow 後得到 root 密碼 HASH，使用 john 成功破解 su 切換 root 輸入密碼成功提權 注意 : 此靶機範圍有點超出 OSCP Pen-200 建議可以忽略 Rustscan，└─$ rustscan -a 192.168.223.202 --scripts none --ulimit 5000 | tee rustscan snmp check，└─$ sudo nmap -sU -p 161 192.168.223.202 | tee snmp           nmap，└─$ sudo nmap -sCV -A -p 22,80 192.168.223.202 | tee nmap 80 / 80 /login.php 80 /robots.txt 註冊看看 感覺有註冊成功但登入後沒有不同 80 /portal.php gobuster 80 / 80 /assets 80 /assets/footer.php，發現一組郵件地址 info@wheels.service 重新註冊一組帳號然後郵件地址直接使用 info@wheels.service 透過 LOGIN 頁面登入後再點選 EMPLOYEE PORTAL 有東西了，不會 Access Deny 看來驗證的程序是參考郵件地址 搜尋使用者 by Car，出現 3 個使用者名稱 bob、alice、john 搜尋使用者 by Bike，又出現 3 個使用者名稱 dan、alex、selene 將搜尋的請求送到 Burp Suite 確認欄位 Car、Bike 是 work...

 Proving Grounds Practice : Fanatastic Walkthrough Foothold : 3000 Port 發現 Grafana V3.8.0，查找 Exploit 發現 Path Traversal 漏洞利用 參考 HackTricks 讀取 /etc/grafana/grafana.ini 拿取 secret_key 以及讀取 /var/lib/grafana/grafana.db 獲取  dataSourcePassword Grafana 有獨特的加密方式，使用網上提供的 go 語言套件解密 獲得憑證後 SSH 登入 PE : id 發現使用者有 (disk) 權限 使用 debugfs 讀取 root 的 id_rsa Key 後登入成為 root 注意 :  Grafana 枚舉技巧與檔案位置學習以及 .db 內的密碼解密方式 kali 預設無法執行 go 語言套件，花了不少時間設定環境 使用者隸屬 (disk) 的利用方式 Rustscan，└─$ rustscan -a 192.168.223.181 --scripts none --ulimit 5000 | tee rustscan snmp check，└─$ sudo nmap -sU -p 161 192.168.223.181 | tee snmp nmap，└─$ sudo nmap -sCV -A -p 22,3000,9090 192.168.223.181 | tee nmap 3000 / 轉 /login 是個 Grafana CMS，版本 V8.3.0 使用 admin:admin、admin:password、grafana:admin、grafana:grafana、grafana:password 登入失敗 3000 /robots.txt searchsploit grafana，看來有 Path Traversal 使用後直接讀取到 /etc/passwd 獲取使用者帳號 prometheus、sysadmin 試著讀取 id_rsa 檔案，發現讀取沒有權限的檔案會直接跳出 使用這兩個帳號 hydra 噴灑 SSH，沒有任何結果 測試 Grafana 登入沒有成功 gobuster 3000...