当前位置:网站首页>黑客入门,从HTB开始
黑客入门,从HTB开始
2022-08-10 12:53:00 【全栈程序员站长】
大家好,又见面了,我是你们的朋友全栈君。
Hack the box 是国外的一个靶机平台,里面的靶机包含多种系统类型,并且里面可以利用的漏洞类型多种多样,有很多靶机其实非常贴近实战情景。因此 HTB 是一个很好的学习渗透测试靶场。
之前在 HTB 也玩过一些机器。里面的机器难度有好几个档次,insane 难度的一般都是极其困难的,这种机器一般让我对着大神的 Writeup 我可能都没有办法复现出来。之前也有在公众号上分享过几篇 HTB 机器的 Writeup,基本上都是比较简单的,这一次整理出来给感兴趣的同学看一看。主要讲一下这些靶机主要的难点,后面有相应的 Writeup 链接。
Bastion
这是一台 Windows 机器,如果使用 Command VM 来进行渗透的话会更方便一点,不过使用 Kali 也是可以的。这台靶机主要的难点是 VHD 的挂载以及 mRemoteNG 中配置密码的破解。
Holiday
Holiday 是一个困难度为 insane 的机器,获取普通用户的权限比较困难。这台靶机最大的难点就是如何通过 XSS filter,这台机器已经限制了很多 XSS 的 payload。
Help
Help 是一台比较简单的靶机,获取普通用户的权限通过 HelpDeskZ 的漏洞即可,这里注意一点,不要被表面的一些提示所欺骗。提权使用的是一个内核漏洞来进行提权,属于提权基本套路,但经常会有人忘记这一点。
Bashed
Bashed 的普通用户权限非常的直白,通过提供的 webshell 工具就可以获取权限。提权则对比起来稍微有点困难,要找到一个特殊的脚本文件。这种情况在现实生活中也是存在的,使用 root 账户运行了某些脚本。
Nibbles
普通用户的权限需要基于一个开源的博客系统的漏洞,不过这个漏洞需要获取管理员的口令。一般对于靶机的登录口令,一般是不需要使用暴力破解的,一般如果尝试过 rockyou.txt 字典之后还是没有结果,建议就是需要换一换思路了。一般尝试密码的时候,可以先简单测试一些基本的弱密码或者与靶机有关的字符,比如这个管理员的密码就是 nibbles。
Cronos
Cronos 涉及到 DNS 域传输漏洞,往往可以通过这个漏洞收集更多的域名信息。这台机器的重点是发现应用中存在命令执行的地方,有一些工具,尤其是一些网络相关的工具,往往存在命令执行漏洞。
总结
HTB 是一个非常好的靶场,涵盖题型多,系统类型也丰富,贴近实战。最大的缺点可能就是网络问题了,延时较高,很多情况可能甚至都连不上。
发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/129991.html原文链接:https://javaforall.cn
边栏推荐
- 把相亲角搬到海外,不愧是咱爸妈
- 跨域的五种解决方案
- Short read or OOM loading DB. Unrecoverable error, aborting now
- The recursive recursive Fighting_ silver study ah but level 4
- bgp双平面实验 路由策略控制流量
- Redis上云迁移实践
- Keithley DMM7510精准测量超低功耗设备各种运作模式功耗
- CodeForces-834C
- AtCoder Beginner Contest 077 D - Small Multiple
- Open Office XML 格式里如何描述多段具有不同字体设置的段落
猜你喜欢
MYSQL误删数据恢复
交换机的基础知识
BEVDet4D: Exploit Temporal Cues in Multi-camera 3D Object Detection Paper Notes
【学习笔记】Redis的持久化
【量化交易行情不够快?】一文搞定通过Win10 wsl2 +Ubuntu+redis+pickle实现股票行情极速读写
【百度统计】用户行为分析
矩阵键盘&基于51(UcosII)计算器小项目
shell:正则表达式及三剑客grep命令
【ECCV 2022|Millions of Prizes】PSG Competition: Pursuing the "Most Comprehensive" Scene Understanding
来看Prada大秀吗?在元宇宙里那种!
随机推荐
Interface Automation Testing Basics
燃炸!字节跳动成功上岸,只因刷爆LeetCode算法面试题
LeetCode medium topic search of two-dimensional matrix
Matrix Keyboard & Calculator Small Project Based on 51 (UcosII)
MYSQL误删数据恢复
Fragment's show and hide
M²BEV: Multi-Camera Joint 3D Detection and Segmentation with Unified Bird’s-Eye View Representation
Import other custom namespaces in C#
教育Codeforces轮41(额定Div。2)大肠Tufurama
DNS欺骗-教程详解
Requirements for the construction of Loudi stem cell preparation laboratory
【学习笔记】Redis的持久化
Calculate the number of combinations recursively
YTU 2295: KMP pattern match one (string)
BEVDet4D: Exploit Temporal Cues in Multi-camera 3D Object Detection Paper Notes
山水的高度
the height of the landscape
递归递推之递归的函数
C# error The 'xmins' attribute is not supported in this context
表中存在多个索引问题? - 聚集索引,回表,覆盖索引