HTB:Preignition[WriteUP]

server/2024/12/22 14:59:26/

连接至HTB服务器并启动靶机

靶机IP:10.129.157.49

分配IP:10.10.16.12

1.Directory Brute-forcing is a technique used to check a lot of paths on a web server to find hidden pages. Which is another name for this? (i) Local File Inclusion, (ii) dir busting, (iii) hash cracking.

国产化后:目录暴力破解(dir busting)是一种技术,用于在 Web 服务器上检查大量路径以查找隐藏页面。哪一个名称是它的别名:(一)本地文件包含,(二)目录爆破,(三)哈希破解。

Dir busting,即目录爆破,是一种在网络安全领域中被广泛应用的技术手段。其主要目的是通过自动化地尝试大量不同的目录和文件路径组合,试图发现目标网站服务器上可能存在的隐藏目录及文件。这种技术通常被黑客用于寻找网站的漏洞入口,以便进行进一步的攻击,如获取敏感信息、植入恶意代码等。同时,安全测试人员也会使用目录爆破来评估网站的安全性,以便及时发现并修复潜在的安全隐患。

2.What switch do we use for nmap's scan to specify that we want to perform version detection

使用nmap对靶机进行版本检测,使用选项:-sV

nmap -sV {TARGET_IP}

3.What does Nmap report is the service identified as running on port 80/tcp?

使用nmap对靶机指定80端口进行版本检测,使用选项:-sV -p

nmap -sV -p 80 {TARGET_IP}

从nmap扫描结果可见,SERVICE栏目下80端口托管服务为:http

4.What server name and version of service is running on port 80/tcp?

使用nmap对靶机指定80端口进行脚本、版本检测,使用选项:-sC -sV -p

nmap -sC -sV -p 80 {TARGET_IP}

从nmap扫描结果可见,VERSION栏目下服务器名称和版本为:nginx 1.14.2

5.What switch do we use to specify to Gobuster we want to perform dir busting specifically?

使用man命令查看gobuster工具的使用手册:

man gobuster

使用模块dir,启用经典目录爆破模式

6.When using gobuster to dir bust, what switch do we add to make sure it finds PHP pages?

在使用手册中,我们也可以找到指定脚本语言的相应举例:-x php

7.What page is found during our dir busting activities?

因为手上没有合适的字典,这里使用dirsearch以及默认字典对靶机进行页面扫描:

扫出的页面是:admin.php

8.What is the HTTP status code reported by Gobuster for the discovered page?

这里扫出的admin.php页面,状态码为:200

使用浏览器对靶机URL进行访问,并使用0day进入后台:

账户:admin

密码:admin

点击Login进行登录

ROOT_FLAG:6483bee07c1c1d57f14e5b0717503c73


http://www.ppmy.cn/server/127551.html

相关文章

使用 vite 快速初始化 shadcn-vue 项目

使用 vite 快速初始化 shadcn-vue 项目

Vite 1. 创建项目 使用 vite 创建一个新的 vue 项目。 如果你正在使用 JS 模板,需要存在 jsconfig.json 文件才能正确运行 CLI。 # npm 6.x npm create vitelatest my-vue-app --template vue-ts# npm 7, extra double-dash is needed: npm create vitelatest m…
阅读更多...
微信小程序hbuilderx+uniapp+Android 新农村综合风貌旅游展示平台

微信小程序hbuilderx+uniapp+Android 新农村综合风貌旅游展示平台

目录 项目介绍支持以下技术栈:具体实现截图HBuilderXuniappmysql数据库与主流编程语言java类核心代码部分展示登录的业务流程的顺序是:数据库设计性能分析操作可行性技术可行性系统安全性数据完整性软件测试详细视频演示源码获取方式 项目介绍 小程序端…
阅读更多...
MATLAB计算与建模常见函数:4.插值

MATLAB计算与建模常见函数:4.插值

插值 什么是插值? 通常实验测量或者采集的数据都是离散数值;插值是指在所给的基准数据情况下,研究如何平滑地估算出基准数据之间其它点的函数数值;一些点的数据无法获得,或者获取这些点的数据代价较高时,…
阅读更多...
C++编程:实现简单的高精度时间日志记录小程序

C++编程:实现简单的高精度时间日志记录小程序

0. 概述 为了检查是否存在系统时间跳变,本文使用C实现了一个简单的高精度时间日志记录小程序。该程序能够每隔指定时间(默认40毫秒)记录一次系统时间到文件中,并具备以下功能: 自定义时间间隔和文件名:通…
阅读更多...
一文讲明白大模型分布式逻辑(从GPU通信原语到Megatron、Deepspeed)

一文讲明白大模型分布式逻辑(从GPU通信原语到Megatron、Deepspeed)

知乎:然荻链接:https://zhuanlan.zhihu.com/p/721941928 1. 背景介绍 如果你拿到了两台8卡A100的机器(做梦),你的导师让你学习部署并且训练不同尺寸的大模型,并且写一个说明文档。你意识到,你最…
阅读更多...
Unity Input System自动生成配置

Unity Input System自动生成配置

参考视频 创建及配置新输入系统 New Input System|Unity2022.2 最新教程《勇士传说》入门到进阶|4K_哔哩哔哩_bilibili ProjectSettings设置 Unity编辑器菜单栏选择Edit->Project Settings->Player->Other Settings,将Api Compatibility Level…
阅读更多...
影刀RPA实战:Excel拆分与合并工作表

影刀RPA实战:Excel拆分与合并工作表

1.影刀操作excel的优势 Excel,大家都不陌生,它是微软公司推出的一款电子表格软件,它是 Microsoft Office 套件的一部分。Excel 以其强大的数据处理、分析和可视化功能而闻名,广泛应用于商业、教育、科研等领域。可以说&#xff0…
阅读更多...
【论文阅读】Simulating 500 million years of evolution with a language model

【论文阅读】Simulating 500 million years of evolution with a language model

Simulating 500 million years of evolution with a language model 1、概述 展示了语言模型在蛋白质设计和进化模拟方面的能力。通过对 ESM3 模型的研究,发现其能够生成与自然蛋白质差异较大且具有功能的新蛋白质,如新型绿色荧光蛋白(GFP),表明语言模型可以达到自然进化…
阅读更多...
最新文章

Copyright @ 2022~2023