文章索引(SEO) Post Index (SEO)
Neobee Security Research Neobee Security Research
Web Security · CTF Writeups · Exploit Development Web Security · CTF Writeups · Exploit Development
记录 Web 安全研究、漏洞分析、HTB / CTF Writeups 与渗透测试方法论。 Documenting Web Security research, vulnerability analysis, HTB/CTF Writeups, and penetration testing methodologies.
最新文章 Latest Posts
htb garfield htb garfield
通过枚举发现 j.arbuckle 拥有 Pre-Windows 2000 兼容访问权限,利用 SMB 脚本路径写入权限修改 l.wilson 登录脚本获取初始 shell,重置管理员账号密码后通过 WinRM 登录拿到 user flag;利用 RODC Administrators 提权 + RBCD + S4U 攻击控制 RODC01,再通过导出 krbtgt_8245 AES 密鑰伪造黄金票据最终控制域控 通过枚举发现 j.arbuckle 拥有 Pre-Windows 2000 兼容访问权限,利用 SMB 脚本路径写入权限修改 l.wilson 登录脚本获取初始 shell,重置管理员账号密码后通过 WinRM 登录拿到 user flag;利用 RODC Administrators 提权 + RBCD + S4U 攻击控制 RODC01,再通过导出 krbtgt_8245 AES 密鑰伪造黄金票据最终控制域控
htb darkzero htb darkzero
利用官方凭据登录 MSSQL,链式利用 xp_cmdshell 横向移动,结合 CVE-2024-30088 本地提权,最终通过 Kerberos 票据劫持与 DCSync 拿到域控 shell。 利用官方凭据登录 MSSQL,链式利用 xp_cmdshell 横向移动,结合 CVE-2024-30088 本地提权,最终通过 Kerberos 票据劫持与 DCSync 拿到域控 shell。
htb devarea htb devarea
利用 Apache CXF SSRF 漏洞结合 RCE 获取 shell,再借助 world-writable /bin/bash 与 syswatch.sh 的 sudo 执行点提权至 root。 利用 Apache CXF SSRF 漏洞结合 RCE 获取 shell,再借助 world-writable /bin/bash 与 syswatch.sh 的 sudo 执行点提权至 root。
htb kobold htb kobold
利用 CVE-2026-23744(MCPJam RCE)获取初始 shell,再借 CVE-2025-64714(PrivateBin LFI)写入 PHP webshell 并窃取 Arcane 凭证创建特权容器;另可通过 gshadow 隐藏的 docker 组成员直接挂载宿主文件系统完成提权 利用 CVE-2026-23744(MCPJam RCE)获取初始 shell,再借 CVE-2025-64714(PrivateBin LFI)写入 PHP webshell 并窃取 Arcane 凭证创建特权容器;另可通过 gshadow 隐藏的 docker 组成员直接挂载宿主文件系统完成提权
htb variaType htb variaType
通过 CVE-2025-66034(fonttools 路径遍历)写入 PHP webshell 获得立足点,经 Git 泄露凭证登录 portal,利用 FontForge 命令注入提权至 steve,再经 CVE-2025-47273(setuptools 路径欺骗)写入 SSH 公钥获得 root 通过 CVE-2025-66034(fonttools 路径遍历)写入 PHP webshell 获得立足点,经 Git 泄露凭证登录 portal,利用 FontForge 命令注入提权至 steve,再经 CVE-2025-47273(setuptools 路径欺骗)写入 SSH 公钥获得 root
htb principal htb principal
本文记录了一次完整的渗透测试打靶(CTF/HTB)过程。攻击者首先通过 Nmap 扫描发现目标开放了 22 和 8080 端口。在 8080 端口的 Web 服务中,发现其使用了存在 CVE-2026-29000 认证绕过漏洞 的 pac4j-jwt 组件。通过利用该 JWT 验证逻辑缺陷(解密后未校验签名),攻击者伪造了 Admin 权限的 Token 登入后台,并获取到 svc-deploy 用户的 SSH 凭据。登录服务器后,发现系统信任本地的一个 SSH CA 证书私钥。攻击者利用该私钥签发了具有 root 权限的 SSH 临时证书,最终成功获取最高权限。 本文记录了一次完整的渗透测试打靶(CTF/HTB)过程。攻击者首先通过 Nmap 扫描发现目标开放了 22 和 8080 端口。在 8080 端口的 Web 服务中,发现其使用了存在 CVE-2026-29000 认证绕过漏洞 的 pac4j-jwt 组件。通过利用该 JWT 验证逻辑缺陷(解密后未校验签名),攻击者伪造了 Admin 权限的 Token 登入后台,并获取到 svc-deploy 用户的 SSH 凭据。登录服务器后,发现系统信任本地的一个 SSH CA 证书私钥。攻击者利用该私钥签发了具有 root 权限的 SSH 临时证书,最终成功获取最高权限。
htb cctv htb cctv
这是一篇关于“cctv.htb”靶机的完整渗透测试笔记。攻击者首先发现外网ZoneMinder系统的SQL注入漏洞(CVE-2024-51482),通过获取并破解数据库哈希获得初始SSH权限。进入内网后,利用端口转发访问本地运行的motionEye服务,结合tcpdump本地抓包窃取到管理员凭据,最终利用motionEye的后台命令注入漏洞(CVE-2025-60787)成功提权至root。 这是一篇关于“cctv.htb”靶机的完整渗透测试笔记。攻击者首先发现外网ZoneMinder系统的SQL注入漏洞(CVE-2024-51482),通过获取并破解数据库哈希获得初始SSH权限。进入内网后,利用端口转发访问本地运行的motionEye服务,结合tcpdump本地抓包窃取到管理员凭据,最终利用motionEye的后台命令注入漏洞(CVE-2025-60787)成功提权至root。
Web LLM Attacks Web LLM Attacks
本文剖析了Web应用集成大语言模型(LLM)时的核心安全风险。漏洞根源在于LLM无法有效区分“系统指令”与“用户数据”。攻击者可利用提示词注入(含间接注入)和未严格控权的API,诱导AI滥用权限。这可能导致敏感信息泄露、未授权操作甚至服务器被完全接管(RCE)。有效的防御体系需结合最小权限原则、敏感操作人工确认(Human-in-the-loop)、输入输出严格清洗及参数化查询来共同构建。 本文剖析了Web应用集成大语言模型(LLM)时的核心安全风险。漏洞根源在于LLM无法有效区分“系统指令”与“用户数据”。攻击者可利用提示词注入(含间接注入)和未严格控权的API,诱导AI滥用权限。这可能导致敏感信息泄露、未授权操作甚至服务器被完全接管(RCE)。有效的防御体系需结合最小权限原则、敏感操作人工确认(Human-in-the-loop)、输入输出严格清洗及参数化查询来共同构建。
htb pirate htb pirate
这是一篇完整的“Pirate”域渗透靶机实战笔记。攻击路径非常清晰:首先,通过LDAP枚举发现“Pre-Windows 2000兼容访问”组的配置缺陷,利用Pre2K漏洞获取机器账户(MS01$)密码,进而读取gMSA服务凭据获得初始据点。接着,利用Ligolo-ng搭建内网隧道,结合打印机漏洞(PrinterBug)与NTLM中继执行RBCD(基于资源的约束委派)攻击,拿下WEB01并导出用户哈希 。最后,利用权限强制重置a.white_ADM的密码,并利用其WriteSPN权限实施SPN劫持,配合约束委派成功伪造域管票据,最终拿下域控(DC01)的最高权限 。 这是一篇完整的“Pirate”域渗透靶机实战笔记。攻击路径非常清晰:首先,通过LDAP枚举发现“Pre-Windows 2000兼容访问”组的配置缺陷,利用Pre2K漏洞获取机器账户(MS01$)密码,进而读取gMSA服务凭据获得初始据点。接着,利用Ligolo-ng搭建内网隧道,结合打印机漏洞(PrinterBug)与NTLM中继执行RBCD(基于资源的约束委派)攻击,拿下WEB01并导出用户哈希 。最后,利用权限强制重置a.white_ADM的密码,并利用其WriteSPN权限实施SPN劫持,配合约束委派成功伪造域管票据,最终拿下域控(DC01)的最高权限 。
路径遍历 路径遍历
本文详细解析了路径遍历(也称目录遍历)漏洞的核心原理、实际危害与修复方案。该漏洞源于应用程序未对用户传入的文件路径参数进行严格的安全过滤,导致攻击者可利用诸如 ../ 的跳转序列突破预设目录,越权读取服务器上的任意敏感文件(如密码文件、源代码等),在特定条件下甚至能引发远程代码执行(RCE)。防御此漏洞的关键在于避免将用户输入直接传递给文件API,并结合白名单输入验证与底层路径规范化(Canonicalization)进行双重校验。 本文详细解析了路径遍历(也称目录遍历)漏洞的核心原理、实际危害与修复方案。该漏洞源于应用程序未对用户传入的文件路径参数进行严格的安全过滤,导致攻击者可利用诸如 ../ 的跳转序列突破预设目录,越权读取服务器上的任意敏感文件(如密码文件、源代码等),在特定条件下甚至能引发远程代码执行(RCE)。防御此漏洞的关键在于避免将用户输入直接传递给文件API,并结合白名单输入验证与底层路径规范化(Canonicalization)进行双重校验。
mazesec deprecation mazesec deprecation
这是一份逻辑清晰的CTF靶机渗透实战笔记。前期信息收集阶段,攻击者通过Gobuster和FFUF成功发现后台并爆破出测试账号。随后利用后台的本地文件包含(LFI)漏洞,结合 php://filter 伪协议读取核心源码,成功提取Redis凭据并避开了复杂的反序列化陷阱 。通过社工逻辑分析 /etc/passwd,攻击者巧妙推导出SSH密码完成初始打点。在提权阶段,利用 sudo 配置缺陷及对Redis配置文件的越权写入漏洞,将SSH公钥直接持久化注入到root用户的 authorized_keys 中,最终顺利拿下系统最高权限 。 这是一份逻辑清晰的CTF靶机渗透实战笔记。前期信息收集阶段,攻击者通过Gobuster和FFUF成功发现后台并爆破出测试账号。随后利用后台的本地文件包含(LFI)漏洞,结合 php://filter 伪协议读取核心源码,成功提取Redis凭据并避开了复杂的反序列化陷阱 。通过社工逻辑分析 /etc/passwd,攻击者巧妙推导出SSH密码完成初始打点。在提权阶段,利用 sudo 配置缺陷及对Redis配置文件的越权写入漏洞,将SSH公钥直接持久化注入到root用户的 authorized_keys 中,最终顺利拿下系统最高权限 。
mazesec ezai2 mazesec ezai2
这是一份思路清晰的靶机渗透实战笔记,涵盖从 Web 打点到 Root 提权的全流程。首先,攻击者通过分析 WebAssembly (Wasm) 状态机代码,直接在控制台伪造对弈步数和加密证明,成功绕过前端井字棋逻辑获取初始权限 。随后,利用 sudo 配置缺陷与 /opt/ 目录的可写权限,通过 Python 标准库劫持(伪造 random.py)顺利横向移动至 yolo 用户 。最后,针对存在栈缓冲溢出的 waityou 二进制程序,借助 Pwntools 编写了两阶段 Ret2libc 漏洞利用代码,成功绕过 NX 保护拿下 Root 权限 。 这是一份思路清晰的靶机渗透实战笔记,涵盖从 Web 打点到 Root 提权的全流程。首先,攻击者通过分析 WebAssembly (Wasm) 状态机代码,直接在控制台伪造对弈步数和加密证明,成功绕过前端井字棋逻辑获取初始权限 。随后,利用 sudo 配置缺陷与 /opt/ 目录的可写权限,通过 Python 标准库劫持(伪造 random.py)顺利横向移动至 yolo 用户 。最后,针对存在栈缓冲溢出的 waityou 二进制程序,借助 Pwntools 编写了两阶段 Ret2libc 漏洞利用代码,成功绕过 NX 保护拿下 Root 权限 。
NextGen Healthcare Mirth Connect NextGen Healthcare Mirth Connect
CVE-2023-43208 是 NextGen Healthcare Mirth Connect 平台中的一个极危(CVSS 9.8)未授权远程代码执行(RCE)漏洞。其根源在于 XStream 库对 XML 数据反序列化处理不当,本质是对早期漏洞(CVE-2023-37679)黑名单修复的绕过。攻击者可通过 API 发送恶意 XML 载荷,在无需认证的情况下以系统最高权限执行任意命令,严重威胁受保护的健康信息(PHI)等核心数据。该漏洞已被广泛利用,建议用户立即升级至 4.4.1 或更高版本,以启用更安全的显式白名单机制。 CVE-2023-43208 是 NextGen Healthcare Mirth Connect 平台中的一个极危(CVSS 9.8)未授权远程代码执行(RCE)漏洞。其根源在于 XStream 库对 XML 数据反序列化处理不当,本质是对早期漏洞(CVE-2023-37679)黑名单修复的绕过。攻击者可通过 API 发送恶意 XML 载荷,在无需认证的情况下以系统最高权限执行任意命令,严重威胁受保护的健康信息(PHI)等核心数据。该漏洞已被广泛利用,建议用户立即升级至 4.4.1 或更高版本,以启用更安全的显式白名单机制。
htb interpreter htb interpreter
这是一份清晰完整的渗透测试(CTF靶机)实战笔记,记录了从初始访问到提权的完整攻击链路。攻击者首先通过Nmap扫描发现目标运行了 Mirth Connect 服务,并直接利用 CVE-2023-43208 漏洞实现未授权远程代码执行(RCE)获取打点权限 。在后渗透阶段,攻击者通过读取本地配置文件获取数据库凭据,提取出PBKDF2格式的密码哈希,并使用Hashcat成功破解出明文密码。最后,在提权阶段,攻击者分析本地运行的Python脚本(notif.py)时发现了 eval() 函数的格式化字符串注入漏洞。通过巧妙使用Base64编码执行系统命令,成功绕过了极其严格的正则表达式限制,利用XML payload创建了SUID bash,最终顺利拿下Root权限 。 这是一份清晰完整的渗透测试(CTF靶机)实战笔记,记录了从初始访问到提权的完整攻击链路。攻击者首先通过Nmap扫描发现目标运行了 Mirth Connect 服务,并直接利用 CVE-2023-43208 漏洞实现未授权远程代码执行(RCE)获取打点权限 。在后渗透阶段,攻击者通过读取本地配置文件获取数据库凭据,提取出PBKDF2格式的密码哈希,并使用Hashcat成功破解出明文密码。最后,在提权阶段,攻击者分析本地运行的Python脚本(notif.py)时发现了 eval() 函数的格式化字符串注入漏洞。通过巧妙使用Base64编码执行系统命令,成功绕过了极其严格的正则表达式限制,利用XML payload创建了SUID bash,最终顺利拿下Root权限 。