文章索引(SEO) Post Index (SEO)
最新文章 Latest Posts
htb fries htb fries
Linux 前端(Nginx)+ Windows AD 后端的混合架构靶机。通过 PWM 密码自助服务的 LDAP 中继攻击获取 svc_infra 凭据,利用 Gitea 代码泄露的 PostgreSQL 连接串,结合 CVE-2025-2945(pgAdmin RCE)进入 Docker 容器。随后通过 NFS 挂载 + UID 伪造迁移至 barman 用户,伪造 Docker TLS 客户端证书逃逸容器获得 Linux root。最终在 Windows 侧利用 gMSA 凭据 + ESC7/ESC6/ESC16 攻击路径完成 AD CS 提权,获取 Domain Admin。 Linux 前端(Nginx)+ Windows AD 后端的混合架构靶机。通过 PWM 密码自助服务的 LDAP 中继攻击获取 svc_infra 凭据,利用 Gitea 代码泄露的 PostgreSQL 连接串,结合 CVE-2025-2945(pgAdmin RCE)进入 Docker 容器。随后通过 NFS 挂载 + UID 伪造迁移至 barman 用户,伪造 Docker TLS 客户端证书逃逸容器获得 Linux root。最终在 Windows 侧利用 gMSA 凭据 + ESC7/ESC6/ESC16 攻击路径完成 AD CS 提权,获取 Domain Admin。
htb logging htb logging
中等难度的 Windows AD 靶机。通过 SMB Logs 共享中的日志文件发现 svc_recovery 旧密码,利用 Kerberos TGT 躺证绕过登录限制。通过 GenericWrite 权限对 MSA_HEALTH$ 发动 Shadow Credentials 攻击,以 MSA_HEALTH$ 身份登录 WinRM。分析计划任务中的 UpdateMonitor.exe,通过向可写目录投放恶意 DLL,骑劫高权限用户 jaylee.clifton 的运行环境。最终利用 AD CS(UpdateSrv 模板)注册伪造的 WSUS DNS 记录,伮造 WSUS 内网中继攻击,推送带微软签名的 PsExec 实现提权至 Domain Admin。 中等难度的 Windows AD 靶机。通过 SMB Logs 共享中的日志文件发现 svc_recovery 旧密码,利用 Kerberos TGT 躺证绕过登录限制。通过 GenericWrite 权限对 MSA_HEALTH$ 发动 Shadow Credentials 攻击,以 MSA_HEALTH$ 身份登录 WinRM。分析计划任务中的 UpdateMonitor.exe,通过向可写目录投放恶意 DLL,骑劫高权限用户 jaylee.clifton 的运行环境。最终利用 AD CS(UpdateSrv 模板)注册伪造的 WSUS DNS 记录,伮造 WSUS 内网中继攻击,推送带微软签名的 PsExec 实现提权至 Domain Admin。
htb silentium htb silentium
通过 vhost 模糊测试发现内部 FlowiseAI 系统,利用 CVE-2025-58434 枚举用户并劫持密码重置 token 完成登录,再借助 CVE-2025-59528 执行 RCE 获得初始 shell;从环境变量中泄露 SSH 密码横向移动后,发现本地 Gogs 服务,最终利用 CVE-2025-8110 符号链接路径劫持动态链接器完成提权 通过 vhost 模糊测试发现内部 FlowiseAI 系统,利用 CVE-2025-58434 枚举用户并劫持密码重置 token 完成登录,再借助 CVE-2025-59528 执行 RCE 获得初始 shell;从环境变量中泄露 SSH 密码横向移动后,发现本地 Gogs 服务,最终利用 CVE-2025-8110 符号链接路径劫持动态链接器完成提权
htb garfield htb garfield
通过枚举发现 j.arbuckle 拥有 Pre-Windows 2000 兼容访问权限,利用 SMB 脚本路径写入权限修改 l.wilson 登录脚本获取初始 shell,重置管理员账号密码后通过 WinRM 登录拿到 user flag;利用 RODC Administrators 提权 + RBCD + S4U 攻击控制 RODC01,再通过导出 krbtgt_8245 AES 密鑰伪造黄金票据最终控制域控 通过枚举发现 j.arbuckle 拥有 Pre-Windows 2000 兼容访问权限,利用 SMB 脚本路径写入权限修改 l.wilson 登录脚本获取初始 shell,重置管理员账号密码后通过 WinRM 登录拿到 user flag;利用 RODC Administrators 提权 + RBCD + S4U 攻击控制 RODC01,再通过导出 krbtgt_8245 AES 密鑰伪造黄金票据最终控制域控
htb darkzero htb darkzero
利用官方凭据登录 MSSQL,链式利用 xp_cmdshell 横向移动,结合 CVE-2024-30088 本地提权,最终通过 Kerberos 票据劫持与 DCSync 拿到域控 shell。 利用官方凭据登录 MSSQL,链式利用 xp_cmdshell 横向移动,结合 CVE-2024-30088 本地提权,最终通过 Kerberos 票据劫持与 DCSync 拿到域控 shell。
htb devarea htb devarea
利用 Apache CXF SSRF 漏洞结合 RCE 获取 shell,再借助 world-writable /bin/bash 与 syswatch.sh 的 sudo 执行点提权至 root。 利用 Apache CXF SSRF 漏洞结合 RCE 获取 shell,再借助 world-writable /bin/bash 与 syswatch.sh 的 sudo 执行点提权至 root。
htb kobold htb kobold
利用 CVE-2026-23744(MCPJam RCE)获取初始 shell,再借 CVE-2025-64714(PrivateBin LFI)写入 PHP webshell 并窃取 Arcane 凭证创建特权容器;另可通过 gshadow 隐藏的 docker 组成员直接挂载宿主文件系统完成提权 利用 CVE-2026-23744(MCPJam RCE)获取初始 shell,再借 CVE-2025-64714(PrivateBin LFI)写入 PHP webshell 并窃取 Arcane 凭证创建特权容器;另可通过 gshadow 隐藏的 docker 组成员直接挂载宿主文件系统完成提权
htb variaType htb variaType
通过 CVE-2025-66034(fonttools 路径遍历)写入 PHP webshell 获得立足点,经 Git 泄露凭证登录 portal,利用 FontForge 命令注入提权至 steve,再经 CVE-2025-47273(setuptools 路径欺骗)写入 SSH 公钥获得 root 通过 CVE-2025-66034(fonttools 路径遍历)写入 PHP webshell 获得立足点,经 Git 泄露凭证登录 portal,利用 FontForge 命令注入提权至 steve,再经 CVE-2025-47273(setuptools 路径欺骗)写入 SSH 公钥获得 root
htb principal htb principal
本文记录了一次完整的渗透测试打靶(CTF/HTB)过程。攻击者首先通过 Nmap 扫描发现目标开放了 22 和 8080 端口。在 8080 端口的 Web 服务中,发现其使用了存在 CVE-2026-29000 认证绕过漏洞 的 pac4j-jwt 组件。通过利用该 JWT 验证逻辑缺陷(解密后未校验签名),攻击者伪造了 Admin 权限的 Token 登入后台,并获取到 svc-deploy 用户的 SSH 凭据。登录服务器后,发现系统信任本地的一个 SSH CA 证书私钥。攻击者利用该私钥签发了具有 root 权限的 SSH 临时证书,最终成功获取最高权限。 本文记录了一次完整的渗透测试打靶(CTF/HTB)过程。攻击者首先通过 Nmap 扫描发现目标开放了 22 和 8080 端口。在 8080 端口的 Web 服务中,发现其使用了存在 CVE-2026-29000 认证绕过漏洞 的 pac4j-jwt 组件。通过利用该 JWT 验证逻辑缺陷(解密后未校验签名),攻击者伪造了 Admin 权限的 Token 登入后台,并获取到 svc-deploy 用户的 SSH 凭据。登录服务器后,发现系统信任本地的一个 SSH CA 证书私钥。攻击者利用该私钥签发了具有 root 权限的 SSH 临时证书,最终成功获取最高权限。
htb cctv htb cctv
这是一篇关于“cctv.htb”靶机的完整渗透测试笔记。攻击者首先发现外网ZoneMinder系统的SQL注入漏洞(CVE-2024-51482),通过获取并破解数据库哈希获得初始SSH权限。进入内网后,利用端口转发访问本地运行的motionEye服务,结合tcpdump本地抓包窃取到管理员凭据,最终利用motionEye的后台命令注入漏洞(CVE-2025-60787)成功提权至root。 这是一篇关于“cctv.htb”靶机的完整渗透测试笔记。攻击者首先发现外网ZoneMinder系统的SQL注入漏洞(CVE-2024-51482),通过获取并破解数据库哈希获得初始SSH权限。进入内网后,利用端口转发访问本地运行的motionEye服务,结合tcpdump本地抓包窃取到管理员凭据,最终利用motionEye的后台命令注入漏洞(CVE-2025-60787)成功提权至root。
htb pirate htb pirate
这是一篇完整的“Pirate”域渗透靶机实战笔记。攻击路径非常清晰:首先,通过LDAP枚举发现“Pre-Windows 2000兼容访问”组的配置缺陷,利用Pre2K漏洞获取机器账户(MS01$)密码,进而读取gMSA服务凭据获得初始据点。接着,利用Ligolo-ng搭建内网隧道,结合打印机漏洞(PrinterBug)与NTLM中继执行RBCD(基于资源的约束委派)攻击,拿下WEB01并导出用户哈希 。最后,利用权限强制重置a.white_ADM的密码,并利用其WriteSPN权限实施SPN劫持,配合约束委派成功伪造域管票据,最终拿下域控(DC01)的最高权限 。 这是一篇完整的“Pirate”域渗透靶机实战笔记。攻击路径非常清晰:首先,通过LDAP枚举发现“Pre-Windows 2000兼容访问”组的配置缺陷,利用Pre2K漏洞获取机器账户(MS01$)密码,进而读取gMSA服务凭据获得初始据点。接着,利用Ligolo-ng搭建内网隧道,结合打印机漏洞(PrinterBug)与NTLM中继执行RBCD(基于资源的约束委派)攻击,拿下WEB01并导出用户哈希 。最后,利用权限强制重置a.white_ADM的密码,并利用其WriteSPN权限实施SPN劫持,配合约束委派成功伪造域管票据,最终拿下域控(DC01)的最高权限 。
htb interpreter htb interpreter
这是一份清晰完整的渗透测试(CTF靶机)实战笔记,记录了从初始访问到提权的完整攻击链路。攻击者首先通过Nmap扫描发现目标运行了 Mirth Connect 服务,并直接利用 CVE-2023-43208 漏洞实现未授权远程代码执行(RCE)获取打点权限 。在后渗透阶段,攻击者通过读取本地配置文件获取数据库凭据,提取出PBKDF2格式的密码哈希,并使用Hashcat成功破解出明文密码。最后,在提权阶段,攻击者分析本地运行的Python脚本(notif.py)时发现了 eval() 函数的格式化字符串注入漏洞。通过巧妙使用Base64编码执行系统命令,成功绕过了极其严格的正则表达式限制,利用XML payload创建了SUID bash,最终顺利拿下Root权限 。 这是一份清晰完整的渗透测试(CTF靶机)实战笔记,记录了从初始访问到提权的完整攻击链路。攻击者首先通过Nmap扫描发现目标运行了 Mirth Connect 服务,并直接利用 CVE-2023-43208 漏洞实现未授权远程代码执行(RCE)获取打点权限 。在后渗透阶段,攻击者通过读取本地配置文件获取数据库凭据,提取出PBKDF2格式的密码哈希,并使用Hashcat成功破解出明文密码。最后,在提权阶段,攻击者分析本地运行的Python脚本(notif.py)时发现了 eval() 函数的格式化字符串注入漏洞。通过巧妙使用Base64编码执行系统命令,成功绕过了极其严格的正则表达式限制,利用XML payload创建了SUID bash,最终顺利拿下Root权限 。
htb wingdata htb wingdata
本文介绍了对WingData的渗透测试过程,包括信息收集、漏洞分析和利用。通过Nmap扫描发现开放的SSH和HTTP端口,进一步识别出Wing FTP Server的漏洞。利用该漏洞获得用户wacky的密码,并通过特权提升 本文介绍了对WingData的渗透测试过程,包括信息收集、漏洞分析和利用。通过Nmap扫描发现开放的SSH和HTTP端口,进一步识别出Wing FTP Server的漏洞。利用该漏洞获得用户wacky的密码,并通过特权提升
htb pterodactyl htb pterodactyl
本文介绍了名为“Pterodactyl”的系统安全评估过程,包括信息收集、漏洞分析和利用步骤。通过使用Nmap和Dirsearch等工具,发现了Pterodactyl面板的版本和潜在的远程代码执行(RCE)漏洞。文章详细描述了如何利用CVE-2025-49132和CVE-2025-6018等漏洞进行权限提升,最终成功获取到Root权限和用户标志。该过程强调了在Linux环境中进行安全测试的技术细节和攻击向量。 本文介绍了名为“Pterodactyl”的系统安全评估过程,包括信息收集、漏洞分析和利用步骤。通过使用Nmap和Dirsearch等工具,发现了Pterodactyl面板的版本和潜在的远程代码执行(RCE)漏洞。文章详细描述了如何利用CVE-2025-49132和CVE-2025-6018等漏洞进行权限提升,最终成功获取到Root权限和用户标志。该过程强调了在Linux环境中进行安全测试的技术细节和攻击向量。
htb jet htb jet
这是一份针对特定CTF靶机(目标名称为Jet)的完整渗透测试与漏洞利用笔记。文章详细记录了从初始信息收集、Web漏洞利用、横向移动到后渗透信息解密的完整攻击生命周期。攻击者首先通过SQL盲注获取Web后台权限,利用危险的PHP正则替换漏洞实现远程命令执行(RCE)获取初始立足点。在主机层面,攻击者挖掘出一个无NX和Canary保护的本地二进制文件,通过缓冲区溢出与Ret2Shellcode技术成功横向移动。最后,通过逆向分析XOR加密逻辑和密码爆破,成功提取了内部通信数据并发现了为最终提权(PrivEsc)做准备的内部Elasticsearch服务。 这是一份针对特定CTF靶机(目标名称为Jet)的完整渗透测试与漏洞利用笔记。文章详细记录了从初始信息收集、Web漏洞利用、横向移动到后渗透信息解密的完整攻击生命周期。攻击者首先通过SQL盲注获取Web后台权限,利用危险的PHP正则替换漏洞实现远程命令执行(RCE)获取初始立足点。在主机层面,攻击者挖掘出一个无NX和Canary保护的本地二进制文件,通过缓冲区溢出与Ret2Shellcode技术成功横向移动。最后,通过逆向分析XOR加密逻辑和密码爆破,成功提取了内部通信数据并发现了为最终提权(PrivEsc)做准备的内部Elasticsearch服务。