文章索引(SEO) Post Index (SEO)
最新文章 Latest Posts
mazesec deprecation mazesec deprecation
这是一份逻辑清晰的CTF靶机渗透实战笔记。前期信息收集阶段,攻击者通过Gobuster和FFUF成功发现后台并爆破出测试账号。随后利用后台的本地文件包含(LFI)漏洞,结合 php://filter 伪协议读取核心源码,成功提取Redis凭据并避开了复杂的反序列化陷阱 。通过社工逻辑分析 /etc/passwd,攻击者巧妙推导出SSH密码完成初始打点。在提权阶段,利用 sudo 配置缺陷及对Redis配置文件的越权写入漏洞,将SSH公钥直接持久化注入到root用户的 authorized_keys 中,最终顺利拿下系统最高权限 。 这是一份逻辑清晰的CTF靶机渗透实战笔记。前期信息收集阶段,攻击者通过Gobuster和FFUF成功发现后台并爆破出测试账号。随后利用后台的本地文件包含(LFI)漏洞,结合 php://filter 伪协议读取核心源码,成功提取Redis凭据并避开了复杂的反序列化陷阱 。通过社工逻辑分析 /etc/passwd,攻击者巧妙推导出SSH密码完成初始打点。在提权阶段,利用 sudo 配置缺陷及对Redis配置文件的越权写入漏洞,将SSH公钥直接持久化注入到root用户的 authorized_keys 中,最终顺利拿下系统最高权限 。
mazesec ezai2 mazesec ezai2
这是一份思路清晰的靶机渗透实战笔记,涵盖从 Web 打点到 Root 提权的全流程。首先,攻击者通过分析 WebAssembly (Wasm) 状态机代码,直接在控制台伪造对弈步数和加密证明,成功绕过前端井字棋逻辑获取初始权限 。随后,利用 sudo 配置缺陷与 /opt/ 目录的可写权限,通过 Python 标准库劫持(伪造 random.py)顺利横向移动至 yolo 用户 。最后,针对存在栈缓冲溢出的 waityou 二进制程序,借助 Pwntools 编写了两阶段 Ret2libc 漏洞利用代码,成功绕过 NX 保护拿下 Root 权限 。 这是一份思路清晰的靶机渗透实战笔记,涵盖从 Web 打点到 Root 提权的全流程。首先,攻击者通过分析 WebAssembly (Wasm) 状态机代码,直接在控制台伪造对弈步数和加密证明,成功绕过前端井字棋逻辑获取初始权限 。随后,利用 sudo 配置缺陷与 /opt/ 目录的可写权限,通过 Python 标准库劫持(伪造 random.py)顺利横向移动至 yolo 用户 。最后,针对存在栈缓冲溢出的 waityou 二进制程序,借助 Pwntools 编写了两阶段 Ret2libc 漏洞利用代码,成功绕过 NX 保护拿下 Root 权限 。
mazesec gameshell3 mazesec gameshell3
本文记录了一次靶机渗透测试的实战过程。主要步骤包括:通过端口扫描发现8007端口的扫雷游戏并通关获取初始登录凭证;SSH登录后解除 TMOUT 会话超时限制;从 /etc/backup 提取 hidden.img 镜像文件,利用 debugfs 导出 secretmusic 音频文件;最后 通过在线DTMF(双音多频)解码工具成功解析音频,获取隐藏密码 *#*#660930334*#*#。 本文记录了一次靶机渗透测试的实战过程。主要步骤包括:通过端口扫描发现8007端口的扫雷游戏并通关获取初始登录凭证;SSH登录后解除 TMOUT 会话超时限制;从 /etc/backup 提取 hidden.img 镜像文件,利用 debugfs 导出 secretmusic 音频文件;最后 通过在线DTMF(双音多频)解码工具成功解析音频,获取隐藏密码 *#*#660930334*#*#。
mazesec kuai mazesec kuai
本文记录了一次靶机渗透实战。攻击者首先对3000端口的文件审核API发起DoS攻击使其瘫痪,从而绕过80端口的格式限制,成功上传PHP Webshell获取初始权限。接着在 /opt 目录发现Git信息泄露,利用 git show 找回了历史提交中隐藏的用户 tuf 的登录密码。最后,通过信息收集发现 root 进程在后台运行 /home/tuf/app.py,攻击者覆写该脚本,注入为 /bin/bash 赋予SUID权限的恶意代码,成功提权至 root。 本文记录了一次靶机渗透实战。攻击者首先对3000端口的文件审核API发起DoS攻击使其瘫痪,从而绕过80端口的格式限制,成功上传PHP Webshell获取初始权限。接着在 /opt 目录发现Git信息泄露,利用 git show 找回了历史提交中隐藏的用户 tuf 的登录密码。最后,通过信息收集发现 root 进程在后台运行 /home/tuf/app.py,攻击者覆写该脚本,注入为 /bin/bash 赋予SUID权限的恶意代码,成功提权至 root。
mazesec 5ud0 mazesec 5ud0
本次靶机渗透实战主要结合了CMS后台漏洞与SUID本地提权。首先,通过信息收集发现80端口运行 Textpattern CMS。攻击者编写Python脚本成功爆破出后台弱口令 admin:superman,随后利用该CMS的授权远程代码执行漏洞(上传PHP Webshell)获取了 www-data 初始权限。在提权阶段,通过枚举SUID文件发现系统共存两个版本的 sudo,攻击者利用存在漏洞的指定版本(CVE-2025-32463),微调PoC路径后成功提权至 root 。最后在配置文件中提取了 todd 用户的 GRUB 哈希,但未能破解。 本次靶机渗透实战主要结合了CMS后台漏洞与SUID本地提权。首先,通过信息收集发现80端口运行 Textpattern CMS。攻击者编写Python脚本成功爆破出后台弱口令 admin:superman,随后利用该CMS的授权远程代码执行漏洞(上传PHP Webshell)获取了 www-data 初始权限。在提权阶段,通过枚举SUID文件发现系统共存两个版本的 sudo,攻击者利用存在漏洞的指定版本(CVE-2025-32463),微调PoC路径后成功提权至 root 。最后在配置文件中提取了 todd 用户的 GRUB 哈希,但未能破解。
mazesec set mazesec set
本文记录了一次靶机渗透测试的实战过程。主要步骤包括:通过Nmap扫描发现暴露的Web备份目录和Cockpit Web管理服务;使用弱口令 test:test 登录后,在备份文件中发现了 user1 的明文密码以及一个PHP Webshell;在提权阶段,分析发现 /opt/dsz.sh 脚本存在逻辑缺陷,通过将 backup 目录重命名为隐藏文件(mv backup .backup),使得脚本中的 $(ls) 命令返回空值,巧妙利用路径拼接漏洞将 /root 目录完整拷贝至 /tmp 并赋予777权限,最终成功读取 root 密码完成越权。 本文记录了一次靶机渗透测试的实战过程。主要步骤包括:通过Nmap扫描发现暴露的Web备份目录和Cockpit Web管理服务;使用弱口令 test:test 登录后,在备份文件中发现了 user1 的明文密码以及一个PHP Webshell;在提权阶段,分析发现 /opt/dsz.sh 脚本存在逻辑缺陷,通过将 backup 目录重命名为隐藏文件(mv backup .backup),使得脚本中的 $(ls) 命令返回空值,巧妙利用路径拼接漏洞将 /root 目录完整拷贝至 /tmp 并赋予777权限,最终成功读取 root 密码完成越权。
mazesec vimer mazesec vimer
本文记录了靶机 Vimer 的渗透实战过程。首先通过端口扫描与目录枚举排除了Web端的静态页面漏洞,随后针对暴露的SSH服务,使用 Hydra 成功爆破出用户 vim 的弱口令 000001。SSH登录后,系统被限制在纯 Vim 编辑器环境中 。通过执行 :version 检查编译特性,发现其支持 +terminal,直接利用 :terminal 命令成功逃逸并获取了正常的交互式 Shell。在提权阶段,通过翻阅用户主目录下的 .viminfo 历史记录文件,直接发现了泄露的 root 明文密码(xxxxoooo),从而轻松取得最高权限。 本文记录了靶机 Vimer 的渗透实战过程。首先通过端口扫描与目录枚举排除了Web端的静态页面漏洞,随后针对暴露的SSH服务,使用 Hydra 成功爆破出用户 vim 的弱口令 000001。SSH登录后,系统被限制在纯 Vim 编辑器环境中 。通过执行 :version 检查编译特性,发现其支持 +terminal,直接利用 :terminal 命令成功逃逸并获取了正常的交互式 Shell。在提权阶段,通过翻阅用户主目录下的 .viminfo 历史记录文件,直接发现了泄露的 root 明文密码(xxxxoooo),从而轻松取得最高权限。
mazesec pdf mazesec pdf
本文记录了对靶机 pdf.lan 的渗透测试过程。首先通过分析80端口页面源码并配合目录扫描,成功找到 hint.txt 获取关键凭据 42,从而登录8080端口的文件管理系统 。随后,利用脚本生成1-100的MD5哈希字典对该系统进行Fuzzing,找出一个特殊的PDF文件,通过 strings 命令提取出 SSH 登录凭据 welcome:lamar57。在提权阶段,发现 /usr/bin/ssh 具有 SUID 权限,尝试利用 ssh -F 读取任意文件,但由于报错输出会将内容转为小写,导致无法成功利用提取到的私钥提权 。 本文记录了对靶机 pdf.lan 的渗透测试过程。首先通过分析80端口页面源码并配合目录扫描,成功找到 hint.txt 获取关键凭据 42,从而登录8080端口的文件管理系统 。随后,利用脚本生成1-100的MD5哈希字典对该系统进行Fuzzing,找出一个特殊的PDF文件,通过 strings 命令提取出 SSH 登录凭据 welcome:lamar57。在提权阶段,发现 /usr/bin/ssh 具有 SUID 权限,尝试利用 ssh -F 读取任意文件,但由于报错输出会将内容转为小写,导致无法成功利用提取到的私钥提权 。
mazesec tpn mazesec tpn
本文记录了针对一台ThinkPHP5靶机的渗透实战。攻击者首先通过8080端口的Git泄露获取网站源码。通过代码审计,理清了应用路由映射关系,并发现可生成合法Token的接口以绕过 Check1 中间件验证;随后利用控制器中未过滤的 call_user_func 函数,成功构造URL触发远程代码执行(RCE)获取Shell。在获取 welcome 用户权限后,借助 LinPEAS 扫描发现系统存在 DirtyPipe (CVE-2022-0847) 内核漏洞 ,最终通过劫持 SUID 二进制文件成功提权至 root。 本文记录了针对一台ThinkPHP5靶机的渗透实战。攻击者首先通过8080端口的Git泄露获取网站源码。通过代码审计,理清了应用路由映射关系,并发现可生成合法Token的接口以绕过 Check1 中间件验证;随后利用控制器中未过滤的 call_user_func 函数,成功构造URL触发远程代码执行(RCE)获取Shell。在获取 welcome 用户权限后,借助 LinPEAS 扫描发现系统存在 DirtyPipe (CVE-2022-0847) 内核漏洞 ,最终通过劫持 SUID 二进制文件成功提权至 root。
mazesec 7r1umph mazesec 7r1umph
本次靶机渗透实战主要考察了条件竞争与信息收集能力。攻击者在80端口发现文件上传点与 info.php,确认系统未禁用 exec 函数。由于上传文件会被强制追加 .dsz 后缀,攻击者利用文件上传时在 /tmp 目录短暂停留的特性,通过 while 循环不断请求临时文件触发条件竞争(Race Condition),成功执行 PHP 反弹 Shell。进入系统后,外带 /opt 目录下的图片并利用 OSINT(谷歌识图)获取了 welcome 用户密码。最后,通过审查 .git 历史记录发现被删除的 root 凭据,顺利提权。 本次靶机渗透实战主要考察了条件竞争与信息收集能力。攻击者在80端口发现文件上传点与 info.php,确认系统未禁用 exec 函数。由于上传文件会被强制追加 .dsz 后缀,攻击者利用文件上传时在 /tmp 目录短暂停留的特性,通过 while 循环不断请求临时文件触发条件竞争(Race Condition),成功执行 PHP 反弹 Shell。进入系统后,外带 /opt 目录下的图片并利用 OSINT(谷歌识图)获取了 welcome 用户密码。最后,通过审查 .git 历史记录发现被删除的 root 凭据,顺利提权。
mazesec lzh mazesec lzh
本文记录了 Lzh 靶机的渗透实战过程。首先通过目录扫描获取了网站的 backup.zip 源码备份,确认目标运行 moziloCMS。针对后台由于错误尝试过多导致的前端表单禁用,直接使用 Hydra 绕过前端限制成功爆破出密码 Admin123。登录后利用该 CMS 的后台上传漏洞(上传 .jpg 格式后重命名为 .php) 获取初始 Shell。随后在配置文件中提取出 welcome 用户凭据,并在其目录下找到一把损坏的 root SSH 私钥。通过手动补齐缺失的 openssh-key-v1 标准文件头 Base64 编码 ,成功修复私钥并提权至 root。 本文记录了 Lzh 靶机的渗透实战过程。首先通过目录扫描获取了网站的 backup.zip 源码备份,确认目标运行 moziloCMS。针对后台由于错误尝试过多导致的前端表单禁用,直接使用 Hydra 绕过前端限制成功爆破出密码 Admin123。登录后利用该 CMS 的后台上传漏洞(上传 .jpg 格式后重命名为 .php) 获取初始 Shell。随后在配置文件中提取出 welcome 用户凭据,并在其目录下找到一把损坏的 root SSH 私钥。通过手动补齐缺失的 openssh-key-v1 标准文件头 Base64 编码 ,成功修复私钥并提权至 root。
mazesec gameshell2 mazesec gameshell2
本文记录了对 GameShell2 靶机的渗透全过程。首先通过目录扫描发现网站用户列表与 /terminal 认证接口,巧妙结合 79 端口的 Finger 服务枚举出有效用户 dt,并利用 Hydra 成功爆破出 Web 登录凭据。随后在配置中发现隐藏站点 dev.astra.dsz 及后门文件 backdoor.php,借助 phpsploit 工具连接后,执行 Base64 编码的反弹 Shell 载荷获取初始权限 。最后,通过 sudo -l 发现 www-data 用户可免密执行 /usr/local/bin/uv,直接运行 bash 成功提权至 root。 本文记录了对 GameShell2 靶机的渗透全过程。首先通过目录扫描发现网站用户列表与 /terminal 认证接口,巧妙结合 79 端口的 Finger 服务枚举出有效用户 dt,并利用 Hydra 成功爆破出 Web 登录凭据。随后在配置中发现隐藏站点 dev.astra.dsz 及后门文件 backdoor.php,借助 phpsploit 工具连接后,执行 Base64 编码的反弹 Shell 载荷获取初始权限 。最后,通过 sudo -l 发现 www-data 用户可免密执行 /usr/local/bin/uv,直接运行 bash 成功提权至 root。
mazesec regex mazesec regex
本文记录了靶机 Regex 的渗透过程。首先通过5000端口的 ReDoS(正则表达式拒绝服务)漏洞 报错信息获取用户名 cyllove,并通过 SSH 爆破取得初始立足点。随后,通过逆向分析 check.sh 脚本中复杂的正则断言逻辑,成功解出另一用户 kotori 的密码。最终利用 kotori 账户拥有的 sudo grep 免密权限,直接越权读取了 root flag 。笔记同时记录了修改高权限定时任务脚本 irc_bot.py 来获取 pycrtlake 用户权限的另一条提权思路。 本文记录了靶机 Regex 的渗透过程。首先通过5000端口的 ReDoS(正则表达式拒绝服务)漏洞 报错信息获取用户名 cyllove,并通过 SSH 爆破取得初始立足点。随后,通过逆向分析 check.sh 脚本中复杂的正则断言逻辑,成功解出另一用户 kotori 的密码。最终利用 kotori 账户拥有的 sudo grep 免密权限,直接越权读取了 root flag 。笔记同时记录了修改高权限定时任务脚本 irc_bot.py 来获取 pycrtlake 用户权限的另一条提权思路。