标签 Tags
标签云 Tag Cloud
#RCE 28
htb devarea htb devarea
利用 Apache CXF SSRF 漏洞结合 RCE 获取 shell,再借助 world-writable /bin/bash 与 syswatch.sh 的 sudo 执行点提权至 root。 利用 Apache CXF SSRF 漏洞结合 RCE 获取 shell,再借助 world-writable /bin/bash 与 syswatch.sh 的 sudo 执行点提权至 root。
htb kobold htb kobold
利用 CVE-2026-23744(MCPJam RCE)获取初始 shell,再借 CVE-2025-64714(PrivateBin LFI)写入 PHP webshell 并窃取 Arcane 凭证创建特权容器;另可通过 gshadow 隐藏的 docker 组成员直接挂载宿主文件系统完成提权 利用 CVE-2026-23744(MCPJam RCE)获取初始 shell,再借 CVE-2025-64714(PrivateBin LFI)写入 PHP webshell 并窃取 Arcane 凭证创建特权容器;另可通过 gshadow 隐藏的 docker 组成员直接挂载宿主文件系统完成提权
htb cctv htb cctv
这是一篇关于“cctv.htb”靶机的完整渗透测试笔记。攻击者首先发现外网ZoneMinder系统的SQL注入漏洞(CVE-2024-51482),通过获取并破解数据库哈希获得初始SSH权限。进入内网后,利用端口转发访问本地运行的motionEye服务,结合tcpdump本地抓包窃取到管理员凭据,最终利用motionEye的后台命令注入漏洞(CVE-2025-60787)成功提权至root。 这是一篇关于“cctv.htb”靶机的完整渗透测试笔记。攻击者首先发现外网ZoneMinder系统的SQL注入漏洞(CVE-2024-51482),通过获取并破解数据库哈希获得初始SSH权限。进入内网后,利用端口转发访问本地运行的motionEye服务,结合tcpdump本地抓包窃取到管理员凭据,最终利用motionEye的后台命令注入漏洞(CVE-2025-60787)成功提权至root。
NextGen Healthcare Mirth Connect NextGen Healthcare Mirth Connect
CVE-2023-43208 是 NextGen Healthcare Mirth Connect 平台中的一个极危(CVSS 9.8)未授权远程代码执行(RCE)漏洞。其根源在于 XStream 库对 XML 数据反序列化处理不当,本质是对早期漏洞(CVE-2023-37679)黑名单修复的绕过。攻击者可通过 API 发送恶意 XML 载荷,在无需认证的情况下以系统最高权限执行任意命令,严重威胁受保护的健康信息(PHI)等核心数据。该漏洞已被广泛利用,建议用户立即升级至 4.4.1 或更高版本,以启用更安全的显式白名单机制。 CVE-2023-43208 是 NextGen Healthcare Mirth Connect 平台中的一个极危(CVSS 9.8)未授权远程代码执行(RCE)漏洞。其根源在于 XStream 库对 XML 数据反序列化处理不当,本质是对早期漏洞(CVE-2023-37679)黑名单修复的绕过。攻击者可通过 API 发送恶意 XML 载荷,在无需认证的情况下以系统最高权限执行任意命令,严重威胁受保护的健康信息(PHI)等核心数据。该漏洞已被广泛利用,建议用户立即升级至 4.4.1 或更高版本,以启用更安全的显式白名单机制。
htb interpreter htb interpreter
这是一份清晰完整的渗透测试(CTF靶机)实战笔记,记录了从初始访问到提权的完整攻击链路。攻击者首先通过Nmap扫描发现目标运行了 Mirth Connect 服务,并直接利用 CVE-2023-43208 漏洞实现未授权远程代码执行(RCE)获取打点权限 。在后渗透阶段,攻击者通过读取本地配置文件获取数据库凭据,提取出PBKDF2格式的密码哈希,并使用Hashcat成功破解出明文密码。最后,在提权阶段,攻击者分析本地运行的Python脚本(notif.py)时发现了 eval() 函数的格式化字符串注入漏洞。通过巧妙使用Base64编码执行系统命令,成功绕过了极其严格的正则表达式限制,利用XML payload创建了SUID bash,最终顺利拿下Root权限 。 这是一份清晰完整的渗透测试(CTF靶机)实战笔记,记录了从初始访问到提权的完整攻击链路。攻击者首先通过Nmap扫描发现目标运行了 Mirth Connect 服务,并直接利用 CVE-2023-43208 漏洞实现未授权远程代码执行(RCE)获取打点权限 。在后渗透阶段,攻击者通过读取本地配置文件获取数据库凭据,提取出PBKDF2格式的密码哈希,并使用Hashcat成功破解出明文密码。最后,在提权阶段,攻击者分析本地运行的Python脚本(notif.py)时发现了 eval() 函数的格式化字符串注入漏洞。通过巧妙使用Base64编码执行系统命令,成功绕过了极其严格的正则表达式限制,利用XML payload创建了SUID bash,最终顺利拿下Root权限 。
htb wingdata htb wingdata
本文介绍了对WingData的渗透测试过程,包括信息收集、漏洞分析和利用。通过Nmap扫描发现开放的SSH和HTTP端口,进一步识别出Wing FTP Server的漏洞。利用该漏洞获得用户wacky的密码,并通过特权提升 本文介绍了对WingData的渗透测试过程,包括信息收集、漏洞分析和利用。通过Nmap扫描发现开放的SSH和HTTP端口,进一步识别出Wing FTP Server的漏洞。利用该漏洞获得用户wacky的密码,并通过特权提升
Wing FTP Server 7.4.3 Wing FTP Server 7.4.3
本篇文章介绍了Wing FTP Server 7.4.3中的CVE-2025-47812漏洞,该漏洞是一个严重的远程代码执行(RCE)漏洞,影响所有7.4.4之前的版本。漏洞的成因是空字节注入导致的任意Lua代码注入,攻击者可以通过特定的Payload注入和Cookie利用这一漏洞,从而以高权限执行任意系统命令。为防御该漏洞,厂商建议将Wing FTP Server升级到7.4.4或更高版本,并在不需要的情况下禁用FTP的匿名登录功能。 本篇文章介绍了Wing FTP Server 7.4.3中的CVE-2025-47812漏洞,该漏洞是一个严重的远程代码执行(RCE)漏洞,影响所有7.4.4之前的版本。漏洞的成因是空字节注入导致的任意Lua代码注入,攻击者可以通过特定的Payload注入和Cookie利用这一漏洞,从而以高权限执行任意系统命令。为防御该漏洞,厂商建议将Wing FTP Server升级到7.4.4或更高版本,并在不需要的情况下禁用FTP的匿名登录功能。
Linux 复合提权链 (CVE-2025-6018 & CVE-2025-6019) Linux 复合提权链 (CVE-2025-6018 & CVE-2025-6019)
本文介绍了两个Linux系统中的提权漏洞(CVE-2025-6018和CVE-2025-6019)。CVE-2025-6018是一个身份伪装漏洞,涉及PAM环境变量注入,要求目标系统使用Systemd和特定的PAM配置。CVE-2025-6019则是一个本地权限提升漏洞,依赖于libblockdev和udisks2的逻辑缺陷。文章详细阐述了这些漏洞的前提条件、核心原理、利用步骤以及检测和修复方法,辅助渗透测试人员识别和防范这些安全风险。 本文介绍了两个Linux系统中的提权漏洞(CVE-2025-6018和CVE-2025-6019)。CVE-2025-6018是一个身份伪装漏洞,涉及PAM环境变量注入,要求目标系统使用Systemd和特定的PAM配置。CVE-2025-6019则是一个本地权限提升漏洞,依赖于libblockdev和udisks2的逻辑缺陷。文章详细阐述了这些漏洞的前提条件、核心原理、利用步骤以及检测和修复方法,辅助渗透测试人员识别和防范这些安全风险。
htb pterodactyl htb pterodactyl
本文介绍了名为“Pterodactyl”的系统安全评估过程,包括信息收集、漏洞分析和利用步骤。通过使用Nmap和Dirsearch等工具,发现了Pterodactyl面板的版本和潜在的远程代码执行(RCE)漏洞。文章详细描述了如何利用CVE-2025-49132和CVE-2025-6018等漏洞进行权限提升,最终成功获取到Root权限和用户标志。该过程强调了在Linux环境中进行安全测试的技术细节和攻击向量。 本文介绍了名为“Pterodactyl”的系统安全评估过程,包括信息收集、漏洞分析和利用步骤。通过使用Nmap和Dirsearch等工具,发现了Pterodactyl面板的版本和潜在的远程代码执行(RCE)漏洞。文章详细描述了如何利用CVE-2025-49132和CVE-2025-6018等漏洞进行权限提升,最终成功获取到Root权限和用户标志。该过程强调了在Linux环境中进行安全测试的技术细节和攻击向量。
pearcmd.php的利用 pearcmd.php的利用
本文介绍了如何利用 PHP 的 PEAR 扩展管理工具在存在 LFI 漏洞的情况下进行攻击。通过构造特殊的 URL Payload,攻击者可以利用 pearcmd.php 脚本来创建包含恶意 PHP 代码的文件,实现远程代码执行(RCE)。文章详细阐述了核心原理、前置条件、攻击流程、潜在限制以及防御建议,强调了在生产环境中应关闭 register_argc_argv 设置,并卸载 PEAR,以增强安全性。 本文介绍了如何利用 PHP 的 PEAR 扩展管理工具在存在 LFI 漏洞的情况下进行攻击。通过构造特殊的 URL Payload,攻击者可以利用 pearcmd.php 脚本来创建包含恶意 PHP 代码的文件,实现远程代码执行(RCE)。文章详细阐述了核心原理、前置条件、攻击流程、潜在限制以及防御建议,强调了在生产环境中应关闭 register_argc_argv 设置,并卸载 PEAR,以增强安全性。
htb jet htb jet
这是一份针对特定CTF靶机(目标名称为Jet)的完整渗透测试与漏洞利用笔记。文章详细记录了从初始信息收集、Web漏洞利用、横向移动到后渗透信息解密的完整攻击生命周期。攻击者首先通过SQL盲注获取Web后台权限,利用危险的PHP正则替换漏洞实现远程命令执行(RCE)获取初始立足点。在主机层面,攻击者挖掘出一个无NX和Canary保护的本地二进制文件,通过缓冲区溢出与Ret2Shellcode技术成功横向移动。最后,通过逆向分析XOR加密逻辑和密码爆破,成功提取了内部通信数据并发现了为最终提权(PrivEsc)做准备的内部Elasticsearch服务。 这是一份针对特定CTF靶机(目标名称为Jet)的完整渗透测试与漏洞利用笔记。文章详细记录了从初始信息收集、Web漏洞利用、横向移动到后渗透信息解密的完整攻击生命周期。攻击者首先通过SQL盲注获取Web后台权限,利用危险的PHP正则替换漏洞实现远程命令执行(RCE)获取初始立足点。在主机层面,攻击者挖掘出一个无NX和Canary保护的本地二进制文件,通过缓冲区溢出与Ret2Shellcode技术成功横向移动。最后,通过逆向分析XOR加密逻辑和密码爆破,成功提取了内部通信数据并发现了为最终提权(PrivEsc)做准备的内部Elasticsearch服务。
htb facts htb facts
本文介绍了如何利用CVE-2024-46987漏洞,通过合法用户名和密码登录Camaleon CMS的后台,读取服务器上的任意文件,包括提取/etc/passwd和用户的SSH私钥。利用提取的SSH私钥成功登录用户trivia,接着通过sudo权限执行facter命令获取root权限。文章详细记录了信息收集、漏洞利用、用户权限提升的整个过程,并总结了所学到的经验教训。 本文介绍了如何利用CVE-2024-46987漏洞,通过合法用户名和密码登录Camaleon CMS的后台,读取服务器上的任意文件,包括提取/etc/passwd和用户的SSH私钥。利用提取的SSH私钥成功登录用户trivia,接着通过sudo权限执行facter命令获取root权限。文章详细记录了信息收集、漏洞利用、用户权限提升的整个过程,并总结了所学到的经验教训。
htb airtouch htb airtouch
本篇文章详细介绍了如何通过网络安全渗透测试获取目标系统的控制权。首先,通过TCP和UDP扫描识别开放端口,利用SNMP进行信息收集,成功获取默认密码。接着,利用Wi-Fi监听模式和攻击手段,破解目标Wi-Fi网络密码,获取内网IP。文章还描述了如何进行网络扫描、用户凭证获取及权限提升,最终获得root权限,并总结了在渗透测试中得出的经验教训。 本篇文章详细介绍了如何通过网络安全渗透测试获取目标系统的控制权。首先,通过TCP和UDP扫描识别开放端口,利用SNMP进行信息收集,成功获取默认密码。接着,利用Wi-Fi监听模式和攻击手段,破解目标Wi-Fi网络密码,获取内网IP。文章还描述了如何进行网络扫描、用户凭证获取及权限提升,最终获得root权限,并总结了在渗透测试中得出的经验教训。
htb dump htb dump
本篇文章详细描述了如何利用命令注入漏洞,成功获取Linux系统的用户和根权限。通过Nmap扫描确认目标主机的服务和版本后,作者发现了一个支持文件上传的网站,并利用ZIP命令的注入漏洞,上传恶意脚本获取反向Shell。随后,通过对系统的权限配置进行枚举,使用tcpdump命令结合AppArmor的配置,成功地在系统上创建了一个持久化的提权方法,最终以root身份执行命令,获取root权限和敏感信息。 本篇文章详细描述了如何利用命令注入漏洞,成功获取Linux系统的用户和根权限。通过Nmap扫描确认目标主机的服务和版本后,作者发现了一个支持文件上传的网站,并利用ZIP命令的注入漏洞,上传恶意脚本获取反向Shell。随后,通过对系统的权限配置进行枚举,使用tcpdump命令结合AppArmor的配置,成功地在系统上创建了一个持久化的提权方法,最终以root身份执行命令,获取root权限和敏感信息。
htb jobtwo htb jobtwo
本文介绍了一个关于“JobTwo”的渗透测试过程,首先进行了信息收集,使用Nmap扫描发现开放的端口及其服务。随后,通过创建Word文档并利用VBS宏实现反向Shell,成功获取了用户权限。接着,通过识别安装的Veeam备份与恢复软件,利用CVE-2023-27532漏洞进行特权提升,最终获得了系统权限。文章还深入探讨了.NET Remoting的基本背景及其潜在的安全风险,强调了内部网络安全防护的重要性。 本文介绍了一个关于“JobTwo”的渗透测试过程,首先进行了信息收集,使用Nmap扫描发现开放的端口及其服务。随后,通过创建Word文档并利用VBS宏实现反向Shell,成功获取了用户权限。接着,通过识别安装的Veeam备份与恢复软件,利用CVE-2023-27532漏洞进行特权提升,最终获得了系统权限。文章还深入探讨了.NET Remoting的基本背景及其潜在的安全风险,强调了内部网络安全防护的重要性。
htb slonik htb slonik
本文介绍了一个名为“Slonik”的项目,涉及对一台运行Linux的服务器的渗透测试。通过Nmap扫描,发现了开放的SSH和NFS服务。利用NFS共享的权限漏洞,创建了一个与特定用户ID匹配的新用户,从而访问了受限目录。进一步分析了PostgreSQL数据库,通过弱口令获取了用户凭据,并利用数据库的RCE漏洞获得了shell访问。最终,通过利用定时任务和设置setuid的bash文件,实现了从postgres用户提升到root权限,获取了根标志。文章总结了渗透测试的关键步骤和所学到的经验教训。 本文介绍了一个名为“Slonik”的项目,涉及对一台运行Linux的服务器的渗透测试。通过Nmap扫描,发现了开放的SSH和NFS服务。利用NFS共享的权限漏洞,创建了一个与特定用户ID匹配的新用户,从而访问了受限目录。进一步分析了PostgreSQL数据库,通过弱口令获取了用户凭据,并利用数据库的RCE漏洞获得了shell访问。最终,通过利用定时任务和设置setuid的bash文件,实现了从postgres用户提升到root权限,获取了根标志。文章总结了渗透测试的关键步骤和所学到的经验教训。
mazesec tpn mazesec tpn
本文记录了针对一台ThinkPHP5靶机的渗透实战。攻击者首先通过8080端口的Git泄露获取网站源码。通过代码审计,理清了应用路由映射关系,并发现可生成合法Token的接口以绕过 Check1 中间件验证;随后利用控制器中未过滤的 call_user_func 函数,成功构造URL触发远程代码执行(RCE)获取Shell。在获取 welcome 用户权限后,借助 LinPEAS 扫描发现系统存在 DirtyPipe (CVE-2022-0847) 内核漏洞 ,最终通过劫持 SUID 二进制文件成功提权至 root。 本文记录了针对一台ThinkPHP5靶机的渗透实战。攻击者首先通过8080端口的Git泄露获取网站源码。通过代码审计,理清了应用路由映射关系,并发现可生成合法Token的接口以绕过 Check1 中间件验证;随后利用控制器中未过滤的 call_user_func 函数,成功构造URL触发远程代码执行(RCE)获取Shell。在获取 welcome 用户权限后,借助 LinPEAS 扫描发现系统存在 DirtyPipe (CVE-2022-0847) 内核漏洞 ,最终通过劫持 SUID 二进制文件成功提权至 root。
htb imagery htb imagery
本文介绍了对Imagery网站的渗透测试过程,包括信息收集、漏洞分析、利用和特权提升。通过Nmap扫描确定开放端口,使用Dirsearch工具查找目录,发现了潜在的LFI漏洞和命令执行漏洞。最终,通过暴力破解加密文件获取用户凭证,成功提升至root权限。文章总结了渗透测试的关键步骤和学习经验。 本文介绍了对Imagery网站的渗透测试过程,包括信息收集、漏洞分析、利用和特权提升。通过Nmap扫描确定开放端口,使用Dirsearch工具查找目录,发现了潜在的LFI漏洞和命令执行漏洞。最终,通过暴力破解加密文件获取用户凭证,成功提升至root权限。文章总结了渗透测试的关键步骤和学习经验。
htb monitorsfour htb monitorsfour
本文介绍了名为“MonitorsFour”的靶机的渗透测试过程。通过使用Nmap和Dirsearch工具,发现了开放的HTTP服务和潜在的漏洞。攻击者利用CVE-2025-24367漏洞,通过测试token参数获取凭据,并成功登录系统。接着,利用内部扫描和CVE-2025-9074漏洞进一步提升权限,创建Docker容器,最终获得了对目标系统的完全控制。整个过程详细记录了使用的命令和获得的信息,展示了渗透测试的各个阶段。 本文介绍了名为“MonitorsFour”的靶机的渗透测试过程。通过使用Nmap和Dirsearch工具,发现了开放的HTTP服务和潜在的漏洞。攻击者利用CVE-2025-24367漏洞,通过测试token参数获取凭据,并成功登录系统。接着,利用内部扫描和CVE-2025-9074漏洞进一步提升权限,创建Docker容器,最终获得了对目标系统的完全控制。整个过程详细记录了使用的命令和获得的信息,展示了渗透测试的各个阶段。
htb previous htb previous
本文介绍了一个针对Linux系统的渗透测试过程,主要包括获取初步访问权限、特权提升等步骤。首先,通过Nmap扫描发现开放的SSH和HTTP端口,使用特定HTTP头利用CVE-2025-29927漏洞进行攻击,最终成功读取敏感文件如/etc/passwd。接着,通过检查Terraform配置文件,利用不当设置进行特权提升,成功执行恶意脚本以获得root权限。文章详细描述了每一步的实现方式和命令,适合渗透测试人员参考。 本文介绍了一个针对Linux系统的渗透测试过程,主要包括获取初步访问权限、特权提升等步骤。首先,通过Nmap扫描发现开放的SSH和HTTP端口,使用特定HTTP头利用CVE-2025-29927漏洞进行攻击,最终成功读取敏感文件如/etc/passwd。接着,通过检查Terraform配置文件,利用不当设置进行特权提升,成功执行恶意脚本以获得root权限。文章详细描述了每一步的实现方式和命令,适合渗透测试人员参考。
htb mirage htb mirage
本文介绍了在HTB(Hack The Box)平台上完成名为“Mirage”的挑战的详细过程。通过使用Nmap扫描和NFS挂载,发现了目标域控制器上的DNS服务缺陷,并利用该缺陷进行DNS记录注入。接下来,通过捕获NATS凭证和使用Bloodhound工具,获取了多名用户的凭证,最终实现了对目标系统的访问。文章详细描述了多个攻击步骤,包括会话中继攻击和特权提升技巧,展示了如何利用Active Directory的弱点进行渗透测试和权限提升。 本文介绍了在HTB(Hack The Box)平台上完成名为“Mirage”的挑战的详细过程。通过使用Nmap扫描和NFS挂载,发现了目标域控制器上的DNS服务缺陷,并利用该缺陷进行DNS记录注入。接下来,通过捕获NATS凭证和使用Bloodhound工具,获取了多名用户的凭证,最终实现了对目标系统的访问。文章详细描述了多个攻击步骤,包括会话中继攻击和特权提升技巧,展示了如何利用Active Directory的弱点进行渗透测试和权限提升。
htb gavel htb gavel
本文介绍了对“Gavel”靶机的渗透测试过程,包括获取初步访问权限和权限提升的详细步骤。首先,通过Git泄露和PDO列名注入获取了数据库的用户密码。接着,通过利用runkit_function_add函数注入恶意规则,实现远程代码执行。获得shell后,利用gavel-util工具上传YAML文件,进一步修改php.ini文件,最终通过执行带有反向连接的代码获得root权限。整个过程展示了如何利用SQL注入、代码注入和配置文件修改等技术进行渗透测试。 本文介绍了对“Gavel”靶机的渗透测试过程,包括获取初步访问权限和权限提升的详细步骤。首先,通过Git泄露和PDO列名注入获取了数据库的用户密码。接着,通过利用runkit_function_add函数注入恶意规则,实现远程代码执行。获得shell后,利用gavel-util工具上传YAML文件,进一步修改php.ini文件,最终通过执行带有反向连接的代码获得root权限。整个过程展示了如何利用SQL注入、代码注入和配置文件修改等技术进行渗透测试。
htb conversor htb conversor
本文介绍了如何通过在Linux系统上利用漏洞获取访问权限的过程。通过查看Web代码发现XSLT未安全设置,攻击者能够上传恶意Python脚本以获得初步控制。接着,通过获取SSH凭据和利用特定的Python库,攻击者可以进一步提升权限。文中详细描述了使用Nmap进行端口扫描、识别服务,以及构造和上传恶意负载的步骤,最终实现从普通用户提升到root用户的过程。 本文介绍了如何通过在Linux系统上利用漏洞获取访问权限的过程。通过查看Web代码发现XSLT未安全设置,攻击者能够上传恶意Python脚本以获得初步控制。接着,通过获取SSH凭据和利用特定的Python库,攻击者可以进一步提升权限。文中详细描述了使用Nmap进行端口扫描、识别服务,以及构造和上传恶意负载的步骤,最终实现从普通用户提升到root用户的过程。
htb soulmate htb soulmate
这篇文章介绍了一个名为“Soulmate”的Linux操作系统的HTB(Hack The Box)挑战。挑战的步骤包括通过CVE-2025-31161漏洞获得初始访问权限,接着利用Eshell进行特权提升。通过Nmap扫描确认了开放的端口和服务,枚举了Web目录,并利用CrushFTP进行攻击。最终,通过上传PHP文件获得了www-data的shell权限,并在进一步的枚举中发现了用户ben的密码。文章详细记录了每一步的操作和发现,为理解整个渗透测试过程提供了清晰的指导。 这篇文章介绍了一个名为“Soulmate”的Linux操作系统的HTB(Hack The Box)挑战。挑战的步骤包括通过CVE-2025-31161漏洞获得初始访问权限,接着利用Eshell进行特权提升。通过Nmap扫描确认了开放的端口和服务,枚举了Web目录,并利用CrushFTP进行攻击。最终,通过上传PHP文件获得了www-data的shell权限,并在进一步的枚举中发现了用户ben的密码。文章详细记录了每一步的操作和发现,为理解整个渗透测试过程提供了清晰的指导。
htb editor htb editor
本文介绍了一种针对Linux操作系统的渗透测试,主要内容包括通过利用CVE-2025-24893漏洞获取初步Shell,并通过枚举和检查获得凭据。接着,利用CVE-2024-32019漏洞进行特权提升。文章详细描述了Nmap扫描结果、Web服务的发现,以及随后使用的工具和方法,提供了具体的漏洞利用链接和相关信息。 本文介绍了一种针对Linux操作系统的渗透测试,主要内容包括通过利用CVE-2025-24893漏洞获取初步Shell,并通过枚举和检查获得凭据。接着,利用CVE-2024-32019漏洞进行特权提升。文章详细描述了Nmap扫描结果、Web服务的发现,以及随后使用的工具和方法,提供了具体的漏洞利用链接和相关信息。
htb era htb era
本文详细描述了针对名为“Era”的Linux系统的渗透测试过程。测试者首先使用nmap扫描发现开放的FTP和HTTP端口,并在web界面上进行探索,发现文件上传功能。通过上传文件和爆破,获取了网站的备份文件,并从中提取了数据库信息。测试者使用破解工具获取用户凭证,并成功登录FTP。利用PHP wrapper,测试者实施了远程代码执行,从而获得了系统的控制权。最后,测试者通过分析系统的cron任务,设计了一个持久化的后门,完成了特权升级的操作。 本文详细描述了针对名为“Era”的Linux系统的渗透测试过程。测试者首先使用nmap扫描发现开放的FTP和HTTP端口,并在web界面上进行探索,发现文件上传功能。通过上传文件和爆破,获取了网站的备份文件,并从中提取了数据库信息。测试者使用破解工具获取用户凭证,并成功登录FTP。利用PHP wrapper,测试者实施了远程代码执行,从而获得了系统的控制权。最后,测试者通过分析系统的cron任务,设计了一个持久化的后门,完成了特权升级的操作。
htb strutted htb strutted
本文介绍了针对运行Apache Struts的应用程序的渗透测试过程。首先,通过nikto工具对目标网站进行枚举,发现运行在Tomcat上的应用。接着,利用CVE-2024-53677漏洞进行文件上传攻击,以实现远程代码执行(RCE)。文章详细描述了如何构建和测试payload,并提供了反向连接的步骤。最后,讨论了在特权提升过程中使用tcpdump的技巧,以及Struts2中的OGNL参数绑定机制的关键点。 本文介绍了针对运行Apache Struts的应用程序的渗透测试过程。首先,通过nikto工具对目标网站进行枚举,发现运行在Tomcat上的应用。接着,利用CVE-2024-53677漏洞进行文件上传攻击,以实现远程代码执行(RCE)。文章详细描述了如何构建和测试payload,并提供了反向连接的步骤。最后,讨论了在特权提升过程中使用tcpdump的技巧,以及Struts2中的OGNL参数绑定机制的关键点。
htb expressway htb expressway
本文记录了一次针对名为“Expressway”的靶机的渗透测试过程。初步枚举未发现可利用漏洞,随后进行UDP扫描。通过破解找到的PSK哈希,成功获取到用户ike@expressway.htb的密码“freakingrockstarontheroad”。登录后,利用linpeas.sh进行权限提升,发现sudo版本为1.9.17,并找到相关的漏洞利用文章。最终,发现proxy组具有特殊权限,能够访问主机offramp.expressway.htb,从而实现更高权限的获取。 本文记录了一次针对名为“Expressway”的靶机的渗透测试过程。初步枚举未发现可利用漏洞,随后进行UDP扫描。通过破解找到的PSK哈希,成功获取到用户ike@expressway.htb的密码“freakingrockstarontheroad”。登录后,利用linpeas.sh进行权限提升,发现sudo版本为1.9.17,并找到相关的漏洞利用文章。最终,发现proxy组具有特殊权限,能够访问主机offramp.expressway.htb,从而实现更高权限的获取。
#CVE 20
htb fries htb fries
Linux 前端(Nginx)+ Windows AD 后端的混合架构靶机。通过 PWM 密码自助服务的 LDAP 中继攻击获取 svc_infra 凭据,利用 Gitea 代码泄露的 PostgreSQL 连接串,结合 CVE-2025-2945(pgAdmin RCE)进入 Docker 容器。随后通过 NFS 挂载 + UID 伪造迁移至 barman 用户,伪造 Docker TLS 客户端证书逃逸容器获得 Linux root。最终在 Windows 侧利用 gMSA 凭据 + ESC7/ESC6/ESC16 攻击路径完成 AD CS 提权,获取 Domain Admin。 Linux 前端(Nginx)+ Windows AD 后端的混合架构靶机。通过 PWM 密码自助服务的 LDAP 中继攻击获取 svc_infra 凭据,利用 Gitea 代码泄露的 PostgreSQL 连接串,结合 CVE-2025-2945(pgAdmin RCE)进入 Docker 容器。随后通过 NFS 挂载 + UID 伪造迁移至 barman 用户,伪造 Docker TLS 客户端证书逃逸容器获得 Linux root。最终在 Windows 侧利用 gMSA 凭据 + ESC7/ESC6/ESC16 攻击路径完成 AD CS 提权,获取 Domain Admin。
htb silentium htb silentium
通过 vhost 模糊测试发现内部 FlowiseAI 系统,利用 CVE-2025-58434 枚举用户并劫持密码重置 token 完成登录,再借助 CVE-2025-59528 执行 RCE 获得初始 shell;从环境变量中泄露 SSH 密码横向移动后,发现本地 Gogs 服务,最终利用 CVE-2025-8110 符号链接路径劫持动态链接器完成提权 通过 vhost 模糊测试发现内部 FlowiseAI 系统,利用 CVE-2025-58434 枚举用户并劫持密码重置 token 完成登录,再借助 CVE-2025-59528 执行 RCE 获得初始 shell;从环境变量中泄露 SSH 密码横向移动后,发现本地 Gogs 服务,最终利用 CVE-2025-8110 符号链接路径劫持动态链接器完成提权
htb darkzero htb darkzero
利用官方凭据登录 MSSQL,链式利用 xp_cmdshell 横向移动,结合 CVE-2024-30088 本地提权,最终通过 Kerberos 票据劫持与 DCSync 拿到域控 shell。 利用官方凭据登录 MSSQL,链式利用 xp_cmdshell 横向移动,结合 CVE-2024-30088 本地提权,最终通过 Kerberos 票据劫持与 DCSync 拿到域控 shell。
htb devarea htb devarea
利用 Apache CXF SSRF 漏洞结合 RCE 获取 shell,再借助 world-writable /bin/bash 与 syswatch.sh 的 sudo 执行点提权至 root。 利用 Apache CXF SSRF 漏洞结合 RCE 获取 shell,再借助 world-writable /bin/bash 与 syswatch.sh 的 sudo 执行点提权至 root。
htb kobold htb kobold
利用 CVE-2026-23744(MCPJam RCE)获取初始 shell,再借 CVE-2025-64714(PrivateBin LFI)写入 PHP webshell 并窃取 Arcane 凭证创建特权容器;另可通过 gshadow 隐藏的 docker 组成员直接挂载宿主文件系统完成提权 利用 CVE-2026-23744(MCPJam RCE)获取初始 shell,再借 CVE-2025-64714(PrivateBin LFI)写入 PHP webshell 并窃取 Arcane 凭证创建特权容器;另可通过 gshadow 隐藏的 docker 组成员直接挂载宿主文件系统完成提权
htb variaType htb variaType
通过 CVE-2025-66034(fonttools 路径遍历)写入 PHP webshell 获得立足点,经 Git 泄露凭证登录 portal,利用 FontForge 命令注入提权至 steve,再经 CVE-2025-47273(setuptools 路径欺骗)写入 SSH 公钥获得 root 通过 CVE-2025-66034(fonttools 路径遍历)写入 PHP webshell 获得立足点,经 Git 泄露凭证登录 portal,利用 FontForge 命令注入提权至 steve,再经 CVE-2025-47273(setuptools 路径欺骗)写入 SSH 公钥获得 root
Linux 复合提权链 (CVE-2025-6018 & CVE-2025-6019) Linux 复合提权链 (CVE-2025-6018 & CVE-2025-6019)
本文介绍了两个Linux系统中的提权漏洞(CVE-2025-6018和CVE-2025-6019)。CVE-2025-6018是一个身份伪装漏洞,涉及PAM环境变量注入,要求目标系统使用Systemd和特定的PAM配置。CVE-2025-6019则是一个本地权限提升漏洞,依赖于libblockdev和udisks2的逻辑缺陷。文章详细阐述了这些漏洞的前提条件、核心原理、利用步骤以及检测和修复方法,辅助渗透测试人员识别和防范这些安全风险。 本文介绍了两个Linux系统中的提权漏洞(CVE-2025-6018和CVE-2025-6019)。CVE-2025-6018是一个身份伪装漏洞,涉及PAM环境变量注入,要求目标系统使用Systemd和特定的PAM配置。CVE-2025-6019则是一个本地权限提升漏洞,依赖于libblockdev和udisks2的逻辑缺陷。文章详细阐述了这些漏洞的前提条件、核心原理、利用步骤以及检测和修复方法,辅助渗透测试人员识别和防范这些安全风险。
htb pterodactyl htb pterodactyl
本文介绍了名为“Pterodactyl”的系统安全评估过程,包括信息收集、漏洞分析和利用步骤。通过使用Nmap和Dirsearch等工具,发现了Pterodactyl面板的版本和潜在的远程代码执行(RCE)漏洞。文章详细描述了如何利用CVE-2025-49132和CVE-2025-6018等漏洞进行权限提升,最终成功获取到Root权限和用户标志。该过程强调了在Linux环境中进行安全测试的技术细节和攻击向量。 本文介绍了名为“Pterodactyl”的系统安全评估过程,包括信息收集、漏洞分析和利用步骤。通过使用Nmap和Dirsearch等工具,发现了Pterodactyl面板的版本和潜在的远程代码执行(RCE)漏洞。文章详细描述了如何利用CVE-2025-49132和CVE-2025-6018等漏洞进行权限提升,最终成功获取到Root权限和用户标志。该过程强调了在Linux环境中进行安全测试的技术细节和攻击向量。
htb facts htb facts
本文介绍了如何利用CVE-2024-46987漏洞,通过合法用户名和密码登录Camaleon CMS的后台,读取服务器上的任意文件,包括提取/etc/passwd和用户的SSH私钥。利用提取的SSH私钥成功登录用户trivia,接着通过sudo权限执行facter命令获取root权限。文章详细记录了信息收集、漏洞利用、用户权限提升的整个过程,并总结了所学到的经验教训。 本文介绍了如何利用CVE-2024-46987漏洞,通过合法用户名和密码登录Camaleon CMS的后台,读取服务器上的任意文件,包括提取/etc/passwd和用户的SSH私钥。利用提取的SSH私钥成功登录用户trivia,接着通过sudo权限执行facter命令获取root权限。文章详细记录了信息收集、漏洞利用、用户权限提升的整个过程,并总结了所学到的经验教训。
htb jobtwo htb jobtwo
本文介绍了一个关于“JobTwo”的渗透测试过程,首先进行了信息收集,使用Nmap扫描发现开放的端口及其服务。随后,通过创建Word文档并利用VBS宏实现反向Shell,成功获取了用户权限。接着,通过识别安装的Veeam备份与恢复软件,利用CVE-2023-27532漏洞进行特权提升,最终获得了系统权限。文章还深入探讨了.NET Remoting的基本背景及其潜在的安全风险,强调了内部网络安全防护的重要性。 本文介绍了一个关于“JobTwo”的渗透测试过程,首先进行了信息收集,使用Nmap扫描发现开放的端口及其服务。随后,通过创建Word文档并利用VBS宏实现反向Shell,成功获取了用户权限。接着,通过识别安装的Veeam备份与恢复软件,利用CVE-2023-27532漏洞进行特权提升,最终获得了系统权限。文章还深入探讨了.NET Remoting的基本背景及其潜在的安全风险,强调了内部网络安全防护的重要性。
htb boardlight htb boardlight
本文介绍了对BoardLight主机的渗透测试过程。首先,通过Nmap扫描确定开放的端口和服务,发现目标网站为board.htb,并通过目录爆破发现Dolibarr 17.0.0的漏洞CVE-2023-30253。利用admin:admin凭据成功登录后,通过一些命令获取数据库的用户名和密码。然后,使用larissa用户的SSH权限获得shell。接着,利用CVE-2022-37706进行特权升级,成功获得root权限。最后,总结了在渗透测试中的学习经验,强调了在发现数据库凭据后优先尝试SSH连接的重要性。 本文介绍了对BoardLight主机的渗透测试过程。首先,通过Nmap扫描确定开放的端口和服务,发现目标网站为board.htb,并通过目录爆破发现Dolibarr 17.0.0的漏洞CVE-2023-30253。利用admin:admin凭据成功登录后,通过一些命令获取数据库的用户名和密码。然后,使用larissa用户的SSH权限获得shell。接着,利用CVE-2022-37706进行特权升级,成功获得root权限。最后,总结了在渗透测试中的学习经验,强调了在发现数据库凭据后优先尝试SSH连接的重要性。
htb writeup htb writeup
本文介绍了如何在Linux环境中利用CVE-2019-9053漏洞进行渗透测试。首先,通过Nmap扫描获取目标主机的信息,包括开放的SSH和HTTP端口。接着,通过访问Web界面和robots.txt文件发现了使用的CMS。利用漏洞获取用户凭据后,成功通过SSH登录。随后,通过检查权限,发现可以利用路径劫持进行特权升级,最终获得root权限。最后,总结了在此过程中学到的经验教训。 本文介绍了如何在Linux环境中利用CVE-2019-9053漏洞进行渗透测试。首先,通过Nmap扫描获取目标主机的信息,包括开放的SSH和HTTP端口。接着,通过访问Web界面和robots.txt文件发现了使用的CMS。利用漏洞获取用户凭据后,成功通过SSH登录。随后,通过检查权限,发现可以利用路径劫持进行特权升级,最终获得root权限。最后,总结了在此过程中学到的经验教训。
htb devvortex htb devvortex
本文介绍了一个针对名为"Devvortex"的Linux系统的渗透测试过程。通过Nmap扫描发现开放的SSH和HTTP端口,随后使用FFUF工具进行子域名和目录的发现。找到Joomla管理登录页面后,利用CVE-2023-23752漏洞获取管理员凭据。进一步通过添加PHP反向shell获取MySQL数据库凭据,破解用户hash获取特权用户的凭据。最后,通过使用sudo执行apport-cli工具并利用CVE-2023-1326漏洞获得root权限。本文总结了渗透测试的关键步骤和利用的漏洞。 本文介绍了一个针对名为"Devvortex"的Linux系统的渗透测试过程。通过Nmap扫描发现开放的SSH和HTTP端口,随后使用FFUF工具进行子域名和目录的发现。找到Joomla管理登录页面后,利用CVE-2023-23752漏洞获取管理员凭据。进一步通过添加PHP反向shell获取MySQL数据库凭据,破解用户hash获取特权用户的凭据。最后,通过使用sudo执行apport-cli工具并利用CVE-2023-1326漏洞获得root权限。本文总结了渗透测试的关键步骤和利用的漏洞。
htb sau htb sau
本文介绍了对名为"Sau"的Linux系统进行信息收集的过程。在扫描过程中发现了三个开放端口:22端口(SSH服务)、53端口(域名服务)和55555端口(未知服务)。特别是55555端口运行的request-baskets 1.2.1版本与CVE-2023-27163相关,建议查看80端口以获取更多信息。同时,利用CVE-2023-26604进行权限提升也是一个关键步骤。 本文介绍了对名为"Sau"的Linux系统进行信息收集的过程。在扫描过程中发现了三个开放端口:22端口(SSH服务)、53端口(域名服务)和55555端口(未知服务)。特别是55555端口运行的request-baskets 1.2.1版本与CVE-2023-27163相关,建议查看80端口以获取更多信息。同时,利用CVE-2023-26604进行权限提升也是一个关键步骤。
htb monitorsfour htb monitorsfour
本文介绍了名为“MonitorsFour”的靶机的渗透测试过程。通过使用Nmap和Dirsearch工具,发现了开放的HTTP服务和潜在的漏洞。攻击者利用CVE-2025-24367漏洞,通过测试token参数获取凭据,并成功登录系统。接着,利用内部扫描和CVE-2025-9074漏洞进一步提升权限,创建Docker容器,最终获得了对目标系统的完全控制。整个过程详细记录了使用的命令和获得的信息,展示了渗透测试的各个阶段。 本文介绍了名为“MonitorsFour”的靶机的渗透测试过程。通过使用Nmap和Dirsearch工具,发现了开放的HTTP服务和潜在的漏洞。攻击者利用CVE-2025-24367漏洞,通过测试token参数获取凭据,并成功登录系统。接着,利用内部扫描和CVE-2025-9074漏洞进一步提升权限,创建Docker容器,最终获得了对目标系统的完全控制。整个过程详细记录了使用的命令和获得的信息,展示了渗透测试的各个阶段。
htb previous htb previous
本文介绍了一个针对Linux系统的渗透测试过程,主要包括获取初步访问权限、特权提升等步骤。首先,通过Nmap扫描发现开放的SSH和HTTP端口,使用特定HTTP头利用CVE-2025-29927漏洞进行攻击,最终成功读取敏感文件如/etc/passwd。接着,通过检查Terraform配置文件,利用不当设置进行特权提升,成功执行恶意脚本以获得root权限。文章详细描述了每一步的实现方式和命令,适合渗透测试人员参考。 本文介绍了一个针对Linux系统的渗透测试过程,主要包括获取初步访问权限、特权提升等步骤。首先,通过Nmap扫描发现开放的SSH和HTTP端口,使用特定HTTP头利用CVE-2025-29927漏洞进行攻击,最终成功读取敏感文件如/etc/passwd。接着,通过检查Terraform配置文件,利用不当设置进行特权提升,成功执行恶意脚本以获得root权限。文章详细描述了每一步的实现方式和命令,适合渗透测试人员参考。
htb soulmate htb soulmate
这篇文章介绍了一个名为“Soulmate”的Linux操作系统的HTB(Hack The Box)挑战。挑战的步骤包括通过CVE-2025-31161漏洞获得初始访问权限,接着利用Eshell进行特权提升。通过Nmap扫描确认了开放的端口和服务,枚举了Web目录,并利用CrushFTP进行攻击。最终,通过上传PHP文件获得了www-data的shell权限,并在进一步的枚举中发现了用户ben的密码。文章详细记录了每一步的操作和发现,为理解整个渗透测试过程提供了清晰的指导。 这篇文章介绍了一个名为“Soulmate”的Linux操作系统的HTB(Hack The Box)挑战。挑战的步骤包括通过CVE-2025-31161漏洞获得初始访问权限,接着利用Eshell进行特权提升。通过Nmap扫描确认了开放的端口和服务,枚举了Web目录,并利用CrushFTP进行攻击。最终,通过上传PHP文件获得了www-data的shell权限,并在进一步的枚举中发现了用户ben的密码。文章详细记录了每一步的操作和发现,为理解整个渗透测试过程提供了清晰的指导。
htb editor htb editor
本文介绍了一种针对Linux操作系统的渗透测试,主要内容包括通过利用CVE-2025-24893漏洞获取初步Shell,并通过枚举和检查获得凭据。接着,利用CVE-2024-32019漏洞进行特权提升。文章详细描述了Nmap扫描结果、Web服务的发现,以及随后使用的工具和方法,提供了具体的漏洞利用链接和相关信息。 本文介绍了一种针对Linux操作系统的渗透测试,主要内容包括通过利用CVE-2025-24893漏洞获取初步Shell,并通过枚举和检查获得凭据。接着,利用CVE-2024-32019漏洞进行特权提升。文章详细描述了Nmap扫描结果、Web服务的发现,以及随后使用的工具和方法,提供了具体的漏洞利用链接和相关信息。
htb outbound htb outbound
本文介绍了对目标主机(IP: 10.10.11.79)的初步枚举和攻击链路。通过使用Nmap进行端口扫描,发现目标主机上开放了FTP和HTTP服务。接着,描述了利用Web应用程序漏洞(CVE-2025-49113)进行攻击的步骤,包括获取Docker环境的shell,升级shell权限,查看配置,登录数据库,破解密码,以及最终获取SSH密码和sudo命令的过程,最后利用另一个漏洞(CVE-2025-27591)进行进一步的攻击。 本文介绍了对目标主机(IP: 10.10.11.79)的初步枚举和攻击链路。通过使用Nmap进行端口扫描,发现目标主机上开放了FTP和HTTP服务。接着,描述了利用Web应用程序漏洞(CVE-2025-49113)进行攻击的步骤,包括获取Docker环境的shell,升级shell权限,查看配置,登录数据库,破解密码,以及最终获取SSH密码和sudo命令的过程,最后利用另一个漏洞(CVE-2025-27591)进行进一步的攻击。
htb strutted htb strutted
本文介绍了针对运行Apache Struts的应用程序的渗透测试过程。首先,通过nikto工具对目标网站进行枚举,发现运行在Tomcat上的应用。接着,利用CVE-2024-53677漏洞进行文件上传攻击,以实现远程代码执行(RCE)。文章详细描述了如何构建和测试payload,并提供了反向连接的步骤。最后,讨论了在特权提升过程中使用tcpdump的技巧,以及Struts2中的OGNL参数绑定机制的关键点。 本文介绍了针对运行Apache Struts的应用程序的渗透测试过程。首先,通过nikto工具对目标网站进行枚举,发现运行在Tomcat上的应用。接着,利用CVE-2024-53677漏洞进行文件上传攻击,以实现远程代码执行(RCE)。文章详细描述了如何构建和测试payload,并提供了反向连接的步骤。最后,讨论了在特权提升过程中使用tcpdump的技巧,以及Struts2中的OGNL参数绑定机制的关键点。
# 命令注入 9
htb silentium htb silentium
通过 vhost 模糊测试发现内部 FlowiseAI 系统,利用 CVE-2025-58434 枚举用户并劫持密码重置 token 完成登录,再借助 CVE-2025-59528 执行 RCE 获得初始 shell;从环境变量中泄露 SSH 密码横向移动后,发现本地 Gogs 服务,最终利用 CVE-2025-8110 符号链接路径劫持动态链接器完成提权 通过 vhost 模糊测试发现内部 FlowiseAI 系统,利用 CVE-2025-58434 枚举用户并劫持密码重置 token 完成登录,再借助 CVE-2025-59528 执行 RCE 获得初始 shell;从环境变量中泄露 SSH 密码横向移动后,发现本地 Gogs 服务,最终利用 CVE-2025-8110 符号链接路径劫持动态链接器完成提权
htb variaType htb variaType
通过 CVE-2025-66034(fonttools 路径遍历)写入 PHP webshell 获得立足点,经 Git 泄露凭证登录 portal,利用 FontForge 命令注入提权至 steve,再经 CVE-2025-47273(setuptools 路径欺骗)写入 SSH 公钥获得 root 通过 CVE-2025-66034(fonttools 路径遍历)写入 PHP webshell 获得立足点,经 Git 泄露凭证登录 portal,利用 FontForge 命令注入提权至 steve,再经 CVE-2025-47273(setuptools 路径欺骗)写入 SSH 公钥获得 root
htb overwatch htb overwatch
本文介绍了如何在Windows环境中进行渗透测试,特别是针对名为“Overwatch”的Windows域控制器。通过信息收集、SMB枚举和Kerberoasting等步骤,测试人员发现了服务账户sqlsvc及其相关凭据。利用这些凭据,测试人员尝试进行攻击,包括DNS投毒和利用暴露的Web服务接口来执行命令,最终成功提升权限并获取管理员访问权限。文章总结了测试过程中的关键学习点和工具的使用方法。 本文介绍了如何在Windows环境中进行渗透测试,特别是针对名为“Overwatch”的Windows域控制器。通过信息收集、SMB枚举和Kerberoasting等步骤,测试人员发现了服务账户sqlsvc及其相关凭据。利用这些凭据,测试人员尝试进行攻击,包括DNS投毒和利用暴露的Web服务接口来执行命令,最终成功提升权限并获取管理员访问权限。文章总结了测试过程中的关键学习点和工具的使用方法。
htb airtouch htb airtouch
本篇文章详细介绍了如何通过网络安全渗透测试获取目标系统的控制权。首先,通过TCP和UDP扫描识别开放端口,利用SNMP进行信息收集,成功获取默认密码。接着,利用Wi-Fi监听模式和攻击手段,破解目标Wi-Fi网络密码,获取内网IP。文章还描述了如何进行网络扫描、用户凭证获取及权限提升,最终获得root权限,并总结了在渗透测试中得出的经验教训。 本篇文章详细介绍了如何通过网络安全渗透测试获取目标系统的控制权。首先,通过TCP和UDP扫描识别开放端口,利用SNMP进行信息收集,成功获取默认密码。接着,利用Wi-Fi监听模式和攻击手段,破解目标Wi-Fi网络密码,获取内网IP。文章还描述了如何进行网络扫描、用户凭证获取及权限提升,最终获得root权限,并总结了在渗透测试中得出的经验教训。
htb browsed htb browsed
本篇文章详细介绍了在Linux系统上进行信息收集和漏洞分析的过程。通过Nmap扫描识别出开放的SSH和HTTP端口,随后分析了浏览器功能及上传插件的能力。利用SSRF攻击,作者展示了如何通过JavaScript执行命令,并利用系统中的Bash脚本实现代码注入。文章还探讨了权限提升的方法,尤其是Python字节码劫持,最终成功获取了root权限。整篇内容强调了安全测试和漏洞利用的实际应用与学习经验。 本篇文章详细介绍了在Linux系统上进行信息收集和漏洞分析的过程。通过Nmap扫描识别出开放的SSH和HTTP端口,随后分析了浏览器功能及上传插件的能力。利用SSRF攻击,作者展示了如何通过JavaScript执行命令,并利用系统中的Bash脚本实现代码注入。文章还探讨了权限提升的方法,尤其是Python字节码劫持,最终成功获取了root权限。整篇内容强调了安全测试和漏洞利用的实际应用与学习经验。
htb dump htb dump
本篇文章详细描述了如何利用命令注入漏洞,成功获取Linux系统的用户和根权限。通过Nmap扫描确认目标主机的服务和版本后,作者发现了一个支持文件上传的网站,并利用ZIP命令的注入漏洞,上传恶意脚本获取反向Shell。随后,通过对系统的权限配置进行枚举,使用tcpdump命令结合AppArmor的配置,成功地在系统上创建了一个持久化的提权方法,最终以root身份执行命令,获取root权限和敏感信息。 本篇文章详细描述了如何利用命令注入漏洞,成功获取Linux系统的用户和根权限。通过Nmap扫描确认目标主机的服务和版本后,作者发现了一个支持文件上传的网站,并利用ZIP命令的注入漏洞,上传恶意脚本获取反向Shell。随后,通过对系统的权限配置进行枚举,使用tcpdump命令结合AppArmor的配置,成功地在系统上创建了一个持久化的提权方法,最终以root身份执行命令,获取root权限和敏感信息。
htb conversor htb conversor
本文介绍了如何通过在Linux系统上利用漏洞获取访问权限的过程。通过查看Web代码发现XSLT未安全设置,攻击者能够上传恶意Python脚本以获得初步控制。接着,通过获取SSH凭据和利用特定的Python库,攻击者可以进一步提升权限。文中详细描述了使用Nmap进行端口扫描、识别服务,以及构造和上传恶意负载的步骤,最终实现从普通用户提升到root用户的过程。 本文介绍了如何通过在Linux系统上利用漏洞获取访问权限的过程。通过查看Web代码发现XSLT未安全设置,攻击者能够上传恶意Python脚本以获得初步控制。接着,通过获取SSH凭据和利用特定的Python库,攻击者可以进一步提升权限。文中详细描述了使用Nmap进行端口扫描、识别服务,以及构造和上传恶意负载的步骤,最终实现从普通用户提升到root用户的过程。
htb outbound htb outbound
本文介绍了对目标主机(IP: 10.10.11.79)的初步枚举和攻击链路。通过使用Nmap进行端口扫描,发现目标主机上开放了FTP和HTTP服务。接着,描述了利用Web应用程序漏洞(CVE-2025-49113)进行攻击的步骤,包括获取Docker环境的shell,升级shell权限,查看配置,登录数据库,破解密码,以及最终获取SSH密码和sudo命令的过程,最后利用另一个漏洞(CVE-2025-27591)进行进一步的攻击。 本文介绍了对目标主机(IP: 10.10.11.79)的初步枚举和攻击链路。通过使用Nmap进行端口扫描,发现目标主机上开放了FTP和HTTP服务。接着,描述了利用Web应用程序漏洞(CVE-2025-49113)进行攻击的步骤,包括获取Docker环境的shell,升级shell权限,查看配置,登录数据库,破解密码,以及最终获取SSH密码和sudo命令的过程,最后利用另一个漏洞(CVE-2025-27591)进行进一步的攻击。
htb expressway htb expressway
本文记录了一次针对名为“Expressway”的靶机的渗透测试过程。初步枚举未发现可利用漏洞,随后进行UDP扫描。通过破解找到的PSK哈希,成功获取到用户ike@expressway.htb的密码“freakingrockstarontheroad”。登录后,利用linpeas.sh进行权限提升,发现sudo版本为1.9.17,并找到相关的漏洞利用文章。最终,发现proxy组具有特殊权限,能够访问主机offramp.expressway.htb,从而实现更高权限的获取。 本文记录了一次针对名为“Expressway”的靶机的渗透测试过程。初步枚举未发现可利用漏洞,随后进行UDP扫描。通过破解找到的PSK哈希,成功获取到用户ike@expressway.htb的密码“freakingrockstarontheroad”。登录后,利用linpeas.sh进行权限提升,发现sudo版本为1.9.17,并找到相关的漏洞利用文章。最终,发现proxy组具有特殊权限,能够访问主机offramp.expressway.htb,从而实现更高权限的获取。
# AD域 7
htb fries htb fries
Linux 前端(Nginx)+ Windows AD 后端的混合架构靶机。通过 PWM 密码自助服务的 LDAP 中继攻击获取 svc_infra 凭据,利用 Gitea 代码泄露的 PostgreSQL 连接串,结合 CVE-2025-2945(pgAdmin RCE)进入 Docker 容器。随后通过 NFS 挂载 + UID 伪造迁移至 barman 用户,伪造 Docker TLS 客户端证书逃逸容器获得 Linux root。最终在 Windows 侧利用 gMSA 凭据 + ESC7/ESC6/ESC16 攻击路径完成 AD CS 提权,获取 Domain Admin。 Linux 前端(Nginx)+ Windows AD 后端的混合架构靶机。通过 PWM 密码自助服务的 LDAP 中继攻击获取 svc_infra 凭据,利用 Gitea 代码泄露的 PostgreSQL 连接串,结合 CVE-2025-2945(pgAdmin RCE)进入 Docker 容器。随后通过 NFS 挂载 + UID 伪造迁移至 barman 用户,伪造 Docker TLS 客户端证书逃逸容器获得 Linux root。最终在 Windows 侧利用 gMSA 凭据 + ESC7/ESC6/ESC16 攻击路径完成 AD CS 提权,获取 Domain Admin。
htb logging htb logging
中等难度的 Windows AD 靶机。通过 SMB Logs 共享中的日志文件发现 svc_recovery 旧密码,利用 Kerberos TGT 躺证绕过登录限制。通过 GenericWrite 权限对 MSA_HEALTH$ 发动 Shadow Credentials 攻击,以 MSA_HEALTH$ 身份登录 WinRM。分析计划任务中的 UpdateMonitor.exe,通过向可写目录投放恶意 DLL,骑劫高权限用户 jaylee.clifton 的运行环境。最终利用 AD CS(UpdateSrv 模板)注册伪造的 WSUS DNS 记录,伮造 WSUS 内网中继攻击,推送带微软签名的 PsExec 实现提权至 Domain Admin。 中等难度的 Windows AD 靶机。通过 SMB Logs 共享中的日志文件发现 svc_recovery 旧密码,利用 Kerberos TGT 躺证绕过登录限制。通过 GenericWrite 权限对 MSA_HEALTH$ 发动 Shadow Credentials 攻击,以 MSA_HEALTH$ 身份登录 WinRM。分析计划任务中的 UpdateMonitor.exe,通过向可写目录投放恶意 DLL,骑劫高权限用户 jaylee.clifton 的运行环境。最终利用 AD CS(UpdateSrv 模板)注册伪造的 WSUS DNS 记录,伮造 WSUS 内网中继攻击,推送带微软签名的 PsExec 实现提权至 Domain Admin。
htb garfield htb garfield
通过枚举发现 j.arbuckle 拥有 Pre-Windows 2000 兼容访问权限,利用 SMB 脚本路径写入权限修改 l.wilson 登录脚本获取初始 shell,重置管理员账号密码后通过 WinRM 登录拿到 user flag;利用 RODC Administrators 提权 + RBCD + S4U 攻击控制 RODC01,再通过导出 krbtgt_8245 AES 密鑰伪造黄金票据最终控制域控 通过枚举发现 j.arbuckle 拥有 Pre-Windows 2000 兼容访问权限,利用 SMB 脚本路径写入权限修改 l.wilson 登录脚本获取初始 shell,重置管理员账号密码后通过 WinRM 登录拿到 user flag;利用 RODC Administrators 提权 + RBCD + S4U 攻击控制 RODC01,再通过导出 krbtgt_8245 AES 密鑰伪造黄金票据最终控制域控
htb overwatch htb overwatch
本文介绍了如何在Windows环境中进行渗透测试,特别是针对名为“Overwatch”的Windows域控制器。通过信息收集、SMB枚举和Kerberoasting等步骤,测试人员发现了服务账户sqlsvc及其相关凭据。利用这些凭据,测试人员尝试进行攻击,包括DNS投毒和利用暴露的Web服务接口来执行命令,最终成功提升权限并获取管理员访问权限。文章总结了测试过程中的关键学习点和工具的使用方法。 本文介绍了如何在Windows环境中进行渗透测试,特别是针对名为“Overwatch”的Windows域控制器。通过信息收集、SMB枚举和Kerberoasting等步骤,测试人员发现了服务账户sqlsvc及其相关凭据。利用这些凭据,测试人员尝试进行攻击,包括DNS投毒和利用暴露的Web服务接口来执行命令,最终成功提升权限并获取管理员访问权限。文章总结了测试过程中的关键学习点和工具的使用方法。
htb certified htb certified
本文介绍了如何通过信息收集和漏洞分析,使用judith.mader用户进行特权升级和根权限获取。首先,通过Nmap扫描获取目标主机的信息,确认开放的端口和服务。接着,利用bloodhound-python工具收集域信息,并通过权限提升的手段将judith.mader用户添加到management组,获取更高的权限。最终,通过Certipy申请证书并成功以administrator身份进行身份验证,获取根权限。文章详细描述了每一步的执行过程和命令,展示了如何在Windows环境中进行渗透测试与权限提升。 本文介绍了如何通过信息收集和漏洞分析,使用judith.mader用户进行特权升级和根权限获取。首先,通过Nmap扫描获取目标主机的信息,确认开放的端口和服务。接着,利用bloodhound-python工具收集域信息,并通过权限提升的手段将judith.mader用户添加到management组,获取更高的权限。最终,通过Certipy申请证书并成功以administrator身份进行身份验证,获取根权限。文章详细描述了每一步的执行过程和命令,展示了如何在Windows环境中进行渗透测试与权限提升。
htb administrator htb administrator
本文详细介绍了如何通过信息收集、漏洞分析和利用等步骤,从Windows Server 2022系统中获取用户和管理员凭据。首先使用Nmap扫描目标主机,识别开放端口和服务。接着,通过BloodHound分析用户权限路径,利用已知凭据访问FTP服务并获取加密文件,最终破解密码并获取更多用户凭据。通过DCSync权限,获取域管理员的哈希值,最终成功以域管理员身份登录系统并访问根文件。文章总结了整个渗透测试过程中的关键步骤和学习经验。 本文详细介绍了如何通过信息收集、漏洞分析和利用等步骤,从Windows Server 2022系统中获取用户和管理员凭据。首先使用Nmap扫描目标主机,识别开放端口和服务。接着,通过BloodHound分析用户权限路径,利用已知凭据访问FTP服务并获取加密文件,最终破解密码并获取更多用户凭据。通过DCSync权限,获取域管理员的哈希值,最终成功以域管理员身份登录系统并访问根文件。文章总结了整个渗透测试过程中的关键步骤和学习经验。
htb eighteen htb eighteen
本文介绍了针对Windows操作系统的安全攻防技术,主要通过默认凭据的利用和Active Directory的权限提升来实现入侵。首先,使用默认凭据登录Mssql并枚举Web管理账户的哈希值。接着,利用NetExec破解出计算机用户,进行密码喷洒,发现Active Directory并进行枚举。文章详细描述了如何创建和管理dMSA账户以实现权限提升,使用Rubeus工具请求票据,并提供了完整的清理脚本以删除攻击痕迹。最终,文中强调了系统重启作为彻底清理的方法。 本文介绍了针对Windows操作系统的安全攻防技术,主要通过默认凭据的利用和Active Directory的权限提升来实现入侵。首先,使用默认凭据登录Mssql并枚举Web管理账户的哈希值。接着,利用NetExec破解出计算机用户,进行密码喷洒,发现Active Directory并进行枚举。文章详细描述了如何创建和管理dMSA账户以实现权限提升,使用Rubeus工具请求票据,并提供了完整的清理脚本以删除攻击痕迹。最终,文中强调了系统重启作为彻底清理的方法。
#提权 7
htb silentium htb silentium
通过 vhost 模糊测试发现内部 FlowiseAI 系统,利用 CVE-2025-58434 枚举用户并劫持密码重置 token 完成登录,再借助 CVE-2025-59528 执行 RCE 获得初始 shell;从环境变量中泄露 SSH 密码横向移动后,发现本地 Gogs 服务,最终利用 CVE-2025-8110 符号链接路径劫持动态链接器完成提权 通过 vhost 模糊测试发现内部 FlowiseAI 系统,利用 CVE-2025-58434 枚举用户并劫持密码重置 token 完成登录,再借助 CVE-2025-59528 执行 RCE 获得初始 shell;从环境变量中泄露 SSH 密码横向移动后,发现本地 Gogs 服务,最终利用 CVE-2025-8110 符号链接路径劫持动态链接器完成提权
htb garfield htb garfield
通过枚举发现 j.arbuckle 拥有 Pre-Windows 2000 兼容访问权限,利用 SMB 脚本路径写入权限修改 l.wilson 登录脚本获取初始 shell,重置管理员账号密码后通过 WinRM 登录拿到 user flag;利用 RODC Administrators 提权 + RBCD + S4U 攻击控制 RODC01,再通过导出 krbtgt_8245 AES 密鑰伪造黄金票据最终控制域控 通过枚举发现 j.arbuckle 拥有 Pre-Windows 2000 兼容访问权限,利用 SMB 脚本路径写入权限修改 l.wilson 登录脚本获取初始 shell,重置管理员账号密码后通过 WinRM 登录拿到 user flag;利用 RODC Administrators 提权 + RBCD + S4U 攻击控制 RODC01,再通过导出 krbtgt_8245 AES 密鑰伪造黄金票据最终控制域控
htb darkzero htb darkzero
利用官方凭据登录 MSSQL,链式利用 xp_cmdshell 横向移动,结合 CVE-2024-30088 本地提权,最终通过 Kerberos 票据劫持与 DCSync 拿到域控 shell。 利用官方凭据登录 MSSQL,链式利用 xp_cmdshell 横向移动,结合 CVE-2024-30088 本地提权,最终通过 Kerberos 票据劫持与 DCSync 拿到域控 shell。
htb devarea htb devarea
利用 Apache CXF SSRF 漏洞结合 RCE 获取 shell,再借助 world-writable /bin/bash 与 syswatch.sh 的 sudo 执行点提权至 root。 利用 Apache CXF SSRF 漏洞结合 RCE 获取 shell,再借助 world-writable /bin/bash 与 syswatch.sh 的 sudo 执行点提权至 root。
htb variaType htb variaType
通过 CVE-2025-66034(fonttools 路径遍历)写入 PHP webshell 获得立足点,经 Git 泄露凭证登录 portal,利用 FontForge 命令注入提权至 steve,再经 CVE-2025-47273(setuptools 路径欺骗)写入 SSH 公钥获得 root 通过 CVE-2025-66034(fonttools 路径遍历)写入 PHP webshell 获得立足点,经 Git 泄露凭证登录 portal,利用 FontForge 命令注入提权至 steve,再经 CVE-2025-47273(setuptools 路径欺骗)写入 SSH 公钥获得 root
CVE-2025-4517(tarfile) CVE-2025-4517(tarfile)
CVE-2025-4517是一个严重的路径遍历漏洞,影响Python标准库中的tarfile模块。该漏洞允许攻击者通过恶意构造的.tar文件,将文件写入到系统的任意路径,导致敏感文件被覆盖和系统被完全接管。受影响的版本在Python 3.14及以上中默认启用的filter设置使得这一风险更为严重。修复版本已在多个Python更新中发布,建议用户升级到安全补丁版本并在解压时实施严格的路径校验和零信任原则。 CVE-2025-4517是一个严重的路径遍历漏洞,影响Python标准库中的tarfile模块。该漏洞允许攻击者通过恶意构造的.tar文件,将文件写入到系统的任意路径,导致敏感文件被覆盖和系统被完全接管。受影响的版本在Python 3.14及以上中默认启用的filter设置使得这一风险更为严重。修复版本已在多个Python更新中发布,建议用户升级到安全补丁版本并在解压时实施严格的路径校验和零信任原则。
Windows权限提升方法 Windows权限提升方法
本文介绍了Windows系统中的权限提升方法,涵盖了信息收集、凭据收集、服务与配置漏洞、自动运行与计划任务、提权特权、软件漏洞、注册表与权限问题、令牌与进程劫持、提权自动化工具以及持久化与清理等十个主要方面。每个部分列出了具体的命令和工具,帮助用户在测试环境中识别和利用潜在的安全漏洞,提升系统权限。建议在非生产环境中进行操作,以避免对系统造成风险。 本文介绍了Windows系统中的权限提升方法,涵盖了信息收集、凭据收集、服务与配置漏洞、自动运行与计划任务、提权特权、软件漏洞、注册表与权限问题、令牌与进程劫持、提权自动化工具以及持久化与清理等十个主要方面。每个部分列出了具体的命令和工具,帮助用户在测试环境中识别和利用潜在的安全漏洞,提升系统权限。建议在非生产环境中进行操作,以避免对系统造成风险。
#LFI 7
htb kobold htb kobold
利用 CVE-2026-23744(MCPJam RCE)获取初始 shell,再借 CVE-2025-64714(PrivateBin LFI)写入 PHP webshell 并窃取 Arcane 凭证创建特权容器;另可通过 gshadow 隐藏的 docker 组成员直接挂载宿主文件系统完成提权 利用 CVE-2026-23744(MCPJam RCE)获取初始 shell,再借 CVE-2025-64714(PrivateBin LFI)写入 PHP webshell 并窃取 Arcane 凭证创建特权容器;另可通过 gshadow 隐藏的 docker 组成员直接挂载宿主文件系统完成提权
mazesec deprecation mazesec deprecation
这是一份逻辑清晰的CTF靶机渗透实战笔记。前期信息收集阶段,攻击者通过Gobuster和FFUF成功发现后台并爆破出测试账号。随后利用后台的本地文件包含(LFI)漏洞,结合 php://filter 伪协议读取核心源码,成功提取Redis凭据并避开了复杂的反序列化陷阱 。通过社工逻辑分析 /etc/passwd,攻击者巧妙推导出SSH密码完成初始打点。在提权阶段,利用 sudo 配置缺陷及对Redis配置文件的越权写入漏洞,将SSH公钥直接持久化注入到root用户的 authorized_keys 中,最终顺利拿下系统最高权限 。 这是一份逻辑清晰的CTF靶机渗透实战笔记。前期信息收集阶段,攻击者通过Gobuster和FFUF成功发现后台并爆破出测试账号。随后利用后台的本地文件包含(LFI)漏洞,结合 php://filter 伪协议读取核心源码,成功提取Redis凭据并避开了复杂的反序列化陷阱 。通过社工逻辑分析 /etc/passwd,攻击者巧妙推导出SSH密码完成初始打点。在提权阶段,利用 sudo 配置缺陷及对Redis配置文件的越权写入漏洞,将SSH公钥直接持久化注入到root用户的 authorized_keys 中,最终顺利拿下系统最高权限 。
htb pterodactyl htb pterodactyl
本文介绍了名为“Pterodactyl”的系统安全评估过程,包括信息收集、漏洞分析和利用步骤。通过使用Nmap和Dirsearch等工具,发现了Pterodactyl面板的版本和潜在的远程代码执行(RCE)漏洞。文章详细描述了如何利用CVE-2025-49132和CVE-2025-6018等漏洞进行权限提升,最终成功获取到Root权限和用户标志。该过程强调了在Linux环境中进行安全测试的技术细节和攻击向量。 本文介绍了名为“Pterodactyl”的系统安全评估过程,包括信息收集、漏洞分析和利用步骤。通过使用Nmap和Dirsearch等工具,发现了Pterodactyl面板的版本和潜在的远程代码执行(RCE)漏洞。文章详细描述了如何利用CVE-2025-49132和CVE-2025-6018等漏洞进行权限提升,最终成功获取到Root权限和用户标志。该过程强调了在Linux环境中进行安全测试的技术细节和攻击向量。
pearcmd.php的利用 pearcmd.php的利用
本文介绍了如何利用 PHP 的 PEAR 扩展管理工具在存在 LFI 漏洞的情况下进行攻击。通过构造特殊的 URL Payload,攻击者可以利用 pearcmd.php 脚本来创建包含恶意 PHP 代码的文件,实现远程代码执行(RCE)。文章详细阐述了核心原理、前置条件、攻击流程、潜在限制以及防御建议,强调了在生产环境中应关闭 register_argc_argv 设置,并卸载 PEAR,以增强安全性。 本文介绍了如何利用 PHP 的 PEAR 扩展管理工具在存在 LFI 漏洞的情况下进行攻击。通过构造特殊的 URL Payload,攻击者可以利用 pearcmd.php 脚本来创建包含恶意 PHP 代码的文件,实现远程代码执行(RCE)。文章详细阐述了核心原理、前置条件、攻击流程、潜在限制以及防御建议,强调了在生产环境中应关闭 register_argc_argv 设置,并卸载 PEAR,以增强安全性。
htb imagery htb imagery
本文介绍了对Imagery网站的渗透测试过程,包括信息收集、漏洞分析、利用和特权提升。通过Nmap扫描确定开放端口,使用Dirsearch工具查找目录,发现了潜在的LFI漏洞和命令执行漏洞。最终,通过暴力破解加密文件获取用户凭证,成功提升至root权限。文章总结了渗透测试的关键步骤和学习经验。 本文介绍了对Imagery网站的渗透测试过程,包括信息收集、漏洞分析、利用和特权提升。通过Nmap扫描确定开放端口,使用Dirsearch工具查找目录,发现了潜在的LFI漏洞和命令执行漏洞。最终,通过暴力破解加密文件获取用户凭证,成功提升至root权限。文章总结了渗透测试的关键步骤和学习经验。
htb previous htb previous
本文介绍了一个针对Linux系统的渗透测试过程,主要包括获取初步访问权限、特权提升等步骤。首先,通过Nmap扫描发现开放的SSH和HTTP端口,使用特定HTTP头利用CVE-2025-29927漏洞进行攻击,最终成功读取敏感文件如/etc/passwd。接着,通过检查Terraform配置文件,利用不当设置进行特权提升,成功执行恶意脚本以获得root权限。文章详细描述了每一步的实现方式和命令,适合渗透测试人员参考。 本文介绍了一个针对Linux系统的渗透测试过程,主要包括获取初步访问权限、特权提升等步骤。首先,通过Nmap扫描发现开放的SSH和HTTP端口,使用特定HTTP头利用CVE-2025-29927漏洞进行攻击,最终成功读取敏感文件如/etc/passwd。接着,通过检查Terraform配置文件,利用不当设置进行特权提升,成功执行恶意脚本以获得root权限。文章详细描述了每一步的实现方式和命令,适合渗透测试人员参考。
htb gavel htb gavel
本文介绍了对“Gavel”靶机的渗透测试过程,包括获取初步访问权限和权限提升的详细步骤。首先,通过Git泄露和PDO列名注入获取了数据库的用户密码。接着,通过利用runkit_function_add函数注入恶意规则,实现远程代码执行。获得shell后,利用gavel-util工具上传YAML文件,进一步修改php.ini文件,最终通过执行带有反向连接的代码获得root权限。整个过程展示了如何利用SQL注入、代码注入和配置文件修改等技术进行渗透测试。 本文介绍了对“Gavel”靶机的渗透测试过程,包括获取初步访问权限和权限提升的详细步骤。首先,通过Git泄露和PDO列名注入获取了数据库的用户密码。接着,通过利用runkit_function_add函数注入恶意规则,实现远程代码执行。获得shell后,利用gavel-util工具上传YAML文件,进一步修改php.ini文件,最终通过执行带有反向连接的代码获得root权限。整个过程展示了如何利用SQL注入、代码注入和配置文件修改等技术进行渗透测试。
#Web Shell 6
htb kobold htb kobold
利用 CVE-2026-23744(MCPJam RCE)获取初始 shell,再借 CVE-2025-64714(PrivateBin LFI)写入 PHP webshell 并窃取 Arcane 凭证创建特权容器;另可通过 gshadow 隐藏的 docker 组成员直接挂载宿主文件系统完成提权 利用 CVE-2026-23744(MCPJam RCE)获取初始 shell,再借 CVE-2025-64714(PrivateBin LFI)写入 PHP webshell 并窃取 Arcane 凭证创建特权容器;另可通过 gshadow 隐藏的 docker 组成员直接挂载宿主文件系统完成提权
htb variaType htb variaType
通过 CVE-2025-66034(fonttools 路径遍历)写入 PHP webshell 获得立足点,经 Git 泄露凭证登录 portal,利用 FontForge 命令注入提权至 steve,再经 CVE-2025-47273(setuptools 路径欺骗)写入 SSH 公钥获得 root 通过 CVE-2025-66034(fonttools 路径遍历)写入 PHP webshell 获得立足点,经 Git 泄露凭证登录 portal,利用 FontForge 命令注入提权至 steve,再经 CVE-2025-47273(setuptools 路径欺骗)写入 SSH 公钥获得 root
htb pterodactyl htb pterodactyl
本文介绍了名为“Pterodactyl”的系统安全评估过程,包括信息收集、漏洞分析和利用步骤。通过使用Nmap和Dirsearch等工具,发现了Pterodactyl面板的版本和潜在的远程代码执行(RCE)漏洞。文章详细描述了如何利用CVE-2025-49132和CVE-2025-6018等漏洞进行权限提升,最终成功获取到Root权限和用户标志。该过程强调了在Linux环境中进行安全测试的技术细节和攻击向量。 本文介绍了名为“Pterodactyl”的系统安全评估过程,包括信息收集、漏洞分析和利用步骤。通过使用Nmap和Dirsearch等工具,发现了Pterodactyl面板的版本和潜在的远程代码执行(RCE)漏洞。文章详细描述了如何利用CVE-2025-49132和CVE-2025-6018等漏洞进行权限提升,最终成功获取到Root权限和用户标志。该过程强调了在Linux环境中进行安全测试的技术细节和攻击向量。
pearcmd.php的利用 pearcmd.php的利用
本文介绍了如何利用 PHP 的 PEAR 扩展管理工具在存在 LFI 漏洞的情况下进行攻击。通过构造特殊的 URL Payload,攻击者可以利用 pearcmd.php 脚本来创建包含恶意 PHP 代码的文件,实现远程代码执行(RCE)。文章详细阐述了核心原理、前置条件、攻击流程、潜在限制以及防御建议,强调了在生产环境中应关闭 register_argc_argv 设置,并卸载 PEAR,以增强安全性。 本文介绍了如何利用 PHP 的 PEAR 扩展管理工具在存在 LFI 漏洞的情况下进行攻击。通过构造特殊的 URL Payload,攻击者可以利用 pearcmd.php 脚本来创建包含恶意 PHP 代码的文件,实现远程代码执行(RCE)。文章详细阐述了核心原理、前置条件、攻击流程、潜在限制以及防御建议,强调了在生产环境中应关闭 register_argc_argv 设置,并卸载 PEAR,以增强安全性。
htb soulmate htb soulmate
这篇文章介绍了一个名为“Soulmate”的Linux操作系统的HTB(Hack The Box)挑战。挑战的步骤包括通过CVE-2025-31161漏洞获得初始访问权限,接着利用Eshell进行特权提升。通过Nmap扫描确认了开放的端口和服务,枚举了Web目录,并利用CrushFTP进行攻击。最终,通过上传PHP文件获得了www-data的shell权限,并在进一步的枚举中发现了用户ben的密码。文章详细记录了每一步的操作和发现,为理解整个渗透测试过程提供了清晰的指导。 这篇文章介绍了一个名为“Soulmate”的Linux操作系统的HTB(Hack The Box)挑战。挑战的步骤包括通过CVE-2025-31161漏洞获得初始访问权限,接着利用Eshell进行特权提升。通过Nmap扫描确认了开放的端口和服务,枚举了Web目录,并利用CrushFTP进行攻击。最终,通过上传PHP文件获得了www-data的shell权限,并在进一步的枚举中发现了用户ben的密码。文章详细记录了每一步的操作和发现,为理解整个渗透测试过程提供了清晰的指导。
htb era htb era
本文详细描述了针对名为“Era”的Linux系统的渗透测试过程。测试者首先使用nmap扫描发现开放的FTP和HTTP端口,并在web界面上进行探索,发现文件上传功能。通过上传文件和爆破,获取了网站的备份文件,并从中提取了数据库信息。测试者使用破解工具获取用户凭证,并成功登录FTP。利用PHP wrapper,测试者实施了远程代码执行,从而获得了系统的控制权。最后,测试者通过分析系统的cron任务,设计了一个持久化的后门,完成了特权升级的操作。 本文详细描述了针对名为“Era”的Linux系统的渗透测试过程。测试者首先使用nmap扫描发现开放的FTP和HTTP端口,并在web界面上进行探索,发现文件上传功能。通过上传文件和爆破,获取了网站的备份文件,并从中提取了数据库信息。测试者使用破解工具获取用户凭证,并成功登录FTP。利用PHP wrapper,测试者实施了远程代码执行,从而获得了系统的控制权。最后,测试者通过分析系统的cron任务,设计了一个持久化的后门,完成了特权升级的操作。
#SQLi 6
htb cctv htb cctv
这是一篇关于“cctv.htb”靶机的完整渗透测试笔记。攻击者首先发现外网ZoneMinder系统的SQL注入漏洞(CVE-2024-51482),通过获取并破解数据库哈希获得初始SSH权限。进入内网后,利用端口转发访问本地运行的motionEye服务,结合tcpdump本地抓包窃取到管理员凭据,最终利用motionEye的后台命令注入漏洞(CVE-2025-60787)成功提权至root。 这是一篇关于“cctv.htb”靶机的完整渗透测试笔记。攻击者首先发现外网ZoneMinder系统的SQL注入漏洞(CVE-2024-51482),通过获取并破解数据库哈希获得初始SSH权限。进入内网后,利用端口转发访问本地运行的motionEye服务,结合tcpdump本地抓包窃取到管理员凭据,最终利用motionEye的后台命令注入漏洞(CVE-2025-60787)成功提权至root。
htb jet htb jet
这是一份针对特定CTF靶机(目标名称为Jet)的完整渗透测试与漏洞利用笔记。文章详细记录了从初始信息收集、Web漏洞利用、横向移动到后渗透信息解密的完整攻击生命周期。攻击者首先通过SQL盲注获取Web后台权限,利用危险的PHP正则替换漏洞实现远程命令执行(RCE)获取初始立足点。在主机层面,攻击者挖掘出一个无NX和Canary保护的本地二进制文件,通过缓冲区溢出与Ret2Shellcode技术成功横向移动。最后,通过逆向分析XOR加密逻辑和密码爆破,成功提取了内部通信数据并发现了为最终提权(PrivEsc)做准备的内部Elasticsearch服务。 这是一份针对特定CTF靶机(目标名称为Jet)的完整渗透测试与漏洞利用笔记。文章详细记录了从初始信息收集、Web漏洞利用、横向移动到后渗透信息解密的完整攻击生命周期。攻击者首先通过SQL盲注获取Web后台权限,利用危险的PHP正则替换漏洞实现远程命令执行(RCE)获取初始立足点。在主机层面,攻击者挖掘出一个无NX和Canary保护的本地二进制文件,通过缓冲区溢出与Ret2Shellcode技术成功横向移动。最后,通过逆向分析XOR加密逻辑和密码爆破,成功提取了内部通信数据并发现了为最终提权(PrivEsc)做准备的内部Elasticsearch服务。
notion格式测试 notion格式测试
123 123
htb goodgames htb goodgames
本篇文章介绍了针对GoodGames靶场的渗透测试过程。首先,通过信息收集发现了开放的端口,并在登录时发现了SQL注入漏洞。利用sqlmap获取了管理员账户信息并成功登录。随后,进行了SSTI注入,进入了Docker容器。通过扫描Docker主机的开放端口,发现SSH服务可用,使用超级管理员密码登录到用户augustus。接着,通过修改容器内的文件权限,成功进行了Docker逃逸,获取了Root权限,并最终获得了Root标志。整个过程展示了从信息收集到提权的完整攻击链。 本篇文章介绍了针对GoodGames靶场的渗透测试过程。首先,通过信息收集发现了开放的端口,并在登录时发现了SQL注入漏洞。利用sqlmap获取了管理员账户信息并成功登录。随后,进行了SSTI注入,进入了Docker容器。通过扫描Docker主机的开放端口,发现SSH服务可用,使用超级管理员密码登录到用户augustus。接着,通过修改容器内的文件权限,成功进行了Docker逃逸,获取了Root权限,并最终获得了Root标志。整个过程展示了从信息收集到提权的完整攻击链。
htb whiterabbit htb whiterabbit
本文介绍了针对名为“WhiteRabbit”的靶机进行的渗透测试过程。通过Nmap扫描发现多个开放端口,并利用SQL注入漏洞成功获取到数据库和表的信息。利用提取到的密码,获得了用户的SSH访问权限,并通过特定命令提升权限到root。最后,通过分析密码生成器的代码,生成密码成功登录到另一个用户,最终获得了root权限。本文详细记录了每一步的操作和思路,展示了渗透测试的实战技巧。 本文介绍了针对名为“WhiteRabbit”的靶机进行的渗透测试过程。通过Nmap扫描发现多个开放端口,并利用SQL注入漏洞成功获取到数据库和表的信息。利用提取到的密码,获得了用户的SSH访问权限,并通过特定命令提升权限到root。最后,通过分析密码生成器的代码,生成密码成功登录到另一个用户,最终获得了root权限。本文详细记录了每一步的操作和思路,展示了渗透测试的实战技巧。
htb gavel htb gavel
本文介绍了对“Gavel”靶机的渗透测试过程,包括获取初步访问权限和权限提升的详细步骤。首先,通过Git泄露和PDO列名注入获取了数据库的用户密码。接着,通过利用runkit_function_add函数注入恶意规则,实现远程代码执行。获得shell后,利用gavel-util工具上传YAML文件,进一步修改php.ini文件,最终通过执行带有反向连接的代码获得root权限。整个过程展示了如何利用SQL注入、代码注入和配置文件修改等技术进行渗透测试。 本文介绍了对“Gavel”靶机的渗透测试过程,包括获取初步访问权限和权限提升的详细步骤。首先,通过Git泄露和PDO列名注入获取了数据库的用户密码。接着,通过利用runkit_function_add函数注入恶意规则,实现远程代码执行。获得shell后,利用gavel-util工具上传YAML文件,进一步修改php.ini文件,最终通过执行带有反向连接的代码获得root权限。整个过程展示了如何利用SQL注入、代码注入和配置文件修改等技术进行渗透测试。
# Docker 逃逸 5
htb fries htb fries
Linux 前端(Nginx)+ Windows AD 后端的混合架构靶机。通过 PWM 密码自助服务的 LDAP 中继攻击获取 svc_infra 凭据,利用 Gitea 代码泄露的 PostgreSQL 连接串,结合 CVE-2025-2945(pgAdmin RCE)进入 Docker 容器。随后通过 NFS 挂载 + UID 伪造迁移至 barman 用户,伪造 Docker TLS 客户端证书逃逸容器获得 Linux root。最终在 Windows 侧利用 gMSA 凭据 + ESC7/ESC6/ESC16 攻击路径完成 AD CS 提权,获取 Domain Admin。 Linux 前端(Nginx)+ Windows AD 后端的混合架构靶机。通过 PWM 密码自助服务的 LDAP 中继攻击获取 svc_infra 凭据,利用 Gitea 代码泄露的 PostgreSQL 连接串,结合 CVE-2025-2945(pgAdmin RCE)进入 Docker 容器。随后通过 NFS 挂载 + UID 伪造迁移至 barman 用户,伪造 Docker TLS 客户端证书逃逸容器获得 Linux root。最终在 Windows 侧利用 gMSA 凭据 + ESC7/ESC6/ESC16 攻击路径完成 AD CS 提权,获取 Domain Admin。
htb kobold htb kobold
利用 CVE-2026-23744(MCPJam RCE)获取初始 shell,再借 CVE-2025-64714(PrivateBin LFI)写入 PHP webshell 并窃取 Arcane 凭证创建特权容器;另可通过 gshadow 隐藏的 docker 组成员直接挂载宿主文件系统完成提权 利用 CVE-2026-23744(MCPJam RCE)获取初始 shell,再借 CVE-2025-64714(PrivateBin LFI)写入 PHP webshell 并窃取 Arcane 凭证创建特权容器;另可通过 gshadow 隐藏的 docker 组成员直接挂载宿主文件系统完成提权
htb goodgames htb goodgames
本篇文章介绍了针对GoodGames靶场的渗透测试过程。首先,通过信息收集发现了开放的端口,并在登录时发现了SQL注入漏洞。利用sqlmap获取了管理员账户信息并成功登录。随后,进行了SSTI注入,进入了Docker容器。通过扫描Docker主机的开放端口,发现SSH服务可用,使用超级管理员密码登录到用户augustus。接着,通过修改容器内的文件权限,成功进行了Docker逃逸,获取了Root权限,并最终获得了Root标志。整个过程展示了从信息收集到提权的完整攻击链。 本篇文章介绍了针对GoodGames靶场的渗透测试过程。首先,通过信息收集发现了开放的端口,并在登录时发现了SQL注入漏洞。利用sqlmap获取了管理员账户信息并成功登录。随后,进行了SSTI注入,进入了Docker容器。通过扫描Docker主机的开放端口,发现SSH服务可用,使用超级管理员密码登录到用户augustus。接着,通过修改容器内的文件权限,成功进行了Docker逃逸,获取了Root权限,并最终获得了Root标志。整个过程展示了从信息收集到提权的完整攻击链。
htb monitorsfour htb monitorsfour
本文介绍了名为“MonitorsFour”的靶机的渗透测试过程。通过使用Nmap和Dirsearch工具,发现了开放的HTTP服务和潜在的漏洞。攻击者利用CVE-2025-24367漏洞,通过测试token参数获取凭据,并成功登录系统。接着,利用内部扫描和CVE-2025-9074漏洞进一步提升权限,创建Docker容器,最终获得了对目标系统的完全控制。整个过程详细记录了使用的命令和获得的信息,展示了渗透测试的各个阶段。 本文介绍了名为“MonitorsFour”的靶机的渗透测试过程。通过使用Nmap和Dirsearch工具,发现了开放的HTTP服务和潜在的漏洞。攻击者利用CVE-2025-24367漏洞,通过测试token参数获取凭据,并成功登录系统。接着,利用内部扫描和CVE-2025-9074漏洞进一步提升权限,创建Docker容器,最终获得了对目标系统的完全控制。整个过程详细记录了使用的命令和获得的信息,展示了渗透测试的各个阶段。
htb outbound htb outbound
本文介绍了对目标主机(IP: 10.10.11.79)的初步枚举和攻击链路。通过使用Nmap进行端口扫描,发现目标主机上开放了FTP和HTTP服务。接着,描述了利用Web应用程序漏洞(CVE-2025-49113)进行攻击的步骤,包括获取Docker环境的shell,升级shell权限,查看配置,登录数据库,破解密码,以及最终获取SSH密码和sudo命令的过程,最后利用另一个漏洞(CVE-2025-27591)进行进一步的攻击。 本文介绍了对目标主机(IP: 10.10.11.79)的初步枚举和攻击链路。通过使用Nmap进行端口扫描,发现目标主机上开放了FTP和HTTP服务。接着,描述了利用Web应用程序漏洞(CVE-2025-49113)进行攻击的步骤,包括获取Docker环境的shell,升级shell权限,查看配置,登录数据库,破解密码,以及最终获取SSH密码和sudo命令的过程,最后利用另一个漏洞(CVE-2025-27591)进行进一步的攻击。
#Git泄露 5
htb fries htb fries
Linux 前端(Nginx)+ Windows AD 后端的混合架构靶机。通过 PWM 密码自助服务的 LDAP 中继攻击获取 svc_infra 凭据,利用 Gitea 代码泄露的 PostgreSQL 连接串,结合 CVE-2025-2945(pgAdmin RCE)进入 Docker 容器。随后通过 NFS 挂载 + UID 伪造迁移至 barman 用户,伪造 Docker TLS 客户端证书逃逸容器获得 Linux root。最终在 Windows 侧利用 gMSA 凭据 + ESC7/ESC6/ESC16 攻击路径完成 AD CS 提权,获取 Domain Admin。 Linux 前端(Nginx)+ Windows AD 后端的混合架构靶机。通过 PWM 密码自助服务的 LDAP 中继攻击获取 svc_infra 凭据,利用 Gitea 代码泄露的 PostgreSQL 连接串,结合 CVE-2025-2945(pgAdmin RCE)进入 Docker 容器。随后通过 NFS 挂载 + UID 伪造迁移至 barman 用户,伪造 Docker TLS 客户端证书逃逸容器获得 Linux root。最终在 Windows 侧利用 gMSA 凭据 + ESC7/ESC6/ESC16 攻击路径完成 AD CS 提权,获取 Domain Admin。
htb variaType htb variaType
通过 CVE-2025-66034(fonttools 路径遍历)写入 PHP webshell 获得立足点,经 Git 泄露凭证登录 portal,利用 FontForge 命令注入提权至 steve,再经 CVE-2025-47273(setuptools 路径欺骗)写入 SSH 公钥获得 root 通过 CVE-2025-66034(fonttools 路径遍历)写入 PHP webshell 获得立足点,经 Git 泄露凭证登录 portal,利用 FontForge 命令注入提权至 steve,再经 CVE-2025-47273(setuptools 路径欺骗)写入 SSH 公钥获得 root
mazesec kuai mazesec kuai
本文记录了一次靶机渗透实战。攻击者首先对3000端口的文件审核API发起DoS攻击使其瘫痪,从而绕过80端口的格式限制,成功上传PHP Webshell获取初始权限。接着在 /opt 目录发现Git信息泄露,利用 git show 找回了历史提交中隐藏的用户 tuf 的登录密码。最后,通过信息收集发现 root 进程在后台运行 /home/tuf/app.py,攻击者覆写该脚本,注入为 /bin/bash 赋予SUID权限的恶意代码,成功提权至 root。 本文记录了一次靶机渗透实战。攻击者首先对3000端口的文件审核API发起DoS攻击使其瘫痪,从而绕过80端口的格式限制,成功上传PHP Webshell获取初始权限。接着在 /opt 目录发现Git信息泄露,利用 git show 找回了历史提交中隐藏的用户 tuf 的登录密码。最后,通过信息收集发现 root 进程在后台运行 /home/tuf/app.py,攻击者覆写该脚本,注入为 /bin/bash 赋予SUID权限的恶意代码,成功提权至 root。
mazesec tpn mazesec tpn
本文记录了针对一台ThinkPHP5靶机的渗透实战。攻击者首先通过8080端口的Git泄露获取网站源码。通过代码审计,理清了应用路由映射关系,并发现可生成合法Token的接口以绕过 Check1 中间件验证;随后利用控制器中未过滤的 call_user_func 函数,成功构造URL触发远程代码执行(RCE)获取Shell。在获取 welcome 用户权限后,借助 LinPEAS 扫描发现系统存在 DirtyPipe (CVE-2022-0847) 内核漏洞 ,最终通过劫持 SUID 二进制文件成功提权至 root。 本文记录了针对一台ThinkPHP5靶机的渗透实战。攻击者首先通过8080端口的Git泄露获取网站源码。通过代码审计,理清了应用路由映射关系,并发现可生成合法Token的接口以绕过 Check1 中间件验证;随后利用控制器中未过滤的 call_user_func 函数,成功构造URL触发远程代码执行(RCE)获取Shell。在获取 welcome 用户权限后,借助 LinPEAS 扫描发现系统存在 DirtyPipe (CVE-2022-0847) 内核漏洞 ,最终通过劫持 SUID 二进制文件成功提权至 root。
mazesec 7r1umph mazesec 7r1umph
本次靶机渗透实战主要考察了条件竞争与信息收集能力。攻击者在80端口发现文件上传点与 info.php,确认系统未禁用 exec 函数。由于上传文件会被强制追加 .dsz 后缀,攻击者利用文件上传时在 /tmp 目录短暂停留的特性,通过 while 循环不断请求临时文件触发条件竞争(Race Condition),成功执行 PHP 反弹 Shell。进入系统后,外带 /opt 目录下的图片并利用 OSINT(谷歌识图)获取了 welcome 用户密码。最后,通过审查 .git 历史记录发现被删除的 root 凭据,顺利提权。 本次靶机渗透实战主要考察了条件竞争与信息收集能力。攻击者在80端口发现文件上传点与 info.php,确认系统未禁用 exec 函数。由于上传文件会被强制追加 .dsz 后缀,攻击者利用文件上传时在 /tmp 目录短暂停留的特性,通过 while 循环不断请求临时文件触发条件竞争(Race Condition),成功执行 PHP 反弹 Shell。进入系统后,外带 /opt 目录下的图片并利用 OSINT(谷歌识图)获取了 welcome 用户密码。最后,通过审查 .git 历史记录发现被删除的 root 凭据,顺利提权。
#Kerberos 5
htb logging htb logging
中等难度的 Windows AD 靶机。通过 SMB Logs 共享中的日志文件发现 svc_recovery 旧密码,利用 Kerberos TGT 躺证绕过登录限制。通过 GenericWrite 权限对 MSA_HEALTH$ 发动 Shadow Credentials 攻击,以 MSA_HEALTH$ 身份登录 WinRM。分析计划任务中的 UpdateMonitor.exe,通过向可写目录投放恶意 DLL,骑劫高权限用户 jaylee.clifton 的运行环境。最终利用 AD CS(UpdateSrv 模板)注册伪造的 WSUS DNS 记录,伮造 WSUS 内网中继攻击,推送带微软签名的 PsExec 实现提权至 Domain Admin。 中等难度的 Windows AD 靶机。通过 SMB Logs 共享中的日志文件发现 svc_recovery 旧密码,利用 Kerberos TGT 躺证绕过登录限制。通过 GenericWrite 权限对 MSA_HEALTH$ 发动 Shadow Credentials 攻击,以 MSA_HEALTH$ 身份登录 WinRM。分析计划任务中的 UpdateMonitor.exe,通过向可写目录投放恶意 DLL,骑劫高权限用户 jaylee.clifton 的运行环境。最终利用 AD CS(UpdateSrv 模板)注册伪造的 WSUS DNS 记录,伮造 WSUS 内网中继攻击,推送带微软签名的 PsExec 实现提权至 Domain Admin。
htb garfield htb garfield
通过枚举发现 j.arbuckle 拥有 Pre-Windows 2000 兼容访问权限,利用 SMB 脚本路径写入权限修改 l.wilson 登录脚本获取初始 shell,重置管理员账号密码后通过 WinRM 登录拿到 user flag;利用 RODC Administrators 提权 + RBCD + S4U 攻击控制 RODC01,再通过导出 krbtgt_8245 AES 密鑰伪造黄金票据最终控制域控 通过枚举发现 j.arbuckle 拥有 Pre-Windows 2000 兼容访问权限,利用 SMB 脚本路径写入权限修改 l.wilson 登录脚本获取初始 shell,重置管理员账号密码后通过 WinRM 登录拿到 user flag;利用 RODC Administrators 提权 + RBCD + S4U 攻击控制 RODC01,再通过导出 krbtgt_8245 AES 密鑰伪造黄金票据最终控制域控
htb darkzero htb darkzero
利用官方凭据登录 MSSQL,链式利用 xp_cmdshell 横向移动,结合 CVE-2024-30088 本地提权,最终通过 Kerberos 票据劫持与 DCSync 拿到域控 shell。 利用官方凭据登录 MSSQL,链式利用 xp_cmdshell 横向移动,结合 CVE-2024-30088 本地提权,最终通过 Kerberos 票据劫持与 DCSync 拿到域控 shell。
htb overwatch htb overwatch
本文介绍了如何在Windows环境中进行渗透测试,特别是针对名为“Overwatch”的Windows域控制器。通过信息收集、SMB枚举和Kerberoasting等步骤,测试人员发现了服务账户sqlsvc及其相关凭据。利用这些凭据,测试人员尝试进行攻击,包括DNS投毒和利用暴露的Web服务接口来执行命令,最终成功提升权限并获取管理员访问权限。文章总结了测试过程中的关键学习点和工具的使用方法。 本文介绍了如何在Windows环境中进行渗透测试,特别是针对名为“Overwatch”的Windows域控制器。通过信息收集、SMB枚举和Kerberoasting等步骤,测试人员发现了服务账户sqlsvc及其相关凭据。利用这些凭据,测试人员尝试进行攻击,包括DNS投毒和利用暴露的Web服务接口来执行命令,最终成功提升权限并获取管理员访问权限。文章总结了测试过程中的关键学习点和工具的使用方法。
htb mirage htb mirage
本文介绍了在HTB(Hack The Box)平台上完成名为“Mirage”的挑战的详细过程。通过使用Nmap扫描和NFS挂载,发现了目标域控制器上的DNS服务缺陷,并利用该缺陷进行DNS记录注入。接下来,通过捕获NATS凭证和使用Bloodhound工具,获取了多名用户的凭证,最终实现了对目标系统的访问。文章详细描述了多个攻击步骤,包括会话中继攻击和特权提升技巧,展示了如何利用Active Directory的弱点进行渗透测试和权限提升。 本文介绍了在HTB(Hack The Box)平台上完成名为“Mirage”的挑战的详细过程。通过使用Nmap扫描和NFS挂载,发现了目标域控制器上的DNS服务缺陷,并利用该缺陷进行DNS记录注入。接下来,通过捕获NATS凭证和使用Bloodhound工具,获取了多名用户的凭证,最终实现了对目标系统的访问。文章详细描述了多个攻击步骤,包括会话中继攻击和特权提升技巧,展示了如何利用Active Directory的弱点进行渗透测试和权限提升。
#PWN 5
FD FD
本文记录了 pwnable.kr 中 fd 题目的解题过程。这道题核心考察 Linux 系统中的文件描述符(File Descriptor)机制 。通过代码审计发现,程序利用 read(fd, buf, 32) 获取输入与目标字符串比对。为了能够从终端手动输入 LETMEWIN 字符串,我们需要让 fd 的值等于 0(即标准输入 stdin)。由于程序中 fd = atoi(argv[1]) - 0x1234,解题的关键就是将十六进制 0x1234 转换为十进制的 4660 作为参数传入,从而成功控制 read 函数读取标准输入,顺利拿下 flag! 本文记录了 pwnable.kr 中 fd 题目的解题过程。这道题核心考察 Linux 系统中的文件描述符(File Descriptor)机制 。通过代码审计发现,程序利用 read(fd, buf, 32) 获取输入与目标字符串比对。为了能够从终端手动输入 LETMEWIN 字符串,我们需要让 fd 的值等于 0(即标准输入 stdin)。由于程序中 fd = atoi(argv[1]) - 0x1234,解题的关键就是将十六进制 0x1234 转换为十进制的 4660 作为参数传入,从而成功控制 read 函数读取标准输入,顺利拿下 flag!
Passcode Passcode
本文记录了 pwnable.kr 中 Passcode 题目的解题过程。核心漏洞在于 scanf 缺少 & 符且变量未初始化,结合 welcome 与 login 函数调用时的栈帧重用特性 ,攻击者通过在 name 数组中输入 96 字节进行填充,精准将 passcode1 的内存内容覆盖为 fflush 的 GOT 表地址。随后,利用 scanf 将包含 system("/bin/cat flag") 的目标指令地址(需转换为十进制整数)写入该 GOT 表 。当程序随后调用 fflush 时,控制流被成功劫持,顺利输出 flag。 本文记录了 pwnable.kr 中 Passcode 题目的解题过程。核心漏洞在于 scanf 缺少 & 符且变量未初始化,结合 welcome 与 login 函数调用时的栈帧重用特性 ,攻击者通过在 name 数组中输入 96 字节进行填充,精准将 passcode1 的内存内容覆盖为 fflush 的 GOT 表地址。随后,利用 scanf 将包含 system("/bin/cat flag") 的目标指令地址(需转换为十进制整数)写入该 GOT 表 。当程序随后调用 fflush 时,控制流被成功劫持,顺利输出 flag。
Random Random
本文记录了一道利用 C 语言伪随机数漏洞的经典 CTF 题解。由于程序未调用 srand() 设置随机数种子,导致 rand() 每次执行生成的初始随机数固定不变(在标准 glibc 环境中固定为 0x6b8b4567) 。利用异或运算的可逆特性,通过 key = random ^ 0xcafebabe 逆向推导出目标值,最终将其转换为十进制 2708864985 提交,轻松绕过 if 判断语句并获取 flag。解题思路非常清晰干脆! 本文记录了一道利用 C 语言伪随机数漏洞的经典 CTF 题解。由于程序未调用 srand() 设置随机数种子,导致 rand() 每次执行生成的初始随机数固定不变(在标准 glibc 环境中固定为 0x6b8b4567) 。利用异或运算的可逆特性,通过 key = random ^ 0xcafebabe 逆向推导出目标值,最终将其转换为十进制 2708864985 提交,轻松绕过 if 判断语句并获取 flag。解题思路非常清晰干脆!
Bof Bof
本文记录了 pwnable.kr 中 bof 题目的解题过程。核心漏洞在于程序使用了不安全的 gets() 函数且未做长度校验,导致经典的栈溢出漏洞 。通过使用 GDB 进行动态调试,计算出用户输入缓冲区的起始地址与目标变量 key 的内存地址之间的偏移量为 52 个字节。最终,利用 Python 的 pwntools 库编写 EXP,向远程端口发送构造好的 Payload(52 字节的无用字符填充 + 目标值 0xcafebabe),成功覆盖关键变量并获取了交互式 Shell。 本文记录了 pwnable.kr 中 bof 题目的解题过程。核心漏洞在于程序使用了不安全的 gets() 函数且未做长度校验,导致经典的栈溢出漏洞 。通过使用 GDB 进行动态调试,计算出用户输入缓冲区的起始地址与目标变量 key 的内存地址之间的偏移量为 52 个字节。最终,利用 Python 的 pwntools 库编写 EXP,向远程端口发送构造好的 Payload(52 字节的无用字符填充 + 目标值 0xcafebabe),成功覆盖关键变量并获取了交互式 Shell。
Collision Collision
本文记录了 pwnable.kr 中 Collision (col) 题目的解题过程。核心考点是 C 语言的指针类型转换机制与内存的字节序排布。程序将输入的 20 字节字符数组强制转换为 5 个 32 位 int 型整数并求和 。为了使求和结果等于目标哈希值 0x21DD09EC,解题思路巧妙地利用了简单的数学拆分,将目标值分为 4 个 113626825 与 1 个 113626824。最后,将其转换为小端序(Little Endian)十六进制机器码拼接作为参数传入,成功绕过哈希校验并获取 flag。 本文记录了 pwnable.kr 中 Collision (col) 题目的解题过程。核心考点是 C 语言的指针类型转换机制与内存的字节序排布。程序将输入的 20 字节字符数组强制转换为 5 个 32 位 int 型整数并求和 。为了使求和结果等于目标哈希值 0x21DD09EC,解题思路巧妙地利用了简单的数学拆分,将目标值分为 4 个 113626825 与 1 个 113626824。最后,将其转换为小端序(Little Endian)十六进制机器码拼接作为参数传入,成功绕过哈希校验并获取 flag。
# RBCD 4
htb garfield htb garfield
通过枚举发现 j.arbuckle 拥有 Pre-Windows 2000 兼容访问权限,利用 SMB 脚本路径写入权限修改 l.wilson 登录脚本获取初始 shell,重置管理员账号密码后通过 WinRM 登录拿到 user flag;利用 RODC Administrators 提权 + RBCD + S4U 攻击控制 RODC01,再通过导出 krbtgt_8245 AES 密鑰伪造黄金票据最终控制域控 通过枚举发现 j.arbuckle 拥有 Pre-Windows 2000 兼容访问权限,利用 SMB 脚本路径写入权限修改 l.wilson 登录脚本获取初始 shell,重置管理员账号密码后通过 WinRM 登录拿到 user flag;利用 RODC Administrators 提权 + RBCD + S4U 攻击控制 RODC01,再通过导出 krbtgt_8245 AES 密鑰伪造黄金票据最终控制域控
htb pirate htb pirate
这是一篇完整的“Pirate”域渗透靶机实战笔记。攻击路径非常清晰:首先,通过LDAP枚举发现“Pre-Windows 2000兼容访问”组的配置缺陷,利用Pre2K漏洞获取机器账户(MS01$)密码,进而读取gMSA服务凭据获得初始据点。接着,利用Ligolo-ng搭建内网隧道,结合打印机漏洞(PrinterBug)与NTLM中继执行RBCD(基于资源的约束委派)攻击,拿下WEB01并导出用户哈希 。最后,利用权限强制重置a.white_ADM的密码,并利用其WriteSPN权限实施SPN劫持,配合约束委派成功伪造域管票据,最终拿下域控(DC01)的最高权限 。 这是一篇完整的“Pirate”域渗透靶机实战笔记。攻击路径非常清晰:首先,通过LDAP枚举发现“Pre-Windows 2000兼容访问”组的配置缺陷,利用Pre2K漏洞获取机器账户(MS01$)密码,进而读取gMSA服务凭据获得初始据点。接着,利用Ligolo-ng搭建内网隧道,结合打印机漏洞(PrinterBug)与NTLM中继执行RBCD(基于资源的约束委派)攻击,拿下WEB01并导出用户哈希 。最后,利用权限强制重置a.white_ADM的密码,并利用其WriteSPN权限实施SPN劫持,配合约束委派成功伪造域管票据,最终拿下域控(DC01)的最高权限 。
htb bruno htb bruno
本文介绍了对Windows服务器(IP地址:10.129.238.9)的安全性分析和渗透测试过程。通过Nmap扫描,发现多个开放端口及其服务,包括FTP、HTTP、Kerberos等。利用匿名FTP访问和分析服务账号进行AS-REP Roasting攻击,获取服务账号的凭据。通过SMB枚举发现写权限,并利用Zip Slip漏洞进行DLL劫持,最终成功获取用户和管理员权限。文章总结了KrbRelay和RBCD的利用方式,以及成功攻击的关键因素,包括LDAP未强制签名和可以添加机器的权限。 本文介绍了对Windows服务器(IP地址:10.129.238.9)的安全性分析和渗透测试过程。通过Nmap扫描,发现多个开放端口及其服务,包括FTP、HTTP、Kerberos等。利用匿名FTP访问和分析服务账号进行AS-REP Roasting攻击,获取服务账号的凭据。通过SMB枚举发现写权限,并利用Zip Slip漏洞进行DLL劫持,最终成功获取用户和管理员权限。文章总结了KrbRelay和RBCD的利用方式,以及成功攻击的关键因素,包括LDAP未强制签名和可以添加机器的权限。
htb eighteen htb eighteen
本文介绍了针对Windows操作系统的安全攻防技术,主要通过默认凭据的利用和Active Directory的权限提升来实现入侵。首先,使用默认凭据登录Mssql并枚举Web管理账户的哈希值。接着,利用NetExec破解出计算机用户,进行密码喷洒,发现Active Directory并进行枚举。文章详细描述了如何创建和管理dMSA账户以实现权限提升,使用Rubeus工具请求票据,并提供了完整的清理脚本以删除攻击痕迹。最终,文中强调了系统重启作为彻底清理的方法。 本文介绍了针对Windows操作系统的安全攻防技术,主要通过默认凭据的利用和Active Directory的权限提升来实现入侵。首先,使用默认凭据登录Mssql并枚举Web管理账户的哈希值。接着,利用NetExec破解出计算机用户,进行密码喷洒,发现Active Directory并进行枚举。文章详细描述了如何创建和管理dMSA账户以实现权限提升,使用Rubeus工具请求票据,并提供了完整的清理脚本以删除攻击痕迹。最终,文中强调了系统重启作为彻底清理的方法。
# AD CS 3
htb fries htb fries
Linux 前端(Nginx)+ Windows AD 后端的混合架构靶机。通过 PWM 密码自助服务的 LDAP 中继攻击获取 svc_infra 凭据,利用 Gitea 代码泄露的 PostgreSQL 连接串,结合 CVE-2025-2945(pgAdmin RCE)进入 Docker 容器。随后通过 NFS 挂载 + UID 伪造迁移至 barman 用户,伪造 Docker TLS 客户端证书逃逸容器获得 Linux root。最终在 Windows 侧利用 gMSA 凭据 + ESC7/ESC6/ESC16 攻击路径完成 AD CS 提权,获取 Domain Admin。 Linux 前端(Nginx)+ Windows AD 后端的混合架构靶机。通过 PWM 密码自助服务的 LDAP 中继攻击获取 svc_infra 凭据,利用 Gitea 代码泄露的 PostgreSQL 连接串,结合 CVE-2025-2945(pgAdmin RCE)进入 Docker 容器。随后通过 NFS 挂载 + UID 伪造迁移至 barman 用户,伪造 Docker TLS 客户端证书逃逸容器获得 Linux root。最终在 Windows 侧利用 gMSA 凭据 + ESC7/ESC6/ESC16 攻击路径完成 AD CS 提权,获取 Domain Admin。
htb logging htb logging
中等难度的 Windows AD 靶机。通过 SMB Logs 共享中的日志文件发现 svc_recovery 旧密码,利用 Kerberos TGT 躺证绕过登录限制。通过 GenericWrite 权限对 MSA_HEALTH$ 发动 Shadow Credentials 攻击,以 MSA_HEALTH$ 身份登录 WinRM。分析计划任务中的 UpdateMonitor.exe,通过向可写目录投放恶意 DLL,骑劫高权限用户 jaylee.clifton 的运行环境。最终利用 AD CS(UpdateSrv 模板)注册伪造的 WSUS DNS 记录,伮造 WSUS 内网中继攻击,推送带微软签名的 PsExec 实现提权至 Domain Admin。 中等难度的 Windows AD 靶机。通过 SMB Logs 共享中的日志文件发现 svc_recovery 旧密码,利用 Kerberos TGT 躺证绕过登录限制。通过 GenericWrite 权限对 MSA_HEALTH$ 发动 Shadow Credentials 攻击,以 MSA_HEALTH$ 身份登录 WinRM。分析计划任务中的 UpdateMonitor.exe,通过向可写目录投放恶意 DLL,骑劫高权限用户 jaylee.clifton 的运行环境。最终利用 AD CS(UpdateSrv 模板)注册伪造的 WSUS DNS 记录,伮造 WSUS 内网中继攻击,推送带微软签名的 PsExec 实现提权至 Domain Admin。
htb certified htb certified
本文介绍了如何通过信息收集和漏洞分析,使用judith.mader用户进行特权升级和根权限获取。首先,通过Nmap扫描获取目标主机的信息,确认开放的端口和服务。接着,利用bloodhound-python工具收集域信息,并通过权限提升的手段将judith.mader用户添加到management组,获取更高的权限。最终,通过Certipy申请证书并成功以administrator身份进行身份验证,获取根权限。文章详细描述了每一步的执行过程和命令,展示了如何在Windows环境中进行渗透测试与权限提升。 本文介绍了如何通过信息收集和漏洞分析,使用judith.mader用户进行特权升级和根权限获取。首先,通过Nmap扫描获取目标主机的信息,确认开放的端口和服务。接着,利用bloodhound-python工具收集域信息,并通过权限提升的手段将judith.mader用户添加到management组,获取更高的权限。最终,通过Certipy申请证书并成功以administrator身份进行身份验证,获取根权限。文章详细描述了每一步的执行过程和命令,展示了如何在Windows环境中进行渗透测试与权限提升。
#NFS共享 3
htb fries htb fries
Linux 前端(Nginx)+ Windows AD 后端的混合架构靶机。通过 PWM 密码自助服务的 LDAP 中继攻击获取 svc_infra 凭据,利用 Gitea 代码泄露的 PostgreSQL 连接串,结合 CVE-2025-2945(pgAdmin RCE)进入 Docker 容器。随后通过 NFS 挂载 + UID 伪造迁移至 barman 用户,伪造 Docker TLS 客户端证书逃逸容器获得 Linux root。最终在 Windows 侧利用 gMSA 凭据 + ESC7/ESC6/ESC16 攻击路径完成 AD CS 提权,获取 Domain Admin。 Linux 前端(Nginx)+ Windows AD 后端的混合架构靶机。通过 PWM 密码自助服务的 LDAP 中继攻击获取 svc_infra 凭据,利用 Gitea 代码泄露的 PostgreSQL 连接串,结合 CVE-2025-2945(pgAdmin RCE)进入 Docker 容器。随后通过 NFS 挂载 + UID 伪造迁移至 barman 用户,伪造 Docker TLS 客户端证书逃逸容器获得 Linux root。最终在 Windows 侧利用 gMSA 凭据 + ESC7/ESC6/ESC16 攻击路径完成 AD CS 提权,获取 Domain Admin。
htb slonik htb slonik
本文介绍了一个名为“Slonik”的项目,涉及对一台运行Linux的服务器的渗透测试。通过Nmap扫描,发现了开放的SSH和NFS服务。利用NFS共享的权限漏洞,创建了一个与特定用户ID匹配的新用户,从而访问了受限目录。进一步分析了PostgreSQL数据库,通过弱口令获取了用户凭据,并利用数据库的RCE漏洞获得了shell访问。最终,通过利用定时任务和设置setuid的bash文件,实现了从postgres用户提升到root权限,获取了根标志。文章总结了渗透测试的关键步骤和所学到的经验教训。 本文介绍了一个名为“Slonik”的项目,涉及对一台运行Linux的服务器的渗透测试。通过Nmap扫描,发现了开放的SSH和NFS服务。利用NFS共享的权限漏洞,创建了一个与特定用户ID匹配的新用户,从而访问了受限目录。进一步分析了PostgreSQL数据库,通过弱口令获取了用户凭据,并利用数据库的RCE漏洞获得了shell访问。最终,通过利用定时任务和设置setuid的bash文件,实现了从postgres用户提升到root权限,获取了根标志。文章总结了渗透测试的关键步骤和所学到的经验教训。
htb mirage htb mirage
本文介绍了在HTB(Hack The Box)平台上完成名为“Mirage”的挑战的详细过程。通过使用Nmap扫描和NFS挂载,发现了目标域控制器上的DNS服务缺陷,并利用该缺陷进行DNS记录注入。接下来,通过捕获NATS凭证和使用Bloodhound工具,获取了多名用户的凭证,最终实现了对目标系统的访问。文章详细描述了多个攻击步骤,包括会话中继攻击和特权提升技巧,展示了如何利用Active Directory的弱点进行渗透测试和权限提升。 本文介绍了在HTB(Hack The Box)平台上完成名为“Mirage”的挑战的详细过程。通过使用Nmap扫描和NFS挂载,发现了目标域控制器上的DNS服务缺陷,并利用该缺陷进行DNS记录注入。接下来,通过捕获NATS凭证和使用Bloodhound工具,获取了多名用户的凭证,最终实现了对目标系统的访问。文章详细描述了多个攻击步骤,包括会话中继攻击和特权提升技巧,展示了如何利用Active Directory的弱点进行渗透测试和权限提升。
#gMSA凭据提取 3
htb fries htb fries
Linux 前端(Nginx)+ Windows AD 后端的混合架构靶机。通过 PWM 密码自助服务的 LDAP 中继攻击获取 svc_infra 凭据,利用 Gitea 代码泄露的 PostgreSQL 连接串,结合 CVE-2025-2945(pgAdmin RCE)进入 Docker 容器。随后通过 NFS 挂载 + UID 伪造迁移至 barman 用户,伪造 Docker TLS 客户端证书逃逸容器获得 Linux root。最终在 Windows 侧利用 gMSA 凭据 + ESC7/ESC6/ESC16 攻击路径完成 AD CS 提权,获取 Domain Admin。 Linux 前端(Nginx)+ Windows AD 后端的混合架构靶机。通过 PWM 密码自助服务的 LDAP 中继攻击获取 svc_infra 凭据,利用 Gitea 代码泄露的 PostgreSQL 连接串,结合 CVE-2025-2945(pgAdmin RCE)进入 Docker 容器。随后通过 NFS 挂载 + UID 伪造迁移至 barman 用户,伪造 Docker TLS 客户端证书逃逸容器获得 Linux root。最终在 Windows 侧利用 gMSA 凭据 + ESC7/ESC6/ESC16 攻击路径完成 AD CS 提权,获取 Domain Admin。
htb logging htb logging
中等难度的 Windows AD 靶机。通过 SMB Logs 共享中的日志文件发现 svc_recovery 旧密码,利用 Kerberos TGT 躺证绕过登录限制。通过 GenericWrite 权限对 MSA_HEALTH$ 发动 Shadow Credentials 攻击,以 MSA_HEALTH$ 身份登录 WinRM。分析计划任务中的 UpdateMonitor.exe,通过向可写目录投放恶意 DLL,骑劫高权限用户 jaylee.clifton 的运行环境。最终利用 AD CS(UpdateSrv 模板)注册伪造的 WSUS DNS 记录,伮造 WSUS 内网中继攻击,推送带微软签名的 PsExec 实现提权至 Domain Admin。 中等难度的 Windows AD 靶机。通过 SMB Logs 共享中的日志文件发现 svc_recovery 旧密码,利用 Kerberos TGT 躺证绕过登录限制。通过 GenericWrite 权限对 MSA_HEALTH$ 发动 Shadow Credentials 攻击,以 MSA_HEALTH$ 身份登录 WinRM。分析计划任务中的 UpdateMonitor.exe,通过向可写目录投放恶意 DLL,骑劫高权限用户 jaylee.clifton 的运行环境。最终利用 AD CS(UpdateSrv 模板)注册伪造的 WSUS DNS 记录,伮造 WSUS 内网中继攻击,推送带微软签名的 PsExec 实现提权至 Domain Admin。
htb pirate htb pirate
这是一篇完整的“Pirate”域渗透靶机实战笔记。攻击路径非常清晰:首先,通过LDAP枚举发现“Pre-Windows 2000兼容访问”组的配置缺陷,利用Pre2K漏洞获取机器账户(MS01$)密码,进而读取gMSA服务凭据获得初始据点。接着,利用Ligolo-ng搭建内网隧道,结合打印机漏洞(PrinterBug)与NTLM中继执行RBCD(基于资源的约束委派)攻击,拿下WEB01并导出用户哈希 。最后,利用权限强制重置a.white_ADM的密码,并利用其WriteSPN权限实施SPN劫持,配合约束委派成功伪造域管票据,最终拿下域控(DC01)的最高权限 。 这是一篇完整的“Pirate”域渗透靶机实战笔记。攻击路径非常清晰:首先,通过LDAP枚举发现“Pre-Windows 2000兼容访问”组的配置缺陷,利用Pre2K漏洞获取机器账户(MS01$)密码,进而读取gMSA服务凭据获得初始据点。接着,利用Ligolo-ng搭建内网隧道,结合打印机漏洞(PrinterBug)与NTLM中继执行RBCD(基于资源的约束委派)攻击,拿下WEB01并导出用户哈希 。最后,利用权限强制重置a.white_ADM的密码,并利用其WriteSPN权限实施SPN劫持,配合约束委派成功伪造域管票据,最终拿下域控(DC01)的最高权限 。
#NTLM 中继 3
htb fries htb fries
Linux 前端(Nginx)+ Windows AD 后端的混合架构靶机。通过 PWM 密码自助服务的 LDAP 中继攻击获取 svc_infra 凭据,利用 Gitea 代码泄露的 PostgreSQL 连接串,结合 CVE-2025-2945(pgAdmin RCE)进入 Docker 容器。随后通过 NFS 挂载 + UID 伪造迁移至 barman 用户,伪造 Docker TLS 客户端证书逃逸容器获得 Linux root。最终在 Windows 侧利用 gMSA 凭据 + ESC7/ESC6/ESC16 攻击路径完成 AD CS 提权,获取 Domain Admin。 Linux 前端(Nginx)+ Windows AD 后端的混合架构靶机。通过 PWM 密码自助服务的 LDAP 中继攻击获取 svc_infra 凭据,利用 Gitea 代码泄露的 PostgreSQL 连接串,结合 CVE-2025-2945(pgAdmin RCE)进入 Docker 容器。随后通过 NFS 挂载 + UID 伪造迁移至 barman 用户,伪造 Docker TLS 客户端证书逃逸容器获得 Linux root。最终在 Windows 侧利用 gMSA 凭据 + ESC7/ESC6/ESC16 攻击路径完成 AD CS 提权,获取 Domain Admin。
htb pirate htb pirate
这是一篇完整的“Pirate”域渗透靶机实战笔记。攻击路径非常清晰:首先,通过LDAP枚举发现“Pre-Windows 2000兼容访问”组的配置缺陷,利用Pre2K漏洞获取机器账户(MS01$)密码,进而读取gMSA服务凭据获得初始据点。接着,利用Ligolo-ng搭建内网隧道,结合打印机漏洞(PrinterBug)与NTLM中继执行RBCD(基于资源的约束委派)攻击,拿下WEB01并导出用户哈希 。最后,利用权限强制重置a.white_ADM的密码,并利用其WriteSPN权限实施SPN劫持,配合约束委派成功伪造域管票据,最终拿下域控(DC01)的最高权限 。 这是一篇完整的“Pirate”域渗透靶机实战笔记。攻击路径非常清晰:首先,通过LDAP枚举发现“Pre-Windows 2000兼容访问”组的配置缺陷,利用Pre2K漏洞获取机器账户(MS01$)密码,进而读取gMSA服务凭据获得初始据点。接着,利用Ligolo-ng搭建内网隧道,结合打印机漏洞(PrinterBug)与NTLM中继执行RBCD(基于资源的约束委派)攻击,拿下WEB01并导出用户哈希 。最后,利用权限强制重置a.white_ADM的密码,并利用其WriteSPN权限实施SPN劫持,配合约束委派成功伪造域管票据,最终拿下域控(DC01)的最高权限 。
htb driver htb driver
本文介绍了如何通过对Windows系统进行信息收集、漏洞分析和利用,实现用户权限提升和根权限获取。使用Nmap扫描目标主机,发现开放的端口和服务,并通过上传恶意的SCF文件捕获NTLM哈希。接着,利用破解得到的哈希获取用户权限,并进行特权提升,最终利用Ricoh打印机驱动程序的漏洞获取根权限。文章详细描述了攻击流程和方法,为读者提供了实用的渗透测试技术和经验教训。 本文介绍了如何通过对Windows系统进行信息收集、漏洞分析和利用,实现用户权限提升和根权限获取。使用Nmap扫描目标主机,发现开放的端口和服务,并通过上传恶意的SCF文件捕获NTLM哈希。接着,利用破解得到的哈希获取用户权限,并进行特权提升,最终利用Ricoh打印机驱动程序的漏洞获取根权限。文章详细描述了攻击流程和方法,为读者提供了实用的渗透测试技术和经验教训。
# 不安全的反序列化 3
NextGen Healthcare Mirth Connect NextGen Healthcare Mirth Connect
CVE-2023-43208 是 NextGen Healthcare Mirth Connect 平台中的一个极危(CVSS 9.8)未授权远程代码执行(RCE)漏洞。其根源在于 XStream 库对 XML 数据反序列化处理不当,本质是对早期漏洞(CVE-2023-37679)黑名单修复的绕过。攻击者可通过 API 发送恶意 XML 载荷,在无需认证的情况下以系统最高权限执行任意命令,严重威胁受保护的健康信息(PHI)等核心数据。该漏洞已被广泛利用,建议用户立即升级至 4.4.1 或更高版本,以启用更安全的显式白名单机制。 CVE-2023-43208 是 NextGen Healthcare Mirth Connect 平台中的一个极危(CVSS 9.8)未授权远程代码执行(RCE)漏洞。其根源在于 XStream 库对 XML 数据反序列化处理不当,本质是对早期漏洞(CVE-2023-37679)黑名单修复的绕过。攻击者可通过 API 发送恶意 XML 载荷,在无需认证的情况下以系统最高权限执行任意命令,严重威胁受保护的健康信息(PHI)等核心数据。该漏洞已被广泛利用,建议用户立即升级至 4.4.1 或更高版本,以启用更安全的显式白名单机制。
Linux 复合提权链 (CVE-2025-6018 & CVE-2025-6019) Linux 复合提权链 (CVE-2025-6018 & CVE-2025-6019)
本文介绍了两个Linux系统中的提权漏洞(CVE-2025-6018和CVE-2025-6019)。CVE-2025-6018是一个身份伪装漏洞,涉及PAM环境变量注入,要求目标系统使用Systemd和特定的PAM配置。CVE-2025-6019则是一个本地权限提升漏洞,依赖于libblockdev和udisks2的逻辑缺陷。文章详细阐述了这些漏洞的前提条件、核心原理、利用步骤以及检测和修复方法,辅助渗透测试人员识别和防范这些安全风险。 本文介绍了两个Linux系统中的提权漏洞(CVE-2025-6018和CVE-2025-6019)。CVE-2025-6018是一个身份伪装漏洞,涉及PAM环境变量注入,要求目标系统使用Systemd和特定的PAM配置。CVE-2025-6019则是一个本地权限提升漏洞,依赖于libblockdev和udisks2的逻辑缺陷。文章详细阐述了这些漏洞的前提条件、核心原理、利用步骤以及检测和修复方法,辅助渗透测试人员识别和防范这些安全风险。
htb precious htb precious
本文详细介绍了一个名为“Precious”的HTB(Hack The Box)挑战。在信息收集阶段,通过Nmap扫描发现了开放的SSH和HTTP端口。Vulnerability分析中,利用Burp Suite确认了Web服务器和Ruby环境。通过构造特定的Payload利用了Ruby中的不安全反序列化漏洞,从而获取了用户权限的Shell。接着,通过分析Ruby脚本,发现了另一个可利用的漏洞,最终实现了特权升级,获得了Root权限并成功读取了Root标志。文章总结了整个过程中的学习经验。 本文详细介绍了一个名为“Precious”的HTB(Hack The Box)挑战。在信息收集阶段,通过Nmap扫描发现了开放的SSH和HTTP端口。Vulnerability分析中,利用Burp Suite确认了Web服务器和Ruby环境。通过构造特定的Payload利用了Ruby中的不安全反序列化漏洞,从而获取了用户权限的Shell。接着,通过分析Ruby脚本,发现了另一个可利用的漏洞,最终实现了特权升级,获得了Root权限并成功读取了Root标志。文章总结了整个过程中的学习经验。
#CTF题解 3
FD FD
本文记录了 pwnable.kr 中 fd 题目的解题过程。这道题核心考察 Linux 系统中的文件描述符(File Descriptor)机制 。通过代码审计发现,程序利用 read(fd, buf, 32) 获取输入与目标字符串比对。为了能够从终端手动输入 LETMEWIN 字符串,我们需要让 fd 的值等于 0(即标准输入 stdin)。由于程序中 fd = atoi(argv[1]) - 0x1234,解题的关键就是将十六进制 0x1234 转换为十进制的 4660 作为参数传入,从而成功控制 read 函数读取标准输入,顺利拿下 flag! 本文记录了 pwnable.kr 中 fd 题目的解题过程。这道题核心考察 Linux 系统中的文件描述符(File Descriptor)机制 。通过代码审计发现,程序利用 read(fd, buf, 32) 获取输入与目标字符串比对。为了能够从终端手动输入 LETMEWIN 字符串,我们需要让 fd 的值等于 0(即标准输入 stdin)。由于程序中 fd = atoi(argv[1]) - 0x1234,解题的关键就是将十六进制 0x1234 转换为十进制的 4660 作为参数传入,从而成功控制 read 函数读取标准输入,顺利拿下 flag!
Magical Palindrome Magical Palindrome
本文记录了一次针对 Node.js Web 应用的代码审计与逻辑绕过实战。目标程序要求输入长度大于1000的回文字符串,但 Nginx 限制了实际的超长字符输入。攻击者巧妙利用了 JavaScript 的弱类型与类型混淆机制 ,传入定制的 JSON 对象 {"length": "1000", "0": "x", "999": "x"} 替代字符串。该 Payload 不仅绕过了 length 属性的阈值校验,还利用了 Array("1000") 会生成单元素数组的语言特性 ,让严苛的全局对称循环检测仅执行一次即告通过,最终成功获取 Flag。 本文记录了一次针对 Node.js Web 应用的代码审计与逻辑绕过实战。目标程序要求输入长度大于1000的回文字符串,但 Nginx 限制了实际的超长字符输入。攻击者巧妙利用了 JavaScript 的弱类型与类型混淆机制 ,传入定制的 JSON 对象 {"length": "1000", "0": "x", "999": "x"} 替代字符串。该 Payload 不仅绕过了 length 属性的阈值校验,还利用了 Array("1000") 会生成单元素数组的语言特性 ,让严苛的全局对称循环检测仅执行一次即告通过,最终成功获取 Flag。
Random Random
本文记录了一道利用 C 语言伪随机数漏洞的经典 CTF 题解。由于程序未调用 srand() 设置随机数种子,导致 rand() 每次执行生成的初始随机数固定不变(在标准 glibc 环境中固定为 0x6b8b4567) 。利用异或运算的可逆特性,通过 key = random ^ 0xcafebabe 逆向推导出目标值,最终将其转换为十进制 2708864985 提交,轻松绕过 if 判断语句并获取 flag。解题思路非常清晰干脆! 本文记录了一道利用 C 语言伪随机数漏洞的经典 CTF 题解。由于程序未调用 srand() 设置随机数种子,导致 rand() 每次执行生成的初始随机数固定不变(在标准 glibc 环境中固定为 0x6b8b4567) 。利用异或运算的可逆特性,通过 key = random ^ 0xcafebabe 逆向推导出目标值,最终将其转换为十进制 2708864985 提交,轻松绕过 if 判断语句并获取 flag。解题思路非常清晰干脆!
#代码审计 3
Magical Palindrome Magical Palindrome
本文记录了一次针对 Node.js Web 应用的代码审计与逻辑绕过实战。目标程序要求输入长度大于1000的回文字符串,但 Nginx 限制了实际的超长字符输入。攻击者巧妙利用了 JavaScript 的弱类型与类型混淆机制 ,传入定制的 JSON 对象 {"length": "1000", "0": "x", "999": "x"} 替代字符串。该 Payload 不仅绕过了 length 属性的阈值校验,还利用了 Array("1000") 会生成单元素数组的语言特性 ,让严苛的全局对称循环检测仅执行一次即告通过,最终成功获取 Flag。 本文记录了一次针对 Node.js Web 应用的代码审计与逻辑绕过实战。目标程序要求输入长度大于1000的回文字符串,但 Nginx 限制了实际的超长字符输入。攻击者巧妙利用了 JavaScript 的弱类型与类型混淆机制 ,传入定制的 JSON 对象 {"length": "1000", "0": "x", "999": "x"} 替代字符串。该 Payload 不仅绕过了 length 属性的阈值校验,还利用了 Array("1000") 会生成单元素数组的语言特性 ,让严苛的全局对称循环检测仅执行一次即告通过,最终成功获取 Flag。
mazesec kuai mazesec kuai
本文记录了一次靶机渗透实战。攻击者首先对3000端口的文件审核API发起DoS攻击使其瘫痪,从而绕过80端口的格式限制,成功上传PHP Webshell获取初始权限。接着在 /opt 目录发现Git信息泄露,利用 git show 找回了历史提交中隐藏的用户 tuf 的登录密码。最后,通过信息收集发现 root 进程在后台运行 /home/tuf/app.py,攻击者覆写该脚本,注入为 /bin/bash 赋予SUID权限的恶意代码,成功提权至 root。 本文记录了一次靶机渗透实战。攻击者首先对3000端口的文件审核API发起DoS攻击使其瘫痪,从而绕过80端口的格式限制,成功上传PHP Webshell获取初始权限。接着在 /opt 目录发现Git信息泄露,利用 git show 找回了历史提交中隐藏的用户 tuf 的登录密码。最后,通过信息收集发现 root 进程在后台运行 /home/tuf/app.py,攻击者覆写该脚本,注入为 /bin/bash 赋予SUID权限的恶意代码,成功提权至 root。
mazesec tpn mazesec tpn
本文记录了针对一台ThinkPHP5靶机的渗透实战。攻击者首先通过8080端口的Git泄露获取网站源码。通过代码审计,理清了应用路由映射关系,并发现可生成合法Token的接口以绕过 Check1 中间件验证;随后利用控制器中未过滤的 call_user_func 函数,成功构造URL触发远程代码执行(RCE)获取Shell。在获取 welcome 用户权限后,借助 LinPEAS 扫描发现系统存在 DirtyPipe (CVE-2022-0847) 内核漏洞 ,最终通过劫持 SUID 二进制文件成功提权至 root。 本文记录了针对一台ThinkPHP5靶机的渗透实战。攻击者首先通过8080端口的Git泄露获取网站源码。通过代码审计,理清了应用路由映射关系,并发现可生成合法Token的接口以绕过 Check1 中间件验证;随后利用控制器中未过滤的 call_user_func 函数,成功构造URL触发远程代码执行(RCE)获取Shell。在获取 welcome 用户权限后,借助 LinPEAS 扫描发现系统存在 DirtyPipe (CVE-2022-0847) 内核漏洞 ,最终通过劫持 SUID 二进制文件成功提权至 root。
#SUID提权 3
mazesec kuai mazesec kuai
本文记录了一次靶机渗透实战。攻击者首先对3000端口的文件审核API发起DoS攻击使其瘫痪,从而绕过80端口的格式限制,成功上传PHP Webshell获取初始权限。接着在 /opt 目录发现Git信息泄露,利用 git show 找回了历史提交中隐藏的用户 tuf 的登录密码。最后,通过信息收集发现 root 进程在后台运行 /home/tuf/app.py,攻击者覆写该脚本,注入为 /bin/bash 赋予SUID权限的恶意代码,成功提权至 root。 本文记录了一次靶机渗透实战。攻击者首先对3000端口的文件审核API发起DoS攻击使其瘫痪,从而绕过80端口的格式限制,成功上传PHP Webshell获取初始权限。接着在 /opt 目录发现Git信息泄露,利用 git show 找回了历史提交中隐藏的用户 tuf 的登录密码。最后,通过信息收集发现 root 进程在后台运行 /home/tuf/app.py,攻击者覆写该脚本,注入为 /bin/bash 赋予SUID权限的恶意代码,成功提权至 root。
mazesec 5ud0 mazesec 5ud0
本次靶机渗透实战主要结合了CMS后台漏洞与SUID本地提权。首先,通过信息收集发现80端口运行 Textpattern CMS。攻击者编写Python脚本成功爆破出后台弱口令 admin:superman,随后利用该CMS的授权远程代码执行漏洞(上传PHP Webshell)获取了 www-data 初始权限。在提权阶段,通过枚举SUID文件发现系统共存两个版本的 sudo,攻击者利用存在漏洞的指定版本(CVE-2025-32463),微调PoC路径后成功提权至 root 。最后在配置文件中提取了 todd 用户的 GRUB 哈希,但未能破解。 本次靶机渗透实战主要结合了CMS后台漏洞与SUID本地提权。首先,通过信息收集发现80端口运行 Textpattern CMS。攻击者编写Python脚本成功爆破出后台弱口令 admin:superman,随后利用该CMS的授权远程代码执行漏洞(上传PHP Webshell)获取了 www-data 初始权限。在提权阶段,通过枚举SUID文件发现系统共存两个版本的 sudo,攻击者利用存在漏洞的指定版本(CVE-2025-32463),微调PoC路径后成功提权至 root 。最后在配置文件中提取了 todd 用户的 GRUB 哈希,但未能破解。
mazesec pdf mazesec pdf
本文记录了对靶机 pdf.lan 的渗透测试过程。首先通过分析80端口页面源码并配合目录扫描,成功找到 hint.txt 获取关键凭据 42,从而登录8080端口的文件管理系统 。随后,利用脚本生成1-100的MD5哈希字典对该系统进行Fuzzing,找出一个特殊的PDF文件,通过 strings 命令提取出 SSH 登录凭据 welcome:lamar57。在提权阶段,发现 /usr/bin/ssh 具有 SUID 权限,尝试利用 ssh -F 读取任意文件,但由于报错输出会将内容转为小写,导致无法成功利用提取到的私钥提权 。 本文记录了对靶机 pdf.lan 的渗透测试过程。首先通过分析80端口页面源码并配合目录扫描,成功找到 hint.txt 获取关键凭据 42,从而登录8080端口的文件管理系统 。随后,利用脚本生成1-100的MD5哈希字典对该系统进行Fuzzing,找出一个特殊的PDF文件,通过 strings 命令提取出 SSH 登录凭据 welcome:lamar57。在提权阶段,发现 /usr/bin/ssh 具有 SUID 权限,尝试利用 ssh -F 读取任意文件,但由于报错输出会将内容转为小写,导致无法成功利用提取到的私钥提权 。
# PostgreSQL 2
htb fries htb fries
Linux 前端(Nginx)+ Windows AD 后端的混合架构靶机。通过 PWM 密码自助服务的 LDAP 中继攻击获取 svc_infra 凭据,利用 Gitea 代码泄露的 PostgreSQL 连接串,结合 CVE-2025-2945(pgAdmin RCE)进入 Docker 容器。随后通过 NFS 挂载 + UID 伪造迁移至 barman 用户,伪造 Docker TLS 客户端证书逃逸容器获得 Linux root。最终在 Windows 侧利用 gMSA 凭据 + ESC7/ESC6/ESC16 攻击路径完成 AD CS 提权,获取 Domain Admin。 Linux 前端(Nginx)+ Windows AD 后端的混合架构靶机。通过 PWM 密码自助服务的 LDAP 中继攻击获取 svc_infra 凭据,利用 Gitea 代码泄露的 PostgreSQL 连接串,结合 CVE-2025-2945(pgAdmin RCE)进入 Docker 容器。随后通过 NFS 挂载 + UID 伪造迁移至 barman 用户,伪造 Docker TLS 客户端证书逃逸容器获得 Linux root。最终在 Windows 侧利用 gMSA 凭据 + ESC7/ESC6/ESC16 攻击路径完成 AD CS 提权,获取 Domain Admin。
htb slonik htb slonik
本文介绍了一个名为“Slonik”的项目,涉及对一台运行Linux的服务器的渗透测试。通过Nmap扫描,发现了开放的SSH和NFS服务。利用NFS共享的权限漏洞,创建了一个与特定用户ID匹配的新用户,从而访问了受限目录。进一步分析了PostgreSQL数据库,通过弱口令获取了用户凭据,并利用数据库的RCE漏洞获得了shell访问。最终,通过利用定时任务和设置setuid的bash文件,实现了从postgres用户提升到root权限,获取了根标志。文章总结了渗透测试的关键步骤和所学到的经验教训。 本文介绍了一个名为“Slonik”的项目,涉及对一台运行Linux的服务器的渗透测试。通过Nmap扫描,发现了开放的SSH和NFS服务。利用NFS共享的权限漏洞,创建了一个与特定用户ID匹配的新用户,从而访问了受限目录。进一步分析了PostgreSQL数据库,通过弱口令获取了用户凭据,并利用数据库的RCE漏洞获得了shell访问。最终,通过利用定时任务和设置setuid的bash文件,实现了从postgres用户提升到root权限,获取了根标志。文章总结了渗透测试的关键步骤和所学到的经验教训。
# 影子凭证 2
htb logging htb logging
中等难度的 Windows AD 靶机。通过 SMB Logs 共享中的日志文件发现 svc_recovery 旧密码,利用 Kerberos TGT 躺证绕过登录限制。通过 GenericWrite 权限对 MSA_HEALTH$ 发动 Shadow Credentials 攻击,以 MSA_HEALTH$ 身份登录 WinRM。分析计划任务中的 UpdateMonitor.exe,通过向可写目录投放恶意 DLL,骑劫高权限用户 jaylee.clifton 的运行环境。最终利用 AD CS(UpdateSrv 模板)注册伪造的 WSUS DNS 记录,伮造 WSUS 内网中继攻击,推送带微软签名的 PsExec 实现提权至 Domain Admin。 中等难度的 Windows AD 靶机。通过 SMB Logs 共享中的日志文件发现 svc_recovery 旧密码,利用 Kerberos TGT 躺证绕过登录限制。通过 GenericWrite 权限对 MSA_HEALTH$ 发动 Shadow Credentials 攻击,以 MSA_HEALTH$ 身份登录 WinRM。分析计划任务中的 UpdateMonitor.exe,通过向可写目录投放恶意 DLL,骑劫高权限用户 jaylee.clifton 的运行环境。最终利用 AD CS(UpdateSrv 模板)注册伪造的 WSUS DNS 记录,伮造 WSUS 内网中继攻击,推送带微软签名的 PsExec 实现提权至 Domain Admin。
htb certified htb certified
本文介绍了如何通过信息收集和漏洞分析,使用judith.mader用户进行特权升级和根权限获取。首先,通过Nmap扫描获取目标主机的信息,确认开放的端口和服务。接着,利用bloodhound-python工具收集域信息,并通过权限提升的手段将judith.mader用户添加到management组,获取更高的权限。最终,通过Certipy申请证书并成功以administrator身份进行身份验证,获取根权限。文章详细描述了每一步的执行过程和命令,展示了如何在Windows环境中进行渗透测试与权限提升。 本文介绍了如何通过信息收集和漏洞分析,使用judith.mader用户进行特权升级和根权限获取。首先,通过Nmap扫描获取目标主机的信息,确认开放的端口和服务。接着,利用bloodhound-python工具收集域信息,并通过权限提升的手段将judith.mader用户添加到management组,获取更高的权限。最终,通过Certipy申请证书并成功以administrator身份进行身份验证,获取根权限。文章详细描述了每一步的执行过程和命令,展示了如何在Windows环境中进行渗透测试与权限提升。
# DLL劫持 2
htb logging htb logging
中等难度的 Windows AD 靶机。通过 SMB Logs 共享中的日志文件发现 svc_recovery 旧密码,利用 Kerberos TGT 躺证绕过登录限制。通过 GenericWrite 权限对 MSA_HEALTH$ 发动 Shadow Credentials 攻击,以 MSA_HEALTH$ 身份登录 WinRM。分析计划任务中的 UpdateMonitor.exe,通过向可写目录投放恶意 DLL,骑劫高权限用户 jaylee.clifton 的运行环境。最终利用 AD CS(UpdateSrv 模板)注册伪造的 WSUS DNS 记录,伮造 WSUS 内网中继攻击,推送带微软签名的 PsExec 实现提权至 Domain Admin。 中等难度的 Windows AD 靶机。通过 SMB Logs 共享中的日志文件发现 svc_recovery 旧密码,利用 Kerberos TGT 躺证绕过登录限制。通过 GenericWrite 权限对 MSA_HEALTH$ 发动 Shadow Credentials 攻击,以 MSA_HEALTH$ 身份登录 WinRM。分析计划任务中的 UpdateMonitor.exe,通过向可写目录投放恶意 DLL,骑劫高权限用户 jaylee.clifton 的运行环境。最终利用 AD CS(UpdateSrv 模板)注册伪造的 WSUS DNS 记录,伮造 WSUS 内网中继攻击,推送带微软签名的 PsExec 实现提权至 Domain Admin。
htb bruno htb bruno
本文介绍了对Windows服务器(IP地址:10.129.238.9)的安全性分析和渗透测试过程。通过Nmap扫描,发现多个开放端口及其服务,包括FTP、HTTP、Kerberos等。利用匿名FTP访问和分析服务账号进行AS-REP Roasting攻击,获取服务账号的凭据。通过SMB枚举发现写权限,并利用Zip Slip漏洞进行DLL劫持,最终成功获取用户和管理员权限。文章总结了KrbRelay和RBCD的利用方式,以及成功攻击的关键因素,包括LDAP未强制签名和可以添加机器的权限。 本文介绍了对Windows服务器(IP地址:10.129.238.9)的安全性分析和渗透测试过程。通过Nmap扫描,发现多个开放端口及其服务,包括FTP、HTTP、Kerberos等。利用匿名FTP访问和分析服务账号进行AS-REP Roasting攻击,获取服务账号的凭据。通过SMB枚举发现写权限,并利用Zip Slip漏洞进行DLL劫持,最终成功获取用户和管理员权限。文章总结了KrbRelay和RBCD的利用方式,以及成功攻击的关键因素,包括LDAP未强制签名和可以添加机器的权限。
#计划任务提权 2
htb logging htb logging
中等难度的 Windows AD 靶机。通过 SMB Logs 共享中的日志文件发现 svc_recovery 旧密码,利用 Kerberos TGT 躺证绕过登录限制。通过 GenericWrite 权限对 MSA_HEALTH$ 发动 Shadow Credentials 攻击,以 MSA_HEALTH$ 身份登录 WinRM。分析计划任务中的 UpdateMonitor.exe,通过向可写目录投放恶意 DLL,骑劫高权限用户 jaylee.clifton 的运行环境。最终利用 AD CS(UpdateSrv 模板)注册伪造的 WSUS DNS 记录,伮造 WSUS 内网中继攻击,推送带微软签名的 PsExec 实现提权至 Domain Admin。 中等难度的 Windows AD 靶机。通过 SMB Logs 共享中的日志文件发现 svc_recovery 旧密码,利用 Kerberos TGT 躺证绕过登录限制。通过 GenericWrite 权限对 MSA_HEALTH$ 发动 Shadow Credentials 攻击,以 MSA_HEALTH$ 身份登录 WinRM。分析计划任务中的 UpdateMonitor.exe,通过向可写目录投放恶意 DLL,骑劫高权限用户 jaylee.clifton 的运行环境。最终利用 AD CS(UpdateSrv 模板)注册伪造的 WSUS DNS 记录,伮造 WSUS 内网中继攻击,推送带微软签名的 PsExec 实现提权至 Domain Admin。
mazesec regex mazesec regex
本文记录了靶机 Regex 的渗透过程。首先通过5000端口的 ReDoS(正则表达式拒绝服务)漏洞 报错信息获取用户名 cyllove,并通过 SSH 爆破取得初始立足点。随后,通过逆向分析 check.sh 脚本中复杂的正则断言逻辑,成功解出另一用户 kotori 的密码。最终利用 kotori 账户拥有的 sudo grep 免密权限,直接越权读取了 root flag 。笔记同时记录了修改高权限定时任务脚本 irc_bot.py 来获取 pycrtlake 用户权限的另一条提权思路。 本文记录了靶机 Regex 的渗透过程。首先通过5000端口的 ReDoS(正则表达式拒绝服务)漏洞 报错信息获取用户名 cyllove,并通过 SSH 爆破取得初始立足点。随后,通过逆向分析 check.sh 脚本中复杂的正则断言逻辑,成功解出另一用户 kotori 的密码。最终利用 kotori 账户拥有的 sudo grep 免密权限,直接越权读取了 root flag 。笔记同时记录了修改高权限定时任务脚本 irc_bot.py 来获取 pycrtlake 用户权限的另一条提权思路。
#CMS漏洞 2
htb silentium htb silentium
通过 vhost 模糊测试发现内部 FlowiseAI 系统,利用 CVE-2025-58434 枚举用户并劫持密码重置 token 完成登录,再借助 CVE-2025-59528 执行 RCE 获得初始 shell;从环境变量中泄露 SSH 密码横向移动后,发现本地 Gogs 服务,最终利用 CVE-2025-8110 符号链接路径劫持动态链接器完成提权 通过 vhost 模糊测试发现内部 FlowiseAI 系统,利用 CVE-2025-58434 枚举用户并劫持密码重置 token 完成登录,再借助 CVE-2025-59528 执行 RCE 获得初始 shell;从环境变量中泄露 SSH 密码横向移动后,发现本地 Gogs 服务,最终利用 CVE-2025-8110 符号链接路径劫持动态链接器完成提权
mazesec 5ud0 mazesec 5ud0
本次靶机渗透实战主要结合了CMS后台漏洞与SUID本地提权。首先,通过信息收集发现80端口运行 Textpattern CMS。攻击者编写Python脚本成功爆破出后台弱口令 admin:superman,随后利用该CMS的授权远程代码执行漏洞(上传PHP Webshell)获取了 www-data 初始权限。在提权阶段,通过枚举SUID文件发现系统共存两个版本的 sudo,攻击者利用存在漏洞的指定版本(CVE-2025-32463),微调PoC路径后成功提权至 root 。最后在配置文件中提取了 todd 用户的 GRUB 哈希,但未能破解。 本次靶机渗透实战主要结合了CMS后台漏洞与SUID本地提权。首先,通过信息收集发现80端口运行 Textpattern CMS。攻击者编写Python脚本成功爆破出后台弱口令 admin:superman,随后利用该CMS的授权远程代码执行漏洞(上传PHP Webshell)获取了 www-data 初始权限。在提权阶段,通过枚举SUID文件发现系统共存两个版本的 sudo,攻击者利用存在漏洞的指定版本(CVE-2025-32463),微调PoC路径后成功提权至 root 。最后在配置文件中提取了 todd 用户的 GRUB 哈希,但未能破解。
#Pre2K漏洞 2
htb garfield htb garfield
通过枚举发现 j.arbuckle 拥有 Pre-Windows 2000 兼容访问权限,利用 SMB 脚本路径写入权限修改 l.wilson 登录脚本获取初始 shell,重置管理员账号密码后通过 WinRM 登录拿到 user flag;利用 RODC Administrators 提权 + RBCD + S4U 攻击控制 RODC01,再通过导出 krbtgt_8245 AES 密鑰伪造黄金票据最终控制域控 通过枚举发现 j.arbuckle 拥有 Pre-Windows 2000 兼容访问权限,利用 SMB 脚本路径写入权限修改 l.wilson 登录脚本获取初始 shell,重置管理员账号密码后通过 WinRM 登录拿到 user flag;利用 RODC Administrators 提权 + RBCD + S4U 攻击控制 RODC01,再通过导出 krbtgt_8245 AES 密鑰伪造黄金票据最终控制域控
htb pirate htb pirate
这是一篇完整的“Pirate”域渗透靶机实战笔记。攻击路径非常清晰:首先,通过LDAP枚举发现“Pre-Windows 2000兼容访问”组的配置缺陷,利用Pre2K漏洞获取机器账户(MS01$)密码,进而读取gMSA服务凭据获得初始据点。接着,利用Ligolo-ng搭建内网隧道,结合打印机漏洞(PrinterBug)与NTLM中继执行RBCD(基于资源的约束委派)攻击,拿下WEB01并导出用户哈希 。最后,利用权限强制重置a.white_ADM的密码,并利用其WriteSPN权限实施SPN劫持,配合约束委派成功伪造域管票据,最终拿下域控(DC01)的最高权限 。 这是一篇完整的“Pirate”域渗透靶机实战笔记。攻击路径非常清晰:首先,通过LDAP枚举发现“Pre-Windows 2000兼容访问”组的配置缺陷,利用Pre2K漏洞获取机器账户(MS01$)密码,进而读取gMSA服务凭据获得初始据点。接着,利用Ligolo-ng搭建内网隧道,结合打印机漏洞(PrinterBug)与NTLM中继执行RBCD(基于资源的约束委派)攻击,拿下WEB01并导出用户哈希 。最后,利用权限强制重置a.white_ADM的密码,并利用其WriteSPN权限实施SPN劫持,配合约束委派成功伪造域管票据,最终拿下域控(DC01)的最高权限 。
# S4U Attack 2
htb garfield htb garfield
通过枚举发现 j.arbuckle 拥有 Pre-Windows 2000 兼容访问权限,利用 SMB 脚本路径写入权限修改 l.wilson 登录脚本获取初始 shell,重置管理员账号密码后通过 WinRM 登录拿到 user flag;利用 RODC Administrators 提权 + RBCD + S4U 攻击控制 RODC01,再通过导出 krbtgt_8245 AES 密鑰伪造黄金票据最终控制域控 通过枚举发现 j.arbuckle 拥有 Pre-Windows 2000 兼容访问权限,利用 SMB 脚本路径写入权限修改 l.wilson 登录脚本获取初始 shell,重置管理员账号密码后通过 WinRM 登录拿到 user flag;利用 RODC Administrators 提权 + RBCD + S4U 攻击控制 RODC01,再通过导出 krbtgt_8245 AES 密鑰伪造黄金票据最终控制域控
htb bruno htb bruno
本文介绍了对Windows服务器(IP地址:10.129.238.9)的安全性分析和渗透测试过程。通过Nmap扫描,发现多个开放端口及其服务,包括FTP、HTTP、Kerberos等。利用匿名FTP访问和分析服务账号进行AS-REP Roasting攻击,获取服务账号的凭据。通过SMB枚举发现写权限,并利用Zip Slip漏洞进行DLL劫持,最终成功获取用户和管理员权限。文章总结了KrbRelay和RBCD的利用方式,以及成功攻击的关键因素,包括LDAP未强制签名和可以添加机器的权限。 本文介绍了对Windows服务器(IP地址:10.129.238.9)的安全性分析和渗透测试过程。通过Nmap扫描,发现多个开放端口及其服务,包括FTP、HTTP、Kerberos等。利用匿名FTP访问和分析服务账号进行AS-REP Roasting攻击,获取服务账号的凭据。通过SMB枚举发现写权限,并利用Zip Slip漏洞进行DLL劫持,最终成功获取用户和管理员权限。文章总结了KrbRelay和RBCD的利用方式,以及成功攻击的关键因素,包括LDAP未强制签名和可以添加机器的权限。
#MSSQL 2
htb darkzero htb darkzero
利用官方凭据登录 MSSQL,链式利用 xp_cmdshell 横向移动,结合 CVE-2024-30088 本地提权,最终通过 Kerberos 票据劫持与 DCSync 拿到域控 shell。 利用官方凭据登录 MSSQL,链式利用 xp_cmdshell 横向移动,结合 CVE-2024-30088 本地提权,最终通过 Kerberos 票据劫持与 DCSync 拿到域控 shell。
htb eighteen htb eighteen
本文介绍了针对Windows操作系统的安全攻防技术,主要通过默认凭据的利用和Active Directory的权限提升来实现入侵。首先,使用默认凭据登录Mssql并枚举Web管理账户的哈希值。接着,利用NetExec破解出计算机用户,进行密码喷洒,发现Active Directory并进行枚举。文章详细描述了如何创建和管理dMSA账户以实现权限提升,使用Rubeus工具请求票据,并提供了完整的清理脚本以删除攻击痕迹。最终,文中强调了系统重启作为彻底清理的方法。 本文介绍了针对Windows操作系统的安全攻防技术,主要通过默认凭据的利用和Active Directory的权限提升来实现入侵。首先,使用默认凭据登录Mssql并枚举Web管理账户的哈希值。接着,利用NetExec破解出计算机用户,进行密码喷洒,发现Active Directory并进行枚举。文章详细描述了如何创建和管理dMSA账户以实现权限提升,使用Rubeus工具请求票据,并提供了完整的清理脚本以删除攻击痕迹。最终,文中强调了系统重启作为彻底清理的方法。
#SSRF 2
htb devarea htb devarea
利用 Apache CXF SSRF 漏洞结合 RCE 获取 shell,再借助 world-writable /bin/bash 与 syswatch.sh 的 sudo 执行点提权至 root。 利用 Apache CXF SSRF 漏洞结合 RCE 获取 shell,再借助 world-writable /bin/bash 与 syswatch.sh 的 sudo 执行点提权至 root。
htb browsed htb browsed
本篇文章详细介绍了在Linux系统上进行信息收集和漏洞分析的过程。通过Nmap扫描识别出开放的SSH和HTTP端口,随后分析了浏览器功能及上传插件的能力。利用SSRF攻击,作者展示了如何通过JavaScript执行命令,并利用系统中的Bash脚本实现代码注入。文章还探讨了权限提升的方法,尤其是Python字节码劫持,最终成功获取了root权限。整篇内容强调了安全测试和漏洞利用的实际应用与学习经验。 本篇文章详细介绍了在Linux系统上进行信息收集和漏洞分析的过程。通过Nmap扫描识别出开放的SSH和HTTP端口,随后分析了浏览器功能及上传插件的能力。利用SSRF攻击,作者展示了如何通过JavaScript执行命令,并利用系统中的Bash脚本实现代码注入。文章还探讨了权限提升的方法,尤其是Python字节码劫持,最终成功获取了root权限。整篇内容强调了安全测试和漏洞利用的实际应用与学习经验。
#路径遍历 2
htb variaType htb variaType
通过 CVE-2025-66034(fonttools 路径遍历)写入 PHP webshell 获得立足点,经 Git 泄露凭证登录 portal,利用 FontForge 命令注入提权至 steve,再经 CVE-2025-47273(setuptools 路径欺骗)写入 SSH 公钥获得 root 通过 CVE-2025-66034(fonttools 路径遍历)写入 PHP webshell 获得立足点,经 Git 泄露凭证登录 portal,利用 FontForge 命令注入提权至 steve,再经 CVE-2025-47273(setuptools 路径欺骗)写入 SSH 公钥获得 root
路径遍历 路径遍历
本文详细解析了路径遍历(也称目录遍历)漏洞的核心原理、实际危害与修复方案。该漏洞源于应用程序未对用户传入的文件路径参数进行严格的安全过滤,导致攻击者可利用诸如 ../ 的跳转序列突破预设目录,越权读取服务器上的任意敏感文件(如密码文件、源代码等),在特定条件下甚至能引发远程代码执行(RCE)。防御此漏洞的关键在于避免将用户输入直接传递给文件API,并结合白名单输入验证与底层路径规范化(Canonicalization)进行双重校验。 本文详细解析了路径遍历(也称目录遍历)漏洞的核心原理、实际危害与修复方案。该漏洞源于应用程序未对用户传入的文件路径参数进行严格的安全过滤,导致攻击者可利用诸如 ../ 的跳转序列突破预设目录,越权读取服务器上的任意敏感文件(如密码文件、源代码等),在特定条件下甚至能引发远程代码执行(RCE)。防御此漏洞的关键在于避免将用户输入直接传递给文件API,并结合白名单输入验证与底层路径规范化(Canonicalization)进行双重校验。
#栈溢出 2
mazesec ezai2 mazesec ezai2
这是一份思路清晰的靶机渗透实战笔记,涵盖从 Web 打点到 Root 提权的全流程。首先,攻击者通过分析 WebAssembly (Wasm) 状态机代码,直接在控制台伪造对弈步数和加密证明,成功绕过前端井字棋逻辑获取初始权限 。随后,利用 sudo 配置缺陷与 /opt/ 目录的可写权限,通过 Python 标准库劫持(伪造 random.py)顺利横向移动至 yolo 用户 。最后,针对存在栈缓冲溢出的 waityou 二进制程序,借助 Pwntools 编写了两阶段 Ret2libc 漏洞利用代码,成功绕过 NX 保护拿下 Root 权限 。 这是一份思路清晰的靶机渗透实战笔记,涵盖从 Web 打点到 Root 提权的全流程。首先,攻击者通过分析 WebAssembly (Wasm) 状态机代码,直接在控制台伪造对弈步数和加密证明,成功绕过前端井字棋逻辑获取初始权限 。随后,利用 sudo 配置缺陷与 /opt/ 目录的可写权限,通过 Python 标准库劫持(伪造 random.py)顺利横向移动至 yolo 用户 。最后,针对存在栈缓冲溢出的 waityou 二进制程序,借助 Pwntools 编写了两阶段 Ret2libc 漏洞利用代码,成功绕过 NX 保护拿下 Root 权限 。
Bof Bof
本文记录了 pwnable.kr 中 bof 题目的解题过程。核心漏洞在于程序使用了不安全的 gets() 函数且未做长度校验,导致经典的栈溢出漏洞 。通过使用 GDB 进行动态调试,计算出用户输入缓冲区的起始地址与目标变量 key 的内存地址之间的偏移量为 52 个字节。最终,利用 Python 的 pwntools 库编写 EXP,向远程端口发送构造好的 Payload(52 字节的无用字符填充 + 目标值 0xcafebabe),成功覆盖关键变量并获取了交互式 Shell。 本文记录了 pwnable.kr 中 bof 题目的解题过程。核心漏洞在于程序使用了不安全的 gets() 函数且未做长度校验,导致经典的栈溢出漏洞 。通过使用 GDB 进行动态调试,计算出用户输入缓冲区的起始地址与目标变量 key 的内存地址之间的偏移量为 52 个字节。最终,利用 Python 的 pwntools 库编写 EXP,向远程端口发送构造好的 Payload(52 字节的无用字符填充 + 目标值 0xcafebabe),成功覆盖关键变量并获取了交互式 Shell。
#CVE-2023-43208 2
NextGen Healthcare Mirth Connect NextGen Healthcare Mirth Connect
CVE-2023-43208 是 NextGen Healthcare Mirth Connect 平台中的一个极危(CVSS 9.8)未授权远程代码执行(RCE)漏洞。其根源在于 XStream 库对 XML 数据反序列化处理不当,本质是对早期漏洞(CVE-2023-37679)黑名单修复的绕过。攻击者可通过 API 发送恶意 XML 载荷,在无需认证的情况下以系统最高权限执行任意命令,严重威胁受保护的健康信息(PHI)等核心数据。该漏洞已被广泛利用,建议用户立即升级至 4.4.1 或更高版本,以启用更安全的显式白名单机制。 CVE-2023-43208 是 NextGen Healthcare Mirth Connect 平台中的一个极危(CVSS 9.8)未授权远程代码执行(RCE)漏洞。其根源在于 XStream 库对 XML 数据反序列化处理不当,本质是对早期漏洞(CVE-2023-37679)黑名单修复的绕过。攻击者可通过 API 发送恶意 XML 载荷,在无需认证的情况下以系统最高权限执行任意命令,严重威胁受保护的健康信息(PHI)等核心数据。该漏洞已被广泛利用,建议用户立即升级至 4.4.1 或更高版本,以启用更安全的显式白名单机制。
htb interpreter htb interpreter
这是一份清晰完整的渗透测试(CTF靶机)实战笔记,记录了从初始访问到提权的完整攻击链路。攻击者首先通过Nmap扫描发现目标运行了 Mirth Connect 服务,并直接利用 CVE-2023-43208 漏洞实现未授权远程代码执行(RCE)获取打点权限 。在后渗透阶段,攻击者通过读取本地配置文件获取数据库凭据,提取出PBKDF2格式的密码哈希,并使用Hashcat成功破解出明文密码。最后,在提权阶段,攻击者分析本地运行的Python脚本(notif.py)时发现了 eval() 函数的格式化字符串注入漏洞。通过巧妙使用Base64编码执行系统命令,成功绕过了极其严格的正则表达式限制,利用XML payload创建了SUID bash,最终顺利拿下Root权限 。 这是一份清晰完整的渗透测试(CTF靶机)实战笔记,记录了从初始访问到提权的完整攻击链路。攻击者首先通过Nmap扫描发现目标运行了 Mirth Connect 服务,并直接利用 CVE-2023-43208 漏洞实现未授权远程代码执行(RCE)获取打点权限 。在后渗透阶段,攻击者通过读取本地配置文件获取数据库凭据,提取出PBKDF2格式的密码哈希,并使用Hashcat成功破解出明文密码。最后,在提权阶段,攻击者分析本地运行的Python脚本(notif.py)时发现了 eval() 函数的格式化字符串注入漏洞。通过巧妙使用Base64编码执行系统命令,成功绕过了极其严格的正则表达式限制,利用XML payload创建了SUID bash,最终顺利拿下Root权限 。
#MirthConnect 2
NextGen Healthcare Mirth Connect NextGen Healthcare Mirth Connect
CVE-2023-43208 是 NextGen Healthcare Mirth Connect 平台中的一个极危(CVSS 9.8)未授权远程代码执行(RCE)漏洞。其根源在于 XStream 库对 XML 数据反序列化处理不当,本质是对早期漏洞(CVE-2023-37679)黑名单修复的绕过。攻击者可通过 API 发送恶意 XML 载荷,在无需认证的情况下以系统最高权限执行任意命令,严重威胁受保护的健康信息(PHI)等核心数据。该漏洞已被广泛利用,建议用户立即升级至 4.4.1 或更高版本,以启用更安全的显式白名单机制。 CVE-2023-43208 是 NextGen Healthcare Mirth Connect 平台中的一个极危(CVSS 9.8)未授权远程代码执行(RCE)漏洞。其根源在于 XStream 库对 XML 数据反序列化处理不当,本质是对早期漏洞(CVE-2023-37679)黑名单修复的绕过。攻击者可通过 API 发送恶意 XML 载荷,在无需认证的情况下以系统最高权限执行任意命令,严重威胁受保护的健康信息(PHI)等核心数据。该漏洞已被广泛利用,建议用户立即升级至 4.4.1 或更高版本,以启用更安全的显式白名单机制。
htb interpreter htb interpreter
这是一份清晰完整的渗透测试(CTF靶机)实战笔记,记录了从初始访问到提权的完整攻击链路。攻击者首先通过Nmap扫描发现目标运行了 Mirth Connect 服务,并直接利用 CVE-2023-43208 漏洞实现未授权远程代码执行(RCE)获取打点权限 。在后渗透阶段,攻击者通过读取本地配置文件获取数据库凭据,提取出PBKDF2格式的密码哈希,并使用Hashcat成功破解出明文密码。最后,在提权阶段,攻击者分析本地运行的Python脚本(notif.py)时发现了 eval() 函数的格式化字符串注入漏洞。通过巧妙使用Base64编码执行系统命令,成功绕过了极其严格的正则表达式限制,利用XML payload创建了SUID bash,最终顺利拿下Root权限 。 这是一份清晰完整的渗透测试(CTF靶机)实战笔记,记录了从初始访问到提权的完整攻击链路。攻击者首先通过Nmap扫描发现目标运行了 Mirth Connect 服务,并直接利用 CVE-2023-43208 漏洞实现未授权远程代码执行(RCE)获取打点权限 。在后渗透阶段,攻击者通过读取本地配置文件获取数据库凭据,提取出PBKDF2格式的密码哈希,并使用Hashcat成功破解出明文密码。最后,在提权阶段,攻击者分析本地运行的Python脚本(notif.py)时发现了 eval() 函数的格式化字符串注入漏洞。通过巧妙使用Base64编码执行系统命令,成功绕过了极其严格的正则表达式限制,利用XML payload创建了SUID bash,最终顺利拿下Root权限 。
#python 2
htb interpreter htb interpreter
这是一份清晰完整的渗透测试(CTF靶机)实战笔记,记录了从初始访问到提权的完整攻击链路。攻击者首先通过Nmap扫描发现目标运行了 Mirth Connect 服务,并直接利用 CVE-2023-43208 漏洞实现未授权远程代码执行(RCE)获取打点权限 。在后渗透阶段,攻击者通过读取本地配置文件获取数据库凭据,提取出PBKDF2格式的密码哈希,并使用Hashcat成功破解出明文密码。最后,在提权阶段,攻击者分析本地运行的Python脚本(notif.py)时发现了 eval() 函数的格式化字符串注入漏洞。通过巧妙使用Base64编码执行系统命令,成功绕过了极其严格的正则表达式限制,利用XML payload创建了SUID bash,最终顺利拿下Root权限 。 这是一份清晰完整的渗透测试(CTF靶机)实战笔记,记录了从初始访问到提权的完整攻击链路。攻击者首先通过Nmap扫描发现目标运行了 Mirth Connect 服务,并直接利用 CVE-2023-43208 漏洞实现未授权远程代码执行(RCE)获取打点权限 。在后渗透阶段,攻击者通过读取本地配置文件获取数据库凭据,提取出PBKDF2格式的密码哈希,并使用Hashcat成功破解出明文密码。最后,在提权阶段,攻击者分析本地运行的Python脚本(notif.py)时发现了 eval() 函数的格式化字符串注入漏洞。通过巧妙使用Base64编码执行系统命令,成功绕过了极其严格的正则表达式限制,利用XML payload创建了SUID bash,最终顺利拿下Root权限 。
CVE-2025-4517(tarfile) CVE-2025-4517(tarfile)
CVE-2025-4517是一个严重的路径遍历漏洞,影响Python标准库中的tarfile模块。该漏洞允许攻击者通过恶意构造的.tar文件,将文件写入到系统的任意路径,导致敏感文件被覆盖和系统被完全接管。受影响的版本在Python 3.14及以上中默认启用的filter设置使得这一风险更为严重。修复版本已在多个Python更新中发布,建议用户升级到安全补丁版本并在解压时实施严格的路径校验和零信任原则。 CVE-2025-4517是一个严重的路径遍历漏洞,影响Python标准库中的tarfile模块。该漏洞允许攻击者通过恶意构造的.tar文件,将文件写入到系统的任意路径,导致敏感文件被覆盖和系统被完全接管。受影响的版本在Python 3.14及以上中默认启用的filter设置使得这一风险更为严重。修复版本已在多个Python更新中发布,建议用户升级到安全补丁版本并在解压时实施严格的路径校验和零信任原则。
#路径劫持 2
htb facts htb facts
本文介绍了如何利用CVE-2024-46987漏洞,通过合法用户名和密码登录Camaleon CMS的后台,读取服务器上的任意文件,包括提取/etc/passwd和用户的SSH私钥。利用提取的SSH私钥成功登录用户trivia,接着通过sudo权限执行facter命令获取root权限。文章详细记录了信息收集、漏洞利用、用户权限提升的整个过程,并总结了所学到的经验教训。 本文介绍了如何利用CVE-2024-46987漏洞,通过合法用户名和密码登录Camaleon CMS的后台,读取服务器上的任意文件,包括提取/etc/passwd和用户的SSH私钥。利用提取的SSH私钥成功登录用户trivia,接着通过sudo权限执行facter命令获取root权限。文章详细记录了信息收集、漏洞利用、用户权限提升的整个过程,并总结了所学到的经验教训。
htb writeup htb writeup
本文介绍了如何在Linux环境中利用CVE-2019-9053漏洞进行渗透测试。首先,通过Nmap扫描获取目标主机的信息,包括开放的SSH和HTTP端口。接着,通过访问Web界面和robots.txt文件发现了使用的CMS。利用漏洞获取用户凭据后,成功通过SSH登录。随后,通过检查权限,发现可以利用路径劫持进行特权升级,最终获得root权限。最后,总结了在此过程中学到的经验教训。 本文介绍了如何在Linux环境中利用CVE-2019-9053漏洞进行渗透测试。首先,通过Nmap扫描获取目标主机的信息,包括开放的SSH和HTTP端口。接着,通过访问Web界面和robots.txt文件发现了使用的CMS。利用漏洞获取用户凭据后,成功通过SSH登录。随后,通过检查权限,发现可以利用路径劫持进行特权升级,最终获得root权限。最后,总结了在此过程中学到的经验教训。
#Python 字节码劫持 2
htb browsed htb browsed
本篇文章详细介绍了在Linux系统上进行信息收集和漏洞分析的过程。通过Nmap扫描识别出开放的SSH和HTTP端口,随后分析了浏览器功能及上传插件的能力。利用SSRF攻击,作者展示了如何通过JavaScript执行命令,并利用系统中的Bash脚本实现代码注入。文章还探讨了权限提升的方法,尤其是Python字节码劫持,最终成功获取了root权限。整篇内容强调了安全测试和漏洞利用的实际应用与学习经验。 本篇文章详细介绍了在Linux系统上进行信息收集和漏洞分析的过程。通过Nmap扫描识别出开放的SSH和HTTP端口,随后分析了浏览器功能及上传插件的能力。利用SSRF攻击,作者展示了如何通过JavaScript执行命令,并利用系统中的Bash脚本实现代码注入。文章还探讨了权限提升的方法,尤其是Python字节码劫持,最终成功获取了root权限。整篇内容强调了安全测试和漏洞利用的实际应用与学习经验。
htb conversor htb conversor
本文介绍了如何通过在Linux系统上利用漏洞获取访问权限的过程。通过查看Web代码发现XSLT未安全设置,攻击者能够上传恶意Python脚本以获得初步控制。接着,通过获取SSH凭据和利用特定的Python库,攻击者可以进一步提升权限。文中详细描述了使用Nmap进行端口扫描、识别服务,以及构造和上传恶意负载的步骤,最终实现从普通用户提升到root用户的过程。 本文介绍了如何通过在Linux系统上利用漏洞获取访问权限的过程。通过查看Web代码发现XSLT未安全设置,攻击者能够上传恶意Python脚本以获得初步控制。接着,通过获取SSH凭据和利用特定的Python库,攻击者可以进一步提升权限。文中详细描述了使用Nmap进行端口扫描、识别服务,以及构造和上传恶意负载的步骤,最终实现从普通用户提升到root用户的过程。
#SSTI 2
htb goodgames htb goodgames
本篇文章介绍了针对GoodGames靶场的渗透测试过程。首先,通过信息收集发现了开放的端口,并在登录时发现了SQL注入漏洞。利用sqlmap获取了管理员账户信息并成功登录。随后,进行了SSTI注入,进入了Docker容器。通过扫描Docker主机的开放端口,发现SSH服务可用,使用超级管理员密码登录到用户augustus。接着,通过修改容器内的文件权限,成功进行了Docker逃逸,获取了Root权限,并最终获得了Root标志。整个过程展示了从信息收集到提权的完整攻击链。 本篇文章介绍了针对GoodGames靶场的渗透测试过程。首先,通过信息收集发现了开放的端口,并在登录时发现了SQL注入漏洞。利用sqlmap获取了管理员账户信息并成功登录。随后,进行了SSTI注入,进入了Docker容器。通过扫描Docker主机的开放端口,发现SSH服务可用,使用超级管理员密码登录到用户augustus。接着,通过修改容器内的文件权限,成功进行了Docker逃逸,获取了Root权限,并最终获得了Root标志。整个过程展示了从信息收集到提权的完整攻击链。
htb hacknet htb hacknet
本篇文章介绍了对HackNet的渗透测试过程。首先,通过SSTI(服务器端模板注入)漏洞获取用户信息,并利用Python脚本抓取凭据。接着,发现Django的缓存目录可写,从而利用Django文件缓存进行远程代码执行。之后,通过破解私钥和GPG加密文件,获得了数据库备份的访问权限,最终成功获取到root用户的凭据。整个过程展示了渗透测试中的漏洞利用和权限提升技术。 本篇文章介绍了对HackNet的渗透测试过程。首先,通过SSTI(服务器端模板注入)漏洞获取用户信息,并利用Python脚本抓取凭据。接着,发现Django的缓存目录可写,从而利用Django文件缓存进行远程代码执行。之后,通过破解私钥和GPG加密文件,获得了数据库备份的访问权限,最终成功获取到root用户的凭据。整个过程展示了渗透测试中的漏洞利用和权限提升技术。
#Tomcat 2
htb jerry htb jerry
本文介绍了针对名为“Jerry”的靶机的渗透测试过程。使用Nmap工具扫描目标IP,发现8080端口开放,运行Apache Tomcat。通过默认凭据“tomcat:s3cret”登录应用管理器,上传WAR文件以获取shell。最终,在Windows系统上成功获取用户和根目录下的flag,分别为user.txt和root.txt,包含相应的哈希值。 本文介绍了针对名为“Jerry”的靶机的渗透测试过程。使用Nmap工具扫描目标IP,发现8080端口开放,运行Apache Tomcat。通过默认凭据“tomcat:s3cret”登录应用管理器,上传WAR文件以获取shell。最终,在Windows系统上成功获取用户和根目录下的flag,分别为user.txt和root.txt,包含相应的哈希值。
htb strutted htb strutted
本文介绍了针对运行Apache Struts的应用程序的渗透测试过程。首先,通过nikto工具对目标网站进行枚举,发现运行在Tomcat上的应用。接着,利用CVE-2024-53677漏洞进行文件上传攻击,以实现远程代码执行(RCE)。文章详细描述了如何构建和测试payload,并提供了反向连接的步骤。最后,讨论了在特权提升过程中使用tcpdump的技巧,以及Struts2中的OGNL参数绑定机制的关键点。 本文介绍了针对运行Apache Struts的应用程序的渗透测试过程。首先,通过nikto工具对目标网站进行枚举,发现运行在Tomcat上的应用。接着,利用CVE-2024-53677漏洞进行文件上传攻击,以实现远程代码执行(RCE)。文章详细描述了如何构建和测试payload,并提供了反向连接的步骤。最后,讨论了在特权提升过程中使用tcpdump的技巧,以及Struts2中的OGNL参数绑定机制的关键点。