GreenHorn Writeup
GreenHorn 是一个 Easy 等级的简单机器,通过公共代码库中的泄露项目获取加的密码,对其进行碰撞枚举得到明文。随后利用 Pluck 中的漏洞实现远程代码执行,还原马斯克信息获取 root 凭据。
Read More >>HVV 还没结束呢,我阿里云账号被冻结了?
昨晚九点,完成了一天的 HV 值守工作回家,澡都没冲就来码这篇文章。怕时间久了会忘记一些东西,导致故事线会串不上。 事情的起因是早上心血来潮,想着自己博客域名是不是要续费了,就尝试登录阿里云查看域名续费时间。谁曾想填写完账号密码就提示:“您的阿里云账号冻结”...
Read More >>Shared Writeup
Shared 是一个 Medium 难度的 Linux 机器,其特点是通过一个 Cookie SQL 注入可以得到一个立足点,然后通过逆向分析 Golang 二进制文件并利用两个 CVE 获得 root shell 来升级权限。
Read More >>RedPanda Writeup
RedPanda 是一款 Easy 等级的 Linux 机器,其网站搜索引擎使用 Java Spring Boot 框架制作。该搜索引擎存在服务器端模板注入漏洞,可被利用来以用户 woodenk 的身份获得一个 shell。枚举系统上运行的进程,可以发现一个以用户 root 身份作为 cron 作业运行的 Java程序。查看该程序的源代码后,我们可以确定它存在 XXE 漏洞。利用 cron 作业中的 XXE 漏洞,我们可以获取 root 用户的 SSH 私钥,从而实现权限提升。然后...
Read More >>Carpediem Writeup
Carpediem 是一个 HARD 难度 Linux 机器,专注于枚举、网络开发、VoIP、网络嗅探和容器突破。最初的立足点是通过滥用定制网络应用程序中一些仍在开发中的功能,访问管理仪表板,通过修改 POST 请求上传 WebShell,从而在 Docker 容器内执行任意代码。枚举 Trudesk 票据可获得 VoIP 凭据,进而通过监听语音邮件信息获取用户密码,从而以低权限的 SSH 访问系统。嗅探 TLS 加密流量会显示访问 Backdrop CMS 内部实例的凭据,通过上传自定义模块...
Read More >>Faculty Writeup
Faculty 是一台 Medium 等级的 Linux 机器,其特点是利用危险的 PHP 组件库,利用该库的本地文件读取可发现一个有效密码,该密码可用于通过 SSH 已 gbyolo 低用户身份进行登录。用户 gbyolo 有权作为 developer 用户运行名为 meta git 的 npm 包。而此服务器上安装的 meta git 版本易受代码注入的攻击,可以利用该版本将权限提升给用户 developer。
Read More >>Talkative Writeup
Talkative 是一个 Hard 等级的 Linux 机器,它首先在 Web 应用程序中存在注入命令,通过该漏洞可以进入 Jamovi 应用 docker 并在其中找到一个 omv 文件。解压这个 omv 文件后就得到了 Bolt CMS 中 admin 用户的凭据。继续通过利用 twig 中的服务器端模板注入,我们以用户 www-data 的身份获得了 shell 做为立足点。进一步对主机信息收集枚举,在主机上获得了用户 saul 的 shell 完成横移。对于 root,我们需要利用端口转发连接
Read More >>Acute Writeup
Acute 是一台 Hard 难度的 Windows 机器,从端口 `443` 上的网站开始。该网站的证书显示了一个域名 `atsserver.active.local` 。环顾网站,有几名员工被提及,有了这些信息,就可以在远程机器上构建一个可能的用户列表。列举一下网站,就会发现一份表格,里面有关于公司新员工的程序。
Read More >>StreamIO Writeup
StreamIO 是一个 Medium 难度的机器,它涵盖子域枚举,可以利用 SQL 注入以检索存储的用户凭据,并利用这些凭据访问管理面板。管理面板易受 LFI 影响,这使我们能够检索管理页面的源代码,从而发现远程文件包含漏洞,滥用该漏洞可访问系统。在初始 shell 之后,我们利用 SQLCMD 命令行实用程序枚举数据库并获取横向移动中使用的更多凭证。作为二级用户,我们使用 `WinPEAS` 枚举系统并找到已保存的浏览器数据库,对其进行解码,从而获得新的凭据。
Read More >>Scrambled Writeup
Scrambled 是一台中等级的 Windows Active Directory 计算机。通过枚举远程计算机上托管的网站,潜在攻击者能够推断出用户 ksimpson 的凭据。在网站上,还指出 NTLM 身份验证被禁用,这意味着要使用 Kerberos 身份验证。使用 ksimpson 凭据访问 Public共享时,一个 PDF 文件表示攻击者检索到了 SQL 数据库的凭据。这是一个提示,表明远程计算机上正在运行 SQL......
Read More >>Trick Writeup
使用 Nmap 对目标服务器开放端口进行识别,通过 DNS 服务域传送漏洞得到子域名站点,在该站点发现 SQL 注入漏洞。利用文件读取发现另一子站点还存在本地脚本加载漏洞,最终使用读取到的用户ssh私钥成功登录目标服务器。 简单枚举发现存在 Fail2Ban 服务,并且用户具备重启 Fail2Ban 服务和修改该服务的规则配置文件。最后,利用该服务成功完成权限提升。
Read More >>Noter Writeup
使用 Nmap 扫描目标服务器开放端口,发现 5000 端口存在 Web 服务。对其进行分析发现 Cookie 存在授信会话伪造,利用该风险结合用户枚举成功登录控制台。在控制消息列表中找到 FTP 登录账号,进一步在 FTP 文件 PDF 中找到默认口令生成规则,成功已 ftp_admin 身份得到 Web 服务源代码备份压缩包。经过代码审计成功找到命令注入,成功拿到初步的立足点。最终通过信息收集发现 mysql udf 攻击路径,完成权限提升。
Read More >>Catch Writeup
使用 Nmap 扫描目标服务器开放端口,从页面下载 APK 包进行分析发现存在密钥硬编码,通过回话固定 Token 成功访问 lets-chat Web 服务 API 接口。对接口进行枚举发现一组口令,使用该口令登录 Cachet Web 服务后台。在后台找找到 SSIT 漏洞,利用命令执行拿到初步立足点。 通过查看环境变量得到 will 用户密码,成功完成横向移动并逃逸出了 Docker 容器。最终通过监听计划任务分析执行脚本,完成命令注入拿到 root 交互 shell。
Read More >>Undetected Writeup
使用 Nmap 对目标服务器开放端口进行扫描,在 Web 页面中找到二级域名并进行路径枚举。发现 phpunit 组件存在任意文件写入,利用该漏洞成功获得目标服务器立足点。随后通过文件搜索发现可疑的进程 dump 文件,从中提取出密码哈希并进行明文密码枚举,成功完成账号的横向移动。通过查看用户的邮箱详情内容,排查 apache 服务在组件 Model 中发现可疑的 bash 命令。进一步分析 bash 命令得到存在 sshd 服务后门二进制文件。最终结合逆向分析得到后门 ssh 登录密码,完成权限提升。
Read More >>OpenSource Writeup
使用 nmap 扫描目标服务器开放端口,浏览 Web 服务下载站点源代码进行本地代码审计。发现 Werkzeug 框架的 Debug 功能被保留,但需要 PIN 码。最终通过代码审计中找到的任意文件读取漏洞,成功还原 PIN 码并运行 Python 命令拿到初步的立足点。 通过在容器中运行端口转发工具,使用 SOCKS5 代理访问宿主机上的 Gitea 服务,找到 dev01 用户的私钥,使用该私钥成功 ssh 登录宿主机。最终通过 git hook 特性完成权限提升。
Read More >>