Paper Writeup
使用 **Nmap** 工具识别目标服务器开放端口,访问开放的 Web 服务并进行指纹识别和目录枚举。通过 **WordPress** 的历史漏洞阅读私有内容,使用邀请注册链接进入聊天服务器操作自动化 bot 进行文件读取,使用密码复用成功拿到立足点。最终通过 CVE-2021-3560 完成权限提升。
Read More >>GoodGames Writeup
使用 **Nmap** 对目标服务器进行开放端口扫描,访问 Web 服务并使用 **SQLi** 实现管理员账号登录。利用 SQLi 注入漏洞获取新域名系统的登录账号,使用得到的明文密码进入系统。通过中间件服务 **Flask** 框架信息判断存在 **SSTI** 漏洞,最终利用该漏洞进行命令执行成功得到立足点。 通过当前会话 Shell 身份和 IP 地址判断当前处于容器中,利用密码重用风险成功进入物理机环境。最终通过特殊的 **Docker Abuse** 成功完成权限提升。
Read More >>Olympus Writeup
通过 Nmap 扫描识别目标服务器开放端口。在 Web 服务返回请求数据库中发现存在 Xdebug RCE 漏洞,并成功通过该漏洞进入了目标服务器所运行的 Docker 容器中。在容器中发现运行有 airgeddon 项目并且保存有无线握手抓包,利用 hashcat 成功得到一组明文密码。
Read More >>Secret Writeup
通过 Nmap 对目标服务器进行开放端口枚举,发现对外暴漏两个开放 Web 服务,运行有 Node.js Web 应用程序。随后下载页面源代码压缩包至本地进行源代码审查,在 API 功能代码中找到命令执行的安全漏洞,通过编写的 Payload 成功拿到立足点。 对服务器环境信息进行收集,发现在 /opt 目录下存在 SUID 权限的二进制文件及 Code 源码。最终通过触发进程异常终止获得 core dump 文件,实现权限提升的文件读取。
Read More >>Nunchucks Writeup
使用 Nmap 对目标服务器开放端口进行枚举,将 Web 重定向中的域名写入 hosts 文件后进行访问,通过子域名枚举发现存在 SSTI 的漏洞应用,成功触发命令执行获得初步立足点。 利用 linpase 脚本进行深度信息收集,发现 perl 存在 Capability 权限提升风险,最终通过修改 perl 脚本并运行获得 root 权限。
Read More >>Antique Writeup
使用 Nmap 对目标服务器进行开放端口,通过 SNMP 服务协议获取 HP JetDirect 服务的密码,登录 JetDirect 服务后运行内置命令拿到立足点。将本地端口进行转发,并使用 CUPS 服务的历史漏洞读取 ROOT Flag。
Read More >>Apocalyst Writeup
通过 Nmap 识别目标服务器开放端口,浏览器查看Web服务知悉部署服务为 WordPress,使用该服务特定的扫描工具 wpscan 进行枚举发现后台登录账号用户名。使用 Cewl 抓取网站内容生成密码字典,随后进行登录枚举,成功进入应用后台。使用后台的主题编辑功能写入WebShell,成功拿到目标服务器的立足点。最后,使用滥用的文件权限操作成功完成权限提升。
Read More >>Europa Writeup
使用 Nmap 对目标服务器进行开放端口枚举,通过绑定本地 hosts 文件中的 htb 域名访问 HTTPS 服务。利用 SQLi 攻击登录管理系统,随后利用表单保存功能触发的 preg_replace 函数的PHP任意函数执行漏洞,成功拿到立足点。最终通过脆弱的定时任务执行,获得 ROOT 权限。
Read More >>Popcorn Writeup
通过对 Web 服务进行目录枚举成功找到隐藏站点,根据指纹信息在 exploit 中找的公开攻击方式,随后复现攻击步骤成功获取到目标服务器的交互会话。根据系统版本信息和内核信息过低,判断存在内核提权的可能性,最终使用编译的提权脚本完成本地权限提升。
Read More >>SneakyMailer Writeup
通过对目标服务器的开放端口进行枚举,发现运行的Web服务存在未授权访问,随后通过上面的服务信息得知目标服务器上运行了邮件服务。对的到的邮箱列表进行钓鱼攻击,成功捕获到一组用户邮箱账号,成功在里面找到开发用的账号密码信息,进一步成功连接FTP服务。 在FTP中上传PHP反弹SHELL获取交互会话,从枚举信息中发现脆弱的pypi服务,通过构建自定义库的方式触发恶意的供应链攻击,成功横移至 low 用户,最终通过脆弱的sudo配置完成root提权。
Read More >>Ophiuchi Writeup
通过使用 Nmap 枚举出目标服务的暴露端口,对运行在8080端口上的Web服务进行 Fuzzing得到错误堆栈,从堆栈信息中确定使用的 SnakeYaml 存在反序列化 RCE 漏洞,使用该漏洞成功获得在目标服务器上的立足点。 在 tomcat 配置文件中找到了 admin 用户的口令,随后进行 SSH 登录。对 SUDO 允许执行的GO脚本进行代码审计,最终构造可触发权限提升的 .wasm 文件。
Read More >>Nest-Writeup
通过 Nmap 对目标服务器进行开放端口扫描,在 SMB 共享目录 User 文件夹中可以得到多个用户名称。使用 `CrackMapExec` 工具枚举密码的 SMB 用户权限。使用 dnSpy 工具载入该执行文件进行代码分析。最终完成权限提升。
Read More >>Teacher-Writeup
使用 Nmap 对目标服务器开放端口进行扫描,发现仅存在一个开放端口运行着HTTP服务,通过对路径进行枚举发现存在二级站点。从首页的图片中发现隐写内容,使用枚举后的密码成功登录二级站点的管理后台。随后通过代码注入漏洞成功拿到立足点。 利用获取到的数据库连接信息成功读取到Giovanni用户的备份密码,还原成明文后成功横向移动至该用户shell。通过监听定时任务执行脚本发现root会执行备份脚本,利用创建链接完成对shadow文件内容的更改,使用自定义密码成功完成权限提升。
Read More >>Luanne-Writeup
通过对目标服务器进行Nmap扫描,识别出开放的HTTP服务信息并对目录进行枚举。对接口查询参数进入注入枚举,利用Lua脚本的代码注入成功执行系统命令获得立足点。 通过枚举 basic 认证配置得到r.michaels用户的明文密码,随后请求本地3001端口运行的HTTP服务得到用户的 id_rsa 文件,成功进行横向移动。最终通过 NetBSD 系统特有的 netpgp 命令,解密备份压缩包并解密明文完成权限提升。
Read More >>Haystack-Writeup
通过 nmap 对目标服务器进行开发端口扫描,识别两个端口运行着http服务。在首页的图片内容中提取到隐写内容,测试发现9200端口上运行的 ElasticSearch 存在未授权访问,并结合图片获取的关键字"clave",筛选出含 base64 的信息,使用解出的信息成功登录目标服务器取得立足点。
Read More >>