RedPanda Writeup
RedPanda 是一款 Easy 等级的 Linux 机器,其网站搜索引擎使用 Java Spring Boot 框架制作。该搜索引擎存在服务器端模板注入漏洞,可被利用来以用户 woodenk 的身份获得一个 shell。枚举系统上运行的进程,可以发现一个以用户 root 身份作为 cron 作业运行的 Java程序。查看该程序的源代码后,我们可以确定它存在 XXE 漏洞。利用 cron 作业中的 XXE 漏洞,我们可以获取 root 用户的 SSH 私钥,从而实现权限提升。然后...
Read More >>Faculty Writeup
Faculty 是一台 Medium 等级的 Linux 机器,其特点是利用危险的 PHP 组件库,利用该库的本地文件读取可发现一个有效密码,该密码可用于通过 SSH 已 gbyolo 低用户身份进行登录。用户 gbyolo 有权作为 developer 用户运行名为 meta git 的 npm 包。而此服务器上安装的 meta git 版本易受代码注入的攻击,可以利用该版本将权限提升给用户 developer。
Read More >>Scrambled Writeup
Scrambled 是一台中等级的 Windows Active Directory 计算机。通过枚举远程计算机上托管的网站,潜在攻击者能够推断出用户 ksimpson 的凭据。在网站上,还指出 NTLM 身份验证被禁用,这意味着要使用 Kerberos 身份验证。使用 ksimpson 凭据访问 Public共享时,一个 PDF 文件表示攻击者检索到了 SQL 数据库的凭据。这是一个提示,表明远程计算机上正在运行 SQL......
Read More >>Noter Writeup
使用 Nmap 扫描目标服务器开放端口,发现 5000 端口存在 Web 服务。对其进行分析发现 Cookie 存在授信会话伪造,利用该风险结合用户枚举成功登录控制台。在控制消息列表中找到 FTP 登录账号,进一步在 FTP 文件 PDF 中找到默认口令生成规则,成功已 ftp_admin 身份得到 Web 服务源代码备份压缩包。经过代码审计成功找到命令注入,成功拿到初步的立足点。最终通过信息收集发现 mysql udf 攻击路径,完成权限提升。
Read More >>Catch Writeup
使用 Nmap 扫描目标服务器开放端口,从页面下载 APK 包进行分析发现存在密钥硬编码,通过回话固定 Token 成功访问 lets-chat Web 服务 API 接口。对接口进行枚举发现一组口令,使用该口令登录 Cachet Web 服务后台。在后台找找到 SSIT 漏洞,利用命令执行拿到初步立足点。 通过查看环境变量得到 will 用户密码,成功完成横向移动并逃逸出了 Docker 容器。最终通过监听计划任务分析执行脚本,完成命令注入拿到 root 交互 shell。
Read More >>OpenSource Writeup
使用 nmap 扫描目标服务器开放端口,浏览 Web 服务下载站点源代码进行本地代码审计。发现 Werkzeug 框架的 Debug 功能被保留,但需要 PIN 码。最终通过代码审计中找到的任意文件读取漏洞,成功还原 PIN 码并运行 Python 命令拿到初步的立足点。 通过在容器中运行端口转发工具,使用 SOCKS5 代理访问宿主机上的 Gitea 服务,找到 dev01 用户的私钥,使用该私钥成功 ssh 登录宿主机。最终通过 git hook 特性完成权限提升。
Read More >>Secret Writeup
通过 Nmap 对目标服务器进行开放端口枚举,发现对外暴漏两个开放 Web 服务,运行有 Node.js Web 应用程序。随后下载页面源代码压缩包至本地进行源代码审查,在 API 功能代码中找到命令执行的安全漏洞,通过编写的 Payload 成功拿到立足点。 对服务器环境信息进行收集,发现在 /opt 目录下存在 SUID 权限的二进制文件及 Code 源码。最终通过触发进程异常终止获得 core dump 文件,实现权限提升的文件读取。
Read More >>