OSCP Job Write-up
通过向目标用户发送包含反弹 shell 的 LibreOffice 文档并诱导触发,成功获取 jack.black 用户权限并取得用户旗帜;随后在网站根目录写入 web shell 获得系统服务账号权限,进一步利用土豆类本地提权漏洞实现权限提升,最终获取 SYSTEM 权限并完成管理员权限获取。
F0ne's Blog
OSCP Lock Write-up
通过 Git 访问令牌泄露获取代码仓库权限并上传 web shell,成功获得 ellen.freeman 用户权限,随后解密 mRemoteNG 配置文件提取凭据并横向至 Gale.Dekarios 用户获取用户旗帜;在此基础上,利用 PDF24 Creator 存在的本地提权漏洞(UI 交互触发)实现权限提升,最终获得 SYSTEM 权限并完成管理员旗帜获取。
OSCP Build Write-up
通过 Rsync 枚举获取 Jenkins 源码并破解其凭据,横向至 Gitea 后台并篡改 Jenkinsfile 获取容器内 root 权限,从而获得用户权限;随后以容器为跳板访问仅内部可达的 MySQL 与 PowerDNS‑Admin,利用 MySQL 空口令解出后台凭据并配置 intern 域名解析,最终通过 rsh 无密码登录靶机,实现系统权限提升至 root 并获得管理员权限。
OSCP Forgotten Write-up
通过本地创建 MySQL 数据库初始化 LimeSurvey 应用并设置后台密码,利用后台添加恶意插件获取容器 limesvc 用户权限,进一步通过容器环境变量泄漏获取 limesvc 用户密码,从而获得容器 root 权限及宿主机 limesvc 用户权限并完成用户权限获取;随后利用容器与宿主机目录映射,将容器内 /bin/bash 复制至映射目录并赋予 SUID 权限,实现宿主机 root 权
OSCP Data Write-up
通过 Grafana 任意文件读取漏洞获取数据库中的 sqlite 文件并解密用户密码,从而获得 boris 用户权限并完成用户权限获取;随后滥用 docker exec 的 sudo 权限,为容器 shell 设置 privileged 特权并挂载宿主机根目录,通过修改 /etc/passwd 添加高权限账号,最终实现权限提升至 root 并获得管理员权限。
OSCP TombWatcher Write-up
通过 BloodHound 分析域内权限关系明确攻击路径,成功获取 John 用户权限并取得用户旗帜;随后恢复 cert_admin 账号并对 AD CS 证书模板进行安全审计,发现并利用 ESC15 模板配置漏洞完成权限滥用,最终获取域控管理员权限并完成管理员旗帜获取。
ligolo-MP(内网穿透、端口转发)
Ligolo-MP 是 Ligolo-ng 的高级版本,采用客户端- 服务器架构,使渗透测试人员能够协同操作多个并发隧道。它能够自动管理所有 TUN,并提供简洁的 GUI 来追踪所有内容。