F0ne's Blog

通过 SMB 未授权访问 向 DocumentsShare 目录上传恶意文件，配合 Responder 抓取用户 NET‑NTLM Hash 并使用 Hashcat 破解，获得 Anirudh 用户权限并获取用户旗帜；在权限提升阶段，一是利用 SeRestorePrivilege 实现本地提权直接获得 SYSTEM 权限，二是滥用 DEFAULT DOMAIN POLICY 的组策略写入权限将 A

通过诱导靶机 HTTP 服务访问 Responder 监听端口，成功捕获并破解 NET‑NTLM 认证数据，获取系统 enox 用户权限完成用户旗帜获取；随后利用 enox 用户对 SVC_APACHE$ 账户具备的 ReadGMSAPassword 权限读取 gMSA 凭据并切换身份，进一步滥用 SeRestorePrivilege 实施本地提权，最终获得 SYSTEM 权限并获取管理员旗帜。

通过 HTTP 文件上传黑名单绕过获取 svc_apache 用户权限，利用本地 Kerberoasting 横向移动至 svc_mssql 并获得用户权限；随后滥用 SeManageVolumePrivilege 实现本地权限提升至 SYSTEM，最终获得管理员权限。

利用 Simple PHP Photo Gallery 存在的远程文件包含漏洞获取 apache 用户权限，并通过访问 MySQL 数据库解密 users 表中的凭据成功获取 michael 用户密码，从而登录取得用户旗帜；随后发现 michael 用户对 /etc/passwd 文件具备写入权限，借此写入高权限账户完成本地权限提升，最终获得 root 权限并获取管理员旗帜。

利用 CS‑Cart 后台存在的远程代码执行漏洞获取 www‑data 用户权限并取得用户旗帜，随后通过弱口令获取 Patrick 用户凭据，发现其具备 sudo 执行权限，借此完成本地权限提升，最终获得 root 权限并获取管理员旗帜。

通过 FTP 匿名访问泄露的网站目录资源获取初始线索，一种方式是利用 Seacms 本地文件包含漏洞，另一种方式是直接枚举目录并访问泄露的 database.php 文件，成功获取 nicolas 用户凭据并取得用户旗帜；随后在权限提升阶段，一方面可通过继续枚举网站主目录发现 database.php 中泄露的 root 用户密码直接完成提权，另一方面通过 pspy 监控发现系统执行的 /bin/

利用 Ray OS 的远程代码执行漏洞直接获得系统 root 权限，完成管理员权限获取。

通过利用 PostgreSQL 服务弱口令并触发远程代码执行获取 postgresql 用户权限并取得用户旗帜，随后在本地枚举 SUID 程序时发现 find 具备 SUID 权限，借此滥用其特性完成权限提升，最终获得 root 权限并获取管理员旗帜。

利用 Remote Mouse 服务存在的远程命令执行漏洞获取 divine 用户权限并取得用户旗帜，随后通过解码 FileZilla 配置文件中的明文凭据实现 RDP 登录，在此基础上结合 Remote Mouse GUI 本地提权漏洞完成权限提升，最终获得 SYSTEM 权限并获取管理员旗帜。

通过 Web 信息收集并猜测用户凭证成功登录 Monstra CMS 后台，一种方式是直接在源码中写入 webshell，另一种方式是获取源码备份并提取 Mike 用户的密码哈希后分析其加密方式并使用 hashcat 破解，通过 RDP 登录获取 Mike 用户权限并取得用户旗帜；随后利用 xampp 存在的本地提权漏洞完成权限提升，最终获得 administrator 权限并获取管理员旗帜。