F0ne's Blog

通过 Nmap 漏洞扫描脚本识别靶机 SMB 服务存在远程代码执行漏洞（CVE‑2009‑3103），成功利用后直接获得 SYSTEM 权限，完成管理员权限获取。

通过枚举 LDAP 服务中的用户描述信息泄露获取 fmcsorley 用户密码，利用 IIS 支持的 PUT 方法并结合 Authorization 头写入 WebShell，从而获得 IIS 服务账号权限并取得用户旗帜；随后利用 GodPotato 本地提权漏洞完成权限提升，最终获取 SYSTEM 权限并取得管理员旗帜。

通过在 LibreOffice ODT 文件中植入自动执行的反弹 shell 宏并上传触发，成功获取 thecybergeek 用户权限并获得用户权限；随后在网站根目录写入 PHP 反弹 shell 获取 Apache 用户权限，结合 GodPotato 实现权限提升至 SYSTEM，最终获得管理员权限。

通过 FTP 弱口令获取 .htpasswd 并破解得到 HTTP 认证凭据，上传 PHP 反弹 shell 获取 apache 用户权限并获得用户权限；随后利用 SeImpersonatePrivilege 结合 Juicy‑Potato，或通过 MS11‑046 本地提权漏洞进行编译利用，实现 SYSTEM 权限提升并最终获得管理员权限。

通过 SmarterMail 远程代码执行漏洞获取系统system权限。

利用 Maltrail 服务存在的未授权命令注入漏洞获取 snort 用户权限并取得用户旗帜，随后通过 pspy 进程监控发现系统定期执行的 /var/backups/etc_Backup.sh 脚本，向该脚本写入反弹 shell 实现权限提升，最终获得 root 权限并完成管理员旗帜获取。

通过 Prison Management System 的 SQL 注入漏洞获取后台权限并得到用户默认密码信息，随后利用文件上传漏洞写入 WebShell 获得 www-data 权限，再通过密码复用横向移动至 vmdak 用户并获取用户旗帜；之后对靶机进程与网络连接进行枚举，发现本地 8080 端口并转发至 Kali，确认运行 Jenkins 服务，利用任意文件读取漏洞读取后台凭据，登录 Jen

通过子域名与目录枚举定位 Simple Online Planning v1.52.01，获取 MySQL 凭据并分析源码绕过后台密码加密规则，修改管理员密码后触发 RCE 获取 www‑data 用户权限，结合 pspy 监控提取 jack 凭据并获得用户权限；随后利用 flask_password_changer 的 sudo 权限篡改应用代码触发反弹 shell，实现权限提升至 root，最

利用 Jorani 应用存在的远程代码执行漏洞获取 jordak 用户权限并取得用户旗帜，随后发现该用户对 env 具有 sudo 执行权限，借此滥用环境变量机制完成权限提升，最终获得 root 权限并获取管理员旗帜。

通过目录枚举发现 phpinfo 页面并获取 SPX 的版本与密钥信息，进一步利用 SPX 任意文件读取漏洞获取 Tiny File Manager 后台的加密凭据并使用 hashcat 破解，从而登录后台写入 webshell 获得 www‑data 用户权限；随后发现 Web Admin 密码复用并横向至 profiler 用户获取用户旗帜。在此基础上，利用 profiler 用户具备的 ma