youdiscovered1t

摘要： 本文记录 HackTheBox 靶机 Snapped 的完整渗透过程。通过端口扫描、域名解析与虚拟主机枚举发现 admin.snapped.htb，识别出 Nginx UI 2.3.2，并利用 /api/backup 接口未授权下载备份文件。随后通过响应头泄露的 AES Key 与 IV 解密备份，提取 SQLite 数据库中的 bcrypt 哈希，爆破得到 jonathan 用户密码并 SSH 登录。提权阶段利用 CVE-2026-3888 中 snap-confine 与 systemd-tmpfiles 的交互缺陷，最终获得 root 权限。 阅读全文

摘要： 本文基于信呼 OA 2.3.2 源码，对 CVE-2023-1773 进行完整复现与链路分析。不同于漏洞库中较为简略的“webmainConfig.php 代码注入”描述，本文从路由分发、父类鉴权覆盖、REIM 回调加密机制、默认密钥退化、SQL 注入、Session 中 adminname 的污染，到系统设置保存时写入 PHP 配置文件并最终触发代码执行，逐步还原该漏洞的真实成因。通过源码级追踪可以看到，该漏洞并非单点缺陷，而是多个设计与实现问题叠加后的结果：回调接口绕过普通 API token 校验、未配置 REIM 参数时密钥可预测、数据库操作未使用参数化查询、配置文件生成逻辑将用户相关字段直接拼接进 PHP 源码。本文旨在记录一次完整的 PHP 老系统源码审计过程，并总结其中值得关注的审计思路与防御启示。 阅读全文

摘要： 本文详细记录了 HackTheBox 靶机 Cap 的完整渗透过程。通过端口扫描发现目标运行 Gunicorn Web 应用及 FTP/SSH 服务。在 Web 端利用 IDOR 漏洞遍历 /data/0 越权下载其他用户的网络抓包文件（PCAP），经 Wireshark 流量分析提取出 FTP 明文凭据。利用账密复用成功通过 SSH 获得立足点，最终在系统内通过 getcap 发现 Python 3.8 被赋予了 cap_setuid 权限，借助 GTFOBins 完成 Linux Capabilities 提权，获得 root 权限并读取双 flag。 阅读全文

摘要： SecretVault 是第九届"强网杯"中的一道 Web 题。题目采用 Go + Flask 双层架构：Go 实现的 JWT 鉴权反向代理监听 5555 端口，负责解析 JWT、清洗请求头并向 Flask 后端（5000 端口）注入 X-User 身份标识。反代看似严密——会强制删除用户携带的 X-User、Authorization、Cookie 等敏感头，再根据 JWT 校验结果重新写入。然而漏洞藏于 Flask 的回退逻辑：当 X-User 头缺席时，后端默认将其视为 0，而非 anonymous，恰好满足绕过登录跳转至 /dashboard 的条件。利用 HTTP Connection 头的逐跳（hop-by-hop）语义，将 X-User 列入其中，即可令代理在转发时主动丢弃该字段，触发后端回退，无需伪造任何 JWT，即可以合法身份访问受保护页面，最终获取 flag。 阅读全文

摘要： 本文复盘了一次典型的多阶段内网靶场渗透过程。攻击起点是外网可访问的 Redis 2.8 未授权服务，利用其持久化落盘能力写入 SSH 公钥，直接获取 Ubuntu 跳板机 root 权限；随后通过内网信息搜集发现双网卡结构、Laravel 与通达 OA 等关键资产，并结合 Fscan、MS17-010 与 CVE-2021-3129 等入口逐步横向移动。在对内网主机的利用过程中，先后完成了 Windows 主机拿权、域环境识别、容器内 PATH 提权、Privileged 场景下的块设备挂载逃逸，以及对宿主机的进一步接管。最终，通过已有 foothold、代理链路与域凭证，成功进入域控并取得目标权限。全文重点不只在“打通”，也展示了每一步判断背后的依据、链路切换时的思路调整，以及在靶场环境与真实环境之间应如何区分“利用成功”和“论证成立”。 阅读全文

摘要： 本文为春秋云境「Initial」仿真靶场的完整渗透测试记录。从外网 80 端口入手，利用 ThinkPHP V5.0.23 RCE 漏洞获取 Webshell，通过 sudo 提权拿到 root 权限后上线 MSF；随后借助 Fscan 对 172.22.0.0/16 内网段进行扫描，发现域环境及多台主机；利用 MS17-010（永恒之蓝）攻陷域内 Windows 7 主机，通过 DCSync 攻击导出全域 NTLM Hash，最终以域管身份登入域控完成靶场。文末附信呼 OA 未授权文件上传 RCE 非预期解思路。 阅读全文

摘要： 本文为红日靶场五的完整渗透测试记录。目标环境为一台运行 phpStudy 集成环境的 Windows 7 域成员机，对外暴露 80 和 3306 端口。攻击链从 ThinkPHP 5.0.22 的 RCE 漏洞入手获取 Webshell，借助 MSF 的 web_delivery 模块建立无文件落地的 Meterpreter 会话，随后通过 MS15-051 内核漏洞完成本地提权至 SYSTEM，利用 Mimikatz 抓取明文凭证，最终经由 proxychains + wmiexec 横向移动至域控，完成全链路渗透。文中对 UAC 分析、进程架构统一、路由与代理搭建等关键细节均有记录，适合有一定基础的渗透测试学习者参考。 阅读全文

摘要： 红日靶场二：WebLogic CVE-2019-2725 到域控沦陷全流程 阅读全文

摘要： 题目给出一个 Godot 引擎打包的游戏 .exe，通过 010 Editor 搜索关键字符串识别引擎，使用 GDRETools 进行完整反编译还原源码。从项目入口 project.binary 出发，定位 Flag 全局单例，分析 flag.gd 中的 AES-ECB 校验逻辑。表面上密钥已知，但直接解密得到乱码——核心坑点在于 key 是挂载在全局单例上的可写变量，game_manager.gd 在玩家拾取金币时会将其中的字符 A 替换为 B，导致运行时实际使用的密钥与初始值不同。使用修正后的密钥对密文进行 AES-ECB 解密，得到最终 flag。 阅读全文

摘要： [CISCN 2021 初赛]silverwolf WP 阅读全文