OSCP Bruno Write-up
通过 FTP 匿名访问获取可执行文件及 svc_scan 用户线索,实施 AS‑REP Roasting 破解其凭据并结合对 exe 程序的逆向分析完成 DLL 劫持,成功获取 svc_scan 用户权限并获得用户权限;随后利用 RBCD 攻击实现权限委派滥用,完成权限提升至 SYSTEM,最终获得管理员权限。
OSCP Media Write-up
通过 ntlm_thief 生成并上传诱导文件,结合 Responder 成功捕获 enox 用户的 NET‑NTLMv2 哈希并使用 hashcat 破解,获取 enox 用户权限并取得用户旗帜;随后在分析网站上传功能源码的基础上,利用 Windows 目录符号链接将 webshell 写入站点根目录,获得系统服务账号权限,并进一步通过滥用 SeTcbPrivilege(TcbElevation
OSCP Job Write-up
通过向目标用户发送包含反弹 shell 的 LibreOffice 文档并诱导触发,成功获取 jack.black 用户权限并取得用户旗帜;随后在网站根目录写入 web shell 获得系统服务账号权限,进一步利用土豆类本地提权漏洞实现权限提升,最终获取 SYSTEM 权限并完成管理员权限获取。
OSCP Lock Write-up
通过 Git 访问令牌泄露获取代码仓库权限并上传 web shell,成功获得 ellen.freeman 用户权限,随后解密 mRemoteNG 配置文件提取凭据并横向至 Gale.Dekarios 用户获取用户旗帜;在此基础上,利用 PDF24 Creator 存在的本地提权漏洞(UI 交互触发)实现权限提升,最终获得 SYSTEM 权限并完成管理员旗帜获取。
OSCP Build Write-up
通过 Rsync 枚举获取 Jenkins 源码并破解其凭据,横向至 Gitea 后台并篡改 Jenkinsfile 获取容器内 root 权限,从而获得用户权限;随后以容器为跳板访问仅内部可达的 MySQL 与 PowerDNS‑Admin,利用 MySQL 空口令解出后台凭据并配置 intern 域名解析,最终通过 rsh 无密码登录靶机,实现系统权限提升至 root 并获得管理员权限。
OSCP Forgotten Write-up
通过本地创建 MySQL 数据库初始化 LimeSurvey 应用并设置后台密码,利用后台添加恶意插件获取容器 limesvc 用户权限,进一步通过容器环境变量泄漏获取 limesvc 用户密码,从而获得容器 root 权限及宿主机 limesvc 用户权限并完成用户权限获取;随后利用容器与宿主机目录映射,将容器内 /bin/bash 复制至映射目录并赋予 SUID 权限,实现宿主机 root 权
OSCP Data Write-up
通过 Grafana 任意文件读取漏洞获取数据库中的 sqlite 文件并解密用户密码,从而获得 boris 用户权限并完成用户权限获取;随后滥用 docker exec 的 sudo 权限,为容器 shell 设置 privileged 特权并挂载宿主机根目录,通过修改 /etc/passwd 添加高权限账号,最终实现权限提升至 root 并获得管理员权限。
OSCP TombWatcher Write-up
通过 BloodHound 分析域内权限关系明确攻击路径,成功获取 John 用户权限并取得用户旗帜;随后恢复 cert_admin 账号并对 AD CS 证书模板进行安全审计,发现并利用 ESC15 模板配置漏洞完成权限滥用,最终获取域控管理员权限并完成管理员旗帜获取。
