利用 Jorani 应用存在的远程代码执行漏洞获取 jordak 用户权限并取得用户旗帜，随后发现该用户对 env 具有 sudo 执行权限，借此滥用环境变量机制完成权限提升，最终获得 root 权限并获取管理员旗帜。

通过目录枚举发现 phpinfo 页面并获取 SPX 的版本与密钥信息，进一步利用 SPX 任意文件读取漏洞获取 Tiny File Manager 后台的加密凭据并使用 hashcat 破解，从而登录后台写入 webshell 获得 www‑data 用户权限；随后发现 Web Admin 密码复用并横向至 profiler 用户获取用户旗帜。在此基础上，利用 profiler 用户具备的 ma

通过利用 PluXml 后台弱口令登录并修改源代码触发远程代码执行，成功获取 www‑data 用户权限并取得用户旗帜；随后在信息收集中发现 www‑data 用户邮件目录（/var/main）中泄露的 root 用户密码，借此完成权限提升并获取管理员旗帜。

通过利用 PyLoad 后台弱口令登录获取应用版本信息，并进一步利用其存在的远程代码执行漏洞，直接获得 root 权限，完成管理员权限获取。

通过 WordPress wp‑advanced‑search 插件 SQL 注入 获取后台用户及加密密码，使用 Hashcat 破解得到 charlie、ted 用户密码，利用 ted 凭据登录 FTP 服务并泄露 MySQL 登录信息，复用 MySQL 密码成功登录 SSH 获得 charlie 用户权限并获取用户旗帜；在权限提升阶段，发现 wp‑monitor 具有 SUID 权限，通过 s

利用 Confluence 远程代码执行漏洞获取 confluence 用户权限并取得用户旗帜；随后在信息收集中发现 /opt/log-backup.sh 脚本，结合 pspy 监控确认其执行机制，通过篡改脚本植入反弹 shell，成功提权至 root 并获取管理员旗帜。

通过上传 PHP 反弹 shell 文件并利用网站自动压缩机制生成 zip 包，结合文件包含漏洞与 zip 伪协议成功执行压缩包内的 PHP 代码，获得 www‑data 用户权限并取得用户旗帜；随后在权限提升阶段，发现系统计划任务执行 /opt/backup.sh，利用 7za 对以 @ 开头文件的特性配合符号链接实现任意文件读取，成功泄露 root 用户密码，最终获取管理员权限并拿到管理员旗帜

通过分析应用报错回显定位到 PDFKit 组件存在的远程代码执行漏洞，成功获取 andrew 用户权限；随后发现其对特定 Ruby 脚本具备 sudo 执行权限，借此完成本地权限提升，最终获得 root 权限并取得管理员旗帜。

通过子域名枚举定位 TeamCity 服务，利用其权限绕过漏洞创建用户并生成访问令牌，在开启调试模式后执行反弹 shell 获取 git 用户权限并取得用户旗帜；随后在 TeamCity 项目日志中发现泄露的私钥横向至 marcot 用户，并结合邮件与遗留文件中泄露的凭据依次获取 matthewa 与 briand 用户权限，最终滥用 systemctl 的 sudo 权限完成本地提权，成功获得

通过利用 Flatpress 后台弱口令登录并绕过文件上传限制，成功获取 www‑data 用户权限；随后发现该用户对 apt-get 具备 sudo 执行权限，借此滥用包管理器完成本地提权，最终获得 root 权限并获取管理员旗帜。