|
YOUR DAILY DOSE OF CYBERSECURITY AND CTF CHALLENGES
root@hacks:~# WingData Writeup
Enumeration · Exploitation · Privilege Escalation
WingData ist ein Linux-System mit der Bewertung "Easy", das kritische Schwachstellen in veralteter Software demonstriert. Die Angriffskette nutzt zwei hochkritische CVEs aus: CVE-2025-47812 - Unauthentifizierte Remote-Code-Ausführung in Wing FTP Server 7.4.3 sowi CVE-2025-4138 - Python tarfile PATH_MAX-Umgehung, die willkürliche Dateischreiboperationen ermöglicht.
root@hacks:~# Pterodactyl Writeup
Privilege Escalation · Lateral Movement · PAM · UDisk2
Pterodactyl ist eine Linux‑Maschine, bei der mehrere Schwachstellen kombiniert werden müssen. Der Angriff beginnt mit CVE‑2025‑49132 (PHP PEAR Remote Code Execution), wodurch Codeausführung auf der Webanwendung möglich wird. Anschließend ermöglichen offengelegte Laravel‑Konfigurationsdateien den Zugriff auf Datenbank‑Zugangsdaten, was Lateral Movement und weitergehenden Systemzugriff erlaubt. Die finale Privilege Escalation erfolgt durch die Kombination von CVE‑2025‑6018 (PAM Environment Variable Injection) und CVE‑2025‑6019 (UDisks2 XFS Privilege Escalation).