type
Post
status
Published
date
May 9, 2026
slug
summary
tags
category
category (1)
icon
password
comment
先进行扫描
得到开放了80端口,那就开始进行浏览器访问,它会重定向导致域名无法解析,我们要先将重定向的域名绑定到靶机的ip
然后直接去访问
利用子域名爆破命令
gobuster vhost -u "http://10.129.57.197" -w /Users/qin/Documents/渗透/Fuzz_dict/subdomains-top1million-20000.txt --append-domain --domain silentium.htb爆破出子域名
同理,将子域名的解析加入host文件
去浏览器访问
访问源代码发现框架是Flowise
直接进行登陆发现用户找不到
看到主页领导人姓名
猜测用户是
ben@silentium.htb 
提示密码不对,所以应该是用户名对了,但是密码不知道,我们去试一下能不能进行重置密码的操作
可以看到重置密码需要token,这个token是发给邮箱的,我们在忘记密码的界面填入邮箱抓包看看能不能token是否是在返回包里就有的
填入用户的邮箱
ben@silentium.htb 抓包
看到了临时的token,我们用这个去重置密码试试
我们用新的密码登陆
成功登陆
找到了系统的cve:https://github.com/FlowiseAI/Flowise/security/advisories/GHSA-3gcm-f6qx-ff7p
https://github.com/AzureADTrent/CVE-2025-58434-59528.git
根据cve去反弹shell
查看env得到好多密码
用用户名
ben 和密码r04D!!_R4ge 尝试ssh连接
查看到内网本地有3001端口开放
用chisel代理到本地
本地访问
注意要提前注册,将用户名和密码写入脚本然后注释脚本的注册函数的执行
- 作者:qetx
- 链接:http://qetx.top/article/35bb233d-8731-8019-b3af-d2e43a965a80
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
