文章描述了攻击链的两个路径：通过收集端口服务信息和分析HTTP响应头，发现命令执行终端并添加用户；通过API接口模糊测试获取账号信息，建立初始立足点。最终，攻击者利用powershell脚本进行命令注入，成功添加用户并提升权限。