The Hackers Labs notes
字数 3305 2025-11-28 12:09:01

渗透测试实战案例与技术要点解析

Tortuga 靶机渗透

信息搜集

  1. 端口扫描:发现开放22(SSH)和80(HTTP)端口
  2. Web路径枚举:发现mapa.php和tripulacion.php文件
  3. 参数爆破:使用Burp Suite爆破发现filename参数存在文件包含漏洞

漏洞利用

  1. 文件包含绕过

    • 直接包含/etc/passwd失败
    • 双写绕过成功:filename=../../../../etc/passwd
    • 发现用户grumete存在

  2. SSH弱密码爆破

    • 使用hydra或类似工具爆破SSH密码
    • 成功获取grumete用户权限

  3. 权限提升

    • 发现cap_setuid能力集
    • 利用setuid()等函数进行提权

ZAPP 靶机渗透

信息搜集

  1. FTP匿名登录:获取secret.txt文件(leet语言编码)
  2. Web源码审计:发现base64编码数据,经过4次解码获得关键路由

漏洞利用

  1. 压缩包爆破

    • 使用rockyou.txt字典爆破压缩包密码
    • 获得密码:3spuM4

  2. SSH登录

    • 用户名:zappskred(从主机名推断)
    • 密码:3spuM4
    • 成功获取用户权限

  3. 权限提升

    • 查看.bash_history发现sudoers配置漏洞
    • 直接获取root权限

Photographer 靶机渗透

信息搜集

  1. SNMP枚举
    • 发现SNMP端口开放
    • 使用特权社区字符串读取信息
    • 获得网站凭据(用户ethan)

漏洞利用

  1. 文件上传绕过

    • 前端限制可被绕过
    • 使用SVG文件格式执行XSS
    • 上传恶意SVG文件读取系统文件

  2. 数据库信息泄露

    • 读取db.php获得数据库密码
    • 发现用户ethan的密码哈希

  3. 权限提升

    • 利用disk用户组权限
    • 使用/usr/sbin/debugfs读取root.txt

THLPWN 靶机渗透

信息搜集

  1. Host头注入:网页需要特定hostname访问
  2. 二进制文件分析:下载并逆向分析二进制文件获得凭据

漏洞利用

  1. 无密码sudo权限:直接获取root权限

LavaShop 靶机渗透

信息搜集

  1. Hosts文件修改:需要添加域名解析记录
  2. 参数爆破:发现products.php存在file参数文件包含

漏洞利用

  1. PHP Filter Chain攻击

    • 使用php_filter_chain_generator工具
    • 实现任意文件读取和代码执行

  2. Shell维持技术

    script -qc /bin/bash /dev/null
^Z (Ctrl+Z)
stty raw -echo; fg
reset
xterm

  3. 权限提升

    • 发现gdbserver服务
    • 使用pwndbg进行远程调试提权
    • 通过环境变量ROOT_PASS获取root密码

Uploader 靶机渗透

漏洞利用

  1. 文件包含直接利用:上传phpinfo文件发现文件包含漏洞
  2. Web Shell上传:直接上传PHP一句话木马
  3. 压缩包弱密码:发现加密压缩包使用弱密码

权限提升

  1. Tar命令sudo提权
    sudo /usr/bin/tar -cf /dev/null /dev/null --checkpoint=1 --checkpoint-action=exec=/bin/sh

Dragon 靶机渗透

信息搜集

  1. 路径扫描:发现secret/目录
  2. 用户名枚举:从页面内容推断用户dragon

漏洞利用

  1. SSH弱密码爆破:成功爆破dragon用户密码
  2. Vim提权
    sudo /usr/bin/vim -c ':!/bin/sh'

NodeCeption 靶机渗透

信息搜集

  1. 多端口服务:发现5678端口运行n8n工作流平台
  2. 源码信息泄露:从Apache默认页面发现登录邮箱

漏洞利用

  1. 密码策略分析:过滤rockyou.txt获得符合要求的密码
  2. n8n命令执行:创建工作流执行系统命令
  3. Vi权限绕过:需要密码验证,采用爆破方式

Sedition 靶机渗透

信息搜集

  1. SMB枚举:匿名访问获取加密压缩包
  2. John爆破:破解压缩包密码(sebastian)

漏洞利用

  1. 水平渗透

    • 通过数据库操作获取debian用户密码哈希
    • 破解哈希获得密码

  2. Sed命令提权

    sudo sed -n '1e exec sh 1>&0'

WatchStore 靶机渗透

信息搜集

  1. Hosts配置:需要添加域名解析
  2. Werkzeug调试模式:发现调试控制台但需要PIN码

漏洞利用

  1. 任意文件读取:通过read路由读取app.py获取PIN码

  2. Python反向Shell:通过调试控制台执行

  3. SSH密钥配置:实现稳定连接

  4. Neofetch提权

    • 创建恶意配置文件
    • 利用sudo权限执行neofetch获取root shell

蓝队溯源技术

El Topo DNS 分析

  1. 日志分析技巧

    • 在access.log中查找恶意请求
    • 分析DNS日志识别C2通信
    • 识别数据外泄域名

  2. 攻击链重建

    • 确定初始攻击入口点(upload.php)
    • 追踪横向移动路径(FTP协议)
    • 识别数据窃取行为

JaulaCon2025 靶机渗透

信息搜集

  1. CMS识别:Bludit 3.9.2版本
  2. 漏洞研究:CVE-2019-17221和CVE-2019-16113

漏洞利用

  1. 暴力破解防护绕过:使用伪造IP地址绕过登录限制

  2. 文件上传漏洞:结合.htaccess文件上传Web Shell

  3. Busctl提权

    sudo /usr/bin/busctl set-property org.freedesktop.systemd1 /org/freedesktop/systemd1 org.freedesktop.systemd1.Manager LogLevel s debug --address=unixexec:/bin/sh -i 0<&2 1>&2

移动安全分析

PinBreaker APK分析

  1. 逆向工程:使用jadx工具反编译APK
  2. 硬编码凭证:在源码中发现PIN码
  3. 哈希计算:计算PIN码的SHA256值作为flag

Facultad 靶机渗透

信息搜集

  1. WordPress漏洞扫描:使用wpscan发现wp-file-manager插件漏洞
  2. 主机名解析:需要修改hosts文件添加域名解析

漏洞利用

  1. WordPress重装漏洞:利用文件管理器插件上传Web Shell
  2. Sudo权限利用:以特定用户身份执行PHP文件
  3. Brainfuck解码:解密获得用户凭证

Torrijas 靶机渗透

信息搜集

  1. MySQL服务发现:3306端口开放
  2. WordPress路径遍历:uploads目录可列出文件

漏洞利用

  1. 插件漏洞利用:低版本web-directory-free插件存在未授权文件读取
  2. 数据库凭据获取:读取wp-config.php文件
  3. Docker提权:利用docker组权限挂载根目录

网络流量分析

Worm 靶机分析

  1. 无端口扫描:靶机未开放传统端口
  2. ARP广播分析:发现异常网络行为
  3. ICMP隐蔽通信:在ICMP载荷中发现hex编码数据

文件包含漏洞高级利用

Casa Paco 靶机

  1. 命令执行限制绕过:使用复杂payload绕过过滤
  2. 定时任务漏洞:利用可写脚本文件获取root权限

Bocata de Calamares 靶机

  1. SQL注入利用:使用已知payload绕过登录
  2. Base64路径访问:特殊命名文件实现任意文件读取
  3. Find命令提权:利用sudo权限执行find命令

二进制分析与取证

Binary Trail 靶机

  1. 可疑文件识别:在/opt/目录下发现auth_proxy
  2. 字符串分析:使用strings命令发现隐藏文件
  3. 日志分析:在auth.log中发现命令执行痕迹
  4. 文件权限分析:隐藏文件权限为600

容器逃逸技术

Runers 靶机

  1. Docker环境识别:存在.dockerenv文件
  2. 压缩包爆破:使用john破解加密压缩包
  3. 密码保险箱分析:使用pwsafe工具读取.psafe3文件
  4. Docker组提权:挂载宿主机根目录实现逃逸

关键技术总结

信息搜集要点

  1. 全面端口扫描(TCP/UDP)
  2. Web路径枚举与参数爆破
  3. 服务版本识别与漏洞研究
  4. 用户名枚举与密码策略分析

漏洞利用技巧

  1. 文件包含漏洞的多种利用方式
  2. 文件上传限制的绕过方法
  3. 数据库凭据的获取与利用
  4. 中间件调试模式的利用

权限提升方法

  1. Sudo权限的GTFOBins利用
  2. 特殊能力集的利用(如cap_setuid)
  3. 定时任务与可写脚本漏洞
  4. 容器逃逸与挂载提权

持久化与隐蔽

  1. SSH密钥配置实现稳定访问
  2. Shell维持技术的多种方法
  3. 日志清理与痕迹消除
  4. 隐蔽通信通道的建立

本教学文档涵盖了从基础信息搜集到高级权限提升的完整渗透测试流程,每个案例都提供了具体的技术实现细节和原理分析,适合中高级安全研究人员学习参考。

渗透测试实战案例与技术要点解析 Tortuga 靶机渗透 信息搜集 端口扫描 :发现开放22(SSH)和80(HTTP)端口 Web路径枚举 :发现mapa.php和tripulacion.php文件 参数爆破 :使用Burp Suite爆破发现filename参数存在文件包含漏洞 漏洞利用 文件包含绕过 : 直接包含/etc/passwd失败 双写绕过成功: filename=../../../../etc/passwd 发现用户grumete存在 SSH弱密码爆破 : 使用hydra或类似工具爆破SSH密码 成功获取grumete用户权限 权限提升 : 发现cap_ setuid能力集 利用setuid()等函数进行提权 ZAPP 靶机渗透 信息搜集 FTP匿名登录 :获取secret.txt文件(leet语言编码) Web源码审计 :发现base64编码数据,经过4次解码获得关键路由 漏洞利用 压缩包爆破 : 使用rockyou.txt字典爆破压缩包密码 获得密码:3spuM4 SSH登录 : 用户名:zappskred(从主机名推断) 密码:3spuM4 成功获取用户权限 权限提升 : 查看.bash_ history发现sudoers配置漏洞 直接获取root权限 Photographer 靶机渗透 信息搜集 SNMP枚举 : 发现SNMP端口开放 使用特权社区字符串读取信息 获得网站凭据(用户ethan) 漏洞利用 文件上传绕过 : 前端限制可被绕过 使用SVG文件格式执行XSS 上传恶意SVG文件读取系统文件 数据库信息泄露 : 读取db.php获得数据库密码 发现用户ethan的密码哈希 权限提升 : 利用disk用户组权限 使用/usr/sbin/debugfs读取root.txt THLPWN 靶机渗透 信息搜集 Host头注入 :网页需要特定hostname访问 二进制文件分析 :下载并逆向分析二进制文件获得凭据 漏洞利用 无密码sudo权限 :直接获取root权限 LavaShop 靶机渗透 信息搜集 Hosts文件修改 :需要添加域名解析记录 参数爆破 :发现products.php存在file参数文件包含 漏洞利用 PHP Filter Chain攻击 : 使用php_ filter_ chain_ generator工具 实现任意文件读取和代码执行 Shell维持技术 : 权限提升 : 发现gdbserver服务 使用pwndbg进行远程调试提权 通过环境变量ROOT_ PASS获取root密码 Uploader 靶机渗透 漏洞利用 文件包含直接利用 :上传phpinfo文件发现文件包含漏洞 Web Shell上传 :直接上传PHP一句话木马 压缩包弱密码 :发现加密压缩包使用弱密码 权限提升 Tar命令sudo提权 : Dragon 靶机渗透 信息搜集 路径扫描 :发现secret/目录 用户名枚举 :从页面内容推断用户dragon 漏洞利用 SSH弱密码爆破 :成功爆破dragon用户密码 Vim提权 : NodeCeption 靶机渗透 信息搜集 多端口服务 :发现5678端口运行n8n工作流平台 源码信息泄露 :从Apache默认页面发现登录邮箱 漏洞利用 密码策略分析 :过滤rockyou.txt获得符合要求的密码 n8n命令执行 :创建工作流执行系统命令 Vi权限绕过 :需要密码验证,采用爆破方式 Sedition 靶机渗透 信息搜集 SMB枚举 :匿名访问获取加密压缩包 John爆破 :破解压缩包密码(sebastian) 漏洞利用 水平渗透 : 通过数据库操作获取debian用户密码哈希 破解哈希获得密码 Sed命令提权 : WatchStore 靶机渗透 信息搜集 Hosts配置 :需要添加域名解析 Werkzeug调试模式 :发现调试控制台但需要PIN码 漏洞利用 任意文件读取 :通过read路由读取app.py获取PIN码 Python反向Shell :通过调试控制台执行 SSH密钥配置 :实现稳定连接 Neofetch提权 : 创建恶意配置文件 利用sudo权限执行neofetch获取root shell 蓝队溯源技术 El Topo DNS 分析 日志分析技巧 : 在access.log中查找恶意请求 分析DNS日志识别C2通信 识别数据外泄域名 攻击链重建 : 确定初始攻击入口点(upload.php) 追踪横向移动路径(FTP协议) 识别数据窃取行为 JaulaCon2025 靶机渗透 信息搜集 CMS识别 :Bludit 3.9.2版本 漏洞研究 :CVE-2019-17221和CVE-2019-16113 漏洞利用 暴力破解防护绕过 :使用伪造IP地址绕过登录限制 文件上传漏洞 :结合.htaccess文件上传Web Shell Busctl提权 : 移动安全分析 PinBreaker APK分析 逆向工程 :使用jadx工具反编译APK 硬编码凭证 :在源码中发现PIN码 哈希计算 :计算PIN码的SHA256值作为flag Facultad 靶机渗透 信息搜集 WordPress漏洞扫描 :使用wpscan发现wp-file-manager插件漏洞 主机名解析 :需要修改hosts文件添加域名解析 漏洞利用 WordPress重装漏洞 :利用文件管理器插件上传Web Shell Sudo权限利用 :以特定用户身份执行PHP文件 Brainfuck解码 :解密获得用户凭证 Torrijas 靶机渗透 信息搜集 MySQL服务发现 :3306端口开放 WordPress路径遍历 :uploads目录可列出文件 漏洞利用 插件漏洞利用 :低版本web-directory-free插件存在未授权文件读取 数据库凭据获取 :读取wp-config.php文件 Docker提权 :利用docker组权限挂载根目录 网络流量分析 Worm 靶机分析 无端口扫描 :靶机未开放传统端口 ARP广播分析 :发现异常网络行为 ICMP隐蔽通信 :在ICMP载荷中发现hex编码数据 文件包含漏洞高级利用 Casa Paco 靶机 命令执行限制绕过 :使用复杂payload绕过过滤 定时任务漏洞 :利用可写脚本文件获取root权限 Bocata de Calamares 靶机 SQL注入利用 :使用已知payload绕过登录 Base64路径访问 :特殊命名文件实现任意文件读取 Find命令提权 :利用sudo权限执行find命令 二进制分析与取证 Binary Trail 靶机 可疑文件识别 :在/opt/目录下发现auth_ proxy 字符串分析 :使用strings命令发现隐藏文件 日志分析 :在auth.log中发现命令执行痕迹 文件权限分析 :隐藏文件权限为600 容器逃逸技术 Runers 靶机 Docker环境识别 :存在.dockerenv文件 压缩包爆破 :使用john破解加密压缩包 密码保险箱分析 :使用pwsafe工具读取.psafe3文件 Docker组提权 :挂载宿主机根目录实现逃逸 关键技术总结 信息搜集要点 全面端口扫描(TCP/UDP) Web路径枚举与参数爆破 服务版本识别与漏洞研究 用户名枚举与密码策略分析 漏洞利用技巧 文件包含漏洞的多种利用方式 文件上传限制的绕过方法 数据库凭据的获取与利用 中间件调试模式的利用 权限提升方法 Sudo权限的GTFOBins利用 特殊能力集的利用(如cap_ setuid) 定时任务与可写脚本漏洞 容器逃逸与挂载提权 持久化与隐蔽 SSH密钥配置实现稳定访问 Shell维持技术的多种方法 日志清理与痕迹消除 隐蔽通信通道的建立 本教学文档涵盖了从基础信息搜集到高级权限提升的完整渗透测试流程,每个案例都提供了具体的技术实现细节和原理分析,适合中高级安全研究人员学习参考。