LexKingz/dev-linux-attack-privilege-escalation-lab

# Dev Machine – Linux 渗透测试实验 本实验演示了针对 Linux 目标的完整渗透测试流程。 攻击链包括 **网络枚举、NFS 利用、CMS 漏洞利用、利用泄露的凭据进行 SSH 访问，以及通过配置不当的 sudo 权限进行权限提升**。 该练习强调了 **正确的服务配置、凭据保护以及最小权限访问控制** 的重要性。 # 初始枚举 获取目标 IP 地址后，执行了 **Nmap 扫描** 以识别开放的服务。 ``` nmap -T4 -p- -A ``` 扫描结果显示了以下关键服务： ``` 80/tcp open http Apache httpd 2.4.38 ((Debian)) |_http-title: Bolt - Installation error |_http-server-header: Apache/2.4.38 (Debian) 8080/tcp open http Apache httpd 2.4.38 ((Debian)) | http-open-proxy: Potentially OPEN proxy. |_Methods supported: CONNECTION |_http-server-header: Apache/2.4.38 (Debian) |_http-title: PHP 7.3.27-1~deb10u1 - phpinfo() 2049/tcp open nfs 3-4 (RPC #100003) ``` 重要发现： * **端口 80** — Web 服务器 (Apache) * **端口 8080** — 辅助 Web 服务器 * **端口 2049** — NFS (网络文件系统) # Web 枚举 通过浏览器查看了这两个 Web 服务。 ``` http://:80 http://:8080 ``` * screenshots/01-port-80.png * screenshots/02-port-8080.png # 目录枚举 为了发现隐藏目录，使用了 **ffuf**。 示例命令： ``` ffuf -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt:FUZZ -u http:///FUZZ ``` 结果： **端口 80 发现的目录** ``` /public /src /app /vendor ``` **端口 8080 发现的目录** ``` /dev ``` * screenshots/03-fuff-dirbust-port-80.png * screenshots/04-fuff-dirbust-port-8080.png # NFS 枚举 由于 **NFS (端口 2049)** 处于开放状态，对可用的挂载点进行了枚举。 ``` showmount -e ``` 在本地创建了一个目录用于挂载共享： ``` mkdir /mount/dev ``` * screenshots/04-show-mountpoint-and-dir.png 挂载该共享： ``` mount -t nfs :/srv/nfs /mount/dev ``` 在挂载的目录中，发现了一个 **受密码保护的 zip 文件**。 * screenshots/05-mounted.png # 破解 ZIP 压缩包 使用 **fcrackzip** 破解了该 ZIP 压缩包。 ``` fcrackzip -u -D -p /usr/share/wordlists/rockyou.txt save.zip ``` 破解密码后，提取了两个文件： * `todo.txt` * `id_rsa` (SSH 私钥) - screenshots/06-fcrack-crack-unzip.png - screenshots/07-view-2-files-and-ssh.png `todo.txt` 文件中包含一个引用了 **jp** 的签名。 然而，尝试使用 **jp** 进行 SSH 登录并未成功。 # 调查 Web 目录 接下来，调查了之前发现的目录。 ``` /public /src /app ``` * screenshots/08-public.png * screenshots/09-scr.png * screenshots/10-app.png 在 `/app` 目录中发现了几个有用的文件夹，包括： ``` /cache /config ``` 在 `/config` 中，文件 **config.yml** 包含了凭据。 * screenshots/11-config-yml-file.png * screenshots/12-config-yml-file2.png 这些凭据被保存以备后用。 # BoltWire CMS 发现 根据 **端口 8080 的扫描** 结果，探索了 `/dev` 目录。 * screenshots/13-dev-path.png 这揭示了存在一个 **BoltWire CMS** 安装。 该 CMS 允许用户注册。 * screenshots/14-regiser-page.png * screenshots/15-registered.png # 搜索漏洞 使用以下命令搜索了 **BoltWire exploits**： ``` searchsploit boltwire ``` * screenshots/16-searchsploit-result.png 发现了一个涉及 **目录遍历** 的漏洞利用。 * screenshots/17-the-exploit.png # 利用目录遍历 使用了以下 payload： ``` index.php?p=action.search&action=../../../../../../../etc/passwd ``` 注意：在执行漏洞利用之前需要进行身份验证。 * screenshots/18-traversal-attack-executed-1.png * screenshots/19-traversal-attack-executed-2.png * screenshots/20-traversal-attack-executed-3.png 该漏洞利用成功暴露了 **/etc/passwd** 文件。 # 发现有效用户 从 `/etc/passwd` 中，确定了正确的用户名为： ``` jeanpaul ``` 使用之前获取的 SSH 密钥： ``` ssh -i id_rsa jeanpaul@ ``` * screenshots/21-ssh-using-etc-passwd-found-credential.png 系统要求输入 **passphrase**。 尝试使用之前在 `config.yml` 中发现的密码： ``` I_love_java ``` * screenshots/22-passwd-yml-credential.png 认证成功。 * screenshots/23-gained-low-level-shell.png 获得了一个低权限 shell。 # 权限提升枚举 检查 sudo 权限： ``` sudo -l ``` 结果： 用户 **jeanpaul** 可以运行： ``` zip ``` 以 **root** 身份且 **无需密码**。 * screenshots/24-test-sudo-ability-and-confirmed.png # 利用 Sudo ZIP 权限 搜索权限提升方法时发现了 **GTFOBins**。 * screenshots/25-exploit-gtfo-1.png 筛选 **sudo exploits** 后，发现了一种滥用 **zip** 的技术。 * screenshots/26-exploit-gtfo-2.png * screenshots/27-exploit-gtfo-3.png 执行 GTFOBins 上的命令获得了 root shell。 * screenshots/28-root-access-to-dev-machine.png # 获得_root_权限 权限提升成功，获得了系统上的 **root 权限**。 # 关键经验总结 本实验演示了几种重要的渗透测试技术： • 利用暴露的 **NFS 共享** • 破解受密码保护的压缩包 • 从 **配置不当的 Web 应用程序** 中提取凭据 • 利用 **目录遍历漏洞** • 利用 **SSH 密钥进行身份验证** • 通过 **配置不当的 sudo 权限** 提升权限 # 展示的技能 * 网络枚举 * Web 应用程序枚举 * NFS 利用 * 凭据发现 * 目录遍历攻击 * SSH 密钥认证 * Linux 权限提升 * GTFOBins 利用

标签：Apache, CMS漏洞, CTF学习, CTI, Ffuf, NFS枚举, NFS漏洞利用, Nmap, OPA, PE 加载器, SSH密钥滥用, Sudo配置错误, Web报告查看器, 内存分配, 内网渗透, 协议分析, 密码管理, 提权, 插件系统, 攻击链, 数据统计, 权限提升, 漏洞复现, 端口扫描, 网络安全, 网络安全审计, 虚拟驱动器, 足迹分析, 隐私保护, 靶场