khadejawaheed/web-exploitation-privilege-escalation-lab

GitHub: khadejawaheed/web-exploitation-privilege-escalation-lab

记录了一次在受控实验环境中对漏洞 Linux Web 服务器进行完整渗透测试与权限提升评估的实践过程及修复建议。

Stars: 0 | Forks: 0

# Web漏洞利用与权限提升实验 # Web 应用渗透测试与权限提升评估 ## 概述 本项目记录了在一个存在漏洞的基于 Linux 的 Web 服务器上进行的渗透测试实验。评估内容涵盖了信息侦察、扫描、枚举、Web 服务分析、凭据泄露、WebDAV 配置不当、SSH 访问分析以及权限提升。 ## 目标 - 识别暴露的服务和配置不当。 - 枚举隐藏的目录和子域名。 - 分析身份验证弱点。 - 记录权限提升路径。 - 提供缓解修复建议。 ## 使用的工具 - Kali Linux - Nmap - wfuzz - John the Ripper - Cadaver - SSH - Linux 命令行实用工具 ## 方法论 1. 信息侦察 2. 扫描与枚举 3. 漏洞识别 4. 受控利用 5. 权限提升分析 6. 报告与修复 ## 关键发现 - 启用了匿名的 FTP 访问。 - WebDAV 接受弱口令/默认凭据。 - 发现了密码哈希泄露。 - 发现了隐藏的目录和子域名。 - 敏感文件泄露导致了未经授权的 SSH 访问。 - 配置不当的 sudo 权限允许了权限提升。 ## 修复建议 - 禁用匿名 FTP 访问。 - 使用强密码替换默认凭据。 - 限制对敏感目录的访问。 - 从 Web 可访问的路径中移除私钥。 - 加固 WebDAV 配置。 - 审查 sudo 权限。 - 保持 Apache、SSH 和 FTP 服务更新。 ## 免责声明 本项目是在受控的实验环境中进行的,仅供教育目的使用。
标签:CSV导出, CTI, PE 加载器, StruQ, Web安全, 内存分配, 协议分析, 安全靶场, 教育, 权限提升, 漏洞分析, 蓝队分析, 路径探测