打靶日记--mhz_c1f
字数 1292 2025-08-29 08:30:36

打靶日记:mhz_c1f 靶机渗透教学文档

靶机概述

这是一个来自Vulnhub的渗透测试靶机,记录了从信息收集到提权的完整过程。靶机IP地址未明确给出,需要通过扫描发现。

信息收集阶段

主机发现

  • 使用工具:未明确说明,但通常使用netdiscovernmap进行局域网主机扫描
  • 发现靶机IP地址(文档中未明确给出)

端口扫描

nmap -sV [靶机IP]

发现开放端口:

  • 22/tcp - SSH服务
  • 80/tcp - HTTP服务

版本扫描

  • 对开放服务进行版本扫描,但未获取到有用信息

漏洞扫描

nmap --script vuln [靶机IP]
  • 未发现明显漏洞

Web渗透阶段

80端口访问

  • 访问http://[靶机IP]显示默认网站搭建成功页面
  • 无其他明显信息

目录爆破

  1. 首先尝试使用dirsearch
dirsearch -u http://[靶机IP]
  • 未发现有用目录
  1. 改用dirb工具,采用分步策略:
dirb http://[靶机IP] -X .txt,.zip
  • 发现notes.txt文件

文件分析

  • notes.txt内容:提示要删除remb.txtremb2.txt两个文件

  • 实际发现:

    • remb.txt存在
    • remb2.txt不存在

  • remb.txt内容:包含一组用户名和密码(格式为username:password

初始访问

SSH登录

ssh username@[靶机IP]
  • 使用remb.txt中的凭据成功登录
  • 获得初始立足点

提权阶段

初步信息收集

  • 家目录下发现文本文件,提示继续提权
  • 检查常见提权路径:
    • SUID权限文件:无
    • 自动任务:无特权
    • 内核漏洞:备选方案

用户目录枚举

  • /home目录下发现其他用户
  • 在该用户目录中发现多张图片

文件下载

使用scp下载图片到本地:

scp username@[靶机IP]:/path/to/images/* .
  • 统一重命名图片以便分析

图片分析

使用多种工具检查图片:

  1. file命令:检查文件类型
  2. exiftool:检查元数据
  3. strings:检查字符串
  4. steghide:检查隐写内容

隐写分析

steghide extract -sf spinning.jpg
  • spinning开头的图片中发现隐写文件
  • 隐写文件未设置密码,可直接提取
  • 提取内容:另一组用户名和密码

权限提升

  1. 尝试SSH登录新账户失败
  2. 使用su切换用户成功:
su - newusername

(推测SSH密码与/etc/shadow中的密码不同)

  1. 检查新账户权限:
sudo -l
  • 发现拥有全部特权
  1. 最终提权:
sudo bash
  • 获取root权限

技术要点总结

  1. 目录爆破策略

    • 当一种工具无效时尝试其他工具(dirsearch → dirb)
    • 分步扫描策略(先扫描.txt/.zip,再扩展)

  2. 信息隐藏方式

    • 通过删除提示间接暴露文件存在
    • 图片隐写技术(steghide)

  3. 认证机制差异

    • SSH密码与系统密码可能不同
    • 当SSH登录失败时可尝试本地切换用户

  4. 提权路径

    • 信息收集 → 凭据获取 → 用户切换 → sudo提权

  5. 工具使用

    • 多种图片分析工具的综合应用
    • 隐写工具的熟练使用

改进建议

  1. 可尝试的额外步骤:

    • 检查Web服务器配置文件
    • 分析.bash_history文件
    • 检查cron jobs

  2. 更系统化的方法:

    • 使用LinEnum或linux-exploit-suggester进行系统检查
    • 检查可写目录和文件

  3. 防御角度:

    • 应删除或保护敏感文件
    • 避免在图片中存储明文凭据
    • 统一认证机制
打靶日记:mhz_ c1f 靶机渗透教学文档 靶机概述 这是一个来自Vulnhub的渗透测试靶机,记录了从信息收集到提权的完整过程。靶机IP地址未明确给出,需要通过扫描发现。 信息收集阶段 主机发现 使用工具:未明确说明,但通常使用 netdiscover 或 nmap 进行局域网主机扫描 发现靶机IP地址(文档中未明确给出) 端口扫描 发现开放端口: 22/tcp - SSH服务 80/tcp - HTTP服务 版本扫描 对开放服务进行版本扫描,但未获取到有用信息 漏洞扫描 未发现明显漏洞 Web渗透阶段 80端口访问 访问http://[ 靶机IP ]显示默认网站搭建成功页面 无其他明显信息 目录爆破 首先尝试使用 dirsearch : 未发现有用目录 改用 dirb 工具,采用分步策略: 发现 notes.txt 文件 文件分析 notes.txt 内容:提示要删除 remb.txt 和 remb2.txt 两个文件 实际发现: remb.txt 存在 remb2.txt 不存在 remb.txt 内容:包含一组用户名和密码(格式为 username:password ) 初始访问 SSH登录 使用 remb.txt 中的凭据成功登录 获得初始立足点 提权阶段 初步信息收集 家目录下发现文本文件,提示继续提权 检查常见提权路径: SUID权限文件:无 自动任务:无特权 内核漏洞:备选方案 用户目录枚举 /home 目录下发现其他用户 在该用户目录中发现多张图片 文件下载 使用 scp 下载图片到本地: 统一重命名图片以便分析 图片分析 使用多种工具检查图片: file 命令:检查文件类型 exiftool :检查元数据 strings :检查字符串 steghide :检查隐写内容 隐写分析 在 spinning 开头的图片中发现隐写文件 隐写文件未设置密码,可直接提取 提取内容:另一组用户名和密码 权限提升 尝试SSH登录新账户失败 使用 su 切换用户成功: (推测SSH密码与 /etc/shadow 中的密码不同) 检查新账户权限: 发现拥有全部特权 最终提权: 获取root权限 技术要点总结 目录爆破策略 : 当一种工具无效时尝试其他工具(dirsearch → dirb) 分步扫描策略(先扫描.txt/.zip,再扩展) 信息隐藏方式 : 通过删除提示间接暴露文件存在 图片隐写技术(steghide) 认证机制差异 : SSH密码与系统密码可能不同 当SSH登录失败时可尝试本地切换用户 提权路径 : 信息收集 → 凭据获取 → 用户切换 → sudo提权 工具使用 : 多种图片分析工具的综合应用 隐写工具的熟练使用 改进建议 可尝试的额外步骤: 检查Web服务器配置文件 分析.bash_ history文件 检查cron jobs 更系统化的方法: 使用LinEnum或linux-exploit-suggester进行系统检查 检查可写目录和文件 防御角度: 应删除或保护敏感文件 避免在图片中存储明文凭据 统一认证机制