Prime1 靶机渗透测试教学文档<\/h1>

1. 信息收集阶段<\/h2>

1.1 初始扫描<\/h3>

使用端口扫描工具（如nmap）发现目标主机开放两个端口：

SSH端口（通常为22）<\/li>

HTTP端口（80）<\/li> <\/ul> <\/li> <\/ul>

1.2 Web目录爆破<\/h3>

使用目录爆破工具（如dirb、dirbuster或gobuster）扫描80端口<\/li>

发现以下重要目录\/文件：

\/dev<\/code>目录：包含提示信息，建议继续挖掘网站信息<\/li>
WordPress安装痕迹<\/li>

隐藏的文本文件（如location.txt）<\/li>
<\/ul>
<\/li>
<\/ul>
2. 渗透阶段<\/h2>
2.1 文件包含漏洞利用<\/h3>

通过扫描发现index.php和image.php两个PHP文件<\/li>
对index.php进行参数Fuzz测试（使用wfuzz工具）

发现可用的参数<\/li>
尝试包含location.txt文件，获得提示：尝试使用secrettier360<\/code>参数<\/li>
<\/ul>
<\/li>
在image.php页面测试文件包含漏洞

成功包含\/etc\/passwd文件<\/li>
从中发现有用线索<\/li>
<\/ul>
<\/li>
<\/ol>
2.2 WordPress后台入侵<\/h3>

从包含的文件中获得密码<\/li>
尝试登录WordPress后台

首先尝试admin用户失败<\/li>
通过查看主页发现有效用户，使用该用户成功登录<\/li>
<\/ul>
<\/li>
获取Web Shell：

通过主题编辑功能写入PHP Shell<\/li>
利用WordPress默认主题存储路径（如\/wp-content\/themes\/twentytwenty\/）<\/li>
设置监听端口并访问Shell页面获取反向Shell<\/li>
<\/ul>
<\/li>
<\/ol>
3. 提权阶段<\/h2>
3.1 初始提权尝试<\/h3>

查看\/home\/saket目录获取用户flag<\/li>
尝试常规提权方法：

SUID提权：使用find \/ -perm -u=s -type f 2>\/dev\/null<\/code>查找，无可用<\/li>
内核提权：发现老旧内核版本，寻找可用提权脚本<\/li>
<\/ul>
<\/li>
<\/ol>
3.2 内核提权<\/h3>

在攻击机（Kali）上准备提权脚本<\/li>
在靶机上建立文件传输：

使用wget或PHP简易服务器传输文件<\/li>
在\/tmp目录下编译执行提权脚本<\/li>
<\/ul>
<\/li>
成功获取root权限和root flag<\/li>
<\/ol>
4. 替代提权路径（更符合靶机设计意图）<\/h2>
4.1 加密文件分析<\/h3>

在\/home\/saket目录下发现可执行的enc文件<\/li>
尝试使用之前获得的密码执行，发现需要root权限<\/li>
查找密码相关文件：

使用find \/ -name "*pass*"<\/code>查找可能包含密码的文件<\/li>
分析找到的文件，获取有效密码<\/li>
<\/ul>
<\/li>
<\/ol>
4.2 OpenSSL解密<\/h3>

发现加密文件和密钥提示<\/li>
对提示字符串"ippsec"进行MD5加密获得密钥<\/li>
尝试多种OpenSSL加密方式解密文件：
# 示例解密脚本<\/span>
<\/span><\/span>import<\/span> os
<\/span><\/span>methods =<\/span> ['aes-128-cbc'<\/span>, 'aes-256-cbc'<\/span>, 'des'<\/span>, ...<\/span>] # 常见加密方法<\/span>
<\/span><\/span>ciphertext =<\/span> "nzE+iKr82Kh8BOQg0k\/LViTZJup+9DReAsXd\/PCtFZP5FHM7WtJ9Nz1NmqMi9G0i7rGIvhK2jRcGnFyWDT9MLoJvY1gZKI2xsUuS3nJ\/n3T1Pe\/\/4kKId+B3wfDW\/TgqX6Hg\/kUj8JO08wGe9JxtOEJ6XJA3cO\/cSna9v3YVf\/ssHTbXkb+bFgY7WLdHJyvF6lD\/wfpY2ZnA1787ajtm+\/aWWVMxDOwKuqIT1ZZ0Nw4="<\/span>
<\/span><\/span>key =<\/span> "366a74cb3c959de17d61db30591c39d1"<\/span> # ippsec的MD5值<\/span>
<\/span><\/span>
<\/span><\/span>for<\/span> method in<\/span> methods:
<\/span><\/span>    os.<\/span>system(f<\/span>'openssl enc -d -<\/span>{<\/span>method}<\/span> -a -K <\/span>{<\/span>key}<\/span> -in encrypted_file'<\/span>)
<\/span><\/span><\/code><\/pre><\/li>
成功解密获得saket用户的SSH密码<\/li>
<\/ol>
4.3 SSH登录与最终提权<\/h3>

使用获得的密码通过SSH登录saket账户<\/li>
检查sudo权限：

发现特定文件可以sudo执行<\/li>
<\/ul>
<\/li>
创建\/tmp\/challenge文件并写入反向Shell

给予执行权限：chmod +x \/tmp\/challenge<\/code><\/li>
通过sudo执行获取root shell<\/li>
<\/ul>
<\/li>
成功获取root flag<\/li>
<\/ol>
5. 关键工具与技术总结<\/h2>



工具\/技术<\/th>
用途<\/th>
<\/tr>
<\/thead>


nmap<\/td>
端口扫描<\/td>
<\/tr>

dirb\/dirbuster<\/td>
目录爆破<\/td>
<\/tr>

wfuzz<\/td>
参数Fuzz测试<\/td>
<\/tr>

PHP文件包含<\/td>
读取系统文件<\/td>
<\/tr>

WordPress主题编辑<\/td>
写入Web Shell<\/td>
<\/tr>

内核提权脚本<\/td>
利用漏洞提升权限<\/td>
<\/tr>

OpenSSL<\/td>
文件解密<\/td>
<\/tr>

find命令<\/td>
查找敏感文件<\/td>
<\/tr>
<\/tbody>
<\/table>
6. 学习要点<\/h2>


信息收集是渗透测试的核心：<\/p>

全面扫描和记录所有发现<\/li>
不放过任何提示和线索<\/li>
<\/ul>
<\/li>

多种提权路径：<\/p>

内核提权<\/li>
SUID提权<\/li>
Sudo权限滥用<\/li>
密码重用分析<\/li>
<\/ul>
<\/li>

加密文件分析技巧：<\/p>

识别常见加密模式<\/li>
系统化尝试解密方法<\/li>
<\/ul>
<\/li>

靶机设计意图理解：<\/p>

遵循提示信息<\/li>
尝试预期路径解决问题<\/li>
<\/ul>
<\/li>
<\/ol>

工具\/技术<\/th>	用途<\/th> <\/tr> <\/thead>
nmap<\/td>	端口扫描<\/td> <\/tr>
dirb\/dirbuster<\/td>	目录爆破<\/td> <\/tr>
wfuzz<\/td>	参数Fuzz测试<\/td> <\/tr>
PHP文件包含<\/td>	读取系统文件<\/td> <\/tr>
WordPress主题编辑<\/td>	写入Web Shell<\/td> <\/tr>
内核提权脚本<\/td>	利用漏洞提升权限<\/td> <\/tr>
OpenSSL<\/td>	文件解密<\/td> <\/tr>
find命令<\/td>	查找敏感文件<\/td> <\/tr> <\/tbody> <\/table> 6. 学习要点<\/h2> 信息收集是渗透测试的核心：<\/p> 全面扫描和记录所有发现<\/li> 不放过任何提示和线索<\/li> <\/ul> <\/li> 多种提权路径：<\/p> 内核提权<\/li> SUID提权<\/li> Sudo权限滥用<\/li> 密码重用分析<\/li> <\/ul> <\/li> 加密文件分析技巧：<\/p> 识别常见加密模式<\/li> 系统化尝试解密方法<\/li> <\/ul> <\/li> 靶机设计意图理解：<\/p> 遵循提示信息<\/li> 尝试预期路径解决问题<\/li> <\/ul> <\/li> <\/ol>