渗透测试实战教学：从信息搜集到提权完整流程<\/h1>

1. 信息搜集阶段<\/h2>

1.1 主机发现与端口扫描<\/h3>

初始扫描<\/strong>：使用nmap等工具进行主机发现和基本端口扫描<\/li>
攻击向量优先级排序<\/strong>：

共享文件系统（FTP\/Samba等）<\/li>
Web系统（HTTP\/HTTPS服务）<\/li>
未知服务（非常见端口服务）<\/li>
SSH服务（作为最后手段）<\/li> <\/ol> <\/li> <\/ul>
1.2 详细服务扫描<\/h3>

FTP服务<\/strong>：发现允许匿名登录，存在pub\/log目录<\/li>
Samba服务<\/strong>（139\/445端口）：同样允许匿名访问<\/li>
其他服务<\/strong>：发现一些挂载与文件共享服务<\/li> <\/ul>
1.3 漏洞扫描<\/h3>

使用nmap自带漏洞扫描功能，未发现可直接利用的漏洞<\/li> <\/ul>
2. 渗透阶段<\/h2>
2.1 FTP匿名登录利用<\/h3>

登录FTP服务，发现pub\/log目录<\/li>
下载所有可访问文件（共6个日志文件）<\/li>
使用关键字过滤日志文件：

passwd<\/li>
password<\/li>
user<\/li>
name<\/li> <\/ul> <\/li>
初步未发现有用凭证<\/li> <\/ol>
2.2 Samba服务利用<\/h3>

扫描Samba共享文件夹，发现：

一个可读写共享文件夹<\/li>
疑似功能性用户名（smbuser）<\/li> <\/ul> <\/li>
访问共享文件夹，下载与FTP不同的文件<\/li>
在secure文件中发现一组用户凭据

尝试SSH登录失败<\/li>
尝试Samba登录失败<\/li> <\/ul> <\/li> <\/ol>
2.3 文件分析发现关键信息<\/h3>

在sshd_config中发现：

SSH使用默认路径的私钥文件<\/li> <\/ul> <\/li>
在note.txt中发现提权提示：

"我出于安全原因移除了查找命令，但不想删除'getcap'。我认为没有人知道'getcap和capsh'"<\/li> <\/ul> <\/li> <\/ol>
2.4 Web服务探测<\/h3>

访问80端口HTTP服务，仅发现无用外链<\/li>
目录爆破发现：

smbuser用户的SSH公钥\/私钥路径<\/li>
公钥可读，私钥不可读<\/li> <\/ul> <\/li>
尝试用公钥推导私钥未成功<\/li> <\/ol>
2.5 关键突破<\/h3>

发现Samba下载的文件中包含id_rsa（SSH默认私钥）<\/li>
私钥被加密，使用John the Ripper提取hash并破解<\/li>
成功获取私钥密码<\/li>
使用smbuser用户名和私钥成功SSH登录<\/li> <\/ol>
3. 提权阶段<\/h2>
3.1 初始立足点<\/h3>

发现传统提权方法受限（find命令不可用）<\/li>
检查敏感文件：

\/etc\/shadow可读但密码破解失败<\/li> <\/ul> <\/li>
在家目录发现runme可执行文件<\/li> <\/ol>
3.2 二进制文件分析<\/h3>

使用scp下载runme文件到本地分析<\/li>
checksec检查：

64位程序<\/li>
无任何保护（NX, PIE, Canary等均未启用）<\/li> <\/ul> <\/li>
IDA逆向分析：

main函数中存在危险的fgets输入<\/li>
程序逻辑会跳转到v5函数指针指向的函数<\/li>
函数表中存在flag函数，可读取bla用户目录下的user.txt<\/li> <\/ul> <\/li> <\/ol>
3.3 漏洞利用尝试<\/h3>

构造payload：

40字节填充字符串（无\0）<\/li>
追加flag函数地址（0x4006cf）<\/li> <\/ul> <\/li>
攻击语句：
python -c 'import sys; sys.stdout.write("A"*40 + "\xcf\x06\x40\x00\x00\x00\x00\x00")'<\/span> | .\/runme <\/span><\/span><\/code><\/pre><\/li> 利用未成功<\/li> <\/ol> 3.4 替代提权方法<\/h3> 成功爆破出用户密码<\/li> 切换用户后发现特权：能以root权限执行两个命令<\/li> <\/ul> <\/li> 使用GTFOBins查找capsh提权方法<\/li> 成功提权<\/li> <\/ol> 4. 关键技术与工具总结<\/h2> 4.1 信息搜集工具<\/h3> nmap（端口扫描、服务识别、漏洞扫描）<\/li> smbclient（Samba服务探测）<\/li> <\/ul> 4.2 渗透工具<\/h3> ftp客户端（匿名登录测试）<\/li> John the Ripper（密码破解）<\/li> scp（文件传输）<\/li> <\/ul> 4.3 二进制分析工具<\/h3> checksec（安全机制检查）<\/li> IDA Pro（逆向分析）<\/li> Python（payload构造）<\/li> <\/ul> 4.4 提权资源<\/h3> GTFOBins（Linux特权执行利用参考）<\/li> <\/ul> 5. 经验教训<\/h2> 文件全面检查<\/strong>：最初忽略了已下载的id_rsa文件，导致浪费时间<\/li> 多角度思考<\/strong>：当一种攻击路径受阻时，及时寻找替代方案<\/li> 信息关联<\/strong>：将不同服务中发现的信息关联起来（如Samba用户名与SSH登录）<\/li> 注意提示<\/strong>：管理员留下的note.txt提供了重要提权线索<\/li> <\/ol> 6. 防御建议<\/h2> 禁用匿名登录<\/strong>：FTP和Samba服务不应允许匿名访问<\/li> 密钥管理<\/strong>：避免使用默认路径的SSH密钥，且应对私钥加密<\/li> 最小权限原则<\/strong>：限制共享文件夹的访问权限<\/li> 安全配置<\/strong>：移除不必要的setuid\/setgid程序<\/li> 限制capsh等危险命令的使用<\/li> <\/ul> <\/li> 日志管理<\/strong>：敏感日志信息应严格控制访问权限<\/li> <\/ol> 通过本案例，可以学习到从信息搜集到提权的完整渗透测试流程，以及如何利用各种服务配置不当进行系统入侵。同时也强调了防御方应采取的安全措施。<\/p>

渗透测试实战教学：从信息搜集到提权完整流程<\/h1>

1. 信息搜集阶段<\/h2>

2. 渗透阶段<\/h2>

3. 提权阶段<\/h2>

4. 关键技术与工具总结<\/h2>