渗透技能考核靶场通关教学文档<\/h1>

0x00 背景介绍<\/h2>
这是一个基于WordPress的渗透测试靶场环境，仅提供一个公网IP地址作为起点。目标是通过系统化的渗透测试流程获取flag并解密hash。<\/p>

0x01 信息收集阶段<\/h2>

端口扫描<\/h3>

初始扫描<\/strong>：使用FOFA等网络空间测绘引擎搜索目标IP<\/p>

发现9443端口运行WordPress<\/li>
WordPress前台通常漏洞较少，除非存在插件漏洞<\/li> <\/ul> <\/li>

全端口扫描<\/strong>：使用Fscan等工具进行全端口扫描<\/p>

发现13306端口运行MySQL服务<\/li> <\/ul> <\/li> <\/ol>
目录\/备份文件扫描<\/h3>
同时运行两个扫描工具：<\/p>

目录扫描工具<\/p>

发现info.php页面<\/li>
显示禁用了许多命令执行函数(disable_functions)<\/li> <\/ul> <\/li>

备份文件扫描<\/p>

发现webbak.zip网站备份文件<\/li>
文件需要密码才能解压<\/li> <\/ul> <\/li> <\/ol>
0x02 压缩包密码破解<\/h2>
准备工作<\/h3>

下载大型密码字典(如weakpass_3p.7z)<\/li>
准备哈希破解工具(John the Ripper或Hashcat)<\/li> <\/ol>
破解步骤<\/h3>

使用zip2john提取压缩包哈希：<\/p>
zip2john.exe webbak.zip > webbak.hashes <\/code><\/pre> <\/li> 使用John进行字典攻击：<\/p> john --wordlist=字典路径 webbak.hashes <\/code><\/pre> 耗时约2分30秒破解成功<\/li> <\/ul> <\/li> 解压后获得数据库密码<\/p> <\/li> <\/ol> 0x03 数据库操作<\/h2> 连接MySQL数据库(13306端口)<\/p> <\/li> 查看WordPress用户表<\/p> 发现密码为加密形式<\/li> <\/ul> <\/li> 密码加密类型识别：<\/p> 通过Hashcat示例哈希表识别为WordPress加密方式<\/li> 默认测试密文明文为"hashcat"<\/li> <\/ul> <\/li> 替换管理员密码为已知密文<\/p> 注意：实际渗透中应记录原密文以便恢复<\/li> <\/ul> <\/li> <\/ol> 0x04 WordPress后台访问<\/h2> 使用修改后的密码登录后台<\/p> 发现IP限制问题<\/li> <\/ul> <\/li> 在数据库表中查找允许的IP地址<\/p> <\/li> 使用X-Forwarded-For(XFF)头绕过IP限制<\/p> 添加找到的IP到XFF头中<\/li> <\/ul> <\/li> <\/ol> 0x05 获取WebShell<\/h2> 插件上传方法<\/h3> 将PHP木马文件压缩为zip格式<\/p> <\/li> 在WordPress插件上传页面提交zip文件<\/p> 上传后会自动解压<\/li> 忽略可能的错误提示<\/li> <\/ul> <\/li> Webshell访问路径：<\/p> \/wp-content\/upgrade\/压缩包名\/原木马名 <\/code><\/pre> 例如：\/wp-content\/upgrade\/zzg\/zzg.php<\/code><\/p> <\/li> <\/ol> 注意事项<\/h3> 此方法创建的目录可能被后续上传覆盖<\/li> 建议获取初始访问后在其他位置放置持久性后门<\/li> <\/ul> 0x06 命令执行与flag获取<\/h2> 使用哥斯拉等Webshell管理工具连接<\/p> 某些工具(如蚁剑)可能无法直接执行命令<\/li> 若disable_functions限制严格，需要绕过技术<\/li> <\/ul> <\/li> 发现flag为加密hash：<\/p> 90cc3c4e6*5326e0ad:CB**25 <\/code><\/pre> <\/li> <\/ol> 0x07 Hash破解<\/h2> 加密类型识别<\/h3> 确定为md5(md5(\(pass).\)<\/span>salt)格式<\/li> Hashcat对应类型编号为2611<\/li> <\/ol> 破解方法<\/h3> 使用Hashcat爆破：<\/p> hashcat -m 2611 哈希值字典路径 <\/code><\/pre> <\/li> 备选方案：使用CMD5等在线破解服务<\/p> 可自动识别加密类型<\/li> 若有记录可直接解密<\/li> <\/ul> <\/li> <\/ol> 关键知识点总结<\/h2> 信息收集<\/strong>：多工具并行扫描提高效率<\/li> 密码破解<\/strong>：John与Hashcat的配合使用<\/li> 数据库操作<\/strong>：WordPress密码加密机制<\/li> 访问控制绕过<\/strong>：XFF头欺骗技术<\/li> Webshell上传<\/strong>：WordPress插件上传漏洞利用<\/li> 哈希破解<\/strong>：加密类型识别与工具选择<\/li> <\/ol> 防御建议<\/h2> 避免使用弱密码压缩重要文件<\/li> 数据库服务不应暴露在公网<\/li> 实施严格的IP白名单机制<\/li> 限制WordPress插件上传功能<\/li> 使用非标准端口和路径<\/li> 全面禁用不必要的PHP函数<\/li> <\/ol>

渗透技能考核靶场通关教学文档<\/h1>

0x00 背景介绍<\/h2> 这是一个基于WordPress的渗透测试靶场环境，仅提供一个公网IP地址作为起点。目标是通过系统化的渗透测试流程获取flag并解密hash。<\/p>

0x01 信息收集阶段<\/h2>

0x02 压缩包密码破解<\/h2>

0x05 获取WebShell<\/h2>

0x07 Hash破解<\/h2>

防御建议<\/h2> 避免使用弱密码压缩重要文件<\/li> 数据库服务不应暴露在公网<\/li> 实施严格的IP白名单机制<\/li> 限制WordPress插件上传功能<\/li> 使用非标准端口和路径<\/li> 全面禁用不必要的PHP函数<\/li> <\/ol>

0x00 背景介绍<\/h2>
这是一个基于WordPress的渗透测试靶场环境，仅提供一个公网IP地址作为起点。目标是通过系统化的渗透测试流程获取flag并解密hash。<\/p>

防御建议<\/h2>

避免使用弱密码压缩重要文件<\/li>
数据库服务不应暴露在公网<\/li>
实施严格的IP白名单机制<\/li>
限制WordPress插件上传功能<\/li>
使用非标准端口和路径<\/li>
全面禁用不必要的PHP函数<\/li> <\/ol>