某公司的渗透技能考核靶场通关记录
字数 1365 2025-08-29 22:41:01

渗透技能考核靶场通关教学文档

0x00 背景介绍

这是一个基于WordPress的渗透测试靶场环境,仅提供一个公网IP地址作为起点。目标是通过系统化的渗透测试流程获取flag并解密hash。

0x01 信息收集阶段

端口扫描

  1. 初始扫描:使用FOFA等网络空间测绘引擎搜索目标IP

    • 发现9443端口运行WordPress
    • WordPress前台通常漏洞较少,除非存在插件漏洞

  2. 全端口扫描:使用Fscan等工具进行全端口扫描

    • 发现13306端口运行MySQL服务

目录/备份文件扫描

同时运行两个扫描工具:

  1. 目录扫描工具

    • 发现info.php页面
    • 显示禁用了许多命令执行函数(disable_functions)

  2. 备份文件扫描

    • 发现webbak.zip网站备份文件
    • 文件需要密码才能解压

0x02 压缩包密码破解

准备工作

  1. 下载大型密码字典(如weakpass_3p.7z)
  2. 准备哈希破解工具(John the Ripper或Hashcat)

破解步骤

  1. 使用zip2john提取压缩包哈希:

    zip2john.exe webbak.zip > webbak.hashes

  2. 使用John进行字典攻击:

    john --wordlist=字典路径 webbak.hashes
    • 耗时约2分30秒破解成功

  3. 解压后获得数据库密码

0x03 数据库操作

  1. 连接MySQL数据库(13306端口)

  2. 查看WordPress用户表

    • 发现密码为加密形式

  3. 密码加密类型识别:

    • 通过Hashcat示例哈希表识别为WordPress加密方式
    • 默认测试密文明文为"hashcat"

  4. 替换管理员密码为已知密文

    • 注意:实际渗透中应记录原密文以便恢复

0x04 WordPress后台访问

  1. 使用修改后的密码登录后台

    • 发现IP限制问题

  2. 在数据库表中查找允许的IP地址

  3. 使用X-Forwarded-For(XFF)头绕过IP限制

    • 添加找到的IP到XFF头中

0x05 获取WebShell

插件上传方法

  1. 将PHP木马文件压缩为zip格式

  2. 在WordPress插件上传页面提交zip文件

    • 上传后会自动解压
    • 忽略可能的错误提示

  3. Webshell访问路径:

    /wp-content/upgrade/压缩包名/原木马名

    例如:/wp-content/upgrade/zzg/zzg.php

注意事项

  • 此方法创建的目录可能被后续上传覆盖
  • 建议获取初始访问后在其他位置放置持久性后门

0x06 命令执行与flag获取

  1. 使用哥斯拉等Webshell管理工具连接

    • 某些工具(如蚁剑)可能无法直接执行命令
    • 若disable_functions限制严格,需要绕过技术

  2. 发现flag为加密hash:

    90cc3c4e6*5326e0ad:CB**25

0x07 Hash破解

加密类型识别

  1. 确定为md5(md5(\(pass).\)salt)格式
  2. Hashcat对应类型编号为2611

破解方法

  1. 使用Hashcat爆破:

    hashcat -m 2611 哈希值 字典路径

  2. 备选方案:使用CMD5等在线破解服务

    • 可自动识别加密类型
    • 若有记录可直接解密

关键知识点总结

  1. 信息收集:多工具并行扫描提高效率
  2. 密码破解:John与Hashcat的配合使用
  3. 数据库操作:WordPress密码加密机制
  4. 访问控制绕过:XFF头欺骗技术
  5. Webshell上传:WordPress插件上传漏洞利用
  6. 哈希破解:加密类型识别与工具选择

防御建议

  1. 避免使用弱密码压缩重要文件
  2. 数据库服务不应暴露在公网
  3. 实施严格的IP白名单机制
  4. 限制WordPress插件上传功能
  5. 使用非标准端口和路径
  6. 全面禁用不必要的PHP函数
渗透技能考核靶场通关教学文档 0x00 背景介绍 这是一个基于WordPress的渗透测试靶场环境,仅提供一个公网IP地址作为起点。目标是通过系统化的渗透测试流程获取flag并解密hash。 0x01 信息收集阶段 端口扫描 初始扫描 :使用FOFA等网络空间测绘引擎搜索目标IP 发现9443端口运行WordPress WordPress前台通常漏洞较少,除非存在插件漏洞 全端口扫描 :使用Fscan等工具进行全端口扫描 发现13306端口运行MySQL服务 目录/备份文件扫描 同时运行两个扫描工具: 目录扫描工具 发现info.php页面 显示禁用了许多命令执行函数(disable_ functions) 备份文件扫描 发现webbak.zip网站备份文件 文件需要密码才能解压 0x02 压缩包密码破解 准备工作 下载大型密码字典(如weakpass_ 3p.7z) 准备哈希破解工具(John the Ripper或Hashcat) 破解步骤 使用zip2john提取压缩包哈希: 使用John进行字典攻击: 耗时约2分30秒破解成功 解压后获得数据库密码 0x03 数据库操作 连接MySQL数据库(13306端口) 查看WordPress用户表 发现密码为加密形式 密码加密类型识别: 通过Hashcat示例哈希表识别为WordPress加密方式 默认测试密文明文为"hashcat" 替换管理员密码为已知密文 注意:实际渗透中应记录原密文以便恢复 0x04 WordPress后台访问 使用修改后的密码登录后台 发现IP限制问题 在数据库表中查找允许的IP地址 使用X-Forwarded-For(XFF)头绕过IP限制 添加找到的IP到XFF头中 0x05 获取WebShell 插件上传方法 将PHP木马文件压缩为zip格式 在WordPress插件上传页面提交zip文件 上传后会自动解压 忽略可能的错误提示 Webshell访问路径: 例如: /wp-content/upgrade/zzg/zzg.php 注意事项 此方法创建的目录可能被后续上传覆盖 建议获取初始访问后在其他位置放置持久性后门 0x06 命令执行与flag获取 使用哥斯拉等Webshell管理工具连接 某些工具(如蚁剑)可能无法直接执行命令 若disable_ functions限制严格,需要绕过技术 发现flag为加密hash: 0x07 Hash破解 加密类型识别 确定为md5(md5($pass).$salt)格式 Hashcat对应类型编号为2611 破解方法 使用Hashcat爆破: 备选方案:使用CMD5等在线破解服务 可自动识别加密类型 若有记录可直接解密 关键知识点总结 信息收集 :多工具并行扫描提高效率 密码破解 :John与Hashcat的配合使用 数据库操作 :WordPress密码加密机制 访问控制绕过 :XFF头欺骗技术 Webshell上传 :WordPress插件上传漏洞利用 哈希破解 :加密类型识别与工具选择 防御建议 避免使用弱密码压缩重要文件 数据库服务不应暴露在公网 实施严格的IP白名单机制 限制WordPress插件上传功能 使用非标准端口和路径 全面禁用不必要的PHP函数