0x01-1 主机发现

0x01-2 端口扫描

0x01-3 服务探测

0x01-4 识别 Web 应用框架及版本

0x01-5 探索发现阶段总结

在探索发现阶段中，通过 nmap 扫描结果发现目标服务器开启了 80 端口的 HTTP 服务，777 端口的 SSH 服务，通过访问服务器的 HTTP 服务发现网站网页并没有可交互的地方

0x02-1 对 Web 服务器进行目录爆破

使用 gobuster 也可以爆破，这里使用 dirsearch 进行爆破

​gobuster dir -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -u http://8.27.11.13

对这几个目录进行访问，并未发现有效的收获

0x02-2 查看网站首页源代码

网站首页代码量很少，并且只有 img 标签处有调用资源，尝试下载 main.gif 并对其进行分析

0x02-3 下载 main.gif 进行分析

查看图片类型以及查看图片中是否存在隐藏文件

读取 main.gif 文件的所有元数据，发现文件中嵌入了一条注释，内容为 P-): kzMb5nVYJw。这条注释可能是人为添加的，也可能是某种隐藏信息或标记

使用 strings 命令扫描 main.gif 文件的二进制内容，提取其中所有连续的、可打印的 ASCII 或 Unicode 字符串，发现 kzMb5nVYJw 这一段字符串很特殊，猜测应该会是一个 Web 路径，下面尝试访问路径

0x02-4 尝试访问 Web 路径

发现网页内容很简单，只有一个输入框，存在交互场景，猜测这里会出现漏洞

0x02-5 查看网页源代码

通过查看网页源码发现这个输入框的类型为密码类型，提交方式为 POST，回车后跳转至 index.php 页面，或者说这个登录页面本身就是 index.php 页面。注释得意思为这个表单没有连接到 mysql，密码没那么复杂，猜测网站使用的数据库为 MySQL，并且存在弱密码

0x02-6 尝试使用 hydra 爆破密码

由于提交方式为 POST，所以 http-form-post 不可缺省，还需要注意的是 hydra 在进行登录时需要 -l 参数指定用户名，不过再次场景中无用户名，因此随便输入一个用户名即可

0x02-7 登录访问页面

发现登录后的网页依旧有一个输入框，只不过类型为 text，提交方式为 GET，回车后跳转至 420search.php 页面，那么直接回车访问 420search.php 页面

发现这个页面是一个查询页面，查询的是数据库中的用户名字段的数据，因此猜测这里存在 SQL 注入，下面尝试进行 SQL 注入

0x02-8 尝试进行 SQL 注入

为了能够更为深刻的巩固 SQL 注入的知识，这里采用手工注入的方式，使用 sqlmap 工具也可以

0x02-8.1 判断闭合条件

闭合条件常见的无非就是 '、(、)、/、\、#、" 这几个字符

测试后发现必和条件为双引号，并且可以直接判断出注入类型为字符型注入

0x02-8.2 判断字段数

0x02-8.3 确定回显点

为了使页面更简洁，输入一个查不到的数据，目的是为了让页面少显示或不显示无效内容

0x02-8.4 爆库

查询当前用户、当前数据库名、所有数据库名

0x02-8.5 爆表

seth 数据库中只有一张 users 表

0x02-8.6 爆字段

查出 users 表中存在 id、user、pass、position 字段，猜测 user 和 pass 字段中存储了用户的用户名以及密码

0x02-8.7 爆数据

发现只有 ramses 和 isis 两个用户，并且 ramses 用户的密码看似为 base64 加密的形式，isis 用户的密码直接表明不允许

0x02-8.8 尝试破解 ramses 用户密码

32 位字符串，猜测为 md5 加密，使用工具进行验证

使用在线工具破解

0x02-9 尝试登录 phpMyAdmin 和 SSH

0x02-9.1 登录 phpMyAdmin

以失败告终

0x02-9.2 登录 SSH

登陆成功，不过现在具有的权限比较低，接下来尝试将权限提升至 root 权限

0x03-1 查找具有 suid 权限的文件

0x03-2 尝试运行文件分析文件功能

执行后发现该文件执行了 sh 和 ps 命令，实战情况下可以将文件保存到本地使用 strace 命令进行分析

这样的话就可以使用环境变量劫持进行权限提升

0x03-3 修改环境变量

0x03-4 执行文件

0x04 渗透总结