脑洞大开：渗透测试另类实战攻略

这是一本能让你脑洞大开的渗透测试类著作，不仅能让你零基础快速掌握渗透测试的思维能力、知识体系和动手能力，并成功拿下30种各式配置的目标主机；还能让你深入理解网络安全攻防实战场景中的各种渗透测试难题的技术原理、漏洞线索和攻防措施。
全书从逻辑上分为三个部分：
第 一部分 准备篇（第1章）
全面介绍了主机环境的搭建、常见工具的使用以及常见问题的求助渠道，让读者能快速做好实战前的准备。
第二部分 基础实战篇（第2-3章）
手把手教读者如何一步步拿下世界知名的5台Kioprtix系列目标主机和10台配置各异的其他目标主机，帮助读者在实战中从0到1构建渗透测试所需的大部分知识和技能。
第三部分 实战进阶篇（第4-10章）
全面讲解了渗透测试在网络安全攻防7大场景中的应用，通过实战的方式讲解了40+个渗透测试难题的技术原理、漏洞线索和攻防措施，帮助读者从1到10提升渗透测试的经验和能力。
本书纯实战导向，注重提升读者动手解决实际问题的能力，理论知识体系融入实战中。在内容组织和叙述方式上，本书采用了游戏化的设计，带领读者从“新手村”步入“江湖”，通过闯关的方式完成一个又一个任务，逐渐成长为力主一方的英雄。

刘隽良

资深安全技术专家，多年安全行业工作经验。曾历任华为网络安全工程师、默安科技安全解决方案专家、蚂蚁金服安全运营专家以及杭州美创科技安全实验室负责人。在网络攻防、漏洞挖掘、安全协议分析以及数据安全与隐私保护等领域有深厚积累，在安全的前、中、后端均有丰富经验。

拥有14项发明专利以及多项软件著作权，贡献10余项CVE，在SCI成功发表论文4篇，在国内期刊发表论文4篇，获得OSWE、OSCP、OSWP、CISSP、CISA等20项行业认证，出版计算机技术著作5部。被杭州市委人才办认定为杭州市高层次人才（E类）。

作者背景资深：曾就职于华为、默安科技、蚂蚁金服以及美创科技等安全公司。
作者经验丰富：多年安全行业工作经验，在网络攻防、漏洞挖掘、安全协议分析以及数据安全与隐私保护等领域有深厚积累，在安全的前、中、后端均有丰富经验。
100%实战导向：只有实操，没有理论，通过讲解30中各式配置的目标主机的攻克方法和7大真实场景中40+种渗透测试难题的解决办法，让读者掌握渗透测试的方法和能力。
让你脑洞大开：书中选取的主机配置、渗透测试的应用场景和问题都极具代表性，攻防的手段和方法会让读者脑洞大开。
游戏化设计：全书结构设计和语言描述都采用了游戏化设计，从道具、武器、补给、新手村，到各种闯关，让学习过程变得简单和充满乐趣。

为什么要写这本书
近年来，网络空间安全作为国家安全保障需求，被提升到了一个全新的战略高度，“没有网络安全,就没有国家安全”的政策理念也越发深入人心。网络安全行业正在经历前所未有的蓬勃发展和技术巨变，但随之而来的却是安全行业人才稀缺的尴尬现状。究其原因，主要在于网络安全是一门需要通过长期实战演练获得经验并进一步提升技能的技术，目前无论是高校，还是与国内安全相关的网络资源，受限于各种原因，大多还停留在学术教育以及概念普及的阶段，从而导致“入门”到“入行”之间存在着较大的鸿沟。同时，实践性资源、指导资料的长期匮乏，以及网络安全实践所需技术知识种类庞杂、知识体系非线性关系等客观原因，导致大量初学者无法有效地获得入门机会，最终造成业内人才缺口巨大。可见，输出实践性强、指导价值高、实践过程合法合规的网络安全相关知识已迫在眉睫。
基于以上情况，我决定写一本纯实战的网络安全渗透测试技术图书。我精心挑选了30台目标主机，基于“从零开始，由浅入深”的设计理念，与读者一起动手完成每一次挑战，为读者构建丰富且翔实的网络安全渗透测试实战，相信读者可通过本书获得渗透测试实战的必备知识与经验。书中提到的主机环境均可公开获得，意味着书中的每一个知识点都有对应的主机环境供读者去复现和实践。要说明的是，书中涉及的所有实践主机环境均为靶机环境，即专为网络安全实践所设计的脆弱性主机，因此在实践全程中不会存在任何真实业务受到损害的情况。

前　言
准备篇
第1章　欢迎，年轻的勇士：准备
工作　2
1.1　一份道具包：主机环境搭建　2
1.1.1　VMware与Kali Linux　2
1.1.2　VulnHub主机操作指南　14
1.1.3　Hack The Box主机操作指南　20
1.2　一个武器套装：常用工具使用
说明　28
1.2.1　使用nmap收集目标主机
信息　28
1.2.2　Web目录枚举工具的使用　29
1.2.3　使用Burpsuite捕获流量　31
1.2.4　反弹shell的功能　38
1.2.5　文件传输操作　39
1.2.6　目标主机系统的本地信息
枚举　39
1.3　一包补给品：常见问题求助
渠道　40
1.4　小结　41
基础实战篇
第2章　新手村：从Kioptrix开始　44
2.1　Kioptrix Level 1：过时软件的
安全风险　45
2.1.1　目标主机信息收集　45
2.1.2　漏洞线索：过时的Apache
中间件　47
2.1.3　利用mod_ssl缓冲区溢
出漏洞　50
2.1.4　Samba版本的漏洞猜想　50
2.1.5　利用Samba远程命令执行
漏洞　53
2.2　Kioptrix Level 2：SQL注入引发的
蝴蝶效应　53
2.2.1　目标主机信息收集　54
2.2.2　漏洞线索1：表单数据与SQL
注入　55
2.2.3　利用SQL注入漏洞枚举数据库信息　56
2.2.4　漏洞线索2：Web授权后远程
命令执行漏洞　59
2.2.5　目标主机本地脆弱性枚举　60
2.2.6　本地脆弱性：操作系统
内核漏洞　61
2.2.7　内核提权与“Kernel panic”　62
2.2.8　内核提权经验教训与方式
改进　63
2.3　Kioptrix Level 3：持续探索与
摸索前行　63
2.3.1　目标主机信息收集　64
2.3.2　漏洞线索1：过时的Gallarif?ic系统　69
2.3.3　漏洞线索2：过时的LotusCMS系统　70
2.3.4　渗透测试路径1：利用LotusCMS远程命令执行漏洞与内核提权　71
2.3.5　渗透测试路径2：借助SQL
注入漏洞获取登录凭证与
sudo提权　74
2.4　Kioptrix Level 4：rbash逃逸　80
2.4.1　目标主机信息收集　80
2.4.2　漏洞线索：表单数据与SQL
注入　82
2.4.3　利用SQL注入漏洞枚举数据库信息　83
2.4.4　登录凭证的利用与二次探索　84
2.4.5　rbash逃逸技术　85
2.4.6　目标主机本地脆弱性枚举　86
2.4.7　本地脆弱性1：操作系统内核
漏洞　87
2.4.8　本地脆弱性2：无密码的
MySQL数据库root账号　87
2.4.9　MySQL UDF提权实战　88
2.5　Kioptrix 2014：Ban、Bypass与
发散思维　91
2.5.1　目标主机信息收集　91
2.5.2　漏洞线索1：pChart目录穿越
漏洞　93
2.5.3　漏洞线索2：phptax远程命令
执行漏洞　98
2.5.4　目标主机本地脆弱性枚举　101
2.5.5　FreeBSD 9内核提权实战　101
2.6　小结　103
第3章　过时即风险：综合技能的
扩展与提升　104
3.1　HTB-Optimum：Windows渗透
初体验　104
3.1.1　目标主机信息收集　104
3.1.2　漏洞线索：HTTP File Server
远程命令执行漏洞　105
3.1.3　目标主机本地脆弱性
枚举　107
3.1.4　基于MS16-098漏洞进行提权
实战　109
3.2　HTB-Legacy：当XP邂逅MS08-
067和“永恒之蓝”　110
3.2.1　目标主机信息收集　111
3.2.2　漏洞线索1：MS08-067　112
3.2.3　漏洞线索2：MS17-010“永恒之蓝”　113
3.3　HTB-Grandpa：搜索与选择的
智慧　115
3.3.1　目标主机信息收集　115
3.3.2　漏洞线索：过时的Microsoft
IIS中间件　116
3.3.3　目标主机本地脆弱性枚举　119
3.3.4　利用MS08-025漏洞　119
3.4　HTB-Lame：此路不通，也可以
绕道而行　119
3.4.1　目标主机信息收集　120
3.4.2　漏洞线索1：vsftpd远程命令
执行漏洞　121
3.4.3　漏洞线索2：Samba远程命令
执行漏洞　122
3.5　HTB-Beep：有时，恰巧每条路
都是坦途　124
3.5.1　目标主机信息收集　124
3.5.2　漏洞线索：过时的Elastix
系统　126
3.5.3　利用Elastix系统本地文件
包含漏洞的测试　127
3.5.4　利用泄露凭证进行ssh服务
爆破　128
3.5.5　利用Elastix系统远程命令
执行漏洞　129
3.6　HTB-Shocker：经典的Shellshock漏洞　133
3.6.1　目标主机信息收集　133
3.6.2　漏洞线索：/cgi-bin/目录下的
.sh脚本文件　135
3.6.3　Shellshock漏洞POC测试　136
3.6.4　利用Shellshock漏洞的实战　139
3.6.5　目标主机本地脆弱性枚举　140
3.6.6　本地脆弱性：sudo权限　140
3.6.7　挑战无回显Shellshock漏洞　141
3.7　HTB-Valentine：通过Heartbleed
获取关键信息　144
3.7.1　Heartbleed漏洞的原理简介　144
3.7.2　目标主机信息收集　146
3.7.3　漏洞线索1：OpenSSL上的
“心脏滴血”漏洞　148
3.7.4　漏洞线索2：泄露的ssh
私钥　149
3.7.5　目标主机本地脆弱性枚举　152
3.7.6　本地脆弱性：tmux终端
复用器　152
3.8　VulnHub-DC3：初次使用PHP
“一句话Webshell”　153
3.8.1　目标主机信息收集　154
3.8.2　漏洞线索：Joomla! SQL注入
漏洞　158
3.8.3　john密码爆破实战　159
3.8.4　Joomla!登录与PHP“一句话Webshell”的植入　159
3.8.5　利用PHP“一句话Webshell”
获得反弹shell　162
3.8.6　目标主机本地脆弱性枚举　164
3.8.7　本地脆弱性：操作系统内核
漏洞　164
3.9　Vu