从Web命令执行到GPG解密：深度复盘Vulnhub Bob靶场的那些“藏起来”的提权线索

从Web命令执行到GPG解密：深度复盘Vulnhub Bob靶场的那些“藏起来”的提权线索

在渗透测试的世界里，真正的挑战往往不在于技术工具的掌握，而在于如何从看似无关的信息碎片中拼凑出完整的攻击路径。Vulnhub的Bob靶场就像一部精心设计的侦探小说，每一个看似随机的线索背后都暗藏着作者精心布置的谜题。本文将带您深入剖析那些容易被忽略的关键细节，还原从初始访问到最终提权的完整思维过程。

1. 信息收集阶段的蛛丝马迹

Bob靶场的初始攻击面看似简单——一个学校官网和几个开放端口，但魔鬼藏在细节里。news.html页面显示"网站被黑了"的提示，这绝不是随机的装饰文本。经验丰富的测试者会立即意识到：

• 这可能暗示着历史入侵痕迹
• 可能是作者留下的"面包屑"线索
• 需要检查页面源代码、注释和HTTP头信息

虽然直接查看源代码没有收获，但这个异常提示应该被记录在渗透笔记中。当后续发现dev_shell.php存在命令注入时，聪明的测试者会联想到：

# 检查news.html的修改时间可能揭示攻击时间窗口 stat /var/www/html/news.html # 查看web日志寻找异常请求 grep "news.html" /var/log/apache2/access.log

2. 命令注入的迂回突破

dev_shell.php的命令过滤机制看似阻止了直接执行，但渗透测试的核心思维就是"尝试所有可能性"。当发现管道符|可以绕过过滤时，这提示我们：

常见命令注入绕过技术对比

提示：在实际测试中，建议准备完整的测试向量列表，从简单到复杂逐步尝试。

3. 用户目录中的密码迷宫

获得初始shell后，在bob用户目录发现的.old_passwordfile.html文件是典型的信息泄露案例。这个文件揭示了几个关键点：

• 命名中的".old"暗示这是被替换的旧文件
• HTML扩展名可能意味着它曾通过web访问
• 包含jc和seb用户的明文密码

但真正的挑战在于如何利用这些信息。直接SSH登录固然可行，但更专业的做法是先检查这些用户的家目录：

# 检查用户文件权限和特殊文件 ls -la /home/jc /home/seb # 查找SUID/SGID文件 find / -perm -4000 -user jc 2>/dev/null

4. 解密GPG文件的诗谜艺术

Secret文件夹下的可执行文件看似毫无意义，实则是经典的"藏头诗"密码设计。破解HARPOCRATES密钥的过程展示了：

1. 观察模式：注意每行首字母的组合
2. 验证假设：尝试作为GPG密钥解密
3. 权限处理：遇到权限问题时切换用户上下文

# GPG解密的标准流程 gpg --import keyfile gpg --decrypt secret.gpg # 权限问题解决方案 sudo -u jc gpg --decrypt /home/bob/Documents/secret.gpg

这个环节最考验渗透测试者的联想能力和文化素养——HARPOCRATES是古埃及的沉默之神，与"秘密"主题完美契合。

5. 从线索串联到权限提升

整个提权路径的构建就像在玩解谜游戏：

• staff.txt提到的"FTP后门"需要结合其他线索理解
• theadminisdumb.txt的内容暗示了bob用户的重要性
• 最终通过GPG获得的密码解锁了sudo权限

完整的攻击链思维导图

1. Web命令注入 → 初始访问
2. 密码文件发现 → 横向移动
3. 诗谜破解 → 凭证获取
4. Sudo滥用 → 权限提升

在真实的渗透测试中，每个线索都可能是突破口，关键在于保持开放的思维和系统的记录习惯。Bob靶场的设计精妙之处在于，它模拟了真实环境中那些看似无关实则环环相扣的安全漏洞。