Bookstore靶机实战：从Web枚举到REST API模糊测试的完整攻破

枚举阶段

我使用Nmap开始信息收集，扫描命令包含：

• -sC：等效于—script=default
• -sV：探测开放端口的服务/版本信息
• -p-：扫描所有端口

发现22端口运行SSH服务，80和5000端口运行Web服务：

• 80端口：Apache 2.4.29
• 5000端口：Werkzeug 0.14.1 + Python 3.6

在Werkzeug服务器发现关键路径：

• /robots.txt
• /api

研究发现Werkzeug 0.14.1存在可能的RCE漏洞（参考Rapid7漏洞库）。

漏洞挖掘

80端口发现

登录页面源码中发现提示：

"Still Working on this page... debugger pin is inside sid's bash history file"

5000端口突破

发现存在/console页面但需要PIN码。通过以下方式获取：

1. 对/api端点进行参数模糊测试
2. 发现v1存在未修补漏洞
3. 使用ffuf工具发现可利用参数：ffuf -u http://IP:5000/api/v2/FUZZ -w wordlist.txt --hc 404

权限提升

1. 通过获取的PIN码进入调试控制台
2. 使用Reverse Shell Cheat Sheet获取反弹shell
3. 发现SUID二进制文件try-harder
4. 逆向分析发现关键XOR运算：0x5dcd21f4 ^ 0x1116 = 1573743953
5. 成功提权获取root权限

完整Reverse Shell备忘单参考