书名：脑洞大开：渗透测试另类实战攻略  
定价：109.0  
ISBN：9787111719199  
作者：刘隽良  
版次：1  

内容提要：  

这是一本能让你脑洞大开的渗透测试类著作，不仅能让你零基础快速掌握渗透测试的思维能力、知识体系和动手能力，并成功拿下30种各式配置的目标主机；还能让你深入理解网络安全攻防实战场景中的各种渗透测试难题的技术原理、漏洞线索和攻防措施。

全书从逻辑上分为三个部分：

第 一部分 准备篇（第1章）

全面介绍了主机环境的搭建、常见工具的使用以及常见问题的求助渠道，让读者能快速做好实战前的准备。

第二部分 基础实战篇（第2-3章）

手把手教读者如何一步步拿下世界知名的5台Kioprtix系列目标主机和10台配置各异的其他目标主机，帮助读者在实战中从0到1构建渗透测试所需的大部分知识和技能。

第三部分 实战进阶篇（第4-10章）

全面讲解了渗透测试在网络安全攻防7大场景中的应用，通过实战的方式讲解了40+个渗透测试难题的技术原理、漏洞线索和攻防措施，帮助读者从1到10提升渗透测试的经验和能力。

本书纯实战导向，注重提升读者动手解决实际问题的能力，理论知识体系融入实战中。在内容组织和叙述方式上，本书采用了游戏化的设计，带领读者从“新手村”步入“江湖”，通过闯关的方式完成一个又一个任务，逐渐成长为力主一方的英雄。

目录：  

前　言

准备篇

第1章　欢迎，年轻的勇士：准备

工作　2

1.1　一份道具包：主机环境搭建　2

1.1.1　VMware与Kali Linux　2

1.1.2　VulnHub主机操作指南　14

1.1.3　Hack The Box主机操作指南　20

1.2　一个武器套装：常用工具使用

说明　28

1.2.1　使用nmap收集目标主机

信息　28

1.2.2　Web目录枚举工具的使用　29

1.2.3　使用Burpsuite捕获流量　31

1.2.4　反弹shell的功能　38

1.2.5　文件传输操作　39

1.2.6　目标主机系统的本地信息

枚举　39

1.3　一包补给品：常见问题求助

渠道　40

1.4　小结　41

基础实战篇

第2章　新手村：从Kioptrix开始　44

2.1　Kioptrix Level 1：过时软件的

安全风险　45

2.1.1　目标主机信息收集　45

2.1.2　漏洞线索：过时的Apache

中间件　47

2.1.3　利用mod_ssl缓冲区溢

出漏洞　50

2.1.4　Samba版本的漏洞猜想　50

2.1.5　利用Samba远程命令执行

漏洞　53

2.2　Kioptrix Level 2：SQL注入引发的

蝴蝶效应　53

2.2.1　目标主机信息收集　54

2.2.2　漏洞线索1：表单数据与SQL

注入　55

2.2.3　利用SQL注入漏洞枚举数据库信息　56

2.2.4　漏洞线索2：Web授权后远程

命令执行漏洞　59

2.2.5　目标主机本地脆弱性枚举　60

2.2.6　本地脆弱性：操作系统

内核漏洞　61

2.2.7　内核提权与“Kernel panic”　62

2.2.8　内核提权经验教训与方式

改进　63

2.3　Kioptrix Level 3：持续探索与

摸索前行　63

2.3.1　目标主机信息收集　64

2.3.2　漏洞线索1：过时的Gallarif?ic系统　69

2.3.3　漏洞线索2：过时的LotusCMS系统　70

2.3.4　渗透测试路径1：利用LotusCMS远程命令执行漏洞与内核提权　71

2.3.5　渗透测试路径2：借助SQL

注入漏洞获取登录凭证与

sudo提权　74

2.4　Kioptrix Level 4：rbash逃逸　80

2.4.1　目标主机信息收集　80

2.4.2　漏洞线索：表单数据与SQL

注入　82

2.4.3　利用SQL注入漏洞枚举数据库信息　83

2.4.4　登录凭证的利用与二次探索　84

2.4.5　rbash逃逸技术　85

2.4.6　目标主机本地脆弱性枚举　86

2.4.7　本地脆弱性1：操作系统内核

漏洞　87

2.4.8　本地脆弱性2：无密码的

MySQL数据库root账号　87

2.4.9　MySQL UDF提权实战　88

2.5　Kioptrix 2014：Ban、Bypass与

发散思维　91

2.5.1　目标主机信息收集　91

2.5.2　漏洞线索1：pChart目录穿越

漏洞　93

2.5.3　漏洞线索2：phptax远程命令

执行漏洞　98

2.5.4　目标主机本地脆弱性枚举　101

2.5.5　FreeBSD 9内核提权实战　101

2.6　小结　103

第3章　过时即风险：综合技能的

扩展与提升　104

3.1　HTB-Optimum：Windows渗透

初体验　104

3.1.1　目标主机信息收集　104

3.1.2　漏洞线索：HTTP File Server

远程命令执行漏洞　105

3.1.3　目标主机本地脆弱性

枚举　107

3.1.4　基于MS16-098漏洞进行提权

实战　109

3.2　HTB-Legacy：当XP邂逅MS08-

067和“永恒之蓝”　110

3.2.1　目标主机信息收集　111

3.2.2　漏洞线索1：MS08-067　112

3.2.3　漏洞线索2：MS17-010“永恒之蓝”　113

3.3　HTB-Grandpa：搜索与选择的

智慧　115

3.3.1　目标主机信息收集　115

3.3.2　漏洞线索：过时的Microsoft 

IIS中间件　116

3.3.3　目标主机本地脆弱性枚举　119

3.3.4　利用MS08-025漏洞　119

3.4　HTB-Lame：此路不通，也可以

绕道而行　119

3.4.1　目标主机信息收集　120

3.4.2　漏洞线索1：vsftpd远程命令

执行漏洞　121

3.4.3　漏洞线索2：Samba远程命令

执行漏洞　122

3.5　HTB-Beep：有时，恰巧每条路

都是坦途　124

3.5.1　目标主机信息收集　124

3.5.2　漏洞线索：过时的Elastix

系统　126

3.5.3　利用Elastix系统本地文件

包含漏洞的测试　127

3.5.4　利用泄露凭证进行ssh服务

爆破　128

3.5.5　利用Elastix系统远程命令

执行漏洞　129

3.6　HTB-Shocker：经典的Shellshock漏洞　133

3.6.1　目标主机信息收集　133

3.6.2　漏洞线索：/cgi-bin/目录下的

.sh脚本文件　135

3.6.3　Shellshock漏洞POC测试　136

3.6.4　利用Shellshock漏洞的实战　139

3.6.5　目标主机本地脆弱性枚举　140

3.6.6　本地脆弱性：sudo权限　140

3.6.7　挑战无回显Shellshock漏洞　141

3.7　HTB-Valentine：通过Heartbleed

获取关键信息　144

3.7.1　Heartbleed漏洞的原理简介　144

3.7.2　目标主机信息收集　146

3.7.3　漏洞线索1：OpenSSL上的

“心脏滴血”漏洞　148

3.7.4　漏洞线索2：泄露的ssh

私钥　149

3.7.5　目标主机本地脆弱性枚举　152

3.7.6　本地脆弱性：tmux终端

复用器　152

3.8　VulnHub-DC3：初次使用PHP

“一句话Webshell”　153

3.8.1　目标主机信息收集　154

3.8.2　漏洞线索：Joomla! SQL注入

漏洞　158

3.8.3　john密码爆破实战　159

3.8.4　Joomla!登录与PHP“一句话Webshell”的植入　159

3.8.5　利用PHP“一句话Webshell”

获得反弹shell　162

3.8.6　目标主机本地脆弱性枚举　164

3.8.7　本地脆弱性：操作系统内核

漏洞　164

3.9　VulnHub-Sar1：计划任务与权限

传递　166

3.9.1　目标主机信息收集　166

3.9.2　漏洞线索：sar2html远程命令

执行漏洞　170

3.9.3　目标主机本地脆弱性枚举　172

3.9.4　利用计划任务进行提权

实战　173

3.10　HTB-Redcross：利用XSS漏洞

获取用户Cookie　174

3.10.1　目标主机信息收集　174

3.10.2　XSS漏洞POC测试　177

3.10.3　利用XSS漏洞获取Web

系统管理员权限　179

3.10.4　漏洞线索1：Web系统SQL

注入漏洞　179

3.10.5　漏洞线索2：子域名系统　180

3.10.6　漏洞线索3：Web系统的用户

添加功能　182

3.10.7　漏洞线索4：Web系统授权后

远程命令执行漏洞　183

3.10.8　目标主机本地脆弱性枚举　186

3.10.9　Web系统的代码白盒分析　186

3.10.10　本地脆弱性：篡改Web

系统用户添加功能　188

实战进阶篇

第4章　兔子洞：当漏洞的可利用性

似是而非时　194

4.1　HTB-Cronos：另辟蹊径　194

4.1.1　目标主机信息收集　194

4.1.2　漏洞线索1：laravel系统的

远程命令执行漏洞　197

4.1.3　漏洞线索2：DNS域传送

漏洞　197

4.1.4　DNS域传送漏洞POC

测试　198

4.1.5　漏洞线索3：表单数据与SQL

注入漏洞　199

4.1.6　漏洞线索4：授权后远程命令

执行漏洞　202

4.1.7　目标主机本地脆弱性枚举　204

4.1.8　本地脆弱性1：操作系统内核

漏洞　204

4.1.9　本地脆弱性2：计划任务　204

4.2　HTB-Friendzone：蹊径有时也

需要组合利用　206

4.2.1　目标主机信息收集　206

4.2.2　Samba枚举共享目录简介　209

4.2.3　探索Samba共享目录文件

信息　209

4.2.4　漏洞线索1：DNS域传送

漏洞　210

4.2.5　漏洞线索2：子域名系统　212

4.2.6　漏洞线索3：任意文件上传　213

4.2.7　漏洞线索4：泄露登录凭证　214

4.2.8　漏洞线索5：本地文件包含

漏洞　214

4.2.9　组合利用漏洞线索执行远程

命令　215

4.2.10　目标主机本地脆弱性枚举　216

4.2.11　本地脆弱性1：密码复用　217

4.2.12　pspy动态、实时地进行命令

检测　218

4.2.13　本地脆弱性2：Python链接库

文件修改　221

4.2.14　Web系统的白盒代码回溯

分析　221

第5章　报错？告警？：当工具无法

正常使用时　224

5.1　VulnHub-BREACH-1：nmap

探测失效　224

5.1.1　目标主机的设置要求　224

5.1.2　目标主机信息收集　225

5.1.3　漏洞线索1：泄露的登录

凭证　229

5.1.4　漏洞线索2：加密流量审计　233

5.1.5　漏洞线索3：已授权的Tomcat

应用管理服务　240

5.1.6　本地脆弱性：操作系统内核

漏洞　242

5.2　HTB-Nibbles：密码爆破工具

失效　242

5.2.1　目标主机信息收集　242

5.2.2　漏洞线索1：遗留的Web系统

敏感文件　246

5.2.3　漏洞线索2：NibbleBlog授权

后任意文件上传漏洞　246

5.2.4　NibbleBlog登录凭证爆破　247

5.2.5　NibbleBlog登录凭证推测　249

5.2.6　利用NibbleBlog授权后任意

文件上传漏洞　250

5.2.7　目标主机本地脆弱性枚举　251

5.2.8　本地脆弱性：sudo权限　252

5.2.9　密码爆破工具推荐　252

5.3　HTB-BLUE：自动化利用MS17-

010漏洞失败　254

5.3.1　目标主机信息收集　254

5.3.2　绕过命名管道限制利用MS17-

010的实战　256

第6章　匿名者：匿名登录与匿名

访问　259

6.1　HTB-Devel：利用FTP匿名访问　259

6.1.1　目标主机信息收集　259

6.1.2　漏洞线索：FTP匿名访问

权限　260

6.1.3　借助FTP匿名访问权限获得Webshell　262

6.1.4　目标主机本地脆弱性枚举　264

6.1.5　MS14-058漏洞提权实战　265

6.2　VulnHub-Bravely：利用NFS匿名访问　267

6.2.1　目标主机信息收集　267

6.2.2　漏洞线索1：NFS匿名访问

权限　270

6.2.3　探索NFS共享目录文件

信息　270

6.2.4　漏洞线索2：Samba匿名访问

权限　271

6.2.5　探索Samba共享目录的文件

信息　273

6.2.6　漏洞线索3：Cuppa CMS本地/

远程文件包含漏洞　275

6.2.7　目标主机本地脆弱性枚举　277

6.2.8　本地脆弱性：sudo权限　278

第7章　Debug & Release：当界限

模糊时　279

7.1　HTB-Bashed：暴露的调试接口　279

7.1.1　目标主机信息收集　279

7.1.2　漏洞线索：暴露的Webshell

程序　281

7.1.3　目标主机本地脆弱性枚举　282

7.1.4　本地脆弱性1：sudo权限　282

7.1.5　本地脆弱性2：计划任务　284

7.2　HTB-Poison：内部系统、脆弱

代码及安全意识　284

7.2.1　目标主机信息收集　285

7.2.2　漏洞线索1：泄露的登录

凭证　285

7.2.3　漏洞线索2：Web系统目录

穿越漏洞　287

7.2.4　组合利用漏洞线索获得主机

访问权限　288

7.2.5　漏洞线索2仅仅是个目录

穿越漏洞吗　288

7.2.6　LFI转化为RCE的漏洞利用　289

7.2.7　目标主机本地脆弱性枚举　292

7.2.8　本地脆弱性：root权限的vnc

会话　294

第8章　密码123456：弱口令与

默认口令风险　296

8.1　HTB-Jerry：利用Tomcat中的

弱口令　297

8.1.1　目标主机信息收集　297

8.1.2　漏洞线索：Tomcat应用管理

服务的弱口令　298

8.2　HTB-Sense：如果防火墙也被

设置了默认口令　301

8.2.1　目标主机信息收集　301

8.2.2　漏洞线索1：pfSense授权后

远程命令的执行　302

8.2.3　漏洞线索2：pfSense默认

口令　304

第9章　自豪地采用Wordpress：Wordpress专项渗透集锦　307

9.1　VulnHub-DerpNStink1：爆破Wordpress的用户名、密码　307

9.1.1　目标主机信息收集　307

9.1.2　漏洞线索1：Wordpress弱

口令　313

9.1.3　漏洞线索2：通过slideshow

插件上传任意文件　314

9.1.4　目标主机本地脆弱性枚举　317

9.1.5　本地脆弱性1：MySQL

服务弱口令　317

9.1.6　流量信息审计分析　321

9.1.7　本地脆弱性2：sudo权限　322

9.2　VulnHub-DC6：Wordpress第三方

插件的安全性问题　324

9.2.1　申请个人用户api-token　324

9.2.2　目标主机信息收集　325

9.2.3　漏洞线索：Wordpress插件

漏洞　326

9.2.4　目标主机本地脆弱性枚举　332

9.2.5　本地脆弱性1：泄露的登录

凭证　332

9.2.6　本地脆弱性2：sudo权限　333

第10章　我在看着你：安全限制与

绕过尝试　336

10.1　VulnHub-Djinn1：绕过黑名单

限制　336

10.1.1　目标主机信息收集　337

10.1.2　漏洞线索1：ftp匿名

登录　338

10.1.3　漏洞线索2：未知服务手动

探测　339

10.1.4　漏洞线索3：Web系统远程

命令执行漏洞　339

10.1.5　Web系统黑名单检测技术

绕过　342

10.1.6　目标主机本地脆弱性

枚举　344

10.1.7　本地脆弱性1：泄露的登录

凭证　345

10.1.8　本地脆弱性2：不安全的

程序功能　346

10.1.9　本地脆弱性3：sudo

权限　347

10.1.10　本地脆弱性4：泄露的pyc文件　347

10.1.11　Python反编译实战　348

10.1.12　1337端口未知服务代码

白盒分析　350

10.1.13　端口碰撞技术实战　352

10.1.14　利用Python沙盒逃逸

漏洞　354

10.2　VulnHub-Development：当试错

被屡屡禁止时　355

10.2.1　目标主机信息收集　355

10.2.2　漏洞线索1：SiTeFiLo文件

内容泄露漏洞　363

10.2.3　漏洞线索2：密码复用　364

10.2.4　rbash逃逸技术　364

10.2.5　目标主机本地脆弱性枚举　365

10.2.6　本地脆弱性1：操作系统内核漏洞　366

10.2.7　本地脆弱性2：密码复用　366

10.2.8　本地脆弱性3：sudo权限　367

写在后：结束是另一个开始　370