简介:该文是弱口令招新靶场(https://mp.weixin.qq.com/s/m4JSVZ5wlXBk94wSqJuoJg)的后续。靶场下载链接、以及相关材料均在前文给出。域渗透在该文仅取得了伪造的域管权限。还有后文通过psexec、wmiexec等正式取得域管权限,并上线viper。
声明:本文仅供学习和研究网络安全技术之用,阅读者在使用本文提供的信息时,请务必遵守当地法律法规。禁止利用本文所述技术进行非法活动,如未经授权的入侵、攻击、侵犯他人隐私等行为。对于违反本声明所产生的一切后果,作者不承担任何责任。请以学习和研究的目的正确使用本文的内容,并自行承担所有风险
1.目录
2.入口机提权
在前文(https://mp.weixin.qq.com/s/m4JSVZ5wlXBk94wSqJuoJg)的基础上,已获入口机的权限,但权限较低为weblogic的权限。
(注意:该靶场存在快照信息,如登陆账户的缓存信息等,可通过快照直接转到存在缓存信息的状态,要不然后续的域渗透中,读取明文密码等操作无法执行)
2.1 passwd权限配置错误提权
2.1.1 添加用户尝试
(注:该小篇为原理测试,可直接跳过该小节,直接阅读2.1.2中的内容,通过修改其他用户的密码获取root权限)
通过查看 /etc/passwd 文件的权限可知 该文件 原本默认可读的权限 被错误配置为任意用户可读写。
该文件用以保存用户信息,密码默认保存至 /etc/shadow 文件中。但 可以通过直接修改 /etc/passwd 文件 直接创建用户、直接修改密码!!!
读取到用户信息,每一行的信息如下,想要添加新用户也需要满足下列格式才可
root:x:0:0:root:/root:/bin/bash 用户名:加密密码:用户ID(或UID):组ID(或GID):用户名:用户家目录:登录Shell #注:在passwd文件中 加密密码字段 用x代替 是因为 密码信息 保存在 /etc/shadow 文件中 仅root权限可查看 #但用户登录时默认查询密码是从passwd文件中查询的 所以可以将加密密码直接写在passwd文件中 创建账户 或 修改其他用户密码