实战 | 记一次艰难的渗透提权
2022-12-16 08:48:21 Author: 潇湘信安(查看原文) 阅读量:18 收藏
声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。

文章来源:先知社区(羊羊)

原文地址:https://xz.aliyun.com/t/11086

0x01 起

进入登陆界面

然后直接弱密码admin/admin,成功进入后台
然后开始到处寻找可利用的点,于是找到了文件上传的点
然后bp抓包,上传一句话木马,发现只是一个简单的前端过滤
然后上传成功,返回了一个路径
访问路径发现已经成功了

0x02 承

然后连接哥斯拉,成功连接

0x03 转

先反弹shell,用的是msfvenom生成的一个elf文件,放在目标服务器,然后运行,自动反弹shell

msf里面有个可以自动提权的就是suggester,先试试使用suggester,看看有什么能用的提权工具
发现有三个可以尝试一下
一个一个试,接二连三全部失败,太让人伤心了

0x04 另辟蹊径

因为我是个懒人,所以首先想都没想就用的msf,但是,既然msf不成功,那我们必须用其他的方法了,首先我想到的就是suid提权。


首先用哥斯拉查看一下内核版本

内核版本为3.10.0

然后开始尝试suid提权,使用find / -perm -u=s -type f 2>/dev/null命令,可以找到系统上运行的所有suid可执行文件,那个命令记不住就直接上网搜。

发现列表中没有可以利用的,但是发现有一个/usr/bin/pkexec,于是想到最近爆出的Linux提权漏洞CVE-2021-4034

那个提权漏洞影响的版本如下
然后我们上传了Linux提权suggester,发现可以利用脏牛,于是上传脏牛脚本

gcc编译后运行,cat /etc/passwd却没有发现增加提权后的用户,猜测是打了补丁

接着回到polkit提权,找到了poc,编译后执行

https://github.com/ck00004/CVE-2021-4034

可以看到我们成功了,成功提权至root权限

找到宝塔面板的配置数据存放路径,将default.db复制到web路径,保证可以被我们访问到,将其下载下来。使用navicat打开即可获取到宝塔面板密码hash,但是由于加了盐,cmd5没有解密出。

0x05 结语

这次艰难的提权运用到的知识点有

1).简单的文件上传漏洞,一句话木马的编写以及修改文件后缀。还需注意保存上传的路径!2).哥斯拉工具的使用。3).使用msfconsole反弹shell,使用的是msfvenom4).使用msfsuggester,并且尝试提权。5).suid提权,不记得命令就搜。6).CVE-2021-4034,以及脏牛提权脚本。7).将要下载的文件复制到web路径,要确保我们能够下载下来。
总之,不会就搜,还是可以多看看cve的,因为我没看过那个cve,所以就一直没有成功,就巨巨巨艰难,都是请了好几个同学帮忙看一看,然后一个学长给我发了个这个cve文章才成功解决了。还是要学习啊,学啊永无止境。

关 注 有 礼

关注公众号回复“9527”可以领取一套HTB靶场文档和视频1208”个人常用高效爆破字典0221”2020年酒仙桥文章打包2191潇湘信安文章打包,“1212”杀软对比源码+数据源,0421Windows提权工具包
 还在等什么?赶紧点击下方名片关注学习吧!

推 荐 阅 读


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg4NTUwMzM1Ng==&mid=2247500136&idx=1&sn=77c19d14de92d071343835646737aed9&chksm=cfa5657bf8d2ec6d1426774b51b9eef596ceb61f5dda5204011b75d74ef25699e988f0a2af9d#rd
如有侵权请联系:admin#unsafe.sh