标签 - 提权

? 提权 ?    2020-05-13 00:03:08    2046    2    1

0x01 环境搭建

调整内核版本:

在 ALiyun 上面开了一台 centos7.6,然后把内核版本替换为与目标内核版本一致:

  1. wget https://buildlogs.centos.org/c7.1810.u.x86_64/kernel/20190729174341/3.10.0-957.27.2.el7.x86_64/kernel-3.10.0-957.27.2.el7.x86_64.rpm
  2. wget https://buildlogs.centos.org/c7.1810.u.x86_64/kernel/20190729174341/3.10.0-957.27.2.el7.x86_64/kernel-headers-3.10.0-957.27.2.el7.x86_64.rpm
  3. wget https://buildlogs.centos.org/c7.1810.u.x86_64/kernel/20190729174341/3.10.0-957.27.2.el7.x86_64/kernel-devel-3.10.0-957.27.2.el7.x86_64.rpm
  4. yum -y localinstall kernel-3.10.0-957.27.2.el7.x86_64.rpm
  5. yum -y localinstall kernel-devel-3.10.0-957.27.2.el7.x86_64.rpm
  6. yum -y localinstall kernel-headers-3.10.0-957.27.2.el7.x86_64.rpm
  7. grub2-set-default "CentOS Linux (3.10.0-957.27.2.el7.x86_64) 7 (Core)"
  8. reboot

title

获取 www 权限:

  1. yum -y update
  2. yum -y install httpd
  3. yum -y install php
  4. systemctl start httpd.service

title

向默认目录 /var/www/html 下写入一个 index.html,访问发现 apache 服务起成功了:

title

/var/www/html web 目录

? 提权 ? ? 脏牛 ? ? Drupal ?    2020-01-10 17:23:17    3648    0    0

靶机环境

https://download.vulnhub.com/lampiao/Lampiao.zip

title

攻击机 Kali IP 192.168.23.138

靶机处于同一内网 C 段。


主机发现

  1. nmap -sP 192.168.23.1/24

title

其中:

  • 192.168.23.1 是虚拟网卡使用的地址:

title

  • 192.168.23.254 是 DHCP 服务器的地址;
  • 192.168.23.138 是攻击机 Kali;
  • 192.168.23.2 是虚拟网卡的网关地址:

title

所以综上排除之后,靶机的 IP 为 192.168.23.139


端口扫描

  1. nmap -sS -Pn -T4 -p 1-65535 192.168.23.139

title


弱口令爆破 22 端口

使用 msf 的 scanner/ssh/ssh_login 来爆破此靶机的 22 端口:

  1. msfconsole
  2. search scanner/ssh
  3. use scanner/ssh/ssh_login
  4. set RHOSTS 192.168.23.139
  5. set THREADS 200
  6. set Username root
  7. set PASS_FILE /root/Desktop/dic_password_ssh.txt
  8. run

对这种一般环境黑盒测试使用通用字典进行爆破。

字典选择了我在 SNETCracker 这个工具里面扒下来的弱 ssh 密码字典。

title

根据目标环境ssh用户名设为 root 足矣。

注:SNETCracker 这个工具也很好用,可单用。

虽然 ruby 略慢,最终跑出来了,一无所获:

title

在此相当于一个纯黑盒环境,所以我用通用字典跑。在一些灰盒环境,可以根据获取的信息,如时间、公司名称缩写、域名称缩写这些信息建立一个针对性的字典。一些公司用户名就是 名称@年份
还可以抓 shadow 跑密码,丢到字典里面去,在遇到运维设置不太好的情况下,有时候能够通杀一大片。

1898端口信息收集

1898 端口是一个网站。功能点较为单一、尝试进行信息收集。

title

目录扫描