凡科建设网站步骤,局域网网站建设工具,建设商务网站的步骤,WordPress火车头规则仅作学习记录#xff0c;如果能帮助到需要的人也很荣幸#xff0c;如有错误请指正。
新的知识点#xff1a;
1. Searchsploit会通过本地的exploit-db#xff0c;查找软件漏洞信息。
2. SUID提权和SUDO提权有什么区别#xff1f; 通过上图可以看出来#xff0c;nmap不具…仅作学习记录如果能帮助到需要的人也很荣幸如有错误请指正。
新的知识点
1. Searchsploit会通过本地的exploit-db查找软件漏洞信息。
2. SUID提权和SUDO提权有什么区别 通过上图可以看出来nmap不具备SUID权限也就是说SUID是一种权限位具备这种权限之后不需要验证任何用户在执行该可执行文件的时候身份有效id都会被置为身份属主id但是普通用户jens能够用root的权限执行nmap的命令并且不需要输入密码。
但是为什么能够提权呢两者在提权上有什么区别
根据上述SUID的原理如果一个可执行文件的属主是root普通用户在执行文件的过程中打开一个shell因为这时候有效ideuid是root的id因此打开的shell用户也就是root成功提权。而对于sudo命令其本质上就是一个拥有者为root且拥有s权限的可执行文件因此其原理也是在euid为0的时候打开一个shell这时shell的用户就是root。
3. 水平越权某个用户有不需要密码执行的sudo命令首先将shell写入到脚本中echo “/bin/bash” backups.sh 以用户jens运行脚本sudo -u jens ./backups.sh即可水平越权。
4. nmap提权有两种方式7以下的版本可以进入交互模式提权nmap --interactive !sh
7以后的版本要通过执行script脚本提权echo “os.execute(‘/bin/bash’)” /tmp/shell.nse sudo nmap --script/tmp/shell.nse 需要注意的点
查找漏洞的时候不仅仅是对于框架本身比如wordpress除了查找框架的漏洞外其组件的漏洞也是可以利用的信息收集的内容贯穿整个渗透过程不仅仅是漏洞利用的时候需要在提权的时候也很有可能用到。因此前期信息收集的内容要有体系后面没思路的时候就多看看。 Linux提权总结详细|Linux提权总结_https://gtfobins.github.io/-CSDN博客
sudo命令实现原理简析sudo命令实现原理简析 - 知乎
滥用SUDO提权Linux提权姿势一滥用SUDO提权-腾讯云开发者社区-腾讯云
Linux中SUID提权Linux中suid提权_suid提权原理-CSDN博客
SUDO和SUID详解SUDO和SUID详解_来日可期x的博客-CSDN博客 过程记录
1. 信息收集
nmap扫描 2280端口开放apache 2.4.25linux 3.2-4.9
访问了一下显示wordy应该是需要编辑一下host文件。
新增一条记录 使用whatweb看一下网站架构信息 用dirb和dirsearch都扫描了一下发现了后台页面和注册登录的页面
dirsearch -u http://wordy 老样子存在用户名枚举 用wpscan枚举用户名
wpscan http://wordy/ -e u
一开始像DC-2一样使用crewl工具抓取页面信息作为字典然后使用wpscan暴力破解但是失败了 然后在查看靶机描述的时候发现一个小提示有一个命令
cat /usr/share/wordlists/rockyou.txt | grep k01 passwd.txt
这个命令是将rockyou里面包含k01的密码输出保存为一个新的字典文件passwd.txt。使用这个新的字典去爆破用户名密码。
wpscan --url http://wordy -U user.txt -P passwd.txt
发现成功找到了一对用户名和密码 使用这个用户名密码登录
2. 漏洞利用
搜索wordpress5.1.1包含的漏洞有一个从CSRF到RCE但是这个需要超级管理员点击相关的评论和链接因此难以利用。
看了writeup发现是找到了tools下面的一个组件activity monitor使用searchsploit搜一下 利用命令注入根据后面显示的文件名id将该文件复制到本地目录下
searchsploit -m 45274
打开文件将文件两个ip修改为靶机和自己的kali的ip
然后在浏览器中打开文件 点击提交请求再去看监听的端口发现收到了信息(这个地方可以尝试用burp抓包实现) 使用python获取一个交互式终端
python -c ‘import pty;pty.spawn(“/bin/bash”)’ 可以看到获得了一个终端
3. 提权
根据之前信息收集到的用户去看用户做了什么 发现添加了一个新用户使用su切换用户或者使用ssh链接新用户能够成功登录。
常规操作查看一下sudo权限发现一个不用密码执行的命令 并且文件的属主是jens这样就可以水平越权这里发生了一连串的报错需要在后面注意一下。首先一开始尝试使用命令sudo -u jens ./backups.sh水平越权执行这个命令的时候报错去掉前缀/查找后发现需要在脚本里将-lvf改为-lvPf改的时候发现使用vi时候上下左右的键变成了ABCD尝试解决 解决后成功执行命令但是并没有水平越权成功。于是使用echo “/bin/bash” backups.sh将shell写入到脚本中执行脚本的时候就能够成功越权。 其实就是相当于将内容写入到文件中。也可以再写入之前使用重定向将其变为空设备文件cat /dev/null backups.sh 查看jens的sudo权限可以看到nmap可以不需要密码执行同时其具有root权限因此可以来考虑使用nmap提权。 提示--interactive在新版中已经不能使用 因此使用执行脚本的方式提权到root
echo “os.execute(‘/bin/sh’)” /tmp/shell.nse nmap --script/tmp/shell.nse 最后依然使用python -c import pty;pty.spawn(/bin/bash)获取交互式shell。
