靶機名稱:Escalate_Linux: 1
難度:初級
從靶機的說明來看,這個靶機主要用來練習Linux提權,有超過12種的提權方法(靶機Toopo用到了4種。。。),那咱爭取找到12種方法>_<
開機界面,沒有告訴IP地址,需要自己發現。主機發現這一步我卡了很久,因為木有發現靶機。。。找了下原因,是虛擬機配置造成的,靶機是自動獲取ip的,我的靶機在virtualbox上,kali在vm上,我是在網段上掃描的,結果這倆根本不在一個網段。。。
主機發現靶機ip:192.168.13.120,然后端口掃描:
再掃了下常見漏洞,沒啥發現,進80看下:
好吧,還是沒發現啥,那就掃下目錄吧。嗯,沒啥子發現就先掃一通再說。。。目前就會這么幾招>_<。
掃到一個頁面:http://192.168.13.120/shell.php
可以執行命令的話就可以考慮反彈shell,自己輸了反彈shell的命令,沒有成功,編碼再試還是沒成功。。百度了一下,可以用msf:
將msf生成的payload進行url編碼,剛開始也木有成功,后來發現kali其實訪問不了靶機的網站,將kali的虛擬機配置為橋接模式,反彈成功:
接下來嘗試把LinEnum.sh傳到靶機,user6不能vi,也不能upload,網上推薦用wget傳:
執行一下LinEnum.sh(沒有執行權限就先改下文件權限),執行之后出來的一堆信息。。其實我也看不懂>_<。。嗯,學習為主,不懂就搜。。
1.Mysql
LinEnum掃到有mysql,登錄密碼就是root...
發現mysql用戶
用mysql用戶登錄,發現每個用戶的登錄密碼,以及root密碼,但是用root@12345這個密碼登錄不了。。。
2. SUID提權
有兩個有執行權限的文件(也可以用這個命令找:find / -perm -u=s -type f)
/home/user3/shell
/home/user5/script
執行上面兩個文件,都可以獲得root權限:
3.破解root密碼
root密碼:12345(弱密碼,但是這個靶機沒開22端口,沒法對root爆破),之前mysql發現的root密碼是root@12345,跟實際密碼不一致。。
4. 利用用戶的SUDO權限獲取root shell
修改每個用戶密碼,逐個檢查:
輸入:sudo vi進入vi,在輸入:!sh后直接enter:
獲得root權限:
用這個方法在kali上檢驗了下,成功666~
5.利用crontab
找到user4的一個以root權限執行的定時任務:
切換用戶到user4,在autoscript.sh中寫入反彈shell。我試了下原始的反彈shell,無效,再用網上的用msf生成的反彈shell,成功:
6. 在/etc/passwd加入root權限用戶
切換到能編輯/etc/passwd的user7,添加一個用戶zy,切換到zy,提權成功:
7.sudo su
user1可以su到root。關於免密sudo和su的設置,可參考這篇文章:https://www.jianshu.com/p/5d02428f313d
在kali上試了下(我的kali每次sudo都要輸密碼>_<),也可以的哈哈哈:
一共學習7種提權方法,雖然沒有12種。。但是也夠召喚神龍了~
最后,咱發現反彈shell很是穩定,從上班開到下班都沒斷過!不知道是不是因為都跑在一台機器上。。
如需轉載,請注明出處,這是對他人勞動成果的尊重。