实战 | 记一次艰难的渗透提权

wangqiang

​ 实战 | 记一次艰难的渗透提权羊羊 [url=]HACK学习呀[/url] 2022-04-04 10:38
收录于话题#渗透测试53个
文章来源：先知社区地址：https://xz.aliyun.com/t/11086 作者：羊羊
一.起
进入登陆界面

​

然后直接弱密码admin/admin，成功进入后台

然后开始到处寻找可利用的点，于是找到了文件上传的点

​

然后bp抓包，上传一句话木马，发现只是一个简单的前端过滤

​

然后上传成功，返回了一个路径

​

访问路径发现已经成功了
二.承然后连接哥斯拉，成功连接

​

三.转先反弹shell，用的是msfvenom生成的一个elf文件，放在目标服务器，然后运行，自动反弹shell

​

msf里面有个可以自动提权的就是suggester，先试试使用suggester，看看有什么能用的提权工具

​

发现有三个可以尝试一下

​

一个一个试，接二连三全部失败，太让人伤心了
1.

​

2.

​

3.

​

四.另辟蹊径因为我是个懒人，所以首先想都没想就用的msf，但是，既然msf不成功，那我们必须用其他的方
法了，首先我想到的就是suid提权。
首先用哥斯拉查看一下内核版本

​

内核版本为3.10.0
然后开始尝试suid提权，使用find / -perm -u=s -type f 2>/dev/null命令，可以找到系统上运行的所有suid可
执行文件，那个命令记不住就直接上网搜。

​

发现列表中没有可以利用的，但是发现有一个/usr/bin/pkexec，于是想到最近爆出的Linux提权漏洞CVE-2021-4034
那个提权漏洞影响的版本如下

​

然后我们上传了Linux提权suggester，发现可以利用脏牛，于是上传脏牛脚本
​
gcc编译后运行，cat /etc/passwd却没有发现增加提权后的用户，猜测是打了补丁
接着回到polkit提权，找到了poc，https://github.com/ck00004/CVE-2021-4034
编译后执行

​

可以看到我们成功了，成功提权至root权限
找到宝塔面板的配置数据存放路径，将default.db复制到web路径，保证可以被我们访问到，将其下载下来，
使用navicat打开即可获取到宝塔面板密码hash，但是由于加了盐，cmd5没有解密出。
五.结语这次艰难的提权运用到的知识点

1).简单的文件上传漏洞，一句话木马的编写以及修改文件后缀。还需注意保存上传的路径！
2).哥斯拉工具的使用。
3).使用msfconsole反弹shell，使用的是msfvenom。
4).使用msf的suggester，并且尝试提权。
5).suid提权，不记得命令就搜。
6).CVE-2021-4034，以及脏牛提权脚本。
7).将要下载的文件复制到web路径，要确保我们能够下载下来。

总之，不会就搜，还是可以多看看cve的，因为我没看过那个cve所以就一直没有成功，就巨巨巨艰难，都是请了好几个同学帮忙看一看，
然后一个学长给我发了个这个cve文章才成功解决了。还是要学习啊，学啊永无止境。

​

推荐阅读：

实战 | 记一次Fastadmin后台getshell的渗透记录

实战 | 记一次微信小程序渗透实战记录

干货｜2021最新渗透测试面试题合集！！！

干货 | 80篇+网络安全面试经验帖

干货 | 学习网络安全，推荐6个我常用的安全知识在线手册

干货 | 个人报CNVD和CNNVD披露漏洞教程
​