搜索
查看: 1072|回复: 3

linux下的基本渗透方法-实战

[复制链接]

1839

主题

2255

帖子

1万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
11913
发表于 2013-8-27 13:50:33 | 显示全部楼层 |阅读模式
踩点

目标域名是XX.com

我们的目标是大站,所以主站一般都挺安全的,所以直接寻找二级目录,运气好时能找到一些开源的cms,运气更好点找到个dede啥的,那就….

我们直接枚举他域名,先看看分站,因为比较大猜测他是内网,先搞下台内网机器再说。

分析及获取分站权限

枚举了下分站还挺多的,结果看了下 10那台服务器上面有个ecshop的程序,house也在上面,随便一个ecshop弄下了。

翻下数据库文件,运气不错,是root。

1uname -a





1Linux 10 2.6.32-71.el6.i686 #1 SMP Fri Nov 12 04:17:17 GMT 2010 i686 i686 i386 GNU/Linux



内核存在漏洞,直接上传exp提权。


经过分析,主机都在外网而非内网,我们的目标是*.*.*.*.8,已有权限机器是 *.*.*.*10做了个openssh的后门,也就是root双密码,管理一个密码 我们的后门一个密码,不影响管理的那个密码。(网上有公开的,可自行下载)

1cat /etc/issue



CentOS Linux release 6.0 (Final)
Kernel r on an m本想做个pam密码记录,可惜手上没有支持6.0的后门。深入经过分析,网站7跟8做了负载 或者rsync同步的,负载大部分都时时同步的。查看下进程都运行了什么
1ps -aux



除了apache mysql外还运行了个
1/usr/sbin/vsftpd
开了ftp服务,本可做个ftp密码的记录,但懒得等他上线,先继续搞别的。(91ri.org注:一般情况,一个企业内负责网络维护的管理员不多的情况下,密码基本通杀,在长期的渗透中多记一些密码并进行分析往往事半功倍。)查看管理员的历史操作,也许能找到什么敏感信息
1cat .bash_history | more



发现跟目标服务器 8 15 有过联系
1scp -rp root@x.x.x.8:/etc/httpd/conf /etc/httpd/

2scp -rp root@x.x.x.15:/var/lib/mysql/appcms /var/lib/mysql

3ssh x.x.x.13



很多linux的管理员觉得linux系统本身安全,对安全反而不大在意了,都喜欢做ssh信任连接,便猜测这几台服务器之间做了信任连接
1[root@10 ~]# ls .ssh/

2authorized_keys  known_hosts
1cat .ssh/known_hosts

2x.x.x.13 ssh-rsa BAAAB3NzaC1yc2EAAAABIwAAAQEAwcXCMGxzXoeiuhKhAsI9Dw9kilxxPDCsifv/EYBLE1JCkS44TljppgmEqVBVbQJ4fYtReScpgRwWoLrmaECYE17mDNezDAoRq392UCMduLg3vz4Zzkh8+9HfrNnlMbrrqpatifWwXLkUSHOIqBRV+pGF49v5VYkQyZM/01FbhTzdsCfIzSXEyL/oISuZPb2L9QzP+0xinwf1RRcv78TV2vsN74YiN47ieqifk8lMfhoEv1xA31/VkMFx8c8stMHedOMEBAFXo3WZbq/xJ5fTRRFJ1wyo06LgojGP6sVpQor8Zm8ItpDtwrG2NMwSrZC6EgOpX1yi9Cv23NXzAM/B/Q==



但看完后忧伤了,这台主机只有跟13有信任连接,于是便ssh到13上。虽说不是主站,但也许能搜集点管理信息直接搞到目标去。迂回连上目标后便又做了个后门依旧继续看管理历史命令,顺便也可以搜索下有啥.sh文件,有的管理为了方便会写shell脚本文件,而里面总是有好东西的。看下mysql的操作记录吧
1cat .mysql_history



找到
1Grant all privileges on *.* to 'root'@'%' identified by '***vrlmm' with grant option;

2flush privileges;
突然发现mysql密码都一样,猜测目标服务器也是这个密码呢,立马nmap扫描下8有没开启 3306,扫描后发现果然开启了,并且确实使用的是同一密码。(91ri.org:印证了之前说的,一个人管一台机器和管十台管一百台的做法是不一样的,毕竟总不能每连一台主机都要去翻翻密码簿吧?)在刚开始拿下的 10服务器中发现个记录
1scp -rp root@x.x.x.8:/etc/httpd/conf /etc/httpd/



确定他apache是默认安装的 直接读取路径导shell战果丰硕总结
  • 当拿下一台服务器后,登录上后请立马执行export HISTFILE=/dev/null 这样我们操作的命令就不会被记录到.bash_history
  • 可以翻下 mysql_history .bash_history
  • ls -al 看下root目录下都有什么隐藏目录 例如 .ssh .vnc 等,有.vnc爽了,你懂得。
  • 可以看下 .ssh/下面的ssh连接记录等,也可以看下全局变量文件什么的。
  • find下服务器上面有什么shell脚本文件,很多有rsync同步脚本什么的
  • 查看下进程,前提是至少你懂点linux。如果主机上有rsync的话,基本上就没什么问题了。(明文密码)
  • 在内网环境中的话 不知道主站目标可以nslookup 域名 看下是否在 一个内网等。
  • 内网环境中如果有运行ftp服务做后门记录ftp密码,搜集信息,坐等管理上线。
  • 善用tcpdump
  • 留一个隐蔽的后门
  • 拿到权限做完上面的工作就可以对其他机器进行信息收集,建议可以使用nmap。
​









过段时间可能会取消签到功能了
专业回帖 该用户已被删除
发表于 2013-8-29 17:30:17 | 显示全部楼层
写的真的很不错
Hack纯情 该用户已被删除
发表于 2013-8-30 07:55:48 来自手机 | 显示全部楼层
沙发我抢不到了
wuzhonyu 该用户已被删除
发表于 2013-9-2 18:11:53 | 显示全部楼层
其实一点都没看懂!
您需要登录后才可以回帖 登录 | Join BUC

本版积分规则

Powered by Discuz!

© 2012-2015 Baiker Union of China.

快速回复 返回顶部 返回列表