文章来源:先知社区(羊羊)
原文地址:https://xz.aliyun.com/t/11086
0x01 起
进入登陆界面
0x02 承
然后连接哥斯拉,成功连接
0x03 转
先反弹shell,用的是msfvenom生成的一个elf文件,放在目标服务器,然后运行,自动反弹shell
0x04 另辟蹊径
因为我是个懒人,所以首先想都没想就用的msf,但是,既然msf不成功,那我们必须用其他的方法了,首先我想到的就是suid提权。
内核版本为3.10.0
然后开始尝试suid提权,使用find / -perm -u=s -type f 2>/dev/null命令,可以找到系统上运行的所有suid可执行文件,那个命令记不住就直接上网搜。
gcc编译后运行,cat /etc/passwd却没有发现增加提权后的用户,猜测是打了补丁
接着回到polkit提权,找到了poc,编译后执行
https://github.com/ck00004/CVE-2021-4034
可以看到我们成功了,成功提权至root权限
找到宝塔面板的配置数据存放路径,将default.db复制到web路径,保证可以被我们访问到,将其下载下来。使用navicat打开即可获取到宝塔面板密码hash,但是由于加了盐,cmd5没有解密出。
0x05 结语
这次艰难的提权运用到的知识点有
1).简单的文件上传漏洞,一句话木马的编写以及修改文件后缀。还需注意保存上传的路径!
2).哥斯拉工具的使用。
3).使用msfconsole反弹shell,使用的是msfvenom。
4).使用msf的suggester,并且尝试提权。
5).suid提权,不记得命令就搜。
6).CVE-2021-4034,以及脏牛提权脚本。
7).将要下载的文件复制到web路径,要确保我们能够下载下来。
关 注 有 礼
推 荐 阅 读