[讨论]关于Linux 下phpshell的权限提升
信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])议题作者:vip819
现在已知的信息有 。
系统内核版本:Linux localhost 2.4.20-8 #1 Thu Mar 13 17:54:28 EST 2003 i686 i686 i386 GNU/Linux
通过uname -a;id得知用户信息uid=512(daemon) gid=2(daemon) groups=2(daemon)
开放了21,22,25 等关键端口
装有zend apache tomato.
apache为Apache/2.2.3 (Unix) PHP/5.0.4
可以查看etc/passwd的内容
由于本人是第一次接触linux下的提权.
不知道,还需要一些什么信息,希望各位大牛不吝赐教.!
目的:拿到系统root权限. 有gcc没有,有wget没有,支持perl么
如果都有的话,下载一个exp到服务器上编译提权 我从来都是拿到phpshell就没辙了。
但是有一点可以肯定,那就是如果知道ftp密码,
你可以用ftp尝试登录ssh,有一定概率能上去。
比如我刚刚嗅探到一个ftp用户名:密码是
root:*******
登录了ftp发现没什么用,尝试登录ssh成功了。直接# 楼上冰冰同学所说的偶理解了。 就是偶拿到FTP密码 人品好的话可以登陆3389 嘎嘎 楼上的GG,linux哪来的3389?除非哪个管理员做怪事,把SSH的端口改了。。 看内核版本应该是redhat 9的默认安装吧,呵呵,有很多 exp的 [quote]引用第2楼28度的冰于2007-11-13 19:26发表的 :
你可以用ftp尝试登录ssh,有一定概率能上去。
.......[/quote]
一般机器的默认安装root帐号不能直接登陆ssh吧,而且没有root权限,你怎么安装的sniffer?如果安装了sniffer直接等着ssh连接,然后就可以得到密码了吧。。。。 看图。
当然,得到ftp密码有多种方式,比如有的ftp服务端程序会把密码写在mysql中方便管理。
我这个是通过嗅探得到的ftp密码。当然嗅探是在同网段的一台2003上。
root默认不允许远程登录这句话我也听到过,但是我却没有遇到,可能是我遇到的unix及其太少。
root@amethyst是我的虚拟机 Fedora Core 6,没有任何配置,默认安装,远程很顺利。
当然ssh密码也能被cain嗅到。 汗 我哪有说LINUX有3389了 我就是说他所说的是指运气 你的FTP密码能登陆SSH ? 运气好的哈碰到管理员密码是一样的 呵呵ssh能够配成不允许root登录的,像freebsd之类的OS,好像默认就是不允许 一般的安全策略下root是禁止远程登陆的
而且就算安装了sniffer,SSH密码能不能被嗅探到还是个问题
当然SSH1不在此列,
就我所知,要拿到SSH密码要么安装rootkit,要么patch sshd,如果还有别的好办法不妨写出来看看,cain能嗅到ssh2的密码么 ssh2能嗅到,已经有这样的工具了,呵呵 [quote]引用第11楼xi4oyu于2007-11-15 09:27发表的 :
ssh2能嗅到,已经有这样的工具了,呵呵[/quote]
哦,是哪款,哪有的下,HOHO *** 作者被禁止或删除 内容自动屏蔽 *** [s:270]
我看了下大家好像没有讨论出什么结果啊
我手上也有一些PHPshell
可惜...... [quote]引用第11楼xi4oyu于2007-11-15 09:27发表的 :
ssh2能嗅到,已经有这样的工具了,呵呵[/quote]
能说说什么样的工具吗? 最近也拿了些 打了补丁机器的SHELL,正苦于没有办法,我看到WEB目录下的LOG目录属于APACHE用户,不知道能不能用软连接的方法,诱骗ROOT把一些文件弄成所有人可写,其他方面真的没有什么思路了,WEB目录下的文件又大都属于FTP用户 Linux DB 2.6.9-5.ELsmp #1 SMP Wed Jan 5 19:30:39 EST 2005 i686 i686 i386 GNU/Linux
拿到shell后直接是root权限 哈哈 运气好 呵呵 ssh2可以被嗅探?
貌似不可以吧,现在很多系统都是ssh 1和2兼容模式
所以这样可以通过sniffer的欺骗来使ssh走到1上。如果强制了2貌似就没办法了吧 我当时只是瞄了一下,貌似是在axis的BLOG上看到的,呵呵,不知道看错了没有 [s:264] 不让root远程等陆不要紧,先找个user登上去,再su到root,那不 就OK了 。。。 有些有可以用root上去的.
redliunux貌似可以.我上次见的一个客户就这样上的.
要不就是把ssh改了.
5555 自己linux不太好.
希望邪8里.有人带大家一起好好学习一个linux方面的知识..(不会全是基础吧!)
呵呵.. [size=4]我也遇到了相同的情况.
服务器内核为:2.6.22,没找到相关的溢出的源码。更遗憾的是没装gcc,我的webshell权限明显装不了gcc,可以得到反弹的低权限cmdshell。找到了mysql的root密码,web与database在同一服务器上,远程无法连接3306,只能在PhpSpy里对数据库进行操作,请问我该如何用mysql的root帐户提权??[/size]
请教pctools9.0的使用方法
请教各位pctools的用法要是有文档的话就更好了,谢谢 俺看了大家的讨论,也学习了一下。如果拿到的是虚拟主机上的某个webshell,提权相对困难些,因为补丁打得频繁,很难用市面上的exp去溢出(不是绝对的啊,因为不乏一些个例),如果是独立服务器相对来说还要容易些。我原来在milw0rm上拿到最新的web app的漏洞然后在google上做了一些,10个phpwebshell下我只成功拿到4个system权限的,而这4个都是独立服务器。其实linux上的渗透考虑的因素很多,有一条不满足,想突破都很难了。不过思路跟win下的差不多了,看内核版本找相应exp,看开放服务,看第三方软件,基本上就这个思路,还不行,那就投机取巧了。比如网段渗透嗅探,SE猜测密码。不过我发现独立服务器,很多的mysql连接帐户都用的是root,那么如果管理员偷点懒的话,说不定系统root的密码跟mysql连接root的密码是一样的。另外,mysql高版本可以写so拿shell,不过俺没试过。当然渗透过程中碰到的这样那样的问题就很难预测了,就看平时的积累和基本功了。比如如果22端口允许root帐户连接,但是屏蔽了外部访问怎么办?端口映射对吧,映射程序传上去了,但是gcc没有没法编辑怎么办?
有perl的话就可以写个perl版的端口映射,有python就可以写个python版的端口映射,或者直接用php写个映射程序,然后通过web访问?这些情况俺都碰到过,解决的思路不只一个,见仁见智的问题了。
另外要利用好linux系统本身的资源,linux下的命令非常强大,而且一些linux系统(比如redhat,ubuntu等等)都会默认安装很多hack程序,比如nc,tcpdump,vnmap等等。好好利用啊~~~
俺的一点心得,总之,俺觉得经验固然重要,但基础更重要! BTW,其实在渗透*nix主机的时候,想要拿root权限的前提条件总结起来无非就是以下几个问题:
1。如何上传,即如何写入文件。
2。如何执行,即如何编译(gcc,cc等)或者解释执行(perl,python,php等)
3。如何检测,即怎样有效地检测到目标系统的漏洞(包括系统本身、第三方软件的漏洞以及人为漏洞(比如密码缺陷等等)等等)
满足上述三个条件再考虑提权吧,否则失掉任何一种提权就无从谈起了。
俺自己总结的,有不对的地方还请大家多指教。
PS:*nix系统的渗透要比windows下的更有挑战性,也更好玩了。嘿嘿!趋势所在,挡也挡不住哦:lol: [quote]原帖由 [i]人鱼姬[/i] 于 2008-2-7 23:19 发表 [url=https://forum.eviloctal.com/redirect.php?goto=findpost&pid=138190&ptid=31091][img]images/common/back.gif[/img][/url]
我也遇到了相同的情况.
服务器内核为:2.6.22,没找到相关的溢出的源码。更遗憾的是没装gcc,我的webshell权限明显装不了gcc,可以得到反弹的低权限cmdshell。找到了mysql的root密码,web与database在同一服务器上,远程无法连 ... [/quote]
MYSQL数据库在LINUX下面,现在默认都是以mysql用户权限启动的,就算是有了MYSQL的root密码,也没法在LINUX下提权的.你可以用ps -ef|grep mysql,查看启动mysqld进程的用户,我觉得将来的提权还得靠自已去学逆向找漏洞,天下没有免费的晚饭:)
[[i] 本帖最后由 pt007 于 2008-2-17 17:46 编辑 [/i]] 我先前拿了个服务器 拿到了POSTGRESQL的ROOT权,想到一个提权的思路,再POSTGRESQL目录下发现管理员登陆的记录,他偶尔会在这个用户下SU一下,那么可以编辑.bashrc 将 一些常用的命令用 alias 换下,这样在管理员就可以帮我们提权了,不知道行不行?
[[i] 本帖最后由 vertusd 于 2008-2-20 21:25 编辑 [/i]] 开放了21,22,25 这些端口i的 开放 是 不 是 给放马者空子啦~~总感觉少开点好~~ [wang@fuck ~]$ cc a.c
[wang@fuck ~]$ ls
a.c a.out
[wang@fuck ~]$ ./a.out
-----------------------------------
Linux vmsplice Local Root Exploit
By qaaz
-----------------------------------
[+] mmap: 0x0 .. 0x1000
[+] page: 0x0
[+] page: 0x20
[+] mmap: 0x4000 .. 0x5000
[+] page: 0x4000
[+] page: 0x4020
[+] mmap: 0x1000 .. 0x2000
[+] page: 0x1000
[+] mmap: 0xb7f48000 .. 0xb7f7a000
[+] root
[root@fuck ~]# uname -a
Linux fuck.com 2.6.18-53.1.4.el5 #1 SMP Fri Nov 30 00:45:16 EST 2007 i686 i686 i386 GNU/Linux
[root@fuck ~]# id
uid=0(root) gid=0(root) groups=500(wang)
[root@fuck ~]#
exp form [url]http://www.milw0rm.com/exploits/5092[/url] Linux Kernel 2.6.9-33.ELsmp 可以用prctl溢出提权.
Linux Kernel 2.6.9-34.ELsmp以上版本目前我没发现可以使用的溢出程序:sad:
不知大家有没有试过? Linux DB1-233 2.4.21-27.ELsmp #1 SMP Wed Dec 1 21:59:02 EST 2004 i686 i686 i386 GNU/Linux
怎么拿权限啊 tomcat我遇到的都是root
不过上次是个sunos. [quote]原帖由 [i]看山小雨[/i] 于 2008-2-20 21:38 发表 [url=https://forum.eviloctal.com/redirect.php?goto=findpost&pid=138796&ptid=31091][img]images/common/back.gif[/img][/url]
开放了21,22,25 这些端口i的 开放 是 不 是 给放马者空子啦~~总感觉少开点好~~ [/quote]
:biggrin: 说的轻巧呀,端口是要用的。像21默认做FTP的,22默认做SSH的。端口要用的是一定要开的
看有没有gcc,cc,有的话,找Exploit 编译后执行 哪个透露下,SSH2怎么嗅啊
页:
[1]