信息来源：邪恶八进制信息安全团队（www.eviloctal.com）
议题作者：vip819

现在已知的信息有 。

系统内核版本：Linux localhost 2.4.20-8 #1 Thu Mar 13 17:54:28 EST 2003 i686 i686 i386 GNU/Linux

通过uname -a;id得知用户信息uid=512(daemon) gid=2(daemon) groups=2(daemon)

开放了21,22,25 等关键端口

装有zend apache tomato.

apache为Apache/2.2.3 (Unix) PHP/5.0.4

可以查看etc/passwd的内容

由于本人是第一次接触linux下的提权.

不知道,还需要一些什么信息,希望各位大牛不吝赐教.!
目的:拿到系统root权限.

有gcc没有，有wget没有，支持perl么
如果都有的话，下载一个exp到服务器上编译提权

我从来都是拿到phpshell就没辙了。

但是有一点可以肯定，那就是如果知道ftp密码，
你可以用ftp尝试登录ssh，有一定概率能上去。

比如我刚刚嗅探到一个ftp用户名：密码是
root:*******
登录了ftp发现没什么用，尝试登录ssh成功了。直接#

楼上冰冰同学所说的偶理解了。 就是偶拿到FTP密码 人品好的话可以登陆3389 嘎嘎

楼上的GG,linux哪来的3389？除非哪个管理员做怪事，把SSH的端口改了。。

看内核版本应该是redhat 9的默认安装吧，呵呵，有很多 exp的

引用:

引用第2楼28度的冰于2007-11-13 19:26发表的 :

你可以用ftp尝试登录ssh，有一定概率能上去。

.......

一般机器的默认安装root帐号不能直接登陆ssh吧，而且没有root权限，你怎么安装的sniffer?如果安装了sniffer直接等着ssh连接，然后就可以得到密码了吧。。。。

看图。

当然，得到ftp密码有多种方式，比如有的ftp服务端程序会把密码写在mysql中方便管理。
我这个是通过嗅探得到的ftp密码。当然嗅探是在同网段的一台2003上。

root默认不允许远程登录这句话我也听到过，但是我却没有遇到，可能是我遇到的unix及其太少。
root@amethyst是我的虚拟机 Fedora Core 6，没有任何配置，默认安装，远程很顺利。

当然ssh密码也能被cain嗅到。

汗 我哪有说LINUX有3389了 我就是说他所说的是指运气 你的FTP密码能登陆SSH ？ 运气好的哈碰到管理员密码是一样的

呵呵ssh能够配成不允许root登录的，像freebsd之类的OS，好像默认就是不允许

一般的安全策略下root是禁止远程登陆的
而且就算安装了sniffer,SSH密码能不能被嗅探到还是个问题
当然SSH1不在此列,
就我所知,要拿到SSH密码要么安装rootkit,要么patch sshd,如果还有别的好办法不妨写出来看看,cain能嗅到ssh2的密码么

ssh2能嗅到，已经有这样的工具了，呵呵

引用:

引用第11楼xi4oyu于2007-11-15 09:27发表的 :
ssh2能嗅到，已经有这样的工具了，呵呵

哦，是哪款，哪有的下，HOHO

ssh远程登陆 可以通过修改

可以通过修改/etc/ssh/sshd_config文件，将其中的PermitRootLogin改成yes，然后重新启动ssh服务就可以了。/etc/rc.d/sshd restart

我看了下大家好像没有讨论出什么结果啊
我手上也有一些PHPshell
可惜......

引用:

引用第11楼xi4oyu于2007-11-15 09:27发表的 :
ssh2能嗅到，已经有这样的工具了，呵呵

能说说什么样的工具吗？

最近也拿了些 打了补丁机器的SHELL，正苦于没有办法，我看到WEB目录下的LOG目录属于APACHE用户，不知道能不能用软连接的方法，诱骗ROOT把一些文件弄成所有人可写，其他方面真的没有什么思路了，WEB目录下的文件又大都属于FTP用户

Linux DB 2.6.9-5.ELsmp #1 SMP Wed Jan 5 19:30:39 EST 2005 i686 i686 i386 GNU/Linux


拿到shell后直接是root权限 哈哈 运气好 呵呵

ssh2可以被嗅探？
貌似不可以吧，现在很多系统都是ssh 1和2兼容模式
所以这样可以通过sniffer的欺骗来使ssh走到1上。如果强制了2貌似就没办法了吧

我当时只是瞄了一下，貌似是在axis的BLOG上看到的，呵呵，不知道看错了没有

不让root远程等陆不要紧，先找个user登上去，再su到root，那不 就OK了 。。。

有些有可以用root上去的.
redliunux貌似可以.我上次见的一个客户就这样上的.
要不就是把ssh改了.
5555 自己linux不太好.
希望邪8里.有人带大家一起好好学习一个linux方面的知识..(不会全是基础吧!)
呵呵..

我也遇到了相同的情况.

服务器内核为:2.6.22，没找到相关的溢出的源码。更遗憾的是没装gcc，我的webshell权限明显装不了gcc，可以得到反弹的低权限cmdshell。找到了mysql的root密码，web与database在同一服务器上，远程无法连接3306，只能在PhpSpy里对数据库进行操作，请问我该如何用mysql的root帐户提权？？

请教各位pctools的用法
要是有文档的话就更好了，谢谢

俺看了大家的讨论，也学习了一下。如果拿到的是虚拟主机上的某个webshell，提权相对困难些，因为补丁打得频繁，很难用市面上的exp去溢出（不是绝对的啊，因为不乏一些个例），如果是独立服务器相对来说还要容易些。我原来在milw0rm上拿到最新的web app的漏洞然后在google上做了一些，10个phpwebshell下我只成功拿到4个system权限的，而这4个都是独立服务器。其实linux上的渗透考虑的因素很多，有一条不满足，想突破都很难了。不过思路跟win下的差不多了，看内核版本找相应exp，看开放服务，看第三方软件，基本上就这个思路，还不行，那就投机取巧了。比如网段渗透嗅探，SE猜测密码。不过我发现独立服务器，很多的mysql连接帐户都用的是root，那么如果管理员偷点懒的话，说不定系统root的密码跟mysql连接root的密码是一样的。另外，mysql高版本可以写so拿shell，不过俺没试过。当然渗透过程中碰到的这样那样的问题就很难预测了，就看平时的积累和基本功了。比如如果22端口允许root帐户连接，但是屏蔽了外部访问怎么办？端口映射对吧，映射程序传上去了，但是gcc没有没法编辑怎么办？
有perl的话就可以写个perl版的端口映射，有python就可以写个python版的端口映射，或者直接用php写个映射程序，然后通过web访问？这些情况俺都碰到过，解决的思路不只一个，见仁见智的问题了。
另外要利用好linux系统本身的资源，linux下的命令非常强大，而且一些linux系统（比如redhat，ubuntu等等）都会默认安装很多hack程序，比如nc，tcpdump，vnmap等等。好好利用啊~~~
俺的一点心得，总之，俺觉得经验固然重要，但基础更重要！