Metasploit第一次渗透记录(后渗透阶段)

      我去TM的,网络课程作业终于写完,遇上坑爹老师也真蛋疼。
      上次干了什么事都快忘记了,再不写就细节就没了。上次说到上传了php文件当shell。我可以在那个文件下执行系统命令。为了碰碰运气,可以输入id看看目前是以什么身份登录的。一般都是 uid=33(www-data) gid=33(www-data) groups=33(www-data) 。所以现在权限不大,要找其他弱点。可以先用 uname -a, df -h, ifconfig -a, ps aux 等等命令做个小检查,了解一下系统的确切信息。

目录浏览:

       cd, ls -lart  两个命令就可以对目标系统做个大体的检查,一不小心就能看到权限不对的文件或者文件目录。当然也可以用find命令自动搜索权限不对的文件,总感觉不太有趣。

      首先我看到了/var/www目录里有wordpress,权限为777,当时就哭了。(因为我觉得这个shell太简单,用起来不方便,所以我想上传更强大的shell,在joomla!这个网站下,滤过了不安全的文件,就算我用base64编码后,成功上传后也无法运行。)而777权限的wordpress的出现就像救星一样,立马把之前的大shell移动过来。看现在的shell。作者是Zaco。如果我邪恶一点,rm -rf,那就坑爹了。不仅如此,那系统里还有很多755的,所以我能读取很多信息。就不说是哪些信息了。

shell2

登录后台:

      因为有网站目录的读权限,而一般数据库密码都是明文保存在相关目录下,比如config.php啊什么的,很容易就能找到数据库密码。根据恢复密码方法,立刻拿下joomla!后台admin。结果也没什么意思。不是什么大网站,基本没有用户信息。直接放弃。

用户分析:

      光是www-data可不行啊,必须有其他用户权限才行。基于很多人都会记下一些密码啊什么的,我首先分析了其中最有可能有sudo权限的人,同样是用ls, cat等等。结果一筹莫展,所以还是另辟他径。网上一搜,linux privilege escalation, 找到了CVE-2012-0056,我去运气太好。立马上传,然后编译运行。发现没有出现应该出现的情况。但是通过ps aux发现确实由我产生了root进程,只是不能输入命令。难道debian特别吊?只能放弃。

      在半夜12点,就要收拾去睡觉的时候奇思妙想,不如来猜一猜密码。然后一猜就中,6个用户里有两个用户的密码就是用户名。可惜是摆设用户,没有sudo权限。但是由此获得了SSH登录,操作就方便多了。然后就去睡觉了。

homeuser

ROOT权限:

      没有获取root权限总觉得不爽。。因此又回到了原点。根据这里的引导,我一步步测试,结果还是没有任何进展。随手来了句 netstat -an | egrep 'Proto|LISTEN' 忽然发现有个ftp端口。发现是pure-ftpd,上网一搜,知道其配置文件的位置。cd过去,然后我就哭了。。有个文件是可读的,打开一看,里面有个密码,我擦,就是默认的数据库密码。然后直接命令行进入数据库。虽然密码是加密的,但是只有把MD5放到google,就能得到原文。里面有个用户名就是系统的用户,使用其密码登录,果然行。但是去他妈的,这个吊用户也不在sudoers里,我算是明白了,看了他的.bash_history,tmd他们都是直接su -的。所以我最后还是没有root权限。但是获得了那个wordpress的后台,原因是密码是一样的。

dbpass

Metasploit Shell:

      之前这些步骤都是手动完成的,跟metasploit基本没有关系。我在想,如果我手动得到php shell之后怎么跟metasploit连接。目前找到的解决方案是手动编码一个python reverse shell, 参考此处。然后跟metasploit连接就行了,操作起来就像普通shell。

参考:

  1. linux privilege escalationMempodipper
  2. python Meterpreter Reverse Shell
  3. php reverse shell