linux下的基本渗透方法-实战

踩点

目标域名是XX.com

我们的目标是大站,所以主站一般都挺安全的,所以直接寻找二级目录,运气好时能找到一些开源的cms,运气更好点找到个dede啥的,那就….

我们直接枚举他域名,先看看分站,因为比较大猜测他是内网,先搞下台内网机器再说。

90l1

分析及获取分站权限

枚举了下分站还挺多的,结果看了下 10那台服务器上面有个ecshop的程序,house也在上面,随便一个ecshop弄下了。

90l21

翻下数据库文件,运气不错,是root。

90l3

 

 

内核存在漏洞,直接上传exp提权。

11

经过分析,主机都在外网而非内网,我们的目标是*.*.*.*.8,已有权限机器是 *.*.*.*10

做了个openssh的后门,也就是root双密码,管理一个密码 我们的后门一个密码,不影响管理的那个密码。(网上有公开的,可自行下载)

CentOS Linux release 6.0 (Final)
Kernel r on an m

本想做个pam密码记录,可惜手上没有支持6.0的后门。

深入

经过分析,网站7跟8做了负载 或者rsync同步的,负载大部分都时时同步的。

查看下进程都运行了什么

 

除了apache mysql外还运行了个

 

开了ftp服务,本可做个ftp密码的记录,但懒得等他上线,先继续搞别的。(91ri.org注:一般情况,一个企业内负责网络维护的管理员不多的情况下,密码基本通杀,在长期的渗透中多记一些密码并进行分析往往事半功倍。)

查看管理员的历史操作,也许能找到什么敏感信息

发现跟目标服务器 8 15 有过联系

 

很多linux的管理员觉得linux系统本身安全,对安全反而不大在意了,都喜欢做ssh信任连接,便猜测这几台服务器之间做了信任连接

 

 

但看完后忧伤了,这台主机只有跟13有信任连接,于是便ssh到13上。虽说不是主站,但也许能搜集点管理信息直接搞到目标去。

迂回

连上目标后便又做了个后门

2

依旧继续看管理历史命令,顺便也可以搜索下有啥.sh文件,有的管理为了方便会写shell脚本文件,而里面总是有好东西的。

看下mysql的操作记录吧

找到

 

突然发现mysql密码都一样,猜测目标服务器也是这个密码呢,立马nmap扫描下8有没开启 3306,扫描后发现果然开启了,并且确实使用的是同一密码。(91ri.org:印证了之前说的,一个人管一台机器和管十台管一百台的做法是不一样的,毕竟总不能每连一台主机都要去翻翻密码簿吧?)

在刚开始拿下的 10服务器中发现个记录

确定他apache是默认安装的 直接读取路径导shell

战果丰硕

90l6

总结

  • 当拿下一台服务器后,登录上后请立马执行export HISTFILE=/dev/null 这样我们操作的命令就不会被记录到.bash_history
  • 可以翻下 mysql_history .bash_history
  • ls -al 看下root目录下都有什么隐藏目录 例如 .ssh .vnc 等,有.vnc爽了,你懂得。
  • 可以看下 .ssh/下面的ssh连接记录等,也可以看下全局变量文件什么的。
  • find下服务器上面有什么shell脚本文件,很多有rsync同步脚本什么的
  • 查看下进程,前提是至少你懂点linux。如果主机上有rsync的话,基本上就没什么问题了。(明文密码)
  • 在内网环境中的话 不知道主站目标可以nslookup 域名 看下是否在 一个内网等。
  • 内网环境中如果有运行ftp服务做后门记录ftp密码,搜集信息,坐等管理上线。
  • 善用tcpdump
  • 留一个隐蔽的后门
  • 拿到权限做完上面的工作就可以对其他机器进行信息收集,建议可以使用nmap。

91ri.org:文章写的挺乱,稍稍整理了一下,作者的思路倒是不错,值得刚刚学习linux渗透的同学学习。顺便推荐下相关的linux渗透技巧的文章:《总结Linux的一些渗透技巧》《Nmap在实战中的高级用法

via@[c2@90sec]