本文转自91ri
踩点
目标域名是XX.com
我们的目标是大站,所以主站一般都挺安全的,所以直接寻找二级目录,运气好时能找到一些开源的cms,运气更好点找到个dede啥的,那就….
我们直接枚举他域名,先看看分站,因为比较大猜测他是内网,先搞下台内网机器再说。
分析及获取分站权限
枚举了下分站还挺多的,结果看了下 10那台服务器上面有个ecshop的程序,house也在上面,随便一个ecshop弄下了。
翻下数据库文件,运气不错,是root。
Default
uname -a
|
1 |
uname -a |
Default
Linux 10 2.6.32-71.el6.i686 #1 SMP Fri Nov 12 04:17:17 GMT 2010 i686 i686 i386 GNU/Linux
|
1 |
Linux 10 2.6.32-71.el6.i686 #1 SMP Fri Nov 12 04:17:17 GMT 2010 i686 i686 i386 GNU/Linux |
内核存在漏洞,直接上传exp提权。
经过分析,主机都在外网而非内网,我们的目标是*.*.*.*.8,已有权限机器是 *.*.*.*10
做了个openssh的后门,也就是root双密码,管理一个密码 我们的后门一个密码,不影响管理的那个密码。(网上有公开的,可自行下载)
Default
cat /etc/issue
|
1 |
cat /etc/issue |
CentOS Linux release 6.0 (Final)
Kernel r on an m
本想做个pam密码记录,可惜手上没有支持6.0的后门。
深入
经过分析,网站7跟8做了负载 或者rsync同步的,负载大部分都时时同步的。
查看下进程都运行了什么
Default
ps -aux
|
1 |
ps -aux |
除了apache mysql外还运行了个
Default
/usr/sbin/vsftpd
|
1 |
/usr/sbin/vsftpd |
开了ftp服务,本可做个ftp密码的记录,但懒得等他上线,先继续搞别的。(91ri.org注:一般情况,一个企业内负责网络维护的管理员不多的情况下,密码基本通杀,在长期的渗透中多记一些密码并进行分析往往事半功倍。)
查看管理员的历史操作,也许能找到什么敏感信息
Default
cat .bash_history | more
|
1 |
cat .bash_history | more |
发现跟目标服务器 8 15 有过联系
Default
scp -rp root@x.x.x.8:/etc/httpd/conf /etc/httpd/
scp -rp root@x.x.x.15:/var/lib/mysql/appcms /var/lib/mysql
ssh x.x.x.13
|
1 2 3 |
scp -rp root@x.x.x.8:/etc/httpd/conf /etc/httpd/ scp -rp root@x.x.x.15:/var/lib/mysql/appcms /var/lib/mysql ssh x.x.x.13 |
很多linux的管理员觉得linux系统本身安全,对安全反而不大在意了,都喜欢做ssh信任连接,便猜测这几台服务器之间做了信任连接
Default
[root@10 ~]# ls .ssh/
authorized_keys known_hosts
|
1 2 |
[root@10 ~]# ls .ssh/ authorized_keys known_hosts |
Default
cat .ssh/known_hosts
x.x.x.13 ssh-rsa BAAAB3NzaC1yc2EAAAABIwAAAQEAwcXCMGxzXoeiuhKhAsI9Dw9kilxxPDCsifv/EYBLE1JCkS44TljppgmEqVBVbQJ4fYtReScpgRwWoLrmaECYE17mDNezDAoRq392UCMduLg3vz4Zzkh8+9HfrNnlMbrrqpatifWwXLkUSHOIqBRV+pGF49v5VYkQyZM/01FbhTzdsCfIzSXEyL/oISuZPb2L9QzP+0xinwf1RRcv78TV2vsN74YiN47ieqifk8lMfhoEv1xA31/VkMFx8c8stMHedOMEBAFXo3WZbq/xJ5fTRRFJ1wyo06LgojGP6sVpQor8Zm8ItpDtwrG2NMwSrZC6EgOpX1yi9Cv23NXzAM/B/Q==
|
1 2 |
cat .ssh/known_hosts x.x.x.13 ssh-rsa BAAAB3NzaC1yc2EAAAABIwAAAQEAwcXCMGxzXoeiuhKhAsI9Dw9kilxxPDCsifv/EYBLE1JCkS44TljppgmEqVBVbQJ4fYtReScpgRwWoLrmaECYE17mDNezDAoRq392UCMduLg3vz4Zzkh8+9HfrNnlMbrrqpatifWwXLkUSHOIqBRV+pGF49v5VYkQyZM/01FbhTzdsCfIzSXEyL/oISuZPb2L9QzP+0xinwf1RRcv78TV2vsN74YiN47ieqifk8lMfhoEv1xA31/VkMFx8c8stMHedOMEBAFXo3WZbq/xJ5fTRRFJ1wyo06LgojGP6sVpQor8Zm8ItpDtwrG2NMwSrZC6EgOpX1yi9Cv23NXzAM/B/Q== |
但看完后忧伤了,这台主机只有跟13有信任连接,于是便ssh到13上。虽说不是主站,但也许能搜集点管理信息直接搞到目标去。
迂回
连上目标后便又做了个后门
依旧继续看管理历史命令,顺便也可以搜索下有啥.sh文件,有的管理为了方便会写shell脚本文件,而里面总是有好东西的。
看下mysql的操作记录吧
Default
cat .mysql_history
|
1 |
cat .mysql_history |
找到
Default
Grant all privileges on *.* to ‘root‘@‘%‘ identified by ‘***vrlmm‘ with grant option;
flush privileges;
|
1 2 |
Grant all privileges on *.* to ‘root‘@‘%‘ identified by ‘***vrlmm‘ with grant option; flush privileges; |
突然发现mysql密码都一样,猜测目标服务器也是这个密码呢,立马nmap扫描下8有没开启 3306,扫描后发现果然开启了,并且确实使用的是同一密码。(91ri.org:印证了之前说的,一个人管一台机器和管十台管一百台的做法是不一样的,毕竟总不能每连一台主机都要去翻翻密码簿吧?)
在刚开始拿下的 10服务器中发现个记录
Default
scp -rp root@x.x.x.8:/etc/httpd/conf /etc/httpd/
|
1 |
scp -rp root@x.x.x.8:/etc/httpd/conf /etc/httpd/ |
确定他apache是默认安装的 直接读取路径导shell
战果丰硕
总结
- 当拿下一台服务器后,登录上后请立马执行export HISTFILE=/dev/null 这样我们操作的命令就不会被记录到.bash_history
- 可以翻下 mysql_history .bash_history
- ls -al 看下root目录下都有什么隐藏目录 例如 .ssh .vnc 等,有.vnc爽了,你懂得。
- 可以看下 .ssh/下面的ssh连接记录等,也可以看下全局变量文件什么的。
- find下服务器上面有什么shell脚本文件,很多有rsync同步脚本什么的
- 查看下进程,前提是至少你懂点linux。如果主机上有rsync的话,基本上就没什么问题了。(明文密码)
- 在内网环境中的话 不知道主站目标可以nslookup 域名 看下是否在 一个内网等。
- 内网环境中如果有运行ftp服务做后门记录ftp密码,搜集信息,坐等管理上线。
- 善用tcpdump
- 留一个隐蔽的后门
- 拿到权限做完上面的工作就可以对其他机器进行信息收集,建议可以使用nmap。
91ri.org:文章写的挺乱,稍稍整理了一下,作者的思路倒是不错,值得刚刚学习linux渗透的同学学习。顺便推荐下相关的linux渗透技巧的文章:《总结Linux的一些渗透技巧》《Nmap在实战中的高级用法》