linux下的本渗透方法-实战.docVIP

linux下的基本渗透方法-实战 踩点 目标域名是XX.com 我们的目标是大站，所以主站一般都挺安全的，所以直接寻找二级目录，运气好时能找到一些开源的cms，运气更好点找到个dede啥的，那就…. 我们直接枚举他域名，先看看分站，因为比较大猜测他是内网，先搞下台内网机器再说。 分析及获取分站权限 枚举了下分站还挺多的，结果看了下 10那台服务器上面有个ecshop的程序，house也在上面，随便一个ecshop弄下了。 翻下数据库文件，运气不错，是root。 1 uname -a ? ? 1 Linux 10 2.6.32-71.el6.i686?#1 SMP Fri Nov 12 04:17:17 GMT 2010 i686 i686 i386 GNU/Linux 内核存在漏洞，直接上传exp提权。 经过分析，主机都在外网而非内网，我们的目标是*.*.*.*.8，已有权限机器是 *.*.*.*10 做了个openssh的后门，也就是root双密码，管理一个密码 我们的后门一个密码，不影响管理的那个密码。（网上有公开的，可自行下载） 1 cat /etc/issue CentOS Linux release 6.0 (Final)Kernel r on an m 本想做个pam密码记录，可惜手上没有支持6.0的后门。 深入 经过分析，网站7跟8做了负载 或者rsync同步的，负载大部分都时时同步的。 查看下进程都运行了什么 1 ps -aux ? 除了apache mysql外还运行了个 1 /usr/sbin/vsftpd ? 开了ftp服务，本可做个ftp密码的记录，但懒得等他上线，先继续搞别的。（91注：一般情况，一个企业内负责网络维护的管理员不多的情况下，密码基本通杀，在长期的渗透中多记一些密码并进行分析往往事半功倍。） 查看管理员的历史操作，也许能找到什么敏感信息 1 cat .bash_history | more 发现跟目标服务器 8 15 有过联系 1 scp -rp root@x.x.x.8:/etc/httpd/conf /etc/httpd/ 2 scp -rp root@x.x.x.15:/var/lib/mysql/appcms /var/lib/mysql 3 ssh x.x.x.13 ? 很多linux的管理员觉得linux系统本身安全，对安全反而不大在意了，都喜欢做ssh信任连接，便猜测这几台服务器之间做了信任连接 1 [root@10 ~]# ls .ssh/ 2 authorized_keys? known_hosts ? 1 cat .ssh/known_hosts 2 x.x.x.13 ssh-rsa BAAAB3NzaC1yc2EAAAABIwAAAQEAwcXCMGxzXoeiuhKhAsI9Dw9kilxxPDCsifv/EYBLE1JCkS44TljppgmEqVBVbQJ4fYtReScpgRwWoLrmaECYE17mDNezDAoRq392UCMduLg3vz4Zzkh8+9HfrNnlMbrrqpatifWwXLkUSHOIqBRV+pGF49v5VYkQyZM/01FbhTzdsCfIzSXEyL/oISuZPb2L9QzP+0xinwf1RRcv78TV2vsN74YiN47ieqifk8lMfhoEv1xA31/VkMFx8c8stMHedOMEBAFXo3WZbq/xJ5fTRRFJ1wyo06LgojGP6sVpQor8Zm8ItpDtwrG2NMwSrZC6EgOpX1yi9Cv23NXzAM/B/Q== ? 但看完后忧伤了，这台主机只有跟13有信任连接，于是便ssh到13上。虽说不是主站，但也许能搜集点管理信息直接搞到目标去。 迂回 连上目标后便又做了个后门 依旧继续看管理历史命令，顺便也可以搜索下有啥.sh文件，有的管理为了方便会写shell脚本文件，而里面总是有好东西的。 看下mysql的操作记录吧 1 cat .mysql_history 找到 1 Grant all privileges on *.* to root@% identified by ***vrlmm with grant option; 2 flush privileges; ? 突然发现mysql密码都一样，猜测目标服务器也是这个密码呢，立马nmap扫描下8有没开启 3306，扫描后发现果然开启了，并且确实使用的是同一密码。（91：印证了之前说的，一个人管一台机器和管十台管一百台的做法是不一样的，毕竟总不能每连一台主机都要去翻翻密码簿吧？） 在刚开始拿下的 10服务器中发现个记录 1 scp -rp root@x.x.x.8