我是保安第一部曲之Linux渗透笔记

前言：

    很久没写摸鱼文章了,我一直在。
    我的渗透思想就是，别问我过程与理论，我只交付成果，结果行与不行
    动不动就问我这事的原理是什么。
    你不懂学习去啊，问我做什么，交学费吗？

章节一: 入局

    入口是一个注入，通过dba权限写的🐎。对方是一个Linux 的Genetic research网站。（我不打国内的任何站，除非案子）

    通过查看对方的系统，进行权限的提升。结果是Centos，并进行的通杀的提权。我不知道现在通杀到哪个版本。等通杀不了的时候再看到什么版本。

    Linux的内网渗透，我搜了一下,只能找到很少的资料（有的话，就当我是废物），基本大多的都是win server的各种资料。

    现在获取的第一个服务器，就是先翻各种内容。

    其中包括但不限于对方以下一些文件

.config/.bash_history.mysql__history网站目录文件内容.ssh/等等

    把获取到的信息，形成一个笔记，对于后续的深入渗透有帮助。

    首先要确定，对方服务器能不能出网，dns能不能通，icmp能不能通外界，是否存在内网网段等等。

    当获取到足够多的信息后，就开始部署后门，获取用户的账户密码。已知cat /etc/shadow的 ssh的密码不好破解，如果能破解开，基本都是运气爆棚的。

    第一个服务器，是一个WEB服务器,能出网，是外网的IP，并不存在内网网段。如果不能出网，就要考虑部署出网隧道了。

    通过ssh的后门部署，重启sshd。并通过一段时间的等待，获取到用户的账户密码。期间在获取到root权限时，可通过主机的管理助手进行绑定。下次就可以直接的通过主机的管理助手进行登陆访问了。

    期间一直通过主机的管理助手能看到有用户在线。

    用户在线时，我没任何动作，怕被发现。

    通过2-3天的观察，摸清了用户的一些上线时间段。深夜上线，再观察的时候，通过.bash_history文件发现，用户会不定时的把WEB上的Research result进行SCP到另外的supervisor的服务器上。这时候就可以拿出上面记录到的信息，跟通过SSH获取到的账户密码机进行下一个服务器的获取。

章节二: 进门

    通过.ssh/中的信息进行登陆。

    发现登陆另外的服务器，需要用到SSH的密码跟密钥信息。这防护确实可以。      通过上面收集到的密码的进行登陆。切记，就算能用外网登陆，也尽量不要去登陆，尽量用对方的服务器进行登陆。踏着对方的脚印登陆，才不会有自己的脚印。

    第二个服务器是Ubuntu.

    首先的步骤还是确认出网的情况，然后通过第一个服务器的监听，然后接收第二个服务器的shell。通过查找Ubuntu对应版本的提权漏洞进行提权。提权不就下载对应的c代码文件，然后就gcc，接下来就执行提权。
    再利用第一服务器的监听，获取root的shell。因第二个服务器能与第一个服务器通网，第一个服务器又是外网的IP，确定第二个服务器也能出网。

    重点：清除第一个服务器你的所有命令痕迹。

    还是老步骤，确认出网，部署SSH后门，通过lastlog观察用户上线时间段，找文件，找信息。
    通过主机的管理助手进行维护。至此，第二Linux服务器到手。

    第二个服务器具有出网的权限，通过ifconfig 发现也具有内网的IP的地址。

通目录文件的确认，里面有很多underling的信息。确定这是一个MANAGER使用的服务器。第一个服务器进行的数据备份到第二服务器，估摸是在上交Job。

    翻找信息后，还是等，等ssh后门密码的回传，不急。

    等密码的到手后，等深夜，通过arp -a获取内网的网段，发现还是外网的地址。         现在有仨步骤可走

1，通过写bash脚本进行内网C段的密码碰撞。2，通过.ssh/文件中的记录进行密码的碰撞。3，通过.bash_history文件中的连接记录进行密码的碰撞。

    笔记：密码的碰撞，可以安装一个sshpass进行。用法简单。

    期间可以看到这个supervisor的服务器上有浏览器，可以通过LaZagne进行浏览器密码的获取。通过LaZagne获取到该supervisor的各种网站的账户密码，其中包括，mail、FB网站等。看了一圈没啥可利用的

    通过.bash_history文件发现，supervisor上的Research result会备份到另外的一个文件存储服务器上。进过密码的碰撞，一个用户的ssh密码成功登陆第三个Linux服务器。

章节三: 入坐

    第三个服务器还是Centos，通过第二个服务器的监听，通杀提权等老步骤。

    获取到第三个服务器时，切记，还是去清除一下第二个服务器自己的操作痕迹。

    通过翻找文件与各种操作记录的时候，发现这个是文件的备份服务器，也会对提交过来的文件进行本地数据模型运算。不然内存的需求也不会那么大。

    通过信息收集，进行密码的碰撞，提权获取到第四个Linux服务器。

章节四: 沏茶
    第四个又是Centos。第四个服务器是第三个服务器数据模型的运算数据传递到professional进行数据的传递。

老步骤，弹shell，提权，部署后门，放主机的管理助手管理。

还是那句话，清除第三个服务器的操作痕迹。

    通过该服务器的.bash_history文件连接记录，有一个外网IP，通过Shodan查询，发现有对应的网站。

    包括第一、第二、第三、中的所有.bash_history文件连接记录外网IP，都要去仔细找到有没有对应网站或者其他服务。评估深入的价值。

----------------------------------------------

想知后续，静待后续进展

留下悬念：

    在第四个服务器中的.bash_history文件连接记录中有一个ssh连接 IP，对应的网站跟台x电有关系。

扫描二维码获取

更多精彩

洛米唯熊

原文始发于微信公众号（洛米唯熊）：我是保安第一部曲之Linux渗透笔记