由于微信公众号推送机制改变了,快来星标不再迷路,谢谢大家!
前言:
很久没写摸鱼文章了,我一直在。
我的渗透思想就是,别问我过程与理论,我只交付成果,结果行与不行
动不动就问我这事的原理是什么。
你不懂学习去啊,问我做什么,交学费吗?
章节一: 入局
入口是一个注入,通过dba权限写的🐎。对方是一个Linux 的Genetic research网站。(我不打国内的任何站,除非案子)
通过查看对方的系统,进行权限的提升。结果是Centos,并进行的通杀的提权。我不知道现在通杀到哪个版本。等通杀不了的时候再看到什么版本。
Linux的内网渗透,我搜了一下,只能找到很少的资料(有的话,就当我是废物),基本大多的都是win server的各种资料。
现在获取的第一个服务器,就是先翻各种内容。
其中包括但不限于对方以下一些文件
.config/.bash_history.mysql__history网站目录文件内容.ssh/等等
把获取到的信息,形成一个笔记,对于后续的深入渗透有帮助。
首先要确定,对方服务器能不能出网,dns能不能通,icmp能不能通外界,是否存在内网网段等等。
当获取到足够多的信息后,就开始部署后门,获取用户的账户密码。已知cat /etc/shadow的 ssh的密码不好破解,如果能破解开,基本都是运气爆棚的。
第一个服务器,是一个WEB服务器,能出网,是外网的IP,并不存在内网网段。如果不能出网,就要考虑部署出网隧道了。
通过ssh的后门部署,重启sshd。并通过一段时间的等待,获取到用户的账户密码。期间在获取到root权限时,可通过主机的管理助手进行绑定。下次就可以直接的通过主机的管理助手进行登陆访问了。
期间一直通过主机的管理助手能看到有用户在线。
用户在线时,我没任何动作,怕被发现。
通过2-3天的观察,摸清了用户的一些上线时间段。深夜上线,再观察的时候,通过.bash_history文件发现,用户会不定时的把WEB上的Research result进行SCP到另外的supervisor的服务器上。这时候就可以拿出上面记录到的信息,跟通过SSH获取到的账户密码机进行下一个服务器的获取。
章节二: 进门
通过.ssh/中的信息进行登陆。
发现登陆另外的服务器,需要用到SSH的密码跟密钥信息。这防护确实可以。 通过上面收集到的密码的进行登陆。切记,就算能用外网登陆,也尽量不要去登陆,尽量用对方的服务器进行登陆。踏着对方的脚印登陆,才不会有自己的脚印。
第二个服务器是Ubuntu.
首先的步骤还是确认出网的情况,然后通过第一个服务器的监听,然后接收第二个服务器的shell。通过查找Ubuntu对应版本的提权漏洞进行提权。提权不就下载对应的c代码文件,然后就gcc,接下来就执行提权。
再利用第一服务器的监听,获取root的shell。因第二个服务器能与第一个服务器通网,第一个服务器又是外网的IP,确定第二个服务器也能出网。
重点:清除第一个服务器你的所有命令痕迹。
还是老步骤,确认出网,部署SSH后门,通过lastlog观察用户上线时间段,找文件,找信息。
通过主机的管理助手进行维护。至此,第二Linux服务器到手。
第二个服务器具有出网的权限,通过ifconfig 发现也具有内网的IP的地址。
通目录文件的确认,里面有很多underling的信息。确定这是一个MANAGER使用的服务器。第一个服务器进行的数据备份到第二服务器,估摸是在上交Job。
翻找信息后,还是等,等ssh后门密码的回传,不急。
等密码的到手后,等深夜,通过arp -a获取内网的网段,发现还是外网的地址。 现在有仨步骤可走
1,通过写bash脚本进行内网C段的密码碰撞。2,通过.ssh/文件中的记录进行密码的碰撞。3,通过.bash_history文件中的连接记录进行密码的碰撞。
笔记:密码的碰撞,可以安装一个sshpass进行。用法简单。
期间可以看到这个supervisor的服务器上有浏览器,可以通过LaZagne进行浏览器密码的获取。通过LaZagne获取到该supervisor的各种网站的账户密码,其中包括,mail、FB网站等。看了一圈没啥可利用的
通过.bash_history文件发现,supervisor上的Research result会备份到另外的一个文件存储服务器上。进过密码的碰撞,一个用户的ssh密码成功登陆第三个Linux服务器。
章节三: 入坐
第三个服务器还是Centos,通过第二个服务器的监听,通杀提权等老步骤。
获取到第三个服务器时,切记,还是去清除一下第二个服务器自己的操作痕迹。
通过翻找文件与各种操作记录的时候,发现这个是文件的备份服务器,也会对提交过来的文件进行本地数据模型运算。不然内存的需求也不会那么大。
通过信息收集,进行密码的碰撞,提权获取到第四个Linux服务器。
章节四: 沏茶
第四个又是Centos。第四个服务器是第三个服务器数据模型的运算数据传递到professional进行数据的传递。
老步骤,弹shell,提权,部署后门,放主机的管理助手管理。
还是那句话,清除第三个服务器的操作痕迹。
通过该服务器的.bash_history文件连接记录,有一个外网IP,通过Shodan查询,发现有对应的网站。
包括第一、第二、第三、中的所有.bash_history文件连接记录外网IP,都要去仔细找到有没有对应网站或者其他服务。评估深入的价值。
----------------------------------------------
想知后续,静待后续进展
留下悬念:
在第四个服务器中的.bash_history文件连接记录中有一个ssh连接 IP,对应的网站跟台x电有关系。
原文始发于微信公众号(渗透安全团队):【单兵APT 】第一部曲之Linux渗透
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论