【3.A.S.T】网络安全爱好者 - Powered by Discuz! Board

标题: [讨论]关于Linux 下phpshell的权限提升 [打印本页]

作者: wlfjck 时间: 2008-7-21 00:16 标题: [讨论]关于Linux 下phpshell的权限提升

[讨论]关于Linux 下phpshell的权限提升
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）
议题作者：vip819

现在已知的信息有。

系统内核版本：Linux localhost 2.4.20-8 #1 Thu Mar 13 17:54:28 EST 2003 i686 i686 i386 GNU/Linux

通过uname -a;id得知用户信息uid=512(daemon) gid=2(daemon) groups=2(daemon)

开放了21,22,25 等关键端口

装有zend apache tomato.

apache为Apache/2.2.3 (Unix) PHP/5.0.4

可以查看etc/passwd的内容

由于本人是第一次接触linux下的提权.

不知道,还需要一些什么信息,希望各位大牛不吝赐教.!
目的:拿到系统root权限.
帖子14 精华2 积分61 阅读权限40 在线时间54 小时注册时间2006-4-7 最后登录2008-6-25 查看详细资料引用报告回复 TOP 软件项目外包

zendf

晶莹剔透§烈日灼然

作者: 喂食猫 时间: 2008-7-21 00:16

有gcc没有，有wget没有，支持perl么
如果都有的话，下载一个exp到服务器上编译提权
帖子19 精华0 积分66 阅读权限40 性别男在线时间22 小时注册时间2006-9-9 最后登录2007-12-26 查看详细资料引用报告回复 TOP 爱要怎么说出口

28度的冰

荣誉会员

作者: 粟米 时间: 2008-7-21 00:16

我从来都是拿到phpshell就没辙了。

但是有一点可以肯定，那就是如果知道ftp密码，
你可以用ftp尝试登录ssh，有一定概率能上去。

比如我刚刚嗅探到一个ftp用户名：密码是
root:*******
登录了ftp发现没什么用，尝试登录ssh成功了。直接#I love amethyst！

帖子177 精华0 积分3591 阅读权限100 性别男来自浙江在线时间215 小时注册时间2007-1-18 最后登录2008-7-18 查看个人网站
查看详细资料引用报告回复 TOP 爱要怎么说出口

伤心的鱼

运维管理组

作者: 珠海汽车网 时间: 2008-7-21 00:16

楼上冰冰同学所说的偶理解了。就是偶拿到FTP密码人品好的话可以登陆3389 嘎嘎www.hack521.cn

帖子207 精华1 积分3652 阅读权限150 在线时间464 小时注册时间2007-4-12 最后登录2008-7-20 查看个人网站
查看详细资料引用报告回复 TOP

nixilin

晶莹剔透§烈日灼然

作者: 肥婷婷 时间: 2008-7-21 00:16

楼上的GG,linux哪来的3389？除非哪个管理员做怪事，把SSH的端口改了。。

帖子87 精华0 积分298 阅读权限40 性别男在线时间26 小时注册时间2006-4-22 最后登录2008-7-14 查看详细资料引用报告回复 TOP 让女孩一夜变的更有女人味

xi4oyu

荣誉会员

作者: mhd_0 时间: 2008-7-21 00:16

看内核版本应该是redhat 9的默认安装吧，呵呵，有很多 exp的
帖子67 精华0 积分3362 阅读权限100 性别男在线时间180 小时注册时间2006-6-19 最后登录2008-7-18 查看详细资料引用报告回复 TOP 让女孩一夜变的更有女人味

zendf

晶莹剔透§烈日灼然

作者: listenbreeze 时间: 2008-7-21 00:16

引用:
引用第2楼28度的冰于2007-11-13 19:26发表的 :

你可以用ftp尝试登录ssh，有一定概率能上去。

.......
一般机器的默认安装root帐号不能直接登陆ssh吧，而且没有root权限，你怎么安装的sniffer?如果安装了sniffer直接等着ssh连接，然后就可以得到密码了吧。。。。
帖子19 精华0 积分66 阅读权限40 性别男在线时间22 小时注册时间2006-9-9 最后登录2007-12-26 查看详细资料引用报告回复 TOP 让女孩一夜变的更有女人味

28度的冰

荣誉会员

作者: MetalGear 时间: 2008-7-21 00:16

看图。

当然，得到ftp密码有多种方式，比如有的ftp服务端程序会把密码写在mysql中方便管理。
我这个是通过嗅探得到的ftp密码。当然嗅探是在同网段的一台2003上。

root默认不允许远程登录这句话我也听到过，但是我却没有遇到，可能是我遇到的unix及其太少。
root@amethyst是我的虚拟机 Fedora Core 6，没有任何配置，默认安装，远程很顺利。

当然ssh密码也能被cain嗅到。
附件

root.JPG (31 KB)
2007-11-14 16:08

me.JPG (30 KB)
2007-11-14 16:08

I love amethyst！

帖子177 精华0 积分3591 阅读权限100 性别男来自浙江在线时间215 小时注册时间2007-1-18 最后登录2008-7-18 查看个人网站
查看详细资料引用报告回复 TOP

伤心的鱼

运维管理组

作者: WKS 时间: 2008-7-21 00:16

汗我哪有说LINUX有3389了我就是说他所说的是指运气你的FTP密码能登陆SSH ？运气好的哈碰到管理员密码是一样的www.hack521.cn

帖子207 精华1 积分3652 阅读权限150 在线时间464 小时注册时间2007-4-12 最后登录2008-7-20 查看个人网站
查看详细资料引用报告回复 TOP

xi4oyu

荣誉会员

作者: szxrszxr 时间: 2008-7-21 00:16

呵呵ssh能够配成不允许root登录的，像freebsd之类的OS，好像默认就是不允许
帖子67 精华0 积分3362 阅读权限100 性别男在线时间180 小时注册时间2006-6-19 最后登录2008-7-18 查看详细资料引用报告回复 TOP

zendf

晶莹剔透§烈日灼然

作者: coke仔 时间: 2008-7-21 00:16

一般的安全策略下root是禁止远程登陆的
而且就算安装了sniffer,SSH密码能不能被嗅探到还是个问题
当然SSH1不在此列,
就我所知,要拿到SSH密码要么安装rootkit,要么patch sshd,如果还有别的好办法不妨写出来看看,cain能嗅到ssh2的密码么
帖子19 精华0 积分66 阅读权限40 性别男在线时间22 小时注册时间2006-9-9 最后登录2007-12-26 查看详细资料引用报告回复 TOP

xi4oyu

荣誉会员

作者: 周星星 时间: 2008-7-21 00:16

ssh2能嗅到，已经有这样的工具了，呵呵
帖子67 精华0 积分3362 阅读权限100 性别男在线时间180 小时注册时间2006-6-19 最后登录2008-7-18 查看详细资料引用报告回复 TOP

zendf

晶莹剔透§烈日灼然

作者: 发动机 时间: 2008-7-21 00:16

引用:
引用第11楼xi4oyu于2007-11-15 09:27发表的 :
ssh2能嗅到，已经有这样的工具了，呵呵
哦，是哪款，哪有的下，HOHO
帖子19 精华0 积分66 阅读权限40 性别男在线时间22 小时注册时间2006-9-9 最后登录2007-12-26 查看详细资料引用报告回复 TOP

lafkkk

作者: TOABY 时间: 2008-7-21 00:16

提示: 作者被禁止或删除内容自动屏蔽
帖子31 精华0 积分75 阅读权限0 在线时间42 小时注册时间2007-8-24 最后登录2008-7-1 查看详细资料引用报告回复 TOP

i_lv_lcx

晶莹剔透§烈日灼然

作者: bp0769 时间: 2008-7-21 00:16

我看了下大家好像没有讨论出什么结果啊
我手上也有一些PHPshell
可惜......
帖子9 精华0 积分36 阅读权限40 在线时间7 小时注册时间2007-2-27 最后登录2008-7-8 查看详细资料引用报告回复 TOP

charley008

晶莹剔透§烈日灼然

作者: 蓝精灵 时间: 2008-7-21 00:16

引用:
引用第11楼xi4oyu于2007-11-15 09:27发表的 :
ssh2能嗅到，已经有这样的工具了，呵呵
能说说什么样的工具吗？
帖子16 精华0 积分53 阅读权限40 在线时间33 小时注册时间2005-10-2 最后登录2008-7-7 查看详细资料引用报告回复 TOP

vertusd

晶莹剔透§烈日灼然

作者: 叶王子 时间: 2008-7-21 00:16

最近也拿了些打了补丁机器的SHELL，正苦于没有办法，我看到WEB目录下的LOG目录属于APACHE用户，不知道能不能用软连接的方法，诱骗ROOT把一些文件弄成所有人可写，其他方面真的没有什么思路了，WEB目录下的文件又大都属于FTP用户
帖子8 精华0 积分25 阅读权限40 在线时间31 小时注册时间2007-1-10 最后登录2008-6-9 查看详细资料引用报告回复 TOP

wfswlp1

晶莹剔透§烈日灼然

作者: procar 时间: 2008-7-21 00:16

Linux DB 2.6.9-5.ELsmp #1 SMP Wed Jan 5 19:30:39 EST 2005 i686 i686 i386 GNU/Linux

拿到shell后直接是root权限哈哈运气好呵呵
帖子1 精华0 积分16 阅读权限40 在线时间16 小时注册时间2007-8-27 最后登录2008-7-8 查看详细资料引用报告回复 TOP

cnhawk

晶莹剔透§烈日灼然

作者: 枫枫 时间: 2008-7-21 00:16

ssh2可以被嗅探？
貌似不可以吧，现在很多系统都是ssh 1和2兼容模式
所以这样可以通过sniffer的欺骗来使ssh走到1上。如果强制了2貌似就没办法了吧
帖子24 精华0 积分79 阅读权限40 在线时间60 小时注册时间2004-12-31 最后登录2008-7-1 查看详细资料引用报告回复 TOP

xi4oyu

荣誉会员

作者: 沙包 时间: 2008-7-21 00:16

我当时只是瞄了一下，貌似是在axis的BLOG上看到的，呵呵，不知道看错了没有

帖子67 精华0 积分3362 阅读权限100 性别男在线时间180 小时注册时间2006-6-19 最后登录2008-7-18 查看详细资料引用报告回复 TOP

上帝在堕落

晶莹剔透§烈日灼然

作者: POLO劲情～怀 时间: 2008-7-21 00:16

不让root远程等陆不要紧，先找个user登上去，再su到root，那不就OK了。。。赠人玫瑰，手留余香。

帖子41 精华0 积分131 阅读权限40 性别男在线时间65 小时注册时间2007-5-21 最后登录2008-6-21 查看详细资料引用报告回复 TOP

hack4521

晶莹剔透§烈日灼然

作者: 都市狂飚 时间: 2008-7-21 00:16

有些有可以用root上去的.
redliunux貌似可以.我上次见的一个客户就这样上的.
要不就是把ssh改了.
5555 自己linux不太好.
希望邪8里.有人带大家一起好好学习一个linux方面的知识..(不会全是基础吧!)
呵呵..
帖子8 精华0 积分30 阅读权限40 在线时间13 小时注册时间2007-3-9 最后登录2008-5-21 查看详细资料引用报告回复 TOP

人鱼姬

晶莹剔透§烈日灼然

作者: 小乖 时间: 2008-7-21 00:16

我也遇到了相同的情况.

服务器内核为:2.6.22，没找到相关的溢出的源码。更遗憾的是没装gcc，我的webshell权限明显装不了gcc，可以得到反弹的低权限cmdshell。找到了mysql的root密码，web与database在同一服务器上，远程无法连接3306，只能在PhpSpy里对数据库进行操作，请问我该如何用mysql的root帐户提权？？
帖子6 精华0 积分18 阅读权限40 在线时间14 小时注册时间2007-1-22 最后登录2008-7-12 查看详细资料引用报告回复 TOP

再见小忆

晶莹剔透§烈日灼然

作者: 阿世 时间: 2008-7-21 00:16

请教pctools9.0的使用方法
请教各位pctools的用法
要是有文档的话就更好了，谢谢
帖子2 精华0 积分4 阅读权限40 在线时间12 小时注册时间2007-4-20 最后登录2008-6-10 查看详细资料引用报告回复 TOP

mika

技术核心组

欢迎光临【3.A.S.T】网络安全爱好者 (http://3ast.com/)