合天网络安全笔记-十四-
合天网络安全笔记(十四)
P7:第5天:XSS漏洞-XSS基础概述及利用 - 网络安全就业推荐 - BV1Zu411s79i
我去就是自己写一下啊什么的,好没人回答我,那应该就是没有好吧,我希望大家还是就去看了作业嗯,那大家就是看作业,看那个就是预习的那个网址是吗,感觉怎么样呢,好一开始不知会前几d的没啥问题,后面就不会了。
一脸懵逼,在dv大队什么事了,是,行可能大部分就是同学可能还是有一点问题,那今天的话就来给大家进行一个系统的讲解,然后今天的话就只是进入我们这个跨站脚本,攻击漏洞的一个讲解,你先把这个都行啊。
嗯今天我们要讲的就是跨站脚本攻击,漏洞的一个基础篇,那首先来看一下这一节课的一个目录,首先第一部分,第一个部分的话就是这个漏洞的一个概述,第二个部分就是这个漏洞的类型,以及它的利用场景。
第三个的话就是我们的一个实操,那首先我们来看一下这个漏洞的概述,嗯同样有一个就是在这里提出了一个问题,就是什么是跨站脚本攻击,跨站脚本攻击的话,他是攻击者通过网站注入点注入客户端。
可执行解析的payload,这个po的话的意思就是脚本代码,当我们的用户这儿的话,可能就是受害者去访问我们的网页时,就是注入了我们有害代码,就是的网页时,他恶意的pload就会自动加载加载并执行。
以达到攻击者目的,那攻击者他写在这个代码里面的呃,逻辑可能会是为了实现一个窃取cookie,或者是对它进行一个恶意传播,或者是钓鱼欺骗等等,那有一个地方,就是为了避免与html语言中的css相混淆。
因为它的首字母提取出来就是cs嘛,所以我们通常称它为xs,这个网站注入点是需要攻击者自己去找的,不是啊,每一个地方都有,我们要去找哪里,我们能进行一个注入,那注入到客户端,可执行解析的这个脚本代码的话。
就可能在我们这个xs s里面,就是我们的js代码嗯,我们接下来来看一下,就,它有哪一些的危害,首先第一点的话,可能就是能够获取我们的用户信息,比如说是我们的浏览器信息,或者是我们用户就是受害者。
他的真实的ip地址,或者是我们的cookie信息,前面我们也说过,如果得到了他的一个cookie信息的话,就可以实现一个无密码登录,我们就能进入到它的一个账号啊里面,就能窃取到他的一些个人信息等等。
第二个的话就是钓鱼,我们可以利用xss漏洞构造出一个登录框,然后骗取用户的账户和密码,这个怎么实现呢,我们可以可能可以提示我们,现在当前的你的这个登录已经过期了,然后我们用js代码模拟一个网站的登录框。
将用户名和密码发送到我们的攻击者服务器,这样的话我今天下午稍微弄了一下,可以给大家,演示一下,这有一个我写了一个简单的html代码,在这的话可以输入我们的名字,但是因为它这里就是过滤不严格。
所以我可以在这直接插入一个,我们上一节课有说我们可以插入一个,就是这这种就是以screamed开头的,就是以我们插入的一个javascript代码嘛,然后这个s r c里面填入我们的一个。
外部的js脚本的路径对吧,在这里的话,我这已经写好了,嗯我暂时这的话只是给大家看一个效果,接下来我会具体讲它是怎么实现的,嗯在这的话它有一个用户登录过期请重新登录。
当然我这写的这个就是比较的界面比较简单,但是它的基本功能都是一样的,然后我们在就是他这输入之后,刚才我们输入这个之后提交提交,我们可以把这一串,这一串url发送给我们的受害者,他打开之后。
就比如说ctrl c,我用另外一个浏览器打开,模拟我们的一个受害者,嗯它打开之后,这儿还有一个账户登录,过期重新进行一个登录,这样的话他可能就会输入我们的一个用户名,密码,登录之后。
我这就就显示了一个空白,如果你还想做的逼真一点,我们就可以直接跳到他自己的一个页面里面去,那在这的话,其实我在这个data。html里面就记录了哦。
我先把这些删掉。
这里输入的话,我们输入123123,然后登录,这是一个空白。
但是在我们攻击者这一边的话,他这其实已经记录了他刚才输入的这个aleine,123,123就是显示给我们了。
那这个到底是怎么实现的,我们接下来可以来看一下,这是一个简单的一个例子,这是第二种危害,就是一个钓鱼,利用我们的一个xss漏洞构造了一个登录框,第三个的话就是注入我们的木马,或者是广告链接。
有些它是在主站注入非法网站的一个链接,这这样的话可能对主站那个公司的声誉,就会造成一定的影响,再一个可能会有一个后台增删改,网络数据等操作,这个的话可能需要配合,我们后面需要学习的一个漏洞。
就是cs rf漏洞骗取用户点击,然后利用我们的js,这个js的话就是javascript的缩写,然后模拟浏览器发包,最后一个可能就是xss蠕虫,比如说微博蠕虫,只要看过某人的微博。
我们就可以自动关注那个人嗯,还有一个就是贴吧蠕虫,就是看过某个帖子就自动回复这个帖子嗯,这些都是xs s能够做到的,以及它的一些危害,那接下来我们具体来看一下这个漏洞的类型,以及利用场景,它分为三种。
第一种的话就是反射型xss,第二种是存储型,第三种是dom型xss,内反射型的话,它主要是用于钓鱼,刚才我们那个其实就是利用了一个,反射型的xs或者是引流,或者是配合其他的一个漏洞。
比如说csf内存储形成ss的话,他可能就会攻击范围比较广,流量传播就会大,那为什么它会攻击范围比较广,传播流量大,就等会大家就会知道,就是等会儿会给大家详细的介绍,它也可以配合其他的一个漏洞。
然后dom型xs s的话,它也可以配合其他的漏洞,而且它是属于客户端的一个xs,然后它的长度大小是不受限制的,那么我们接下来来看一下,具体的每一个类型的xss,首先我们介绍这个反射型xss。
它的特点是只会执行一次非持久型,这个非持球型其实是对应于后面的一个存储型,xss来说的,存储型xss它是一个持久型,然后它也可以叫做这个反射型,xss,也可以叫做参数型的一个快扩展脚本。
它主要存在于攻击者,将恶意脚本附加到url的参数中,发送给受害者,服务端,未经严格过滤处理而输出在用户浏览器中,导致浏览器可以执行一个代码,数据可以看右边的一个攻击流程。
首先是攻击者发现存在嗯反射形态s的ui,然后根据输出点的环境构造,我们xs的代码就是构造能够触发嗯,我们trs执行的一个代码进行编码,对我们的那个url进行编码,或者是对它进行一个缩短。
我们可以去一些网站对网址进行啊缩短等等,这个这一步是可有可无的,仅仅是为了增加一个迷惑性,然后我们就可以把这个构造的这个url,发送给我们的受害者,受害者点击链,点开链接之后。
我们的xs s代码就会执行,然后完成攻击者的代码功能内,在右边这张图的话,可以看到攻击者这边他是通过email,就是邮件的方式把我们这一个恶意的链接,xs的恶意链接发送给我们的受害者。
然后受害者点击之后,他就会去请求去请求去这个3w。test,请求这个search。p h p,然后问号key等于啊,这里有个双引号,尖括号可能是闭合前面的一个标签,然后后面这个后面这个大家应该看懂。
就是这个squint alert s,然后闭合掉前面的这个screamed,然后他会给我们服务端没有做严格的过滤的话,它会嗯给我们进行一个响应,然后它就会在受害者的浏览器中弹出一个嗯,警告框。
警告的内容就是xss,这是一个反射型,它大概的一个嗯流程,一个过程,反射型xss的,过程,那我们来看一下反射型xss的一个利用场景,我们如何去找xs s就可以是嗯。
我们看见有一些输入框或者是uri l参数中,我们就可以去尝试着修改,输入框这些东西里面就插入我们的一个js代码,看看能不能进行一个,注入,那我们来看一下一个,利用的代码,那在这的话我要写一个。
这有一个输入框,他这是请输入你的一个名字,所以我在这就输入一个hello,提交之后,他在这里的话会有一个welcome hello,这个hello,我们输入的这个hello,它会回血给我们。
就是在页面中,在这个地方它回响给我们,我们可以查看一下网页源代码,可以看到它就是在这个地方会献给我们的,那我们可不可以,就是根据上一节课的那个内容的话,我们是不是可以进行一个尝试。
比如说我在这输入h1 ,大家还记得吗,这个就是一个标题吗,一级标题在这里再加上这个hello的话,我们看一下它的字体会不会变粗变大,嗯在这里的话,他这个hello后面这一串都会变成这个一级标题。
我们可以看一下它的一个网页源代码,那在这的话可以看到,他把这一个部分都变成了一个一级标题,这个地方的颜色也变了,就是它原本我们可以看到这边,它原本都是这种黑色的,但是我们直接在这边输入了一个嗯尖括号。
h一之后,我们查看源代码之后,它是它变成了这种紫色对吧,就说明浏览器已经把我们输入的这个标签,当成了我们输入的这个h一左右肩,左肩挂号h一右键括号,把它当成了一个标签进行了一个解析。
同时把我们的这个hello新号变成了一个一级标题,那这样的话,其实就可以证明,他这个网站是没有进行过多的一个过滤的,因为它可以输入我们的左右尖括号,那这样的话,我们是不是可以尝试进行插入一些嗯。
我们之前前面的一个square enja ascript代码,比如说这个嗯,我们以这个squt标签开头,然后加上一个,比如说弹出一个alert 1,然后再闭合,我们看一下会不会弹窗,你们觉得它会弹窗吗。
大家都说会,那我们来试一下,就提交试一下,对他这确实就是会弹窗,我们可以右键查看一下它的源代码,可以看到在这个地方的话对吧,他直接把我们的输入的那个,输入的这一个完整的输出在了我们的这个html中。
没有进行一个过滤,然后这里也变成这种标签的一种颜色,就是这种紫色,而不是这种黑色对吧,我这么说大家能听得懂吗,就是关于这一个以及前面的那些内容,如果听得懂的话就打一。
如果听不懂有哪些地方听不懂的话就打个二,行嗯大家都能接受。
我们来看一下它的一个后台的一个源代码吧。
就是能够帮助我们更好的去进行一个理解,那在这的话,我们是首先到来到我们的这个reflect gun xs,s。html中,然后在这的话有一个表格之前,第一节课也有跟大家说过对吧。
然后输入有两个input标签,在这个action,这样的话就是有一个我们的处理的文件,这样的话就是这个reflect gun xs s。p h p,那我们去这个这个里面看一下。
在这的话我们直接看它里面的这个菲律宾代码,在这个里面的话,他直接就去找这个request的话,就是去啊这个这个request就是嗯去进行一个判断,这个数这个是数组里面是否存在这个lab。
它这个里面是否存在这个lamb值,并且他的这个lamb值是不为空的,那这个lamb是在哪儿传过来的呢,在我们这个html里面就是这个lamb,这就是输入的名字名称这传入过来的。
那如果它存在这个lab以及,并且它们它的值不为空的话,我就把它取出来,取出来放到我们这个lab这个变量里面,然后直接输出一个welcome,然后信号中间直接加上了我们这个,赋值的这个lamb值。
所以说所以说他直接一口进去了,他并没有对我们输入的。
就是我们这儿提交了这个lab值进行一个过滤,可以看到它其实这是以get形式提交了,他直接在这个url中显示进来了。
那如果我们要对这种进行防范的话,那可能就可以对这个lab这个它传入进来的。
这个值。
就是我们这个标签里面传入进来的,这个进行一些过滤对吧,在我们后台,这比如说他有就有几种,一种的话,就是我们直接去将他的这个cript标签,替换为空,这个函数的话就是直接替换,然后区分大小写替换为空。
那我们将它保存一下。
来看一下我们前面的那个就是尝试的,这个插入的叉叉js代码,能不能还能不能进行弹出那个警告框,这样的话就不可以了,而且他的那个,可以查看一下源代码,你可以看到它其实后面这个还是有一个输出。
就是还是就是没有被过滤,只是前面因为它后台代码它只是匹配了这一个。
所以的话他在这里就被替换为空了,然后它就不能进行一个解析了,因为它不能识别为一个cript标签,没有他没有以ascript标签开头嘛,所以他并不知道这是一个javascript代码。
所以就不能进行解析了,内战的话其实绕过也比较简单,这我们可以直接输入大小写,这个s是大写的,嗯这样的话它也是可以进行一个弹窗的,对吧,他这也是变成了这种紫色,而且他变成了,它变成了空的话。
还有一种方式就是,我们直接在这个cript里面,这个里面再嵌一个secret,因为它它会匹配到这个中间的这个,我把屏幕放大一点,因为它会匹配到这个吗,这个会匹配为空。
那这样的话剩下的左边这个加上右边这个,那是不是就正好是一个squint标签了对吧,我们来尝试一下,然后进行一个提交,你们觉得他会不会进行一个弹窗,嗯会,是的,它同样会进行一个弹窗。
然后我们看一下它的后台的一个源代码,可以看到,他这样的话就正好变成了一个squt标签,因为它会把中间这个匹配掉。
就是匹配为空,我们后台的逻辑是这么写的吗。
匹配为空嘛,所以他在这儿的话就相当于把它去掉了,然后前后拼起来正好是一个squ,这样的话它就能够进行一个识别,识别这个alert一为一个jazz的代码。
除了这一种过滤之外,这种过滤就比较的鸡肋吗,可能下面这种过滤这个的话,这个函数就表示是使用一个正则匹配的方式,将我们的lab值里面的这个squt,中间有很多新号,就表示你中间无论差就是典型。
这种就是正则匹配吗,无论你中间插入一些其他的一些字符,只要你这个里面有一个左尖括号,s c r i p t这样的一个字符的话,它都会把它匹配为空,然后这里有一个i的话是忽略大小写。
这个i是忽略大小写,那这样的话我们可以来看一下,刚才的我们那种方式是不是可以,还能不能使用。
哦我这没有保存,这种方式对吧,嗯可以看到它在这的话就只有一个右键,括号输出给我们了,你们可以看一下他后面是不是就全替换为了空。
因为在这的话它会把中间的那些东西都匹配掉。
匹配为空对吧。
这个大家能听懂吗,嗯行,那我再把最后一行给注释掉,这个其实好像之前有跟大家提过吗。
这个函数如果没有提过的话,等会就提,那大家来猜一猜,这样的话使用这个函数的话,我们。
还能不能进行一个,哦刚才还没有,对不起,刚才还没有进行一个绕过,像这个其实也是可以绕过的,因为它只是对我们这个sc这个标签。
进行一个过滤嘛对吧,那我们其实还有其他的一些方式,来执行我们的一个js代码,之前我们有说过是吧,一种就是直接在页面里面插入这个嗯squam,第二种的话是使用外联的一个,就是这个src等于什么什么js。
后面加一个js的一个路径,它就会去那个路径去访问那个js代码,然后嵌入到我们页面中,就是这是两种,还有一种就是可以使用一些事件对吧。
这两种前面两种话都是不可以使用的。
因为他已经把这个cript标签给过滤的,比较严格了,那这样的话我们是不是可以使用一个,就是利用它里面的一个事件来进行嗯注入呢,一个xs s的注入呢,因为他这只是过滤了我们的这个嗯。
匹配了我们这个squint嘛,它左右兼顾号并没有进行一个过滤,所以我们可以输入一些其他的标签,比如说,image标签,然后src等于一,这个的话就是他的一个路径嘛,这个路径不存在的话。
是不是就会报一个错误,如果他就有一个事件,如果他报错的话,就一个on erro,就会等于这个,后面你就可以写我们这个以n开头的那些事件,是不是后面可以写我们的js代码olent 1。
我们这样看一下是它是不是会进行一个弹窗嗯,可以看到它在这里确实就进行了一个弹窗,然后这里有一个图片,但是它的路径因为唯一是找不到的,所以它会触发那个on euro。
然后on ea里面又是我们的一个js代码,就是alert 1。
嗯这个是第二种的一个绕过内地三种,这种方式就是使用这个函数,它会把预定义的一些字符转换为html实体。
防止嗯浏览器将其作为html的一个元素,大家可以,就是你们觉得现在的话还能进行一个猪肉吗,这种方式还能进行一个,但是让我写就不行了,你等会就会写了,写payload很简单的。
大家觉得这种方式它还会进行一个弹窗吗,就是会因为这里路径也是不存在的嘛,然后会触发这个on erro等于一,它会弹出一个一的一个请告框吗,应该不能,不能解析陈子户试题了,不行,对这位同学讲的很好。
就是他其实是我们可以提交来看一下,我记得第一节课的时候有给你们说过,如果说我们要在页面里面正常的显示这种嗯,特殊符号的话,我们是不是可以使用一个字符实体,大家还记得吗,就是那个我们看一下源代码。
就知道你可以看到在这儿对吧,大家记得这个吗,这个就是左右,左键括号以及右键括号的一个字符编码,在这的话你可以看到它已经变成这种黑色了,就不是我们之前的这种嗯,紫色,这是我们的一个就是一个防御的手段。
我们可以使用这个函数来进行一个,防御,这个大家应该都听得懂吧。
就是也能理解他是怎么怎么,就是整个过程是怎么样的,他为什么会进会有一个弹窗,然后为什么又最后又不能进行一个弹窗了,他最开始在这边从我们的这个html传入到这边。
它主要是嗯可能是你在这边输入你的名字,提交之后,我有一个欢迎的页面给你们。
就是给大家有一个欢迎的页面,但是他在这里welcome,然后这个lab的时候,他如果没有进行一个严格的过滤的话,他直接他刚开始的时候,就直接把我们这个lab输出到了。
我们这个页面中吗,那这样的话,我们在这里输入的这种这种特殊符号,就可能会被它解析为一个html的标签,从而执行一些嗯我们这儿输入的这些嗯代码,那这样的话就可能造成一个xs s,因为我们后期。
既然我们能这样进行一个执行的话,我们可以就在,可以在这个后面写一些我们的js代码,进行更深入的一个利用,所以我们这儿弹出一个警告框的话,就是为了证明他有这个xss漏洞。
那如果我们想要把它进行一个防范的话,就是防护的话,就是需要我们在这个输出的地方,对用户输入进来的数据进行输出的地方,我们要对它进行一个严格的过滤,前面两种这种前面这两种过滤的方式。
都是可以进行一个绕过的,第三种方式的话,在这里是可以有效的进行防护的,因为它在这只是通过这个equ,然后只有这一个输出点嘛,所以他在这儿是有一个很好的过滤,放过滤效果的。
那可能就我这只是写了一个就是这种小型的。
只有一个页面。
就是你输入一个你的llamb,然后提交之后,然后传入到我们的菲律宾里面,然后在菲律宾这它会进行一个过滤,那如果是我们一个大型的项目的话,他可能就会把这些xs s的一个防范,他会专门放到一个嗯文件里面。
然后你每一次请求之前,我都会去先去先去进入到那个文件里面,对你的输入的数据进行一个处理,过滤掉一些嗯字符,然后避免出现xs s之后,再去进行一个我们用户逻辑的一个处理,这可能是就是比较大的一个项目的。
一个处理方法,大家这个能听得懂吗,怎么还是不是替换成镂空吗,你是说什么意思,你是说在这个的时候吗,这样的时候吗,对啊,他是说他都替换成了空呀,对呀,他都替换成了空呀。
但是他没有对这个image进行一个匹配啊,他只是匹配了这一个呀,screamed,他并没有匹配这个image,对。
大家应该没有什么疑问了吧,就是对于这个反射型xs s就是用户提交之后,然后服务端没有做严格过滤,然后有一个输出回显给我们,在这个输出的地方它没有过滤,所以他就可能会被当成是一个标签。
然后嗯能执行我们的一个js代码,这个大家应该都了解了吧,如果了解的话,大家打个一,我们接着往下走,嗯s是有替换吗,你可以去,你可以课后课后去找一下正则匹配,你可以课后去搜一下正则匹配它的一个规律啊。
现在就不要先不要想这个了,嗯我们接下来往下走,嗯可以看到这个就是一个实例,算是一个实例吧,在我们这个它其实出现的地方是在这个搜索框,这在这个搜索框,这的话我们直接输入的是这一个。
输的是这个m a n n这后面这一串,那在后面我们去右键查看源代码的时候,我们去进行一个搜索,搜索这个m a n n就会找到这儿,它是直接把我们的这个这一串,放到了这个地方。
他并没有对我们这个on click进行一个过滤,因为我们它是放在这个input标签里面,input标签里面的话,它也可以有一个事件,就是这个on click事件嘛。
然后这个前面mn这个双引号就闭合了这个value,这的这个前面的这个双引号,然后再加上我们的这个onclick,这里的这个20%,就是进行了一个ul编码,就是空格,20%就是空格。
然后on click等于prompt,一prompt也是就是弹出一个确认框嘛,然后空格之后这这后面还有一个双引号,这个双引号其实就是闭合后面这个双引号,它我们原本输入的是。
这个正好插在了这个value这一对双引号里面,所以我们要b和前面和后面,然后插入这个onclick,它点击之后就有就会有一个一弹出给我们,第二个的话,这个也算是一个实例吧,然后也是在他的这个搜索框。
这搜索框,这我是直接加了这个双引号尖括号,这个双引号尖括号的话,也是为了闭合前面的一个标签,因为你前面标签不结束的话,我后面的这些内容都相当于在那个标签里面嘛,所以说我们需要进行一个闭合前面的标签之后。
才能进行一个后面这个标签,它才能一个有一个正常的解析,不知道大家这个,内在这个后面的话又插入了一个image标签,然后它的source是等于123,这个123是不存在的。
所以在这个后面有一个on error,这个后面的这个代码会被触发,当成是一个js代码触发,然后这个evil就是把后面这一串,去进行一个执行,那这一串内容他其实就是去有一个他它的内容。
就是这个我们去new了一个image,然后它的source是等于这个的,这个的话是我自己,因为是但是我本地写的一个接收的一个cookie的嗯,p h b代码,然后它的代码就是这个样子的。
然后m s j等于encode u r i document,点cookie,这个的话就是把我们的cookie传入到我们这个,i i e c v gun cookies,点p h p里面。
然后进行一个处理,那在这的话我在这个receive cookies点菲律宾里面,在第四行的时候进行了一个接收,就是通过get msj,这里传入的是msj,所以我们这写的也是msj。
传入了之后进行一个url解码,因为我们在这对它进行了一个ur l的编码,所以就在这里进行了一个解码,然后将我们的这个他的document。cookie,存入到我们这个cookies。txt里面去。
这样的话我们可以去进行一个,就是我们后受害者去点击了这个链接之后,它的一个cookie就会接收到我们自己的这个呃平台,来,这个大家是先暂时看不懂,没关系,就是我们课程后面实操的时候。
有一个实验会对这个进行一个详细的讲解,大家做实验的时候,做作业的时候可以认真的去了解一下,去想一下它是怎么实现的,为什么可以这样做,如果出现问题的话,就可以和我交流,这个就是一个反射型的xs。
那接下来我们往下走,就是一个存储型的xs,存储型的xs s的话就相比较于反射型xss,它就有一个特点,就是它比较的它是属于持久型的一个xss,因为它这中间有一个数据库的一个介入。
它主要是存在于攻击者将恶意代为脚本,存储到了服务器的数据库中,当用户访问包含恶意相关数据的页面的时候,服务端未经严格过滤处理,而输出在用户浏览器中,导致浏览器执行代码数据,我们来看一下,嗯这有一个。
有一个页面,其实我们这个存储型的xs,它比较常见的地方就是在这种评论留言,个人信息,这种地方,因为这种地方的话,可能才会需要数据库的一个存在,那在这我们直接也输入一个,就是自己随便写一下。
看看它的功能是什么,test test添加留言添加,这有一个添加成功,嗯这有我之前的,添加成功好,这他会回钱给我们,就是我们输入的test test,然后message这他会回钱给我们。
内在这的话试一下,这样的话会不会进行一个弹框呢,你们觉得他会进行一个弹簧吗,你们啥也不穿那行,我们来添加一个留言,试一下,添加成功,嗯是啊,确实就有了一个弹窗,我们可以右键查看源代码,看一下,这。
你直接找一下这个alert 2嘛,我们刚才输入的是lt 2对吧,可以看到在这边的话,这有一个test test,然后我们是这个咱们之后,这他直接也把我们的这个,变为了一个嗯cript标签来进行解析。
那这样的话我们进行一个刷新,你们觉得它还会有一个弹窗显示给我们吗,就是前面的,这个的话这个reflect,点pp它是没有弹窗的,那这种的话我们如果刷新一下,它会不会有一个弹窗给我们,还有我看你们都懂啊。
会吧嗯那我们刷新试一下嗯,它还是会有的,这是为什么呢,因为他会把我们的这个数据,存储到我们的一个数据库中内,在这的话,他这数据展示又是从数据库中取出来的,所以你存入数据库的时候。
你没有对它进行一个严格的过滤,你取出来也没有对它进行一个过滤,那这样的话它就有一个弹窗给我们,然后你刷无论刷新多少遍,它都是会有一个弹窗的,因为它都是从一个数据库中进行一个读取。
然后你都没有嗯进行一个过滤,对吧。
那我们来看一下它的一个后后台源代码,是怎么实现的,这的话就是我们前台的一个代码,嗯这里的话输入我们的昵称,然后输入我们的一个消息,然后输入消息之后,有一个添加留言以及清除留言。
这个on click jr的话有一个进行一个判断,判断是在这昵称不能为空,消息内容不能为空,然后这个清除内容,留言的话,它有一个嗯提示框,确认要清除所有的留言吗,这些都不是很重要。
我们来看一下它进行一个处理,就是这个action,这处理的这个菲律宾文件到底是怎样写的,嗯这些的话就是一个连接数据库的一个操作,然后这里的话是清除的一个,处理过程,这个是添加添加留言的一个过程。
可以看到我们重点是看这个这个里面这个衣服,这,在这儿他首先进行了一个判断,这个btn sign,btn sign的话就是这个嘛,这个就是我们这个是否进行了一个设置,是不是就是你提交了。
然后将我们的这两个这个昵称以及消息,把它取出来,对吧,通过poster取出来,我们是post的进去的,然后这个stream的话就是去除我们嗯提交的数据,两边的一个空格以及与定义的一些字符。
这个是嗯主要是去除一个空格的,接下来的话在这个这一行,这这个的话是一个数据库的操作的一个语句,in certain to guebook,然后message lamb values什么以及什么。
就是将我们的这个这里面的这个message这个变量,就是这传入进来的,这个以及这个lab这个变量,存入到我们这个gas book,这张表的message以及lab字段里面去,然后。
有一个提示就是alert添加成功,我们来看一下,我们选择的是这个这个数据库吗,p h p h s test,对吧,然后我们来看一下数据库。
在这的话我们有输入两条记录,第一条的话就是这个test test,第二条的话就是我们刚才输入的这个test,然后sprint alert 2,对吧,这两条数据,这是两条数据。
就是我们可以重新来进行一个写一下,比如说我现在昵称说这个,嗯他这泥船还有长度限制,但是这个长长度限制应该是前端的,它最大的长度是十,我把它改成比较大,这样的话就可以输入比较多的一个字符,嗯然后添加留言。
我们来看一下它存储,嗯我们每次刷新它,这都会有一个我们刷新一下,就在这的话,它就会把我们提交的这个,我们用户提交的这个信息,存储到我们数据库里面去,这是他一个存储的一个过程,那你光存了,你不拿出来用。
那肯定也是不会有一个xs的弹框的一个过程。
对吧,你只存了,你又不用它,那肯定不会造成什么影响。
那他用的地方在哪呢,就是其实就是我们在这个展示的这对吧,你要展示这些你输入的这些留言什么什么的。
你是不是就要从数据库里面,把这些数据给取出来,你在这里的话,我就是通过这个geebook这个函数,来进行一个取出来,首先这个select的话也是一个sol的语句,就是从我们这个geebook。
就是从这一张表里面取出数据,就是取出它的lamb以及message,它的这些数据都取出来,然后接下来在这个地方的话就进行一个便利,便利输出,在这里一口,这样的话是将我们这个嗯查找出来的。
这个结果进行一个读取,取出来嘛,取到我们这个lab变量里面来,然后在这个eco这就进行了一个输出,所以说你从存盗取的过程中,就是我存的时候就去除了空格,而去除了一个它两边的一个预定义字符。
把这两个字段就是你提交过来的,你在这儿就是在前端写的这个啊昵称消息,这些东西就通过他的这个insert这一条语句,然后插入到我们数据库中,接下来你要进行展示的话,你就直接在这里直接eco的一个。
我们的把它的一个数据取出来,直接一口出来了,所以说他这为什么会出现一个xss的注,注入xss漏洞,是不是大家也可以就是清楚了,其实跟我们的反射型,xss其实是就是它的形成原理是一样的。
只不过它在这里有一个数据存储的过程,它涉及到了我们的一个数据库,所以说他每一次你去刷新页面,无论是我这个用户去刷新这个页面,还是别的用户,就比如说,我们切换一个浏览器,去访问这个页面的话。
它都会有一个弹窗显示给我们,因为它这里它要显示这些数据出来,它也是要从那个数据库里面去取数据的,所以说这就是我最开始说它的传播嗯,范围广,就是可能每个人去访问这个页面的话,他都会受到一个影响。
内在这儿如果要进行防护,大家有什么想法吗,我刚才说的,大家有听明白吗,如果听明白的话,大家就打个一,如果没有听明白的话,就打个二,行,我们来看一下就是怎样进行一个防护板,首先第一种是这个。
我把它们的函数的意思告诉大家,这个的话是添加一个反斜杠,这个可能就是为了你插入到数据库里面的时候,就有些字符前面,比如说单引号前面它就会加一个反斜杠,这个rip tags的话就是会去除我们的一个我在。
好吧,这个就是去除字符串中的html,xml以及ph的一个标签,这个意思的话就相当于我们前面的那些标签,它就不能用了。
大家觉得这样能进行一个有效的防护防范吗,我们先指就是只过只对这个lab进行一个,这样的话其实就可以对,我们在message这我们可以看一下。
其实可以来看一下这个效果,先保存一下,这个test,然后这输入我们的这个前面使用的这个image src,等于一,bro就等于,一,添加留言试一下哦,他原本这的还是会有,我们查看一下源代码。
那在这的话可以看到其实是在这个地方,这个message。
这它后面就没有东西了,他是为什么呢,其实就是因为,你在就是它存入数据库之前。
就把它的通过这个rip tx,将它的一个嗯那个html标签给去除掉了,我们可以看一下数据库中它的一个可以看到,这就干脆是为空的,就没有存储任何的一个数据,因为它之前我们刚才输入的是一个。
这个嘛image src等于一on erro,他就会直接把这一整行,因为它就是一个嗯image的一个标签,它就会把整个都去掉,所以说这样的话,能是能进行一个有效的一个防范的。
如果是使用这两个的话,就是我对他们两个输入的lab以及message,进行一个html special chance。
将它们编就是弄成一个字符,实体内能进行一个,执行吗,就是会能执行我们的一个插入的xss代码吗,嗯对其实它就不会弹窗了,我们来尝试一下,这个二是前面的吗。
嗯他为什么只有一个的呢,是因为。
我这没保存啊,这个点点还在,就是没保存,我又那就保存了。
然后他会先把我们这个因为我刚才没保存的话,它是他其实刚才是这样子的,先把它去除掉,它的标签之后,然后再对它进行一个实体编码,然后存入到数据库,从数据库中再取出来,展示给我们这样的一个过程。
那我现在把线这一行注释掉,嗯这样的话他就会把这个完整的显示给我们,那我们去看一下他数据库中是怎么存取的,可以看到它在这边存入的话,就是存入了我们的一个字符实体了对吧。
所有兼顾号都是使用这种字符,实体的形式存入的,所以在这边如果你进行读取的话,取取的时候它也是以这种形式取出来的,就直接将我们这个message这个取出来。
然后一口出来。
这样的话就展示给我们这个样子的,这是一种方式来进行一个防范,就是在数据输入钱就是存入数据库之前,我就对它进行一个过滤,使我们的数据库里面的一个数据,是是绝对安全的,还有一种方式就是在数据输出的时候。
就是在这个地方我们要把这些数据取出来,用的时候,展示的时候对它进行一个过滤,在这的话可以使用这两个吗,就我对,我对这两个取出来的这两个lamb以及message,进行一个实体编码。
即使你前面不进行这些过滤。
我可以先注释掉,先把它清除,然后在这里的话test,然后有一个,alert,添加留言,然后在这儿展示的时候,他就是一个字符实体的形式展示给我们的,直接查找一下ellent一对吧。
在这那它其实存入到数据库里面,是不是还是一个有害的一个信息,你看我们前面存入的时候,如果对它进行一个实体编码,存入之后,它是这样子的,那我们刷新来试一下,它其实存入的还是一个有。
就是如果不进行提输出的时候。
不进行过滤的话,它还是可以进行一个弹窗的对吧,因为他这并没有进行一个过滤啊,但是他在这儿进行一个输出的时候。
就进行了一个过滤,所以说它这个就不起作用了,这是这两种方式,大家有听懂吗,嗯大家应该没有问题吧,这个存储型的xss大家有什么问题吗,它其实和反射型xss其实原理是差不多的。
但主要就是它会把数据存入到数据库里面去,从而它的一个影响以及嗯传播的范围就更广了,为我们,接下来往下往下,这也是一个存储型xss的利用场景,它是在一个节目管理,这它能一个有一个创造创建名称。
就是你这个节目的名称,他会把这个名称存入到数据库里面去,我这里直接输入了这个这个一一杠,就是为了闭合这个这个变量嘛,然后配合前面这个script,然后接上一个alert 1,它就会有一个弹窗。
这是一个简单的一个利用,那接下来我们往下走,就是最后一个一种xss的类型,就是doom型的一个xss,它的特点是可以通过,javascript操作我们的一个document,实现dom数的重构。
主要存在于用户能修改页面的dom,造成客户端plod在浏览器中执行,我们来看一下,他这有一个welcome to our website,就是欢迎,但是它这就是我们可以通过嗯,就是谷歌浏览器自带的嗯。
这个开发者工具nf 12,这它可以显示它的这个squint代码,就是draw ascript代码,在这的话,大家看得清吗,你可以看到在这个body里面,他有一个这个,它有一个squt标签。
然后在这个swim标签里面,他会用这个document。u i l,这个document。url是什么呢,我们可以来document。url,就是他的这个就是他的这个,访问的一个地址,index of。
index of的话就是嗯判断我们这个url中的一个lamb,等于它的一个索引值,就是它的位置在第几个,然后它返回的是一个整数类型,然后加5+5是为什么呢,待会再给大家说。
然后这个eva的话就是进行一个执行嘛,然后中间这里的话,同样是对这个进行一个substring,substring的话就是截取字符串pose的位置,截取到document。url。length。
就是截取到最后它整个的一个,我们访问的这个url的长度,嗯所以说我们在这儿直接就加一个lab,等于因为他这直接会进行一个执行嘛,所以那这里的话,我是不是可以直接插入一个alert 1。
它会有一个什么效果呢,就会有一个弹窗给我们,为什么呢,其实就是因为在这的话,它会将我们的字符串截取下来,他首先会去进行这个pose的话,会去找到lamb等于五,它的这个位置找到这个地方。
它在lab等于五找了,等a lab等于这个这个字符串找到之后加五,他找到的那个索引值是在这个地方,我鼠标点的这个地方,下午的意思是2345就把它移到了这个地方,就正好是lamb等于后面就是取它值。
下午社区它后面的一个直的,一个最开始的一个位置,就是这个地方,在这里的话,它这个后面截取字符串,又是从这个地方到它,最后整到他最后的这个位置,就是length的话,就是到它长度嘛。
它的长度就是最后这个位置嘛,我们可以,点url。lens就是55嘛,这样的话就是到55,就是从这个地方到55,55是不是就是最后了,然后进行一个evil进行一个执行。
所以的话他这样的话就会有一个弹窗显示给我,有一个一的警告框显示给我们,那这个doom和前面两个有什么区别呢,其实区别其实就在,它整个的过程是在我们客户端进行一个完成的,他没有进行一个后台的一个逻辑处理。
直接是通过我们这个嗯squint里面是这样的,进行一个处理进行,而有一个就是有一个xss漏洞的,他并没有经过,并没有交给我们后面,你看这都是这种点html前端的一个页面,不像我们前面的时候。
我们还交到了嗯,storm杠xs,点p h p就是到psp p代码里面去进行一个处理,之前那个reflect也是,你看都交到了,我们的后台p h p去进行一个处理,但是在这里的话,dom型的话。
它是直接就在我们前端客户端进行一个执行的,因为客户端的一些他的逻辑错误,这种而导致的一种漏洞,这个就是他们几个主要的一个区别,嗯这个刚才这个大家有听懂吗,9。20了,这个是一个dom型xss的利用场景。
嗯这个可能有点复杂,大家嗯我稍微讲一下吧,嗯嗯他这里的话主要是出现在这个f type,这个后面,还是用这个document。image,是就是取我们当前文档里面的一个嗯图片,图片为零。
这个下标就是取这个图片,这个嗯德德cms会员中心这个图片,让他的s r c,它的路径是等于我们这个嗯,burp里面的一个路径,加上当前这个document。cooki。
所以说我们去如果他进行一个访问了的话,可以看到在我们的这个bp里面有,他就会在后面这个地方就直接问号这个后面,至于我画橙色的这一串,就是它的一个cookie,当前页面的一个cookie值嗯。
他就会带着这个cookie来访问我们的一个嗯,攻击者设置的一个网址,第三个部分的话就是跨站脚本攻击,漏洞的一个实操,实操的话给大家的是我们嗯实验室的一个实验,这个实验嗯我觉得设计的挺好的。
大家一定要去做一下,就是xss跨站脚本攻击原理与实践,那首先我们前面进行测试的话,是不是最开始也是可以使用一些经典的嗯,xs s po了,或者是去测试一下这个网站过滤了哪些字符,然后进行了怎样的防护。
然后我们查看网页的源代码,看他如何去闭合属性,以及闭合它的一个标签,怎么样去进行一个闭合,然后进构造我们的一个tas plo,嗯我前面讲的,其实到这的话就已经完成了,大家可以去做一下这个,这个实验。
这是留给大家的课后作业,我前面讲的大家有没有听懂的吗,发一下链接这个链接吗,还有下面那个,其实我今天测试的话,主要还是使用了一些比较经典的嗯,这种squaman 1。
大家可以去这个快乐的大全里面去看一下,其他的一些就是姿势吧,今天讲的内容大家有什么没有听懂的吗,三种类型大家都有一定的了解,和他以及他怎么进行防护的,为什么会触发等等,这些逻辑大家清楚了吗。
更新xss怎么进行防护,内在这的话,其实我这儿写的这一个这个,这一个代码主要就是给大家演示,他怎么进行一个弹窗的,其实它真正的作用是嗯,我可能写的不太好吧,其实如果你要进行防护的话。
你就直接可以这个这种evo,这种危险函数就可以直接去掉呀,对因为我这个scream,我写的这个代码,主要就是为了给大家演示一下,它是怎么进行一个触发的,所以说他这个cript的话。
主要就是来进行一个这样的一个功能的,但是其实它并没有什么实际的含义,如果你要进行防护的话,就是你在这边这个嗯前端的这些啊script脚本,这就是要注意一下。
或者说,你刚才如果说是要是想要把它取出来的话,你就可以不使用这个e v a l进行一个执行,我可以把它复制给一个变量,然后你要对这个变量进行一个怎样的处理,然后我在这个cript标签里面进行一个处理。
而不是直接就进行一个执行了,这么说你懂吗,就是比如说我就直接把它复制给一个变量,而不是在这边进行一个,就会等于他的这一串,他截取的这一串,然后你接下来要干什么,或者是怎么怎么样。
你是嗯要输出一个什么什么东西啊,你就要对它进怎么,或者是你想要欢迎什么什么的,你就在这个后面进行一个写他的一个逻辑嗯。
这是一个问句还是怎么着,其实这个多米巡查ss的话,也不好说吧,大家还有什么问题吗,大家一定要去做一下这个实验,这个课后作业,这,如果没有什么问题的话,我们今天就下课啦,如果没有什么问题的话。
大家就打个一吧,像如果大家对今天这节课有什么建议的话,可以把建议发给我们的班主任,然后班班主任会反馈给我,如果有什么嗯,哪个地方没讲好,或者是怎么样可以跟班主任进行一个反馈,那今天的课程就到这了。
P70:第39天:权限提升-Meterpreter提权模块 截取视频 - 网络安全就业推荐 - BV1Zu411s79i
然后能能听到我声音的,以及画面能够看得清楚的,在讨论区扣个一,请两位同学吗,其他同学呢在的话呃,声音没有问题的话,再讨论去扣个一啊,大家晚上又到了,两天好不好,一天1度的学习时间,啊应该没有什么问题啊。
好吧好,没问题的话,那么我们正式开始我们今天的一个课程内容,今天的话主要给大家介绍的是msf,以及cs下面的呃一些模块的一个使用,然后它的一个使用的话,主要的话就是一些集权模块啊。
上节课的话给大家介绍就是windows系统下面的一些,提前的一个方法及技巧对吧,以及呃比较详细的一些操作是吧,而在本节课的话,会就是说会有涉及到上面一节课的一个内容,主要就是在msf这一块。
就说在上上面我们所讲的上一节课所讲到的,windows下面的一个,windows系统下面的一些提前的一些漏洞,包括内核漏洞,还有服务漏洞的话,在msf下面还有对应的这样子的一个呃。
能够可以去直接去利用的这样子的一些模块,所以的话在本节课会一直给大家,就是说呃实际的操作演示一下,然后呃本节课的主要内容就是这两块,第一块的话就是啊mask的一些提取模块的使用。
以及呃就是说给大家做一个介绍,第二个的话就是cop rike,就是cs这个甚至说是框架的一些提全模块,以及它相应的一些啊,就是说我们如何在cs上面去进行相应的一些,提前的一个操作啊,大家都知道。
就是说在前面也已经给大家讲过了对吧,就是msf跟cs的话,这两个渗透测试的一个提取,不渗透测试的一个框架是吧,然后我们大多数的一个时候的话,就说在得到一个shell之后,反弹shell的话。
我们就是会去尝试去把我们那个shell,反弹到这样子的两个m,两个深度测试的一个框架当中对吧,因为它的这个框架的话,我们再去使用的时候,它有很多的已经集成的,已经进程已经写好的。
这样子的一些功能模块是吧,我们可以能够去直接的去进行相应的一个,渗透的一个测试,就说在测试的一个过程当中的话,我们能够去更方便的去进行一个啊使用,然后第第一部分的话就是给大家介绍一下啊。
max sp的一个提全模块,首先第一个就是我们常用的,也是常见的这样子的一个mac prater的一个提取,在这边的话magic的一个自动提取的一个命令。
我们通常的话会去使用这样子的一个get system,对这个的话大家应该有去用过吧,就前面在呃前面讲max的时候有用过吗。
有用过的在讨论去qq。
没用过,嗯没有用过吗,啊没用过的话。
那么我们在本节课的话会给大家介绍好吧,呃这边的话我的环境稍等一下。
呃等会三张吧,我们先来讲一下,而在这边的话嗯我会给大家就是说呃,我们先来看一下这边的这两张图吧,首先第一个第一个的这张截图的话,就是我这边已经得到了一个筛选绘画,然后的话我得到了这个绘画的话。
我们可以看一下,我这边的话是一个普通的一个m n g y的,这样子的一个用户,对吧啊,在这在这个时候的话,我们就说我们是一个普通用户,我们想要去做做一个提前的话。
也就是说要把我当前的一个用户的一个权限作,为,就是提升了我们的一个admin,或者说system的这样的一个权限对吧,然后在msf的这样子的一个matt creator下面的话。
有这样子的一个自动提取命令,就这一个get system,然后这个gc什么的话,它我们可以直接执行之后,然后的话我们就能够去得到这样子的一个,生存的权限,当然的话这是第一种情况,而且就说再去进行去啊。
使用这个命令的一个前提条件,大家要注意,就是说你的得到这样子的一个用户的话,它是啊在一个这样子的一个管理员组,当然的话你你的这个用户,你在管理员组里面的话,也不一定能够直接的提前成功。
这个话就是我们下面的这个例子,我这边的话同样的是得到了这样的一个绘画设,计,这样子的一个筛选绘画的,然后的话我的一个用户的话,同样是一个普通用户是吧,这样子的一个win 7的一个用户,然后我在这边的话。
通过gala system来去进行一个提前的话,你会发现,而且就说这样子的一个报错的话,也是我们通常会去看到的对吧,就说你要直接啊,要能够或者说大多数情况下的话,我们可能直接get system的话。
是得不到这样子的一个system的权限的,所以的话你这样执行之后的话,他会报这样子的一个错误,就是说你的这个操作的话,它是失败的,也就是他的这个提群的一个操作的话,是啊无法去进行一个提前的。
然后呃针对这样子的第二种情况,第一种的话我们是能够直接的去直接gc什么,然后得到这样的一个system的权限对吧,这个的话,那么我们就等于就是说我们的一个提前的一,个操作就已经成功了是吧。
那么在碰到下面的这种呢,我们怎么去进行一个解操作呢对吧,关于上面的这一种好吧,关于下面的这种我们直接去执行啊,提取命令操作失败对吧,我们可以通过这样子的啊一个方法,在这边的话会介绍这样子的两个模块。
就是这样的一个by pass uac,也就是绕过uac的一个方法,在这边的话呃,就大家啊能大概跟有了解过uc吗,这个,这个名这个就是术语,大家有去了解过,或者说有去碰到过uac的,这样子的一个这种情况。
不知道,很了解是吧,好啊,在这边的话我给大家做一个大概的一个介绍,就是在预习内容当中的话,已经呃给了这样子的一个印记,有点卡,网络有点慢,而在这边的话,大家可以看一下那个预习内容啊。
预习内容这边的这个框架齐全的,这个就是,呃这个用户账户用户账户控制的一个原理,就是这边这边这个链接,这个链接的话是啊微软的一个官方的一个文档,然后这边的话它你详细的介绍的,就是说用户账户控制。
它是一个什么样的一个东西,也就是说我们这边所提到的这个uvc,其实就是这边的一个用户账户控制,然后这个uac的话,它是就是说就是微软的这样子的一个组件,它的一个作用就是来缓解,缓解ae软件的一个影响。
也就是说它是一个就是说呃安全的一个,就是说一种安全策略对吧,然后的话这边的这个uvc的话呃,关于他的一个详细的这种东西的话,大家只要了解一下就ok了好吧,因为这种东西的话。
这边的话大家可以看一下这一篇令集,然后更多的这些东西的话呃我不会去多讲,然后的话主要的话就是带大家了解一下,这样子的一个东西是什么,就其实uac这个东西的话,我们通常我们经常也会去碰到对吧。
就是这个啊user account control,也就是用户账户控制啊,其实这个u a c的话就是像这样子,我们就是实际的一个使用的话,就会碰到这样子的一个弹簧是吧,就这一个user control。
可能大家看英文的话不算不算很很很清楚。
我们来看一下,这边瞧这个,8g怎么卡死了。
我这边虚拟机卡死了,有点卡啊,呃这边的话我就在我自己电脑上面那个吧,但是在这边的话,大家就是听我说,然后那个吧,就比如我们在这边对吧,我们输入一个方法,就你输入用完之后的话,不是会有这样的一个运行框吗。
对吧,我们比如说打开一个注册表的一个编辑器对吧,就这个ig edit我们直接点确定,点确定之后的话呃,不知道大家能不能看得到,就是会有一个这样子的一个,截不了图啊,就是啊大家是在自己电脑上面去操作吧。
就是会有这样子的一个注册表编辑器的,这样子的一个用户账户控制的一个弹框对吧,好的话你需要点一个确定,或者说呃是点一个四对吧,好点一个四周的话,你就进入到了这样子的一个,你就你就能够去进入到这样子的一个。
注册表的一个编辑器对吧,然后还有的话就是说我们的一个sam b,比如说我当前的是一个普通用户对吧,我要以管理员的一个身份去运行,这样子的一个用户,是这样子的一个cmd的一个,命令行的一个处理程序啊。
那么他同样的也会谈这样的一个用户账户控制,他说你要允许此应用,对你的设备进行更改了对吧。
然后的话我们点四的话,我们就能够去得到这样子的一个管理员的一个,命令提示符对吧,也就是我当前的这样子的一个,当前这样子的一个权限的话,就是一个管理员的权限对吧,那么中间的这样子的一个要我们去。
就说有这样子的一个弹簧,要让我们去选择,yes或者no的这样子的一个东西啊,这个东西的话就是我们的一个uc,然后这个uac的话就是,我们靠前面的这样的一个操作对吧。
就以我们的这样子的一个sam d为例对吧,我通过这样子的一个,就是说以管理员的权限去执行对吧。
然后的话它会弹这样子一个v a c,我只要验证通过,或者说我只要通过了他的这样子的一个,uv c的一个策略的一个认证,那么我就能够去得到这样的一个,管理员的权限是吧,好的话,同理的话。
我们在这边我们想要去进行一个提权对吧。
然后在这边的话。
就我们就可以利用他的这样子的uv c的,这样子的一个这这一个组件,我们只要能够去by pass,也就是能够去绕过他的这个u a c的,这样子的一个啊这样子的一个策略。
那么我就能够去啊一个普通用户的一个权限,去得到一个管理员的权限对吧,好在这边的话就是说在msf当中的话,有集成了这样子的一些模块,就说大家可以直接在msf当中去设计一下,这样的一个by pass c。
然后的话它我们在这边能够去看到,有呃十多个是这样子的,一个by pass uac的一个模块,这边虚拟机还没起来啊。
有点卡,我这,然后这边的话先让它起着吧,我们先把内容先介绍一遍。
介绍一遍,然后的话在后面的话再操作给大家好吧,再给大家再给大家操作看,然而这边的话就是它的这个模块的一个十啊啊,这边的话先不心不虚记啊,先不细说,然后等会在操作的时候的话,再给大家一个去介绍,好吧好。
我们先来看一下它的一个效果,就是我们通过这样子的一个模块对吧,通过这一个bpc的一个模块,我们执行之后,执行之后的话,在这边我们可以看一下,就能够去得到这样的一个筛选,呃。
前面这边的话我们是基于一个筛选一,然而在这边的话大家要注意啊,就是我们的这样子的一些集权的这一些模块,就是说我们要提前的一个前提条件,就是有这样子的一个绘画,也就是有一个基本的一个。
有一个基本的一个用户权限对吧,所以的话我们再去使用这样子的一个,提取模块的话,同样的也是需要有一个筛选,也就是我们前面的话,已经得到了这个机器的一个shell是吧,有一个普通的这样的一个用户权限。
然后的话我们在基于这个普通用户权限,以及具体的来说的话,就是这样子的这个三选一对吧,好的话,我们在这边需要通过set session来去指定,我们呃得得到的这样子的一个,普通用户的这个筛选的一个刻画。
然后的话再去执行这一个模块,然后这个模块的话,它就会以当前的这个筛选绘画的一个权限,来去进行一个by pass的一个uc的一个操作,然后的话呃就是fpx成功之后的话,那么他就能够去进行一个提前。
提前之后的话就能够去得到这样子的一个筛选,然后得到这个筛选,我们可以看一下,在这边的话有筛选二以及筛选三对吧,我们在这边的话以这个筛选三为例,我们直接进入到这个筛选三啊,其实在这边的话呃。
等会操作的时候再说吧,就是我们在这边进入到这个筛选三之后的话,我们执行这个get system,我们就能够去得到这样的一个system的权限,就是说原本的话我们的这个筛选一对吧。
我们直接get system的话,它是无法去进行一个提前的,就提取不了的,然后在这边的话,我们通过这样子的一个by paua c,然后的话得到了这样子的,就是说当前的这样子的一个绘画。
它其实是有了一个管理的一个权限,然后的话我们再通过这个get system,基于他的这个管理员的权限来去进来,得到它的一个system的权限,我们可以在这边看到是吧。
然后第二的话就是呃另外的这样子的一个模块,它同样的也是啊,它的一个原理也是一个by pass的ac啊,然后它的一个使用跟前面也是啊类似的。
完了。
虚拟机还原不了了。
呃这边先让他还原一下,好我们先啊,操作的话等等我这边机器好了,再那个我们先介绍内容。
前面呃刚刚的话给大家介绍的,就是这一个by pass ac的一个模块,这个的话跟前面他也是一样的,就是它的一个操作的话也是一样的,然后呃下面的话就是这一个呃,就在上节课的话,我给大家有介绍。
就是说这样子的一个windows平台的一个,提前漏洞的一个集合对吧,然后的话我们可以通过他的这边的这个呃,msf当中的这个local exploit suggest,这样子的一个模块。
我们可以去基于已经得到这个筛选,在这方再选,一是基于已经已经得到这个绘画,然后的话我们执行这个模块之后的话,他就会去做相应的一个呃提群漏洞的一个检索,他会去在当前的一个目标机上面,去进行一个检索。
然后的话去判断啊,我我的一个目标机器,能否去进行一个相应的一个提取,然后他在这边他会去列出,就是说可能存在着这样子的一些提权漏洞的,一些利用的一个模块好,我们在这边的话,可以去一一的去尝试使用这些模块。
来去进行一个提前。
然后在这边的话集权的话呃,我们在这边的话是以就是说我们执行这个呃,执行了这样子的一个提前的一个,信息检索的这样子的一个模块,之后的话,他这个在这边又给出了这样子的一些啊。
可能的这样子的一个提前的一些模块对吧,以及对应的这样子的一个啊漏洞,然后在这边的话,我们尝试使用其中的一个提权模块,然后的话来去进行一个提前,而具体的一个效果的话就是我已经知道了对吧,他这边有给个建议。
我可以去使用哪些提供的一个模块,那么我直接去柚子它,然后的话去进行一个使用即可对吧,然后这边的话最后的一个效果它就像这样子,就我执行之后的话,执行之后的话,在这边呃,他会去得到这样一个筛选四,对吧好。
这个筛选四的话,我们在这边看的话,就说这边information看到的话,它是一个普通的一个用户,但其实的话我们筛选进入到这个筛选四的话,我们通过get system。
就能够去得到这样子的一个system的权限。
完了我这把机,空了吧,还是,有快照吗,我我我我忘了看一下吧,刚刚都刚刚都是没问题的。
七八个。
不行。
我这边还还原到初始的,这个的话我的环境没了。
应该是。
啊。
行吧就这样吧。
呃这边的话不好意思啊,这边附近突然突然崩了,然后呃这边的话可能就是,会有有一两个操作可能会实现不了,就是演示的话,好在这边的话。
我这句话也提前,就是生成了这样子的一个可执行程序啊。
然后就是模拟,我已经得到了这样的一个。
普通用户的一个绘画对吧,然后我这边的话得到了这个session 20,我们get的id之后的话,得到的是这样子的一个普通用户,win 7的一个普通用户是吧,然后我这边的话。
我尝试使用这样子的get system来去进行一个提前,然后在这边的话你会发现的话,这边的话是无法去直接踢群的,然后其实我们可以shell到学到它它的这个绘画。
我们可以来查看一下这个win 7的一个用户,它其实也是一个管理管理员组的一个用户,但是他同样的就是说无法去使用这样的该死system,来进行一个提权,所以针对这样子的一种情况的话。
我们可以尝试使用这样子的一个pass uac。
就是这个。
然后我这边的话直接柚子的一个模块,调子之后的话,在这边要去配置的一个选项的话,就这三个就是这个筛选,然后的话log host还有lokpot对吧,好,我这边的话要去设置一个筛选,这边的一个筛选的话。
就是选择我这边前面得到了这一个,普通用户的这个筛选对吧,因为我要去进行一个集群的话,我是基于这个筛选绘画的,也就是这边的这个20,我设置这一个筛选为2s,然后这边的一个house的破解的话。
我就默认那我这边的话是我当前的这个,看你机器算是这个,its sport,执行之后的话,它就会有这样子的一个by pass ac的一个操作,然后在这边他就会返回这一个筛选21。
然后得到这样子的一个match cut,好在咱这边的话,我们可以get这id来查看一下当前的一个用户,他其实还是这样子的一个win 7啊对吧,然后在这边的话。
我们得到了这样子的一个matt matter,我们通过这个白板子ac得到了,我们还是要去执行那样子的gsm,这个提取的一个命令,我们才能够去得到这样子的一个system的权限,还可。
所以的话就是说我们在这边对吧,原本的话我们直接去进行一个gey什么的话,提前不了对吧,那么我们针对这样子的一种情况的话,在这里我们可以使用这样的一个by pass系的,一个模块是吧,好的话。
利用他的这个模块来得到了这样子的一个筛选,一,然后在这个筛选s一的话,其实我这边这个筛选s一的话,它其实已经有得到了相应的一个管理员的权限,好的话,我们就能够去进行一个啊执行这个get system。
来去得到一个system的权限,就其实如果说你这边的话。
你这边呃这边看。
就我这边我换一个用户。
对大家其实也可以自己去尝试,我这边换一个administer的的一个用户对吧。
然后的话我在这边的话直接,直接执行这个执行之后的话,我这边的话会得到另外一个新的一个筛选需要。
而我这边的话,你你这个新得到这个筛选二二十二五,我们可以看一下这边我这边的一个筛选,22的话是一个administer的一个用户对吧,而我前面得的话,其实只是一个win 7的一个普通用户。
虽然它是一个管理员组,但是他同样能得到不了cs的一个权限,然后我这边的话我得到,如果说我得到的是一个这样的,administer的一个用户对吧,然后我在这边的话,我直接get system。
我就能够直接的去得到这样的一个市场,这个,这是这就是呃,前面这就是前面跟这边的一个区别,就是我们前面的话,因为我们其实通常的话得到的就是一个,普通用户嘛对吧,当然的话也可也存在这样的一个情况。
就是你得了就直接是一个administer,选择的一个用户是吧,那么你得到这个adminutes,选择了一个用户权限的话,你就可以直接去直接执行这个galm来,去得到一个system的权限,这是。
这是第一个的一个match rat的一个提升模块,然后第二个的话就是这个白fs学习的一个,injection。
然后这个的话跟前面的一个操作一样的,我这边的话就直接,这边的话同样都是筛选一个筛选对吧,然后我同样的用的前面的这个筛选20,也就是这个普通用户的这个筛选,这个筛选20。
也就是这个win 7的这个普通用户的一个筛选,然后的话我这边的话我直接exploit,然后直接exploit的话,在这边的话我就得到了这样子的一个筛选,s3 对吧。
也就是得到这样子的一个metvt的一个会员,然后当前get ui d直接得到了他的一个system的权限,最后的话就是呃这个wifc的一个,模块的一个使用,然后在这边的话要注意啊,就是呃我这边的话。
因为是其实前面的话已经有操作了,然后在这边的话,大家呃如果大家自己去进行一个操作的话,会有这样的一个问题,就是会有这样的一些报错什么的。
然后呃其实关于这些报错的话,我已经讲了挺多了呀,就是就其实你去发现这些问题啊,你发的发现这些问题的话,他不是会有这种报错的信息吗,像比如说在这边的话,我这边的话就是好,大家去用这个模块会有这样一个问题。
因为我当前的话这个是一个残留式的一个机器。
然后默认的话这边的一个target。
它其实是一个x86 的,我这边的话是我自己后面改的,我这边设置target为,然后我,查看一下这边的话是一个windows,然后如果说在现在时候我再去执行的话,他就会报报错,就是说呃你在这边你设置好了。
这种设置好的筛选以及locos那个put的话,你还要去注意,要去注意这样子的一个target,也就是针对不同的啊,操作系统的这样子的一个架构,我们就说我们用msf去进行一个应用的时候。
它的一个呃它是不一样的,它最后的一个结果就是你要去做一个对应,就像我们使用这个payload是吧,你在参与式的一个平台的话,那么你就去使用参数式的一个pyroad,那么这个参与式平台对吧。
这种平台这种信息我们怎么获取呢,就是前面的一个信息收集嘛对吧,前面的一个信息收集,我要我可以去查找到对应的这个系统,它它的一个系统的架构对吧,那么我知道他是一个64位的。
那么我就可以用64位的配偶的去生成,64位的pro的去打对吧,不是32位的,那么我就生成32位的,然后其实在这边的话,像呃在msf这种工具里面,你去去检查这种报错的话,他其实这边的大家只要看到这种。
就是红色的对吧,然后一个井号这种就是报错嘛,然后你只你你就去关注这一行就可以了,然后在这的话它就是报错了,就是说你的这个攻击停止了对吧,因为这边的话有错出错。
就是这边的一个better configure,也就是你的一个配置的话是出错了,配置出错的点在哪啊,就是这里吧,这个x86 ti selected for from x6 式的一个system。
然后关于这种大家都清楚对吧,你翻译一下吧对吧,就是为x60 系统选择了x6 ,x86 的一个目标,那么我们翻译一下我们就知道了嘛对吧。
就是我这边的一个,我是本来是一个参照式的一个系统,但是我这边的选择了一个target的话,是一个x86 的对吧,所以的话我们在这的话只需要设置一下,它写成一,这边他就是一个正确的一个配置。
然后我直接exploit就能够去进行一个提前。
就是啊这个,呃然后的话就是这样子的一个windows平台的一个,提前漏洞的一个集合,上节课的话,因为内容的话比较多啊,没有去给大家操作演示,所以的话呃关于msf相关的这些操作的话,我都看到了。
放到了这一节课,好在这边的话我们直接柚子。
柚子这个模块。
我这边的话我就不守了。
手枪了,我直接复制粘贴啊,然后我直接柚子这一个local exploit,suggest的一个模块,然后在这的话,你只需要去设置一个这样子的一个sd,我这边设置一个筛选的话,就设置为筛选20对吧。
就是我们前面得到这个普通用户的这个筛选,奥特曼我们,然后的话这边的话就其实就已经配置完成了呀,对吧,而我们只需要exploit执行,expose,执行之后的话,它就会去运行它的。
就是说他的这个模块里面的话,他已经有写好了相应的一些检测的一个脚本啊,这些脚本的话他就会去紧锁啊,这个筛选20,它可以这个筛选20的这个绘画的一个权限,去检索你系统当中可能存在的啊。
能够去进行一个提前的一些logo对吧,然后的话给出对应的msf当中,可以去直接去使用的这样子的一些模块,然后这边的话呃稍微等待了一会儿时间对吧,它的一个速度还是比较快的。
然后在这边的话我们呃执行之后的话,他在这边给出了这样子的一些啊,这样子的12344个对吧,四个可以可能存在漏洞的一个模块,也就是我们能够去进行一个,漏洞利用的一个模块。
然后在这的话我们呃就以第一个为例吧,好我在这里的话大家要注意啊,就是要注意的一个东西,就是说他在这边所提供的这样子的一些模块,你可以去尝试使用,但是的话你使用它这个模块的话。
不一定就不一定能够去进行一个提前成功,大家要就是知道这一点,就说他的这样子的一个呃检测的话,他是这样子的一个就是参考的话,就只是作为一个参考,你可以去尝试,但是不一定能成了。
呃呃在这里的话我们可以看到我这边的话呃,他这个模块同样的也是只需要去设置,我们的这个筛选对吧,就是我这边的一个2s普通用户的这个绘画,好,在这一块我们就得到了这样子的一个。
matt peter的一个筛选,25,对吧,然后呃我们可以看一下当前的这样子的一个呃,用户是win 7对吧,然后我们可以尝试用get system来去进行一个集群,在这边的话。
我们同样的通过这边的这一个模块,得到了这样子的一个系统的一个权限,这边的话运气比较好对吧,直接第一个就成了,然后我们也同样的可以去尝试呃,其他的这边的话,你比如说你这一个尾音。
就其实提前的话真的比较看运气啊,就是,好在这边同样的要去注意啊,就是如果说你这边的一个target target,有这样子的一些选项对吧,你可以通过show targets,来去查看一下。
就是这边有哪些tag,然后在这边的话只有一个的话,那就说明啊,我当前的这样子的一个就是提前的这个模块,它只针对就是win 7的这样子的一个sp,零sp的这样子的一个系统,是如果说还有其他的一些系统的话。
你要知道目标机器,正好就是说属于他的一个target等范围之内的话,那么你就去选择对应的这样子的一个target,这个它嗯,执行啊,这个也是没有问题的是吧,也直接得到这样的一个绘画。
直接就得到了他的一个新手的一个权限,呃还有其他的两个的话,我就不一的去尝试点,就可能成功,也可能就是失败了,好这边的话试的这两个是都是成功的,没问题的。
然后的话就是这个这个windows下面的一个,提权漏洞的一个集合利用的这个模块,就这一个模块的话,它呃大家在msf当中,如果说你反正需要放msf当中的话啊,正好是windows机器的话,你可以去尝试。
因为它是自动的去检索嘛,就呃就省去了我们去手动的去一步步的信息,收集了,他找对应的这种呃啊e x p去进行一个打是吧,他在这的话直接给了静音,然后的话可就是你直接去用的话。
你就很有可能就能够直接去打成功。
好在这边的话其实我们可以看一下session,就后面的这几个对吧,2526,这些都是通过提前的一个模块所得到的,这样的一个system的权限对吧,然后这边的这一些筛选的话,它都是基于这边的一个。
它都是基于这边的一个20对吧,就是我这边的一个win 7的这个普通用户,就这个普通用户它原本直接get system的话,它是无法去得到一个system system的那个权限的一个。
好呃,第二个的话就是这个on quarter,service pace的一个模块啊,这个模块的话其实对应的是我们上节课讲到的,那个,就是嗯讲到的那个windows系统下面的一个。
服务漏洞的这样子的一个齐全啊,然后对应的在msf当中的话,它就有这样子的一个模块,我们可以直接去一个使用呃,在这边的话这个模块的一个使用的话呃,其实也就是跟前面的话都是一样的。
我们同样的就是需要去设置这样的一个筛选一,然后直接export就可以了,然后在这边的话呃,我们看一下这边的一个截图吧,然后呃本来的话我这边的一个靶机话。
是我已经配置好了,就是我可以直接通过这个模块直接能够打成功,然后这边的话这边的话,因为前面的那个东西没了呀。
我的这个快到这边的话,我的前面本来有很多环境的都没了,所以的话这边的话呃,大家看我这边的一个截图吧,然后我给大家介绍一下。
介绍一下这样子的一个模块,它的一个就是基本的一个使用,在这的话我们直接呃设置设置一个筛选,然后直接exploit,然后在这边exploit之后的话,我们可以看一下,在这边他会去做这样子的一个操作。
他要去找一个他要去查找我们的这个目标当中,可以去进行一个利用的这样子的一个service,也就是服务嘛对吧,然后的话在这边可以看到它有找到,像这边这个是这个路径,这个路径的话。
其实就是我们呃在上节课给大家去讲的,这样子的一个对吧,就是这边呢呃其实这段话就是我做的一个配置,我做了一个环境配置,就是自己创建了这样一个windows frage的一个service。
然后这个sv的话它是存在这样子的一个漏洞,它的一个路径的话,它是呃,它是就是说它的他是这样子的一个uncredit,uncredit的话就是没有引号的,也就是说他的这个路径的话,它的这个路径的话。
P71:第40天:权限提升-CobaltStrike提权模块 - 网络安全就业推荐 - BV1Zu411s79i
然后在这边的话我们可以看到,如果说他是没有这样子的一个引号包裹的话,那么他再去处理这样子的一个,就说他在启动服务的时候,我们上节课的话有讲究吧,启动服务的时候,他们去检索这样子的一个啊服务所对应的。
这样子的一个been in pass是吧,就是你的这样子的一个可执行程序的一个路径,然后他对这种,他对这个可执行程序路径当中的一个空格,前面的这样子的一个字符串所对应的一个呃,可执行程序。
它会去进行一个加载对吧,然后的话他会一个一个的去查找,一一层一层目录的去查找,直到找到最终的这样子的一个service,然后在这边的话,那么我们可以去进行对他的这样子的一个啊。
漏洞取景一个neo neo的一个方法的话,就是我们去查找到这一个路径当中的,某一个目录,然后这个目录的话,我们需要有对它的一个写的一个权限,如果有一个写的可以权限的话,那么我们就可以去尝试对吧。
在这边attempting尝试去写入一个这样子啊,15872的字节的这样子的一个程序,然后把它写入到了这边的一个windows product这个目录下,面对吧,然后生成了这个程序名的话。
就是一个common的ax一样,就是这个,好生成的这个common。1x一的话,它会放到这个目录下面对吧,然后放到这个目录下面之后的话,在这边的话有这样子的一个就是错误,这个不错误的话。
其实就是我们前上节课有讲的,就是我们再去进行一个啊,启动它的这个服务的时候对吧,因为它的这个漏洞话,要等他的服务重新启动的时候,他再去加载这个可执行程序路径的时候,他才会去啊进行一个查找。
到我们这边所写悟到的这样子的,一个木马的一个程序对吧,然后的话加载它还访谈一个笑,那么在这边的话我们是一个普通用户,所以的话我们没有权限去启动它的,这样一个服务,所以在这边的话。
我们需要去等待它的一个服务区进行一个启动,所以的话在这边的话,它会是处于一个等待的一个状态,但是他这边的话没有筛选,然后呃其实我们可以通过,就是说大家自己演示的话。
就呃就模拟它的这样的一个服务的一个启动,就是你去启动它那个服务的话,那么他在这边的话是能够去得到一个筛选的,好呃,这边的话啊,因为黄键黄键的一个问题就是我,就我另外一个机器上面的话有环境。
但是现在的话就是重新搞的话来不及了,然后呃在这边的话我就不不不演示了,如果呃如果大家有有需求,有要就要求要看这个演示的话,我后面就是我用我另外的那个环境,我啊可以录个屏,就录个视频。
就是具体的一个步骤以及实际的一个效果,给大家好吧,然后这边的话我就不演示了,呃大概的看一下这边。
我们在这话同样都是筛选,是这个筛选20,你说的话会失败的,他会去查找这样子的一个可利用的一个服务,然后利用我们上节课所讲到这样的一个logo,你看到这句话,他没有找到对应的这样子的一个。
然而还有的话就在这边要注意的一个点,就是呃,我们这边的话再去设置这样子的一个,handle的时候,我们去设置这样子的一个,就是说auto run script的这样子的一个脚本。
就我们在这边。
其实我们在这里,我们在这里我们执行对吧,我们利用成功之后的话,他这边是没有得到这样的一个session对吧,然后因为因为在这边的话。
我们要等待下一个服务的一个启动对吧,但是在这边的话,你exploit之后的话,in sport之后的话,他没有执行成功的话,那么我这边的话他是无法去直。
无法就直接得到一个筛选分化,所以的话我们需要等待它的一个服务启动,等待服务启动的话,那我们就需要去用去创建一个监听器是吧,我们可以去创建一个监听器,把它挂载到,就是放到后台作为一个jobs,然后我们。
在这边的话我们设置这样的一个kload,跟前面对应的对应的一个kload是吧,然后的话我们想要的去就是。
啊这边在这边要注意的,就是说我们上节课其实有讲呃,我们在这边的话,我们得到我们生成了这样子的一个common 0 x啊,这个的话它不是一个服务的这样子的一个,可执行程序的。
那么他去执行它执行加载之后的话,它会以一个session的一个权限,去加载这样子的一个程序,然后把它作为一个服务,那么它不是一个服务的一个可执行程序的话,它会与那个服务的一个控制器去做一个通。
信的话是无法去通信的,所以的话他会把那个控制器,它会把这个进程终止掉,那么我们在这边去加载,对吧,加载呃正确的服务之前的话,他会去加载这一个com的x1 ,那么它加载之后的话。
我们在这边就能够去得到这样的一个筛选,然后得到这个筛选的话,它会过一会它就会断掉,那么我们在得到这个筛选之后的话,立马去执行一个这样子的一个migrate,mirt的话,这个话就是一个进程迁移啊。
就是把我当前得到这个筛选的,一个绘画的一个进程,把它迁移到另外的一个进程,就说我当前得到这个筛选号的一个进程,它是基于我基于我这边的这个common d ex一的这个,可执行程序的对吧。
那么我这边的一个程序断掉了,那么我这个进程也就断掉了是吧,那么当时的话我们可以通过,就是说我当前这边的话,已经得到了这样子的一个它的一个权限对吧,那么我得到这个权限之后的话,我在他还没终止我之前的话。
我做一个进程的一个迁移,把它迁移到我的一个,就是说其他的这样子的一个进程,然后只要那一个进程,就是说系统的一个正常的一个进程,它不断掉的话,那么我的我这边的一个绘画的话,它就不会断掉是吧。
就是这一个我们可以在这边啊。
通过直接输入a d v,然后table就aviation,也就是高级的一个配置,在这边的话有这样子的一些选项,然后呃上节课的话有讲这一个一个exist on session,on session对吧。
这个的话就是呃就是把它设置为false,设置为默认的话,它是去就是去的一个项目的话,就是我这边的执行exploit之后对吧,excel执行之后它会有一个jobs,然后这个旧版的话它会在后台。
然后的话我我的一个payload,我的一个payload来回你我这边的这个监听器之后,他得到得到一个session对吧,得到一个筛选之后的话,他这边的一个job它就会exist。
就是从字面意思我们也知道,就是它可以退出,也就是就exist on session,就是在尽力筛选绘画之后的话,我的那个今天的一个job它就会exist掉。
就所以的话就呃就是通常的话我们把它设为force,也就是只要那个分话,他只要执行执行的话,他就建立一个筛选对吧,然后我的那个job,让他一直处于一个今天的一个状态,他只要执行了我的那个pyload。
我就能够去得到一个筛选,然后还有就是这个auto run script,auto run script的话,这个就是呃设置一个就是自动啊,就是在我们得到绘画之后,等到绘画之后的话。
他立马会去执行这样子的一个脚本,然后这边的一个脚本的话,它会自动的去执行,这边我所设置的一个命令,就是这个migrate gf,就是啊自动的去迁移我的一个进程到呃,其他的一个进程当中。
呃呃第三个就是这个server commissions模块,这个模块的话跟前面对应的,就就是那个就是不安全的服务的。
呃那个什么来着。
而刚刚的话就是刚刚这个话,其实就是那个可信的服务键,就是它是利用他的这个缺陷啊,呃第二个的话就是这个不安全的一个服务权限,就是利用它的一个服务权限的一个呃就是漏洞,好在这边的话我们可以直接通过msf。
它的这样子的一个模块去进行一个利用,就九点钟啊,我这边的话下一下,呃我这边的话忘记了,忘记中间下课了,就是没没给大家休息的一个时间了,下次的话呃大家提醒我提醒我一下好吧,就是到那个到九点就是8。50嘛。
8。50的时候就是呃中间休息五分钟吧好吧,因为我这边的话我讲的话我不会去看实讲,我讲着讲着我就就就没有注意时间的话就忘了,好吧就是啊,大家有注意的话,在讨论区这边就是提醒我一下吧,然而这边的话是第三个。
这个的话呃,其实就是这个模块的一个使用,这边的话就不演示了,啊呃效果的话就像这样子好,其实在这边的话我们看他的个截图啊,就其实呃大家再去用这个模块的时候啊,用这些模块的时候,他其实有这样的一个过程对吧。
这个过程的话,它其实就已经就是把它这个脚本的一个,就是利用的一个过程有写出来,当然的话具体的一个实现的话,他没有那个嘛,好其实在这边的话我们可以看一下,它会有这样子的一个过程。
就是他会首先会新建一个这样子的一个服务,然后的话它会把我们的一个stage,也是一个pyload对吧,把它发送到我们的目标目标梯上面去,然后这边的一个study的话,他会去查找。
就是wc commission,就是在存在,就是说在目标机上面存在的服务,它有这样子的一个就是哈哈哈,这个呃就是落全性,就他一个权限,他没有做好的,没做好控制的这样子的一些服务是吧,现在这话有找到。
像呃我们我们的这边的一个三点rp,还有ac u n1 ,就这个大名院士的这个,它是可以去进行一个写入的,然后呃在这边的话,我们找到这个就这个这一个aw 0,vs的这个符啊是吧。
然后的话他把他把就是说他的这个服务程序的,一个路径做了一个备份,然后他把它替换成了,就是把我们这边的一个这边生成的,这个这边生成了这个stage,把它作为了一个替换,替换之后的话去进行一个执行。
然后执行之后的话,就能够去得到这样的一个筛选,好呃,第四的话就是这个always install rivity,这个的话同样的就是对应的我们上节课的,上节课的那一个就是啊那个的内容。
就是这个always in store at,就这个这个漏洞的话,就是说它在它的一个配置,它的一个策略配置的一个问题啊,就如果它的一个充电配置,它配配置了这样子的一个insity的话,那么他任意用户。
他们都能够与一个system的一个权限,去安装这样的msi,那么我们只需要去生成一个msi,然后上传到路由器上面去执行,执行它的一个安装,那么它就能够去以一个session的一个权限。
去执行我们的一个payload,对吧呃在这边的话你试一下,然后这边环境出了问题,我不确定能不能成啊,就是啊之前那个环境的话是肯定没有问题的,是能够直接的去打成功的嗯。
看一下前面,呃本来前面我前面我是有那个操作记录的,这边他被我清掉了,这边的话想直接尝试一下吧。
嗯这边的话。
你这一个这个应该是可以乘的。
而且这个靶机文件,我这边的话得到了这个宝鸡的一个呃,n a t h n a的这个用户的,一个普通用户的这个筛选对吧,对啊,我在这边的话,我使用这个always restore,27。
指定这个27的这个筛选是,然后我这边的话point,好我expit执行之后的话,执行之后的话可以看到得到了这样子一个筛选,28对吧,可以get这个id,可以看一下,大家的话直接得到它的一个是什么权限。
然后其实在这边的话,它就是上传了这样子的这uploading,这样子一个msi啊,就是把它就是它这个msf所生成的这个msi,把它上传到了这边,给个tk公路对吧,然后的话去进行一个执行执行。
这个msi执行之后的话,把我们的这样子一个啊stage,把它给传到了目标器上面去执行执加载,执行之后的话,我们这边就得到了这样的一个session,而且这个筛选的它是一个c死的一个筛选。
因为呃我这边的这个机器的话,它是开的,他是开了那一个就是策略嘛对吧,开启了那个always in store avt的的一个策略,所以的话我这边可以直接去进行一个,进行一个提取。
这是,这是第四个,然后呃第五个的话,在这边的话我给了一个链接啊,就是关于更多的这样子的一个内核的,就windows内核漏洞利用的一个提前,而在这边的话就是说在msf当中,其实有很多都这样子的一些。
就是他已经有内置的这样子的一些齐全,漏洞的一个模块,就我们可以去直接去进行一个六,然后呃大家可以看一下这篇文章,在这边的话有提到有这么多啊,就是以及就是在msf当中所对应的一个模块,我们要进行一个使用。
其他这个使用的话,是使用的话其实是最简单的对吧,他有给现成的模块,我们只要柚子弹,然后的话设置我们的一个今天的一个目标,然后的话设置一个筛选,然后直接exploit就能够去进行一个啊new是吧。
啊呃更多的这个的话大家自己看一下这篇吧,这篇文章吧,我这边的话就不会去多讲了,以及这样子的一个就是让土豆这个对吧,这个的话上节课有有甲,呃上面它就是msf相关的这样子的一些,期权的一个一些技巧。
呃下面的话就是给大家介绍一下,cs的一些提前的一个模块,呃cs的话,cs的话其实大家大家了解吗,就是呃它cs它的一个发展,它其实是呃基于msf的,就说g msf的那个mtg就m体积的话。
它是一个就是msf这个框架,它的一个图形化的一个啊图形化的一个界面,然后的话在后面的话,就是慢慢的发展成了这样的一个cs,然后的话呃就是独立独立出来,就独立于m35 的这样子的一个框架。
然后其实再去使用的时候的话,其实cs啊,就是如果你两个工具你都是比较熟的话,然后的话你再去你去使用了,你去使有使用过这两个框架的话,那么就其实cs的话呃,挺多时候的话会比msf要好用一些。
当然的话就是呃msf的话它的一个优点的话,就是它里面的一个模块,以及它的一个就是它的框架里面的一个模块,它是很多的对吧,而且的话就是实时的有更新,就是最新的一些漏洞的话,一些模块的话也有。
也有人就是想把它写成msf,能够去直接去使用的这样子的一些模块,然后cs的话就呃相比m3 火的话,就是呃可能会更加灵活一点,就是呃在cs当中的话,它的一个最大的一个。
就是它的一个比较好的一个呃。
或者说它的一个优点,以及比较好的一个很好的一个地方,就是它能够去加载我们自己去写的,这样子的一个脚本,然后的话它有这样的一个脚本管理器,然后我们自己的或者说别人已经写好了,写好了的这种脚本。
我们可以把它给加载进去,然后的话扩展我们的一个cs啊,在这边的话就是呃,当然的话msf你也可以自己去,就是说去写对应的这样子的一些呃脚本对吧,这样子的一些模块,然后的话你同样的也可以加载到里面去了。
因为他也有提供对应的这样子的一个,就是api是吧,然而在这边的话讲到cs的一些集群模块的话,首先第一个就是一个avieavt,这个的话它是cs里面自带的这样子的一个功能。
就是我们在这边的话嗯。
我这边的话先给一个绘画,好样的,以这个打击为例。
我这边的话得到了这样子一个win 7,这个普通用户的一个pk对吧,呃这边的话要等等待一分钟啊,就是呃cs的话,它默认的是就是默认的这样子的一个sleep,他是一分钟,就是这边的这个sleep。
大家知道是,就是说为什么,就是他为什么要就是设置这样子的一个,就是等待,然后它是呃它的一个背后的一个东西,大家有了解吗,就cs的这样子的一个,就比如说我这边sleep sleep 0。
就默认的话它是sleep news嘛,就是它的一个等待睡眠的时间是。
然后这边的话1~60的话他就会去呃,就寝室这样子的,就是说我们那个目标机器已经就是回应了,我们对吧,然后我这边的话是发送了这样子的一个,就是我这边sleep 0的话,它是有发送了这样子的,一个16。
16个自己对吧,然后我这边执行一个比如说什么,就是它的一个等待睡眠的一个时间是,然后这边的话1~60的话他就会去呃就寝,是这样子的,就是说我们那个目标机器已经就是回应了,我们对吧。
然后我这边的话是发送了这样子的一个,就是我这边sleep 0的话,它是有发送了这样子的一个,使用的时间和自己对吧,然后我这边执行一个比如说需要关麦,我这边执行之后的话,执行之后的话。
可以看到我这边执行这个命令之后的话,他就立马就发了这样子的,37个字节的一个请求包对吧,发送到了一个目标,我们的一个host其实就是发送到了我们的一个back,然后的话执行执行我们这边的一个命令。
之后的话,呃,我们接收到了他的一个啊输出,然后的话这边的话就是我们的一个结果,然后其实cs的话,它它的一个我这边的话大概说一下吧,就是关于更多的cs的这种,它的一个通信的一个机制,以以及基本的一个呃。
基本的这样子的一个就是cc的一个通道对吧,它其实是这样子的。
就是我们这边的话是我这边是一个呃。
控制台对吧,然后我这边的这个控制台的话,我们可以控制,就是说我这边的一个客户端,连接到了这个服务端,连接到这个服务端,也就是这个tteam seven,这样我连接到这个team seven。
这个team seven的话其实就是cs的一个就是一个cs cf,就是cs的一个服务端啊,我们这边的话这边的话是我的一个客户端,客户端的话我可以去连接到这个服务端,然后的话去管理下面的啊。
操作下面的这样子的一些bend对吧,然后在这边的话这个bin的话,这个bin的话b a c o n这个ban的话,其实就是我们所生成的那样子的一个呃,那个studio那个是stage的话,它呃。
我们通过前面就其实这边是得到了一个绘画嘛,对吧,得到这个绘画的话,其实就是把我们那个stage就是发送到了我,我的一个目标机器上面执行执行之后的话,我这边建立了这样一个绘画对吧。
然后在这边建立了这个掰肯之后。
我们要去执行命令对吧,执行命令的话,我们这边的这样子的一个今天气啊,这边的一个监听器啊,就通常的话在cs上的话,会去使用这样的user htp或者是htp s,然后其实在这边的话。
就是说我们比如说我这边使用的是htp。
那么我的这边的一个cs的一个server,我的一个cs sa与我的一个bacon,资金去进行一个通信的话,它是通过htp的一个方式,就是通过htp的一个方式去进去,去进行一个通信。
然后hp htb的一个方式的话,cs它会默认的话,它首先它会是通过get的一个方式,就是,我们这边的一个尽力了,尽力了之后对吧,我的一个啊bacon,我的一个back on。
它会隔这样子的一个sleep的一个时间,和这样子的一个sleep的一个时间,来去发送这样的一个get请求,来像我这边的一个service来去呃,发生一个get请求,来获取我服务端所发送的一个命令。
像比如说我这边执行一个外卖对吧,那么它在我这边sleep是零,那么它我这边执行一个关麦之后的话,其实那个back on的话,他立马他就会他他因为他是零秒的一个时间嘛,他会一直去发这样子的一个get请求。
来去请求我的一个sever端的一个呃命令对吧,然后的话我就说话我这边直接输入关麦,他就能够直接的去得了,去get到我这边的一个命令,get到这个命令之后的话。
他会在呃back on的目标金上面去执行对吧,执行之后的话就返回结果,返回的这个结果的话,他就会就是呃发送到我这边的一个服务端了,对吧,就是这样子的一个过程,然后呃如果你就是如果你设置sleep为零。
那么它的这个请求的话,它是会一直一直的去来请求,我们这边的一个服务端对吧,所以的话一般都不建议大家去设置设置这么短。
就是你设置长一点。
你设置长一点的话,就是它会隔隔多少秒对吧,隔多长的一个时间再去发送一个请求,来执行我们这边的一个命令对吧,就是啊就cs的一个基本的这样子的一个请求啊,通信啊,这其实我们在前面其实不是有讲嘛。
就是讲这样子的一个监听器对吧。
讲听精听器,其实这边的这边的话就是我们的一个payload嘛,其实就是一个back on对吧,然后像h p h p s的话,就是他的这样子的一个通信的一个方式对吧,它是呃h p r。
它是以h tp的一个流量的一个形式,d n s它就是d s吗,dx解析对吧,tc方就是t cp的,呃这边的话,扯的就是有点扯远了,就是啊正好讲到了,这边的话就给大家介绍一下吧。
然后更多的一些的话大家自己去呃,那个去去怎么说呢,自己去研究吧好吧,然后cs的话,这个工具的话是就是很多人都在用嘛对吧,为什么很多人都在用,因为它确实好用嗯,就是也方便,呃我们言归正传。
讲到我们的一个接线的,这个cs的一些提前的一个模块,而在这边的话我们得到了这样子的一个back on。
对吧,得到这个这个back,然后我们可以右键右键,在这边的话它有这样子的一些呃,这样子的一些选项对吧,像呃执行执行的这些的话,呃我们前面的话讲了这样子一个run mini as对吧。
arminius就是我们去用用它cs当中呢,它自带这样子的一个mini卡子的一个模块,然后的话来去获取它的一个名额的一个,密码对吧,然后还有就是呃,还有就是这个转储哈希对吧,哈希dm也是同样的。
就是能够去得到它的这样子的一些呃,它的一个哈希值是吧,前面的话有介绍这个,然后后面这些话在我后面的话会有介绍,像比如说呃黄金票据制作令牌的一些对吧,制作令牌的话,其实那个token那边的话。
就讲那个token注入的时候,其实窃取的时候其实也那个,然后以及在后面那个横向移动权限维持的话,会有会讲到这些,然后在这边直行的话,有这样子的,就主要从ig下面有一个期权,然后这边的话是一个中文的。
就是英文的话就是这个average要e v a t,就嗯漏洞提权的这样子的一个模块,然后我们打开之后的话,在这边选择这样子的一个监听器,就我这我就选这个对吧,然后在这边的话就有这样子的一些呃。
有这样子的一些exploit对,就我们能够去利用的这样子的一些模块是吧,然后其实呃实际的话cs当中,他给的话就给了是三个还是几个吧,然后在这边的话。
就是可以通过这边的一个脚本去进行一个加载,就是啊这个average kit这样子的一个脚本,然后所以的话,加载加载之后的话,在这边的话,你就能够去看到有更多的这样子的一些期权的,那比如说0796对吧。
来放一下,然后这边的话0796的话是比较新的,这样的一个提前的一个logo,然后这个0796的话它是有限制的,就是可以看到,因为它只支持win 10的,19031909的这样的一个系统。
因为我这边还有一个win 7的,所以的话它利用不了,呃在这边的话,我们以这个为例,我这边的话以这一个呃,你这个usa token duplicate这个文件,我这边的话执行这一个。
首先这个齐全的一个模块,好我这边的话已经那个了,我这边是administer的呀,等一下,因为我当前的话是已经直接是一个,admin的一个用法,所以的话它显示就是要already in high。
就是你已经得到了这样子的一个高高权限的。
这样子的一个那个,因为我单纯是admin啊。
我这边的话是,因为我是直接在admin的一个那个下面去执行的,我这边的话呃,切换一下用户。
切到这个普通用户。
然后的话我再去,找到一个back on。
就是这个这个user win 7的这个普通用户对吧,然后我这边因为是在本店做测试的,所以我16比零啊,就是为了快一点买的,这边的话要等待一分钟的一个时间,就其实呃大家就刚进入一个back on对吧。
刚你进入这个back on,进入之后的话,你执行sleep 0,其实在这边的话,你可以通过在这边这个last这边,能够看到他的这样子的一个时间对吧,就50 51秒。
也就是说它它最后通信的一个时间是55秒,之前,56秒,57秒是吧,58秒59,然后到60~60的话,他这边的话就立马去,因为他的一个get请求过来了对吧,把我这边的一个命令就是啊过去过去了。
然后他执行了,然后现在的话我们就可以执行命令是吧,需要换麦和大,前方是一个普通的一个用户啊,我再去尝试用这边的一个模块去进一个提取,然后呃在这边的话可以看我在这边,在这边的话,我们执行这个模块。
我们可以看一下它的一个命令,就其实这边执行一个命令的话,就是avator,然后执行了他的这样子的一个,它已经内置了已经写好的这样子的一个呃模块,对吧,这样子的一个脚本执行之后的话,在这边有一个htp。
这个http的话,其实就是我们的那个呃精听器的一个名字,就是。
嗯这个就这边这一个今天期的这个name。
也就是我这边执行这个模块之后的话,呃,他如果能够去反弹一个需要的话,那么我这边的话,就它会反弹到我这个htp的一个监听器对吧,然后在这边的话我们可以看到success的话,就是执行成功了,执行成功的话。
我这边的话就得到了这样子的一个进程,这边的一个进程的话,其实就是这个,就是我们通过这个模块对吧,这个功能进行一个提前,提前之后的话得到了一个新的一个绘画,好这个绘画的话,其实我们可以看一下。
我们可以看一下这边的这个绘画,跟相应的这个的命的这个绘画,你会发现它其实是一样的对吧,就是怎么看的这一这些对吧,你看到有这样子的一个红框,以及你的优子后面有一个新的话,那说明你的这个权限的话。
其实是一个管理员的权限,然后在这的话,其实我们就已经得到了这样子的一个管理的,一个权限的这样子的一个b,然后在这边的话,这个back on的话我们想要去把它做一个。
就是把它进行一个把它提到一个system的权限,在这里的话,我们再去进行一个提取呃,这句话我们使用这个,执行,呃这边的话因为这边的话因为是一个新back,所以的话呃干净的话。
它是有60秒的这样子的一个睡眠时间嘛对吧,所以的话要等待一下,等待时间的话就大家有没有什么问题啊,就是问一下就呃关于前面的一个内容,大家有没有什么疑问,然后可以看到我这边的话执行之后对吧,执行之后的话。
这边日志这边的话就呃初始化这样的一个bin,就是来自这边的一个系统的一个权限,就这一个提起来的,然后再在这边的话就得到了这样子的一个system的,这样子的一个beat是吧,好我们就可以进啊,又要等了。
好,这边的话嗯,我们就直接得到这样的一个system的一个back on对吧,就通过这样子的一个方法好,就通过这样子的一个cs当中,它内置的这样子的一个提取模块,从一个普通的一个win 7的这个用户。
把它给提到了一个system的权限是呃。
其实这边的话就是。
就是这个average这个齐全模块的一个使用,然后呃然后的话就是这个alekit,这个就是插件,这个脚本大家可以在这边去进行一个下载,然后呃加载插件的话,这边提一下。
前面应该没有讲的,就是这些脚本对吧。
怎么去加载对吧,我们在这边的话,我们可以在这边脚本管理器嘛。
就这边construct脚本管理器对吧。
这个好,我们load load之后的话,在这边的话就,到了我们本地嘛,我们选择我们的那个也是在,底盘,在运行,就这一个对吧,这个average kit,这个的话其实就是你这边你啊下载之后的。
下载之后的这一个这个内容对吧,就是在这在这个文件夹当中,然后的话我们要去加载的话,其实就是这个cnn的这个文件,就这个后缀文件为点ca的这个文件,把我们打开,打开之后的话呃。
因为我这边的话是已经有加载了是吧,就是这边已经有了,所以重复了,这边的话就加载失败了,然后呃你们自己加载的话,能不能自己去尝试一下,加载的话是没有问题的,呃呃第二个的话就是这个自用的一个提取。
一下面的一个提前的话用到了这个,就是用到了k8 大佬,他的这样子的一个提前的这个,ex一的一个程序啊,就是这个cv 2019的,10803的这样子的一个提前的一个,提前了一个e x p。
也就是这个利用的是这个win 32 k这个漏洞,这边的话是他一个cv编号,大家可以去了解一下,然后它的一个影响的一个版本,我们可以看一下,它影响了一个版本的话,有这么多,有win 10到win 7。
win 8,2000 082012就是server的吧,20162019对吧,它的一个影响的范围是很广的,所以的话这个这个提前的这一个工具的话,是啊这个齐全的这个漏洞的话还是比较好用的,一个。
然后在这边的话我给大家就是演示一下,我们如何去利用他的这样子的一个提前的,这样子的一个e x p,因为他在这边的话,我这边的话直接用他的这个ex一个程序,然后他的这个ex一的一个程序的话,我们来照看呃。
这边来看一下。
给大家介绍一下它的一个基本的一个使用,我这句话我直接把它复制进来了啊。
其实呃实际使用的话对吧,我这边cs我已经找到了他的一个back on是吧。
我这边的话还是以这个3424。
你这个啊不是那个以这个普通用户的为例啊。
是吧,然后这句话我直接可以呃,进它的一个文件管理器嘛。
然后上传到它的一个目上传上去对吧,上传上去之后的话,它的一个使用他使用的一个方法的话。
是这样子的,我们可以因为我这边的话,我直接在板子上面去操作,还有一个执行的一个,他的这个脚本,它的一个使用的话,是在后面接一个cmd的一个选项,然后的话在后面接我们的一个命令。
像比如说我的一个执行换换呃,在执行之前的话,我先执行一下动脉对吧,执行之后的话,我担心的是一个win 7的一个用户表,我执行执行后,外卖的话是一个win 7的啊,我在对话。
通过他的这样子的一个提前的一个e x p啊,然后我去执行一个cmi,好酷mi,然后在这边执行之后的话,你会发现啊他他的这个提取脚本对吧,我这边执行之后,在这边返回的一个结果。
你会发现是一个nt system的一个选项,看到是吧,所以的话我通过这个脚本我执行命令的话,就通过他的这个集权的e x p执行命令,我在这边执行的一个权限是一个system的权限,那么我在这边的话。
想要去访谈一个session的一个shell,然后,我们可以怎么去操作呢,就其实我知道我通过这个脚本,我就能够去呃得到一个system的权限对吧,那么我们想要反弹一个system的一个权限。
的一个back是吧,我们可以尝试就是呃我在这边的话。
我是通过这样的一个方法,就是我生成一个可执行程序对吧,生成一个可执行程序,然后的话我再用我这边上传上去的这个脚本。
这个提前的一个漏洞啊,不提前的一个工具提前了一个e x p。
然后的话去执行我这边的这个啊,上传上去的这个反弹需要的一个啊木马对吧,然后这边执行之后的话,因为我是一个session的一个学期去执行的,那么我这边所得到的这样子的一个呃绘画。
得到这样这样子的一个band哈。
那么自然而然的也就是一个system的一个绘画,对。
那来看一下我这边的话在cs上面去操作,我当前的话是这个呃,当前的是一个普通普通用户,对啊一个普通用户的一个权限,然后我这边的话看一下我这边的话,当前在的一个目录的话是这个desk top。
就其实就是我这边这个po的所在的一个木板,然后我上传上去的话也是在这个,目前的话我在这边我可以通过啊,在这边介绍一下这个execute,这个前面已经有介绍了,就这一个excute s x cute。
这个命令的话就是呃我们可以用它来去执行。
去执行目标机器上面的呃文件,以及能够去执行目标机器,在目标机上面去执行命令。
我没写错吧,零二,啊我这边的话我直接呃,比如说我在这边直接执行这一个。
刚过来我把反弹到那个cs上面的这个call过来。
好我们可以来以这个为例啊,执行这个49。43,首先这个对吧好,你可以看到我这边我execute执行之后的话。
在这边立马就得到了这样的一个绘画对吧,但是在这边的话要注意就是2700,得到的是,这个就这个这个back跑步算这个,这个普通用户的一个bug,然后我们在这边,因为我当前的话是一个普通用户对吧。
所以的话我执行这个,你当前的一个普通用户权限,执行这个反弹的一个配套的话,所以的话我得到就是一个普通用户的一个啊,一个win 7这样子的一个bin对吧,那么如果我能够以一个system的权限去执行。
我这一个法拉西的一个呃,木马这个文这个程序的话,那么我自然而然的就能够去得到一个season,season的一个权限是吧,所以的话我在这边的话呃,可以通过这样子的一个方法,就是执行这一个c n,加个零。
我通过这一个,通过这样子的一个e x p对吧,然后这个e x p的话执行的一个方,执行性的方法就是这样子一好接,我们要去执行一个命令是吧,然后我在这边的话,就通过这个start start的话。
就是在cmd当中呃,在windows下面的话,我们可以通过start来去执行我们想要的一个文件,就执行和命令程序。
比如我在这边,我就比如说我在限制第一当中对吧,我started,start这个19。43,我这边失败了之后的话,我在这边又能去搜到一个。
没有。
太多了吧,那算我只剩下一个,对吧,我可是大的来去执行,当然的话他这边一闪而过了,就是那个宽度来去执行,他是这边怎么没成。
然后我在这边的话,就通过这这边的这个提前的这个1x p对吧,然后的话执行这样的一个面积就是四九点,首先是一个46。43的这个1x1 ,诶考试,我的八字是这个呀,在这边,这个是啥,我这个是art。
啊我这边执行之后的话,立马就得到了一个又又得到了一个新的对吧,是通过这个视觉点四杀来的,然后在这边的话嗯,我们再把这个断了吧,我们在在这边通过这样的一个方法,来去进行一个执行,执行之后的话。
在这边我们可以看。
怎么弹回来的。
好有有了呀,他这个应该是有点慢了,可以看到我在这边的话执行之后对吧,执行之后的话,这边反弹了一个system的。
就是这个对吧,是通过这个进程,也就是我通过这个49。43的,这个程序的话,得到了一个system的权限。
因为我在这边的话是一个system的权限,去执行这一个程序的,所以的话创建这个进程的话,所对应的这个权限的话就是这个system对吧,然后我当前的话就是呃这个back的话。
就是一个system的权限。
就是呃这个就自用的这种提前的一个一差一啊,我们可以通过这样的一个方法去进行一个使用,然后就是关于这里,因为我们可以去执行命令嘛对吧,然后这边的话你可以自己去拓展了是吧,就是你法兰西尔的这样子的一些呃。
这样子的一些方法,我们可以一个c怎么一个权限去执行,然后第三的话就是这个power shell抛shi的话,这个前面前面应该有介绍的吧,就这个pasha这个导入这样子的一个,pasha的一个模块。
就是呃在cs当中,嗯这个前面前面有讲过吧,有的对吧,那呃这在那这里的话,我就呃就大概说一下吧,就不不去给大家演示了,前面放一个奖也有操作是吧,好在这边的话就是在cs当中用这个poshinput。
来去进行一个加载,我们的一个抛弃的一个脚本,然后在这边的话就是通过这个power up,这个power up的这个脚本,这个power up这个脚本它是就是power share,下面的一个比较有名的。
这样子的一个提前的一个脚本,就是执行之后的话,他会去对我们的一个目标,去做相应的一个信息的一个收集,他要去尝试啊,这样子的一些去尝试,一些提前的一个漏洞的一个解锁。
就是这个这个的话是它的一个脚本,好在在这边的话,用这个脚本的话,我们首先通过ption或者把它加载加载进去,下载进去之后的话,在这边看有这样子的一个方法,就我们直接in work这个。
就这个我们可以用这个方法,就是这个invoor tracks,我们使用它的话,它会去做这样子的,就是他会去加载它所有的这样子的一些,能够去探测提权的这样子的一个去检索,提取漏洞的这样子的一个脚本。
然后的话它会对目标系统下面去做一个。
比较全面的这样子的一个提前的一个。
漏洞的一个检索啊,这边的话同样的还是操作一下吧。
我去呃,通过potion bot,加载我这边本地的这个up的这个脚本啊,然后加载进去之后的话。
我直接通过posh。
通过剖析来去执行他的这样子的一个。
他的这个方法。
然后执行之后的话呃,他会去加载很多的这样子的一些信息啊,这边的话先让他跑着吧,来看一下,大概看一下,就是你看他会去检查,就是你的这样子的一些文件对吧,然后的话还去检查。
就是可以看到always in store evolut对吧,就是这个的话其实就是我们前面的那个,就是以一个system的权限去安装,msi的这样子的一个策略嘛,对吧哈哈哈,然后还有还有这个对吧。
这个unquality service pace,就是我们讲的那个windows下面的那个啊,服务漏洞对吧。
他都会去做这样的一个检索,就是这个脚本。
就是这个啊呃啊这边的话是呃,这边列举的一个像比如说这个就是check service,就是可以可以执行的这样子的一个权限是吧,然后在这的话,它返回了这样子的一些信息给我们,然后在这边的话。
其实我们可以看到,就是我们前面所运用到的这样子的,一个漏洞对吧,它的一个路径就在这边显示出来了对吧,我们可以去做一个更改,它显示了这个这个服务它对应的一个路径,然后的话mod modify able。
也就是说这个目录的话,是我们能够去进行一个改,就是更改的也就是有血的一个权限的是吧,然后再对话,他有相应的一些信息是吧,然后还有其他的这样子的,这个的话大家自己执行的话,自己去查看对吧。
因为他这边的话他有很多这些东西啊,就是要跑完的话需要一些时间好,以及我们本节课最后的一个呢,就是这个sweet popotato,这个的话就是呃跟前面的,就是就是前面讲的那个土豆家族的一个对吧。
然后他这个的话就是把它写成了一个,cs的一个脚本,然后我们在cs当中能够去加载它,然后其实在这边的那个套件当中其实也有啊,然后这个的一个使用的话,就是其实跟前面都是一样的,就是呃加载之后的话。
他会在那个提前的这个模块当中能够去选择它,对吧,然后的话借我们的一个今天的一个名字,今天起的一个名字,然后的话如果能够存在提前的这个漏洞化,执行之后的话,我们就能够去得到一个system的一个。
呃以上的话就是我们本节课的所有内容,大家有没有什么疑问。
呃,本这个的话主要的话就是呃就是怎么说呢。
就其实主要的话就是这两个框架,就是说我们再去提前到这一步的时候对吧,我们在使用这两个框架的时候,我们有什么样子的一些方法对吧,以及相应的一些技巧以及脚本是吧,嗯嗯好,其实大家这些的话应该没有什么问题。
反正就大家看我的好,有问题吗,有问题的话,你说就我觉得话这个的话大家看我的操作的话,可能没有什么概念,然后自己去做一遍的话,应该是没有什么问题了,就是一些和操作嘛,就是呃给你这样子的一些东西啊。
那你实际的在这两个框架当中,你去进行一个应用,关于知识点的方面的话,这节课的话没有涉及很多啊,这位同学有有问题,有什么问题你直接说吧,好吧,然后呃给大家两分钟的时间吧,好吧,现在时间也不早了。
呃有问题的扣一,没问题的扣二,然后自己下课做的扣三,回答之前的问题是哪个,呃ok我还以为你是说有问题啊,啊那应该都是没什么问题了吧,这节课的话其实东西不是很多啊,同样的就是课后作业的话。
就是大家把我这边的这些内容的话,自己操作一下吧,好吧,好啊,没有其他问题的话,那么我们本节课的话就到这边就结束了,呃大家早点休息好吧。
P72:第41天:权限提升-Linux系统内核漏洞提权 - 网络安全就业推荐 - BV1Zu411s79i
能听到我声音的以及呃我的一个声音的话,应该是没有杂音的吧,如果呃能听到我声音,以及我的声音没有杂音的话,大家在讨论区扣个一,好的应该是没有问题啊,没问题的话,那么我们正式开始我们今天的一个课程内容。
我们今天的话主要给大家介绍一下linux,下面的linux系统,下面的一个提全,呃本节课的话主要的话有这四块内容,首先的话就是第一块linux的一个提权信息收集。
第二块的话就是linux系统内核漏洞的一个提前的,相关的一个介绍,以及以及利用的一些方法,第三个的话就是linux环境变量的提前,第四个的话就是密码哈,希我们通过密码哈。
希的啊一个方法来去进行一个呃提权,以及最后一部分的,哎呀不好意思啊,哎最近这几天喉咙喉咙之间有点有点废了呀,直接哑了讲哎给你们讲课,讲的喉咙有点受不了,然后还有点咳嗽,所以说中间可能会就是呃。
突然会就是我讲话的话,可能突然会卡一下,有可能讲着讲着突然喉咙就卡住了,这个的话呃大家见谅一下,好吧,好啊,最后一句话就是提前实验,就是我们实验室里面的两个提前的一个实验,大家给大家做一个课后作业,啊。
首先的话我们先来看一下第一块的一个,linux提权的一个信息收集啊,就跟我们前面在讲windows提权的时候,其实也是一样的对吧,我们windows信息,我们windows下面的一些提前的话。
我们的第一步,同样的也是去进行一个信息的一个收集,然后这边的这些收集的一个信息的话,其实就是为我们后面去做一个题,全是作为一个准备的,就我们前前面前期收集到的这些信息的话,我们用来寻找。
就是说作为我们去进行一个提前的一个呃依据,我们通过相应的一个信息收集的一个呃方法,收集到各方面的一些信息,然后再通过这些信息从这些信息当中去筛选出,我们能够去进行一个利用,也就是能够去进行一个提前的。
这样子的一些方法好呃,其实前面的话在讲linux啊信息收集的时候,其实这些话都已经呃已经介绍过了对吧,就是呃前面的话就已经给大家,就是呃比较详细的介绍,就是说我们通过什么样子的一些命令对吧。
在linux下面,我们通过什么样子的一些命令,去收集对应的一个信息啊,比如说它的一个发行版本啊,就是linux的一个版本以及内核版本,就我们再去进一个呃,linux的一个内核的一个漏洞,提权的话。
我们肯定需要去知道它的一个内核版本的,然后的话我们再去根据他的一个内核版本,来去寻找对应的呃,可能存在着这样子的一些提前的一个漏洞,然后环境变量,环境变量的话在呃待会儿就是后面的话会讲。
就是呃一个环境变量的一个提权,就是我们利用的就是它的一个环境变量,然后我们可以通过相应的这样子一些呃命令,就呃能够去查找到对应的环境变量的一个配置,然后还有就是网络信息对吧,网络信息的话。
我们需要去知道我们的目标机器上面,它的一个呃网卡,它有哪些网卡对吧,然后还有就是一些应用程序,一些呃应用程序服务,就是我们针对某一些服务,就是对他的一个服务的一个信息做一个收集。
就是呃我们前面其实在讲那个提权的时候对吧,就有讲就是嗯就是啊系统的一个提权,以及应用程序的一个提取是吧,以及在windows下面的话,就是相应的一个啊服务的一个漏洞对吧。
那么他的就是说系统上面的这种应用程序,它的一个版本对吧,以及它所运行的这样子的一个服务,那么如果说我们通过这样子的一些信息的话,找到了其中正好有事,正好对应的它运行的这个服务的一个版本。
它有这样的一个提前漏洞,那么我们就能够去作为一个突破口,去进行一个提前啊,以及还有就是啊运行的一些服务,在这的话就是特指的一个root用户,就说我们要去进一个提权,在我们linux下面的话。
就是从一个普通用户去提取到一个root用户对吧,那么我们在呃寻找的一个目标的话,其实就是呃针对这些服务,就说利用他的服务的一些配置的一个缺陷,然后的话他的这些服务的话,又是一个root用户去运行的话。
那么我们可以通过这样子的一个服务来去,把它提前到一个root用户,啊等等的,还有计划任务的,计划任务相关的这样子的一些信息,在下节课的话会讲计划任务的一个提前,而在这边的话。
就是我不会去把这些命令详细的做一个介绍,这个的话大家可以接受吧,就是这些命令的话,大家自己课后去哦了解呃,应该不需要我一个一个去讲吧,就前面呃前面也有提到,好的话就是相应的一些服务的一个配置。
像服务配置的话,像我们的hd p的http的这样子的一些配置对吧,他的一些配置啊错误,以及我们从这样子的一些啊,web服务的这样子的一些配置文件当中,能够去找到对应的这样子的一些,敏感的一些信息。
呃等等,还有其他的这一些,这边的话我就不一一的去说了呀,嗯这边的话大家自己看一下吧,pp的话已经发给大家了,我这边的话就不一的去搜了好吧,然后这边的话就是linux的一个提前的,一个信息收集。
就我们前面已经有介绍了这么多的一些啊,收集的这样子的一些信息对吧,但是我们实际的话去进行一个啊,对目标主机去进行这样做,这样子的一个信息收集的话,你不可能一个一个命令对吧。
你照着我这边的这样子的p p t对吧,这一点你去呃查找他的一个信息,这一点你再去查找对应的一个信息,那么这样子的话其实是没没有效率的对吧,所以的话我们通常的话会去用这样子的。
就是相应的一个信息收集的一个脚本,就是我们直接执行这个脚本,它就能够去批量的获取,我们所想要的这样的一些信息对吧,然后的话其实我们前面讲这一些,讲这些,分别去讲这样子的一些命令。
来去做对应的一个信息收集的话,其实就是让大家去了解对吧,让大家心里知道,就是说我这个脚本它收集到的是哪些信息,以及对应的这些信息,我们可以去干嘛是吧,然后在这边的话呃,我这边的话有给这样子一个脚本。
就是这个linux的一个集群的一个信息,收集的一个脚本,呜呃这边的话是在github上面的一个,就是提前的一个信息的提前性收集的一个脚本,他这边的话是一个shell脚本。
它里面写了很多的这样子的一些啊就是内容啊,这些内容的话,它就是针对的去做一个啊信息的一个收集啊,关于这里面的一个内容的话,大家想了解可以去看一下,但是呃我们在这边的话,你只只要知道。
就说他我们执行这个脚本之后,得到的一个结果对吧,就是那个结果他才是我们想所需要的,好在这边的话我们看一下。
我这边的话已经有直线了,因为他的一个脚本的话比较多呃,直线的话还是需要一点时间的呃,我这边的话已经提前的啊执行了,就是这个就是这样子的一个嗯,就这样子的一个脚本呃。
呃你们可以通过通过ppt上面的直接一个cl来去,就是获取下载它的这个脚本,然后的话给s h去执行吧,就是通过s h来去执行这样子的一个需要脚本。
之前的话,它就会呃进入到这边。
进入到这边的话,下面这些的话就是它的一个分别的呃,他那个脚本执行之后所收集到的一个信息,也就是返回给我们的一个信息,那么这些信息的话就是我们所需要的,在这边的话,我大概呢就是呃提一下对应的。
对应的它收集了这样子的一些信息,啊其实大家执行之后的话,通过这个脚本这边也能够很清晰的知道,首先第一个就是basic information对吧,就是基本的一个信息。
也就是我们的一个基本的一个信息信息收集,然后他这边的话就是收集我们常就是常用的,也是经常常见的这样子的一个,系统的一个版本对吧,其实这边的这一句话就是我们通过your name。
your name ga对吧,用name刚来执行之后,执行之后的一个结果对吧,就是放在了这边,其实你要会去写这样子的一个脚本的话,然后的话你又知道你,你了解了我这边讲的这样子的一些东西的话。
你自己也可以去写这样子的,对应的一个脚本对吧,就是他这边的话就是执行用那么干之后的一个,输出嘛对吧,然后在这边的话就是你当前的一个用户嘛,就是比如说你当前的用户,执行id这边返回的一个结果是吧。
然后当前的一个公司的话是bob是吧,以及host name啊等等的这样子的一些呃,还有的话就是啊writable frog,也就是可写的一个目录,也就是在这个目录的话,我当前的这个用户。
这个普通用户可以往这里面去写东西对吧,然后写东西的话就说明我如果说我们要去写入,写入一个这样子的一些脚本什么的,我们可以写入到这个目录对吧啊,以及还有的话这边有列出了两个命令,就是两个常用的一个命令。
ping以及nc,然后他这边有列出这两个命令,它是干嘛的对吧,像p的话,我们可以啊用来做这样子的一个网络发现,还有nc,就说它的这一个,而linux系统下面的话,有装有安装这样子的一个nc的一个命令。
那么我们就可以直接去使用对吧,它能够去进行一个端口的一个扫描啊,还有网络的一个发现对吧,他这边的话呃其实都写得很清楚了对吧,还有的话下面的话就是系统的一些信息,其实就是我们的啊。
这边的话就是那个在乌班图下面的话,就是那个lsb干release,执行这个命令之后的一个结果啊,然后还有就是so do so do的一个版本,在我们后面的话,在我们下节课的话会讲。
就是收do的一个权限的一个滥用,就是说它收do的话,它的一个权限他没有做好的一个控制,然后的话我们就可以利用它来去做一个提前,嗯以及还有pass pass的话就是我们的一个环境面。
就待会的话会呃讲就是这样子的一个目录啊,然后待会的话再给大家讲,就是环境变量它的一个作用,其实环境变量的话,就是跟我们windows下面的那个环境变量一样嘛,对吧。
你在windows下面你去配置那样子的一个环境变量。
然后的话你把你想要去执行的这样子的,一个程序,把它给添加到这样子的一个环境变量当中。
那么你在cmd下面,你去执行对应的一个命令的话,他就不会说报not fund对吧,就是找不到那样子的一个面,因为你配置到环境变量,当中的话它就会去环境变量当中,你所配置的那个目录当中。
他去查找是否有这样子的一个程序,如果有的话,他就可以去直接的执行,就linux的话跟windows上面的话呃也是类似的,就是你在linux上面去执行相应的命令,他们去在这个环境变量当中去查找啊。
是否有对应的这样子的一个啊,你执行了一个命令的一个程序,如果有的话,他就会去执行它,然后的话返回结果给我们对吧,以及还有时间啊,还有呃系统的这样子的,这边的话就是一些磁盘cpu等等的。
我这边的话我就不一一的去那个了,然后他这边的话,它所输出的一个信息是相当丰富的,还有现在这边utiful soft software,也就是呃我们可以去执行的,或者说而他的一个目标,这边的这个机器上面。
它能够去啊,我们能够去执行的这样子的一些命令,像比如说nc啊,对吧啊,we get cl这些命令我们都是有权限去执行的,还有ping以及gcc,make这样子的一些编译的一个环境对吧等等的。
还有python 3,还有这样子的一些脚本,呃以及嗯这样子,后面的话就是我们要去收集的这样子的一些,服务的一个信息,就是我们的一个定时任务,我们的一个进程,我们所就是系统当中的一些服务对吧。
这边的话就是呃进程的一些信息,以及这边啊电池任务对吧,在,呃这边电池任务,然后在这边的话,你可以看到这边他有这样子的一个定时任务啊,就其实这边的话呃我们下节课的话会讲。
就是我们通过发现他这边电视任务的这样子的,一个呃这个程序啊,就他每隔一分钟执行的这样的一个程序,因为它是一个note用户去执行的,所以的话我们可以去查找到对应的它这个程序,它的一个作用。
然后的话如果我们可以去分析它的一个行为,如果他能够去进行,就是说我们可以利用他的这样子的一些一个,呃权限的一个配置的一个错误,能够去进行一个提权,当然的话就是呃后面给大家介绍了啊。
以及后面的还有很多的这样子的一些东西的话,其实就是对应的我们前面分别去讲的这样子的,一些,在linux上面执行的,这样的一些信息收集的一个命令,我这边的话我就不一的去说了,好吧啊。
这边的话应该可以带大家大概的看了一下,他这边的话有很多的这样子的一些信息啊,好我们可以根据这边得到这些信息对吧,能够去有针对性的去分析它。
呃这边的话就是这个信息收集的,就是提前的一个信息收集的一个,脚本的一个使用啊,以及对应的这样子的一些收集到的一个,信息的一个介绍,呃上面的话就是一些信息收集的这样子的,一些啊一个方法。
然后还有的话就是这边准备还有查找利用代码,就我们前面在讲提权的时候,就也有说有一个条件对吧,就是你要能够去提权的话,你首先要有对应的这样的一个提权漏洞,好的话,你有这个漏洞的话。
你还需要有对应的一个利用的一个代码对吧,如果你没有对应的利用代码,那么,那么你也利用不了这样子的一个漏洞是吧,然后的话有对应的一个利用代码的话,我们知道就是说利用代码的话,有像这个这样子的一个像c啊。
c加加对吧,然后还有像python的,还有像v by的等等的这样子的一些环境,就说通过这样子的一些呃脚本语言所编写的,对这样子的一些应用的一个代码对吧,那么对应的你要去在对应的。
他的一个目标机器上面去执行的话,你就需要去知道它的一个目标机器,它支持什么样子的一些啊语言环境对吧,像比如说你要去执行一个python的一个脚本,那么如果目标机上面,它没有python这样子的一个环境。
那么你怎么去执行呢,你执行不了,以及对应的你要去做一个,就是编译你的一个c代码的话,你需要有gcc这样子的一个编译的一个环境,对吧,以及呃就是上传文件的一个环境,就我们去做一个在那上面去进行一个。
文件上传嘛,就我们前面在文件传输的时候,其实也介绍了就是那个上面的一些方法,然而最后的这一个的话就是呃查找利用代码,就我们前面对吧,相应的一个信息的话,我们已经收集完了,收集完了对应的一个信息。
我们分析,我们分析之后的话呃,查找就是说通过对分,对信息的这样子的一个整合对吧,我可能就是发现了,其中有对应的这样子的一个漏洞,那么我知道了,他有这样子的可能存在着这样一个集群漏洞。
我想要去查找对应的一个利用的一个代码对吧,那我们通常的话会去哪里去寻找呢,就你可能会说你直接百度对吧,你百度的话你可能就是你的一个针对性不强,而且呃你百度的话就是你看别人那个文章的话。
可能呃千奇百怪啊对吧,然后在这边的话就是呃给大家介绍一下,就是一些常用的这样子的一些,我们去查找利用代码的这样子的一些网站啊,包括国内外的这样子的一些网站,就我们再去。
比如说我们最近去爆发了这样子的一个呃,就是爆发了这样的一个漏洞对吧,然后的话它的利用代码啊爆出来了,那我们去哪里去找呢,首先第一句话就是这个exploit db啊,这个的话就是一个漏洞信息库。
然后我们在这里的话,我们能够去查找到,就是说你呃就是说能够去查找到,已经爆出来的这样子的一些漏洞,它的一个应用代码,比如说嗯,就这一个吧嗯,比如说就这一个吧,这个的话正好符合我们的一个。
今天的一个课程内容,就是一个本地本地的一个提权,就本地提权的一个漏洞,然后我们在这的话,我们就可以去找到它的这样子过洞,它是在一个blue ma,他这个版本他小于2。1。4的这个版本的话。
它存在这样的一个本地提权的一个漏洞对吧,然后在这边的话就能够去找到他的一个e x p,就他的呃,有它详细的关于这个漏洞的一个信息对吧,然后的话以及它的一个new的一个方法,然后我们在这边的话也可以去。
去下载看到这样子的一个e x p啊,然后的话去进行一个使用,这是一个。
啊咳咳有点咳嗽啊,我这然后还有的话第二个的话就这个security fox,这个的话也是呃比较好的这样子的一个网站,就是你要去做,比如说你要去,你要去对某一个就是已经爆发的一个漏洞,做一个复线对吧。
然后的话你做漏洞复现的话,你要去了解它的,就这个漏洞它比较多的相关的这样的一些信息,就不仅仅是你的一个利用脚本对吧,还有其他的这样子的信息一些信息,那我们就可以在这边去做一个查找,好像在这边的话。
他呃我们通过cv的一个编号能够去搜索,我这边话我就呃就以这个为例吧,我在这边就不说了,就是这个jack的这样子的一个cv的一个漏洞,好,我们在这里的话,就是找到对应的这样子的一个页面对吧。
在这边的话它就有关于这个漏洞,它的一个详细的信息,那比如说它能够他就是它影响了一个版本,就存在漏洞的这样子的一个版本,以及它的这个漏洞发现的一个时间对吧,以及它的一个cv的一个编号,然后还有的话。
呃这个没有,然后还有的话就是这边exploit,就是我们的一个e x p嘛对吧,然后他这边的话它没有列的话,就说明呃在这边他没有啊,我们找一个看有的,加上一,嘿嘿,没有了,看下能不能找到一个有的呀。
就是啊在这边一叉p这边我们就能够去查找到,对应的,就是在这边exploit db,或者说其他的一个地方的这样子的一个呃,利用的一个脚本啊,这个没有没有的话就算了,然后呃还有,就是说在这边的话。
我们能够去查找到对应的一个信息,以及在这边有一个reference,不要粉丝的话就是引用嘛,就说他的这样子的信息,他是从哪边获取到的,然后这些引用的话我们就可以去查找到对应的。
现在这边的话就是这个x map的,它的这样的一个漏洞对吧,这是它的一个官网,以及在这边的话有对这样子的一个漏洞的一个,详细的一个分析对吧,如果你想要去复现这个漏洞,你就可以去参考他的这样子的一个文章。
然后去去对它做一个分析,对吧,这种话是一个xss的一个漏洞。
这是一个呃,还有的话我我这边的话。
我就不一的去那个去说呀,我这边列举几个就常用的,就这些的话呃,这边我列的这些网站的话,都是就大家去找对应的这样子一些漏洞的一个,信息的话,呃反正是我我这边要去找的话,我通常会去这样子的一些网站去查找好。
这句话就是这个rap的七rap 7的话,呃如果大家就是这个的话,大家应该都听过吧,都知道吧,就是我们的一个msf的这样子的一个框架的话,就是这个公司的一个产品,就msf的话是啊这个公司的一个产品。
然后的话是由他们在做的一个呃维护对吧,然后在这边的话就是呃,它这边它有对应的这样子的一个,就是漏洞利用的一个数据库啊,然后在这边同样的就是有对应的这样子的一些,呃,对应的这样子的一些呃。
e x p以及对应的这样的一个信一些信息对吧,像比如说这样子的这一个cv的一个漏洞,它的一个呃描述,以它的一个解决方法,这个应该有,以及呃这个话是另外一个网站,就在这边的话,它有列出了。
就是呃他的一个信息啊。
也是。
然后这边的话就不翻了,就是我们通过这样子的一些网站,它所就收集的一些信息嘛,去查找我们想要的这样子的一些呃,我们想要的这样子的一些内容,然后还有呃像在这边的话有。
model model这边的话就是你可以翻一下,嗯model这边的话就是我们msf当中,不是有集成很多的这样子的一些漏洞,利用的一些模块嘛对吧,那些模块的话其实就是啊,就是漏洞爆出来之后的话。
就有对应的一些安全研究人员对吧,他针对这样的一个漏洞,他会去啊写这样子的一个就通,就写这样子的一个漏洞利用的一个模块对吧,然后的话把这个模块集成到我们那个,m m sf当中是吧。
好在这边的话就有对应的就是这样子的,就关于这一个漏洞,他的这样子的一个啊利用的一个模块是,就这样子的这个漏洞,它的一个s1 ,然后关于这一个漏洞,它的这样子的一个啊模块的一些选项对吧。
在这边的话我们都能够去看到,就是啊,然后的话这边的话都是就是最新爆出来的,这样子的一些漏洞嘛对吧,然后我们在这边的话就也能够去,就实时的去查找到,就是说它最新的这样子的一些漏洞是吧。
然后这边的话就是一些呃查找漏洞,利用代码的这样子的一些网站啊,还有像就国内的话就是这个呃这个安全课对吧,安全课这个的话应该也是,大家就是常经常会去看的对吧,他这边的话也有去就是实时的在更新。
就是最新爆出来这样的一个漏洞,然后我们可以在这边去查找到它对应的,这样子的关于这个漏洞的一个信息对吧,那大家再去就大家如果从事安全这个行业的话,你就必须要去实时的去关注这样子的一些,最新的一个漏洞对吧。
然后你最新漏洞你报出来的话,你需要去你需要去研究它对吧,然后去复现它,那么你要去复现它的话,你就需要去知道这个漏洞,它的一个详细的一些信息对吧,所以的话你就需要去查找到,对应的这样的一些信息。
我们可以通过这样子的一些网站,因为这些网站的话,他已经把我们想要的这样的信息,都已经就是呃囊括进去了,我们只需要去做一个简单的一个检索,就能够去找到了,啊以上的话就是我们的一个linux下面的一个。
提取信息的一个收集的一部分,第二部分的话就是linux系统的一个内核漏洞,的一个提权,就是讲到讲到系统的这种提前漏洞,就是内核的这种提前漏洞的话,都是就是很常见的,而且就是内核这种漏洞的话。
也是我们就是最常去进行一个呃,尝试利用的对吧,诶你的一个内核漏洞的话,你去利用的话,我们就比较简单,直接是吧,我找到对应的一个代码,利用代码,然后的话我直接就能够去进行一个提群,然后在这边的话就是啊。
给大家介绍这个linux平的一个,提权漏洞的一个集合,这个的话跟我们上节课讲的,windows下面的一个提群漏洞集合的话,其实是对应的,就是说那边的话他那个话就是windows下面的对吧。
然后这一个的话就是另linux下面的这样子的一个,就是啊都是这一个six y,他的总结的,这个就是他把呃,历史上面呃爆出来的这样子的一些集群相关的,这样子的一些,而不是提权相关。
就与内核相关的这样子的一些漏洞,然后的话他做了一个这样子的一个集合,然后在这个集合当中的话,比如说我们找一个最新的这个,2018年的这个对吧,就这这样子的一个漏洞,然后在这的话就有对应的这个漏洞。
它的一个呃介绍对吧,以及呃与这个漏洞相关的这样子的一些链接,以及这边的一个能够去做一个权限提升,这个的话是这个gleb c的一个权限,提升的一个漏洞是吧,然后这个漏洞这边的话就是它的一个呃。
他的一个e x p,也就是它的一个利用代码对吧,它是一个c语言所编写的,所以的话我们只需要去,而通过gcc把这样子的一个代码做一个编译,我们就能够去进行,就能够去得到对应的这样子的一个啊。
利用这个提取漏洞的一个可执行程序对吧,然后还有其他的这边,这个的话就是其实这些的话,就是你没必要去一个一个的都去看啊,当然的话你想要去那个去研究的话,你可以去看看看这里啊,呃其实,这边这一个。
所以如果你对这一些东西感兴趣的话。
你可以像像他一样对吧,像他这边就啊像他这边一样,他做了一个这样子的。
也就是windows下面的一个20年来,windows权限提升的一个集合,然后其实这边的这个集合,其实就是他的他对这样子的一些提取漏洞,它的一个信息的一个汇总对吧,然后的话他去对这样子的一些漏洞。
他自己去做一个研究,去做一个尝试,然后的话做下来一个笔记对吧,而其实大家自己去做这样子的一个,安全研究的话,然后呃一定要去一定要就是说做好笔记啊,就是说你的这样子的一些内容的话,你说这样子的一些内容。
你你自己去做过了,你自己去做过了,然后你把它记下来对吧。
记下来的话你写到笔记当中,就是你之后的话笔记你之后的话你再去看对吧。
然后的话你也可以把它分享出来对吧,就像像他这样子对吧,他把对应的这样子的一些提权漏洞。
它做了一个汇总,然后的话你下次你去那个的话。
你可能就是说因为这些东西的话,其实你都自己有尝试过对吧,你尝试过了他的这样子的一些东西,你已经学过了,但是你学过了的话,你说不定忘了呢是吧。
然后在这的话,你就可以在你自己的这个笔记当。
中去做一个检索嘛,就不不不用说你再去啊,那样子的一些网站当中去进行一个检索。
啊其实我这边要说的话,其实就是让大家做好笔记啊,然后的话就是你去做做这样子的一个研究的话,呃,就其实就多分享吧,就其实我这边的话,其实我这边的话,我的笔记都是在有有在在我这边。
就是当时的话我没有说去总得很没有去纵横的,就是去做一个很好的一个总结吧,然后他就比较零散,就可能就自己要用的时候对吧,就去搜一下,然后看一下,就是啊,然后这边的话就是linux平台的一个。
提权漏洞的一个集合,就是我们再去要去用到的时候对吧,我们通过前面的一些信息收集对吧,我们知道它可能存在这样子的一个呃,cv的一个漏洞对吧,那么我们可以在这边去查找对应的一个,利用代码对吧。
他这边的话都已经就是已经把它放做成了,一个集合嘛对吧,我们只需要知道一个cpu编号,我们就能够去找到对应的一个应用代码,就能够也能够去啊减少自己的很多的一个时间,好第二个的话就是这个啊。
sequit搜索e x p,就我们,就我们前面的话是通过这样子的一个网站对吧,去紧所对应的这样子的一个漏洞,他的一个e x p,但是的话我们在这边的话,如果说我只知道。
就是说我只知道它是一个linux的一个系统对吧,然后的话我知道它的内核的一个版本,那么我那么我去进行一个检索的话,我需要在这样子的一些网站,我去我要去一个一个关键词,就去进行一个搜索对吧。
然后在这边的话,在这边的话有这样子的一个search for的一个工具,这个工具的话就是用来去紧锁,我们的一个可用的这样的一个e x p的,然后它的这个工具的话。
它是依托于那个我们的这个exploit db,就是这个依托于这个exploit db,就是它里面所检索的出来的一个数据,它其实是从这个expd b呃,从这个网站它的一个数据当中获取的。
然后的话这边的话就是它的这个工具,它的一个呃详细的一个使用,我这边的话已经啊贴贴出来了,然后这边的话是我的一个笔记啊,就是总结了这样子的一个东西,就关于这个such p,关于这,个话介绍了它的一个安装。
就是呃我们因为他的一个数据库的话,就是说他去检索的一个数据库,你再看里面的话,它是自带的,然后的话如果你不再看里面的话,你需要有对应的这样子的一个数据库,然后呃在看你里面,其实大家可以直接打开看你啊。
打开看你的话,因为直接输一个cg boy,他就能够去啊执行,然后这边的话在卡里里面,他其实呃有已经有存储了,就是我们常用的这样子的,就是说在excel在这边exploit db这边对吧。
比如说我要去下载这个e x p啊,就是像这样子的一个文件对吧,就是这一个49489630tt,这样子一个文件,就这一个文件的话,嗯哼哼哼,呃呃其实对应的这样子的一个文件的话。
其实在呃我们的一个search point,就是说在我们的一个卡里面的话,它已经存在了。
就是它已经保存在了,我们那个看你计算当中,然后的话我们在sequit这边的话,我们可以直接去检索到对应的这样子的,像比如说我去检索一个linux对吧,我这边搜索这样子的一个linux搜索之后的话。
在这边他就有六出了,就与linux相关的这样子的一些e x p是吧,以及在这边的话就是它的这个文件的一个路径,呃这个文件路径的话是,这个文件路径我忘了在哪,就在这边,就是,就我们在这一个目录当中的话。
我们就能够去查找到就是这个脚本对吧,就是这个47292点c的这样子的一个,c c语言的一个脚本,然后它是存放在我们看你里面的,这样子的一个目录啊,其实对应的这边的话,其实就是这边的这个信息啊。
其实就是这里的这个嘛对吧好,我们可以到这个目录里面去看一下,它里面的话有存的,存储着很多的这样子的一一些脚本对吧,像比如说我要的是linux的对吧,然后我cd到linux的根目录。
然后他在这边的话就有列出了这样子的一些c,然后对应的这边有这么多的一些目录的话,它同样的都存在有多个这样子的一个呃。
e x p的这样子的一个,这样子的一个脚本,然后的话呃关于这一个工具它的一个使用的话,大家看我这边的一个笔记吧,好吧呃,就在用之前的话,我们可以通过sch fit干u来去做一个更新。
就是更新我这边的这样子的一个数据库嘛,对吧嗯。
然后其实sex boy话,他也可以就是在线的去进行一个查找。
就是他查找的一个数据的话,去查找,去紧所对应的一个信息,嗯所以说还是甘油,而他在这边的话,它就会自动的去更新啊,去更新我们这边的一个呃。
e x p的这样子的一个数据库,然后我们更新完之后的话,它就能够去获取到,就我们在这块就能够获取到,最新的这样子的一些呃e x p对吧,然而关于它的一个使用这边的话呃,我们以一个实际的一个例子。
我这边以一个实际的一个例子,给大家做一个介绍,我这话我就不会去一的去那个呃,这边的话我已经就写的应该比较详细了对吧。
在这边的话我以一个例子就是,以以我这边的这个机器啊,啊这个以我这边的这一个机器吧,这个乌班图的一个机器为例啊,我这边的话是一个无关图的一个机器,18。04的啊,我当前的一个版本,我的一个内核版本。
我的一个内核版本,他就是这个4。104。1。5对吧,4。15的这样子的一个内核版本,然后的话我我想要去检索,就是说我想要去检索,就是说紧锁能够去在这样子的一个系统当中,去进行一个利用的。
这样子的提成的一个漏洞对吧,然后的话我们可以通过嗯,我这边的话哇这么多,那不更新了呀,我这话呃可以通过这个session for来去进行一个检索,就首先的话我这边的话我要去检索的话。
就是呃我当前方是一个linux的一个系统对吧。
所以的话我要去获得一个新型的,就是linux下面相关的这样子的一些e x p对吧,好,这句话它也列出了有这么多的这样子的一些,对吧,然后这里的话现在这边的一台p的话。
这边就有其实他是这样子去做的一个构成,就是这边的话是你的一个linux的这样子的,一个呃架构对吧,像呃arm的,还有的话残留式的这样子的,然后中间的话就是关于这样子的,关于这一个漏洞的一个介绍。
然后呃最后最后面的话这边的话就是peace,也就是路径,就是这边的这个漏洞所对应的这样的一个,e x p所存放的一个路径,就是在我们刚刚的那个目录下面嘛对吧,然后这边的话它的一个信息的话是比较多的。
对吧,就是我们还需要去做一个进一步的一个筛选,然后在这块我想要去利用的话,就是我想要去检索这个系统,它是不是有一个而内核的这样子的一个。
提群漏洞对吧,那么我们可以加这样子的一个关键词,channel就是啊k i n e l,这个话就是内核的一个意思。
这个内核核心内核是吧,然后的话呃在这里的话,它同样的也要有列出来这样子的,这么多的一些信息对吧,然后在这边的这些信息的话,我们就就比较直观了,也算就是linux呃内核对吧。
然后后面的话这边的话就是内核的这样子的,一些版本对吧,以及这个漏洞它的一个呃名字介绍对吧,然后在这句话有对应的,它的这些信息都已经列出来了,然后我这边要去查找到的话,就是我这边的这个系统,它的一个内核。
我看一下是这个4。15是吧,然后我这边我再去加这样子的一个呃条件,现在的话,现在的话就是返回了这样的一些信息的话,就明显少了很多对吧,然后的话在这边的话就是呃它返回的这样子,这些信息的话。
就是我们的这边linux系统下面的一个4。5,就是4。5版本就是满足啊,你的一个内核版本是4。5,这样子的一个呃系统,它所就是存在的,就是说已经被爆出来的这样子的一些漏洞。
以及它对应的这样子的一个可以去利用的,这样子的一些e x p的一个路径对吧,然后在这的话呃我们就可以去查找对应的呃,我们想要去进行一个尝试的,这样子的一些题型的一个e x p对吧,我这边的话是一个4。
15,然后再找到这边的一个就是一个提权,好,找到提权的话,就是我们的像我们这边的这个就是local priorge,对吧,这这这这边的这一个三个单词的意思,就是本地特权提升,就是本地的一个权限的一个。
这个是逃脱嘛,其实就是逃脱本地的这样的一个权限嘛,也就是权限的一个提升,然后在这的话,我们就呃有找到他的这样子的一个描述,这边对吧,是这个这个是可以去进一个利用的,他这边的这个内核版本的话。
就是就是说你的一个系统是处于,这一个4。10~5。1。17的这样子,一个版本的一个内核的话,你就可以去尝试,就有可能存在这样子的一个,本地特权提升的一个漏洞对吧。
然后这边的话对应的这样子的一个e x p,它就是这个对啊。
然后在这里的话我们可以通过search sp,加加一个杠p就指定一个路径,指定我们的一个pass pass的话,就是这边吧这边所显示的。
然后我们在干p参数,加我们的一个pass的话,就能够去显示这个漏洞利用的一个完整路径,我来,执行一下,执行之后的话,在这边的话就显示了关于这一个e x p的,对应的这样子的一个详细的一个信息是吧。
这边的话是关于这一个,就是内核版本的这样子的一个呃。
P73:第42天:权限提升-Linux环境变量提权 - 网络安全就业推荐 - BV1Zu411s79i
然后这边的一个url,这个url的话,其实就是我们的一个这这边的一个exploit db。
上面的这样的一个链接,然后他的这样子一个e x p的话,其实就是这边的这个就47163对吧,就这样这样子的一个,c程序的这样子一个e x p这个一查票啊,就是针对这样这一个内核版本的。
这样的一个提取的一个漏洞。
然后还有的话就是呃完整的一个路径对吧,这个路径的话其实就是呃我们这个脚本,它所对应的在我们卡里尼卡尼机器上面的,这样子的一个所存放的一个路径,我们可以在这个目录上面去查找到对,然后我们可以把它抠出来。
就是把它copy出来嘛,然后的话把它丢到目标机上面去执行吧,然后在这边的话也有,就是可以通过你可能call的话就是通过cp对吧。
然后cch pit的话,这边有这样子的一个参数可以,就干m当然我参数的话,他可以把一个e x p。
拷贝到当前的一个公众木马是吧,就我们不需要加这么长的这样子的一个东西,我们可以直接satisfigun,然后接这边的一个,4763点c对吧,然后这边的话就拷贝到了,诶,哦不对呀,不是啊,是这里啊。
47163。41刚刚复制错了,这个这个的话是我们的这个程序的一个路径嘛,对吧,然后我这边执行的话,他就可以把它复制到我当前的一个目录啊,我当前的目录的话,就有了这样子的一个47263点c。
这样子的一个呃c c c程序的,这样子的一个代码对吧,然后这句话我就可以对它做一个b e,然后在这边的话就多了一个这样子的一个,e x p对吧,这样子的一个程序,这个程序的话我们可以直接去进行一个直线。
当然的话我当前的这个机器的话是啊,应该是不存在这样的一个漏洞的是吧,我这边执行的话,他这边的话是,而且我当前的是一个root用户,执行的话,这边他应该是没有就没有成功对吧。
我当前这个企划是没有没有对应的,这样子的一个提前漏洞的,但是啊我这边的话执行的话,就是为了验证我这边的这个脚本,它其实是能够去执行的对吧。
就我这边的话是编译的话是没有出错的,然后在这的话哦,我这边的话就是需要去把它放到这边来,去进行一个执行对吧,呃我这边的话,我这边的话其实已经就是弄过来了呀,就是这个嘛对吧,我可以看一下,就是这一个呃。
4。10~5。1。17的这样子的一个脚本,471323点c对吧,就是跟这边的话是一样的对吧,内容是一样的。
然后我这边的话在这边通过gcc做一个编译,呃我这边兵役之后的话,就有了这样子的一个e x p p p的,这样子的一个程序对吧,然后我这边的话我就可以去进行一个执行。
你去尝试直接,然后在这边的话可以看到,就我这边执行之后的话。
他立马的话,它有这样子的一个应用的一个过程对吧,然后利用过程完之后的话,他这边我当前其实是一个m n g y的这样子的,一个普通用户,然后呃我通过这样子的一个,提权漏洞的一个脚本啊,我可以看到。
我当前的话是得到了一个root的一个用户,这样可以开,就说,对啊,是一个完整的一个root用户的一个权限,我这边的话退一下,我当前的话是一个普通用户。
这边的话就是这一个。
呃其实这边的这个题选中的话,就是呃呆就是我这边要讲的这一个,然后在这边的话我通过这样子的一个search point对吧,去查找对应的,我通过这样子的一个内核的一个版,本的一个信息。
来去检索对应的这样子的一个提取漏洞。
当然的话,因为我这边的话是,我这个机器是正好是存在。
这样子的一个提取漏洞的,所以的话你通过这样子的一个检索,能够正好去找到,能够去进行一个利用的一个e x p对吧,但是的话就提权的话,真的提权这个东西的话是比较靠运气的,然后呃像这种东西的话。
你可能就是你通过这样子的一些信息的一个,检索对吧,你可能就觉得他可能存在这样的一个提取漏洞,但是它不一定存在,而且的话也不一定能够去进行一个呃利用,这个话是需要大家去知道的,呃这边的话就是。
通过这样子的一个例子啊,给大家介绍了,就是说实际的演示了这样子的一个工具的使用,啊对吧,我们通过这个工具来能够去比较方便的去检索,我们想要的一个e x p是吧,尤其的话再看里面的话。
他已经呃已经内置了这样子的一个呃数据库,而第三个的话就是这样子的,一个粘流的一个提权漏洞,呃这边的话我先下一下课好吧,已经,怎么没有怎么没有同学提醒一下我呢,我这讲着讲着又忘了,大家都不想休息的嘛。
呃那我们继续吧,中间的话就不休息了,因为时间也过了,就呃大家下次有下次的话,同学看到了就提醒一下我好吧,那我这边的话,我讲的话我可能不会去注意时间,就是,最中间的话给大家留点那个休闲的一个时间嘛,对吧。
呃第三的话就是这样子的一个粘流提权漏洞,呃,粘流的话就是说在讲提前,讲定义是下面的一个提前的话,就是不得不去说一下这样子的一个提醒漏洞,因为这个漏洞的话是呃是就是它的一个影响。
它的一个就是漏洞的一个危害的话是相当大的,那样的话在现在的话就是说在现在的话,它的一个这样子的一个漏洞上,存在的一个概率还是比较小的呀,就在这个漏洞刚爆出来的那个那个时间段的话。
是它的一个危害的话是相当大的,它的一个影响的话,所以的话它的一个就是战略提前漏洞,它的一个就是是很出名的一个提取,提取的一个漏洞,就它的一个作用的话,就是我们那个低权限用户能够去利用这个漏洞。
来在群版本的一个linux系统上面去实现本地提权,当然的话这边那个全版本是注意的话,是在当时那个时,那就是当时这个漏洞爆出来的那个时间啊,美军也就是说在当时那个当时那会,就是这个漏洞爆出来的话。
我们可以直接利用这个漏洞,在所有的这样子的一个linux系统下面,因为它是在全版本啊,所以是在当时那会的一个linux系统上面,所有的linux系统上面去用这样子的一个漏洞,去达到一个提取的一个目的。
所以说它的一个影响的话,是影响了当时全版本的一个linux系统,它的一个影响力的话是相当大的,而且这个漏洞的话是一个很严重的一个漏洞了,是吧,我们从从这边的一个意识也能够去知道。
然后他的他是能够去做一个本地的一个提权,然后这边的话是它的一个plc呃,关于这个漏洞的话,我这边呃就不给大家演示了,因为这个漏洞的话其实也算是比较老了,就可能存在的一个概率的话是不是很大。
当然的话也不一定对吧,以及的话这边的话大家去做一个,去做一下这边实验室的这个实验。
这个的话就是关于这个暂留漏洞的,jinx,全版本的一个通常提前漏洞的一个复兴,以及分析,大家可以去做一下这个实验,在这里的话就是呃介绍了这一个漏洞,我们如何去建一个利润,对吧。
然后的话在这边的话有关于这个漏洞,它的一个详细的一个就是涉及到的一个技术,然后对他的对他的做的这样子的一个呃介绍,就研究的一个介绍对吧,就很详细了,这边我这边的话,我就我就不再给大家去再读一遍了好吧。
这边的话就大家自己去看,因为我要去讲的话,其实也是跟这边就是没什么太大的区别,像这种的话,你需要你知道怎么去用就ok了,呃,呃第四个的话就是这个呃,刚刚给大家介绍的这样子的一个cv,2019的。
一个13272的这样的一个提权漏洞啊,这个题全漏洞的话是一个本地提权的一个漏洞,然后它的一个漏洞范围的话是影响呃,它的一个内核版本是4。1~5。1的,这样的一个范围啊。
呃它所影响的一个范围还是比较广的呀,就是它影响的这样子的一个系统,像乌班图啊,还有卡里db对吧,然后这边的话是他的一个e x p,其实就是我刚刚对吧,去通过那样子的一个检索。
通过cg point检索到的啊,通过内核的一个版本,然后的话检索到了,在exy db上面检索到对应的这样的一个,e x p对吧,这句话就是它的一个链接,啊呃这边的话就是这个e x p的话,我们下载下来。
我们下载下来之后的话,我们直接gcc去做一个编译,编译之后的话,直接执行的话,就能够去得到一个啊root的一个权限,就像这样,这边的话是在我的那个乌班图的一个系统。
而这个漏洞是去年去年还是前年一九去年吧,去年年底年底出的这样一个漏洞,然后这边的话是我当时就是复兴的这样子的,一个截图,啊,啊这边的话这个乌班图的话,就是我这边的这个机器嘛,就这个机器18。
04的这样的一个机器,然后这边的话是一个呃看你机器啊,就是这个卡,它同样的影响这样子的一个看你的一个机器,它的一个在这边的话是它的一个内核版本,是4。19,这样子的一个看机器。
机器的话我们也可以去做一个提前,这是它的一个效果,而看机器的话,这边的话我就不演示了,因为现在最新的话,现在最新的看你的话是没有这样的一个漏洞,它的一个内核版本它不属于这个范围了,这个是呃2018的。
2018的,如果大家现在有,就手上有这样子的一个2018的,这样子的一个三还是几的,这样子的一个看你机器的话,你可以去尝试一下,能够去进行一个提群,然后呃第五个的话就是这个cv 209的,7304。
这个漏洞的话就是一个linux的一个包管理器,这个s n a p的一个本地齐全的一个漏洞,提提这个漏洞的话是就是在这边。
这边就是呃在这边的话有这样子的一个靶场,就是,呃这个就这样子的一个靶机啊,这个靶机的话,这个靶机的话是一个就是linux,就它里面的话有啊,很多的这样子的一些就是啊,配置它的一个权限配置啊。
以及对应的这样子的一些服务的一个漏洞,我们可以去利用它去进行一个提纯,然后在这边的话他在这个板件里面的话,正好有这样子的一个3a p啊。
就正好有这样子一个sp的一个服务啊,其实这关于这一个服务它的一个信息对吧,我们怎么来,我们前面的话,就是通过前面的这样子的一个脚本嘛对吧,同样的他会去就是获取到系统上面所运行的,这样子的一些服务。
它的一个信息嘛对吧,然后我们针对这个服务它的一个版本是吧,去检索对应,可能存在着这样子的一些提升的一个漏洞。
然后在这边的话呃,在这边的话,如果大家有去下载这个呃,下载这个靶场去玩的话,在这边会有一个问题啊,就是用这个s n a p的这个题型的话,呃你在这边的话大家可以看啊,我这边的话是2。47。1对吧。
然后在这边的话,其实实际的话你刚进你刚启动这个靶场的话,它是一个2。33。1的这样的一个版本,就是这个漏洞,它的一个影响范围的话是碎了,2。28~2。37的这样子的一个范围。
然后他在这边的话,他会有这样子的一个问题,就是我这边的话,我这个机器提起来,然后的话我这边能够去领网的话对吧,它会去自动的去更新这一个s n a p,就是他们,所以的话在这边的话。
我这边的话已经放了一会儿,然后我这边也可以去领网,所以的话他这边的话,它自动的把这一个就是它的一个版本,做了一个升级,把它升级到了2。47的一个版本。
所以的话他这边的话是不存在的,就不存在了这样的一个漏洞。
然后大家就是记得打个快照,就你启动之后的话。
然后呃这边的话才是他真正的一个版本,就是就是他初始的一个版本是2。33。1。
然后的话这个版本的话,正好是处于这个提权漏洞的一个范围的。
以及在这边的话啊,就是。
就是在这边我们去利用这个。
提前去利用这个漏洞的话,这边有这样的一个脚本对吧,你执行这个脚本之后的话,他就会去触发它的一个更新,就是你执行这个脚本之后的话,他就会去去更新,去更新这个snp,然后的话嗯就是你利用之后的话。
你的这个s n a p的话,它就更新到了一个新版本,也就是说你利用之后的话,他你还你想要去再去利用的话,那么是利用不成功了,也会因为他那个版本的话做了一个更新啊,这里的话是呃给大家提一下。
大家可能如果自己去做的话,碰到相应的一个问题,然后这边的话呃,它影响乌班图,141618的这样子的一个版本,然后这一个靶机的话,正好是一个18004的一个靶机。
在这边的话,在这边的话,我们先看一下效果吧,就是我这边看一下我这边的一个截图,然后的话我给大家,就是大家看一下这边的这个github。
然后这边的话是啊,这个漏洞作者,他给出来的这样子的一个e x p是吧,然后在这边的话他给了两种方法,就是两种利用这样子的一个漏洞的一个方法,然后呃方法一的话,它是就是它需要有这样子的一个。
就是一个s h的一个私钥,然后我们可以通过这边的这个这样子的一个,你去创建这样的一个账号,然后的话你去创建一个这样子的一个私钥,然后他会有这样的一个邮箱,然后你可以通过这样子的一个脚本来去指定。
我们的这边的一个生成的这个实验,然后的话就能够去得到一个线,然后第二种方法就是通过他的这样子的,一个脚本,通过这个脚本执行之后的话,他会去创建这样子的一个dirty。
干shock的这样子一个账号密码也是代替shock,然后的话这个账号的话,它其实就是一个有root权限的这样的一个账号,然后我们可以通过这个账号登录这个账号,来去得到一个root的权限。
也就是达到一个提前的一个目的呃,这边的话我。
演示一下第二种吧,就第一种的话,因为稍微有点复杂。
就操作的一个步骤的话比较多,那个的话留给大家自己课后去进行一个尝试。
然后呃这边的话是这个82,是给了你一个普通用户的一个权限啊,然后的话你基于这个普通用户的一个权限,你在这个靶机上面尝试去进行一个提前,在这边的话,我们就是通过前面的一个信息收阶段,发现有这样子的一个啊。
可以去利用了这样的一个漏洞是吧,我们找到这样子的一个e x p,找到这个e x p之后的话。
我们只需要去把这个e x p上传上去嘛,上传上去,这样的话已经,下载好了,拖过来拖过来之后的话,你去执行,执行之后的话,可以看到这边的话就是success对吧。
就是然后的话有了这样子的一个dt socks,我们可以t一下persword,然后我们在这边的话可以看看到,有了这样的一个用户对吧,然后这个用户的话,其实我们su,m p n一全是全是。
好这里的话我们可以登录进去对吧,登录进去之后的话,我们可以直接下外卖id id,这边的话可以看一下,你输了id之后的话,在这边他是这样子的一个,他还是一个普通的一个。
那个当时在电话有了一个这样子的一个收do,然后我们在这边的话,我们就可以通过so do来去执行一个,对吧,来去执行命令,然后我这边收do com的话,我当前的话就是root。
因为我是通过so do的一个呃方式呃,大家知道收队吧,就收队的话就是啊,我们可以通过so do来去得到一个啊,就是来去暂时的去得到一个note的一个权限,就如果你的这个用户的话。
你允许去通过so do来去执行命令的话,那么你就可以通过so do来去啊执行啊,以note用户的一个权限去执行相应的一个命令,先比如说我这边搜do com对吧,就是一个note。
然后我这边比如说我要去catch一下这个,下载文件对吧,可以看到我当前的话是没有权限去那个,但是我这边的话我可以通通过sodo,来去执行这样子的一个cat,对啊,当前的话就能够去读取这样一个需要的文件。
然后这个需要的文件是只有root用户,它才有去权限去进行一个读取的,这边的话我们的一个提前的话就已经成功了,这边版本还没变。
这是这这个提前漏洞的一个效果,呃大家关于以上两部分的话,有没有什么疑问,有没有什么问题,应该没有什么问题吧,都是呃比较简单的,比较简单的一些东西,有问题的扣一,没问题的扣二。
而第三部分呢就是linux的一个环境变量提取,在我们前面的话有大概的有介绍一下是吧,然后在讲这个之前的话,我们先来看一下就是什么是环境变量,也就是一个linux下面的一个path环境变量。
这个pass的话是linux,还有这种类unix操作系统中的一个环境变量,它呃指定存储可执行程序的这种所有,并还有s b的一个目录,然后当用户再去终端上去执行,任何这种命令的时候。
他会通过这样的一个pass变量来去响应,用户执行一个命令,好像需要发送请求来搜索可执行文件啊,其实这一句话就是我刚刚给大家介绍的,这样子的一个pass环境变量的一个作用对吧,这这一个的话大家能理解吧。
就是呃我们通过大家可以在linux系统下面去执行。
这样子的一个呃echo,然后加一个呃dollar符,加一个p a t h pass,然后你就能够去输出这样子的一个pass,的一个环境变量,输出这一个变量,然后在这的话就是它的一个记录的一个值。
而其实这边记录的一个值的话,我们可以看一下,就是它是一个冒号作业的一个分隔,然后每一个冒号的话,它是一个这样子的一个目录对吧,像user local bin,像这里的话呃,前面的话讲linux的时候。
相关的奖励是相关的一些啊,目录结构的时候有介绍对吧,像s bin的话,就是你的一个就是呃像这种root用户,他就有权限去进行一个执行它里面的一个命令,就是高权限的一个用户。
然后在这个目录下面存储的一个命令,它才能够去执行,然后像being的话,就是你普通用户也可以去执行,这里面的最下面的目录,下面的一个可执行程序对吧,还有user spin啊,user bin啊。
bin等等,这样子就先目录,然后这边的这些目录的话,就是当我们比如说我去执行啊一个,执行一个ios的一个面对吧,我这边执行ios,执行这个ios命令的话,他会去列出这边的一个内容对吧。
那么在执行这个ios命令的时候,它中间它是怎么去找到的呢,我们可以看一下,通过vr移植来去查找这个els的一个文字,可定程序所知所在的一个目录对吧,他是在这个bl s的一个目录下面对吧。
然后的话就当前的话,当前是一个普通用户对吧,普通用户的话,它去执行iosp的话,它是会在这个目录下面去进行一个查找,那么这个目录的话他是怎么去找到的呢,就在这个呃path环境变量当中去找到的对吧。
他要去一个一个目录去检索紧锁,紧锁这一个目录下面,它是否能够去执行这样的一个ios命令对吧,以及是否有这样的一个命令,好的话,直到找到在这边啊这个bin目录对吧,他找到这个病目录下面的话。
这个目录下面正好有一个ios的一个命令,然后的话他有权限去执行,然后的话他执行之后的话,他就会呃返回结果给我们对吧,就是这样子的一个就是你去执行命令的话,他有这样子的一个过程。
然后的话还有就是这个s u s u d的一个权限,这个s a d的话是一个特殊的一个权限啊,我这边要通过这样子的三句话啊,就是大概的说一下这个su id权限的一个作用。
就是呃我们的这个su id权限的话,它就是启动为进程之后,它进程的一个属组为源程序文件的一个属组,我们这边的一个数组的话,就是我们知道我们的一个权限,象比如说note root root对吧。
就是这个文件它是呃它的一个属组,就这个,然后这个的话是它的一个所有组对吧,然后的话如果这个程序它是一个呃,s u d的一个权限的话,它执行的话它的一个这个进程的一个属组,也就是说他这个进程的话。
它是同样的是这个note的一个权限,它是属于这个note的这个用户的是吧,然后的话这个权限的话,它只能作用在二进制程序上面,就是只能去作用在我们的这种可执行程序了啊,其实我前面说的话,不是说目录啊。
就是这种可执行程序啊对吧,然后的话呃它是不能作用在脚本上,而且就是你也不能设置在目录上面,它是没有意义的,就你只能作用在这种二进制可执行程序上面去,好啊,执行su id程序的时候。
这个用户将继承执行程序的所有者的一个权限,就是说我们的一个sd的一个程序对吧,就是有这样子的一个s a d权限的,这样一个程序,它是一个note的一个数组对吧,就是这个程序的话。
它是属于一个root用户的是吧,然后的话在这一个用户,他去执行这样子的一个程序的话,那么它的这个执行这个程序,执行这一个程序的一个用户啊,他会去继承这边的这个文件。
这个可执行程序所有者的这样子的一个权限,也就是这边所说的一个root,像我们这边的一个数组的话,其实就是这个可可执行程序的一个所有者嘛,对吧,那么呃这个权限的话,我们如何去进行一个利用的。
就是说我们如何去利用它来去进行一个提前,在这边的话呃,首先的话就是呃我们需要去找到这样子的一个,拥有sd这种特殊权限的这样子的一个文件,在这的话我们可以通过这个方案的命令,来进行一个查找。
这边的话其实前面也介绍了对吧,就去查找这样子的可执行的文件,还有文件夹对吧,然后在这边的话就是放的干,就在根目录下面去查找它的一个权限,是这样子的一个干优,就是它的一个优者是有这样子的一个s i d的。
s u d的这样子一个权限的,以及它的一个呃类型上是文件对吧,就不是说目录,因为你目录的话,它是没有这样子一个sd的一个权限的是吧,而且没有e,然后的话呃把错误的一个输出把它置为空。
好我们通过这样子一个命令的话就能够去查找,就是说在当前系统下面啊,有这样子的一个s u d权限的,这样子的一个文件对吧,然后我们通过执行之后的话,在这边有找到这样子的一些程序对吧,可以看到在这边的话。
有这样子的一个shell的一个文件,这个文件的话它正好是有一个sd的一个权限,然后我们当前它是在我们的一个普通用户的一,个目录下面对吧,就这个卡里的一个目录呃,这个话是我做的一个这样子的一个场景。
就是为了给大家讲解就演示的一个场景,然后这边的话是一个这样子的,一个可执行的一个二进制程序的,我们找到这个程序之后的话,去执行它,执行执行它之后的话,它返回那个结果的话是这样子的一个东西。
然后其实大家熟悉的话,就是这边它执行的一个结果,它其实就是我们执行ps的一个命令的一个结果,对吧,就执行一个ps命令的一个结果,我们呃我这边的话,以我这边的这个机器为例,嗯我这边已经切到阿里用户。
就我当前的是一个卡点用对吧,一个普通用户,然后我通过这样子的一个命令,来去查找拥有s u i d权限的,这样子的一些程序啊对吧,然后我们就可以看到这边有s u嗯,嗯没错,应该没有这样子的石油。
还有而c h s h等等的这样子一些变量,amount这样子的一些命令啊,然后这些的话都是比较常见的,然后在这里的话有这样子的一个程序,嗯我们可以通过l l来去查看这样子的。
像比如说我以这个su这个命令为例对吧,你通过哦我去查看这一个程序,你会在这边可以看到它有这样子的一个,本来正常的话是rw x对吧,然后他在这边的这个u的user,也就是呃属组的这样子的一个权限。
上面的话有一个s的一个权限,然后这边的话,其实就是他那个s u d的一个权限,也就是这个程序的话,它是呃有s u d的一个权限,然后我们在这边的话去执行这个s u i d的话,去执行这个su命令的话。
那么它是一个note的一个权限,然后在这边的话,我们找到有一个比较特殊的这样子的一个文件,就是这个这个对吧,它同样的也具有一个s u d的一个权限,然后我们执行执行它,执行它之后的话,他返回了一个结果。
他是跟我们就执行ps之后的一个结果,它其实是一样的,而这边的一个区不同的一个点的话,就是不一样的,就是我这边对吧,我这边因为是一个普通的一个卡里用户,然后你之前p的话,它只是列出了你当前的。
就我当前还是一个半对吧,然后去就是列出当前我所在的一个p t y,然后这边的话执行对一个需要的话,因为他是s ud的一个权限,然后的话他这个文件它的所有者是root啊,其实执行这一个的话。
它是一个root的一个权限去执行的,也就是他这边我们可以看到他这边的话,他执行的一个内容,结果的话是比我们多的对吧,像包括su,因为我们刚刚的话是通过su来去得到的,来切换到了这样的一个看你的对吧。
所以的话他同样的有这样子的一个,有这样子的一个pad,以及有bash,然后的话,我们怎么去利用它呢,就是说他这边的话,它我们可以看到这个程序它的一个功能,它的一个功能的话。
它其实就是去执行一个ps的一个命令,但是的话因为他这边执行的话,我当前的话执行ps,它其其实是以我当前的一个,普通用户去执行的对吧,但他这边的话它有s u d的一个权限的话。
它能够去继承这边的一个loss的一个权限,来去执行这样的一个ps的一个命令对吧,所以的话它它是其实是以一个root的一,个权限去执行的,但是我在这边的话,我去执行这个程序的话,是一个普通用户啊。
就是我当前是一个普通用户,但是我这边执行的话,它虽然是一个root的一个权限的对吧,但是我们无法去啊,说我们无法去通过这样的一个可执行程序,去得到这样一个root的一个权限是吧,然后在这边的话。
我们就需要去结合我们这边讲的这样子的一个,环境变量来去做一个啊,这样子的一个利用它来去进行一个提前呃,具体的一个方法的话,就是像这样子,呃我们首先的话就我当时是一个普通货对吧。
我首先呃进入到temp目录,temp目录的话,我们写入这样子的一个啊文件,然后写的这个文件,它就是一个p的这样的一个文件,然后它这个文件里面的一个内容的话,就是bin bash,然后的话我给这一个程序。
给一个777的一个权限,因为我在tap的话,我是有权限去对它做这样子,这样子的一个操作的对吧,然后下面的话就是这里的一个重点,就是我们可以通过export来去给给我们的一个,pass变量去添加。
去加我们的这样子的一个temp,嗯去添加我们的这样子的一个,就是呃可执行程序的一个目录,就这边的一个,我这边的话是添加了,添加了一个tp的一个目录对吧,然后的话在这边的话我们都这样子。
一个pass环境变量的话就变成了这样这样子对吧,就原本的话是这样子的一个这样子的一些目录,然后我通过export,添加一个这样子的一个环境变量,把这个tp目录把它给添加到添加进去了对吧。
然后这边添加添加进去的一个意思是什么呢,就是说比如说我这边要去执行ios的一个命令,对吧,我这边执行l s的一个命令,那么他首先他会去,他会去一个一个目录去找对吧,那么他我这边添加进去之后的话。
他会去在这个top目录,他去查找,是不是有这样的ios的一个可执行程序是吧,然后的话如果有的话,他就会去执行,然后如果没有的话,他就会一次的去查找对吧,那么下面的话我们呃再去执行这样子的一个。
就是说再去执行这边的一个shell,我们这边的话当前的话是一个普通用户对吧,我去执行这样子的一个shell这个命令,我这边执行之后的话,它是一个root权限去执行的一个p对吧。
那么他在这边去执行这个ps的时候,他怎么去找到这样子的一个ps的一个命令,它同样的也是去环境变量当中去查找。
所以的话他同样会走这样子的一个过程,就是走这边环境变量它会去这一个目录,它当中去查找,是不是有这样的一个ps的一个命令对吧,如果有的话,他就会去执行它,然后在这边的话。
我们在tap录下面有添加了这样的一个p的,这样的一个呃文件对吧,然后他正好的话找到了它,就在tap目录下面找到有这样一个ps文件,然后的话他就会去执行这个ps文件,然后执行这个ps文件的话。
这个文件里面的内容是一个bin bash,也就是他执行之后的话。
他会去有得到这样子的一个啊bash对吧,我直接我直接执行bash的话,就进入到了bash了是吧,我ist那就退出了当前的那个bash是。
然后在这边的话就是呃可能就是正常的话对吧,你如果没有这样子的一个,s u a e的一个权限的话,你只你正常的,你就算去添加这样子的环境变量对吧,你添加这个环境变量之后的话。
你在当前你去执行这样一个ps命令,他去找到这样的一个目录,你得到这个bin bench,它其实也是一个你当前用户的一个权限。
的一个bash,就像我在这边去执行的这样子的对吧。
我这边执行之后的话,我还是要看你的一个权限,然后在这边的话就是不同的一个点的话,就是这边的这一个啊程序这边的这个小程序,它是有一个s u d的一个权限,也就是我这边执行这个sd的话,他会去查找目录。
下面,他是不是有这样子一个ps的,这样子的一个命令对吧,然后的话他找到这个tap目录,找到这个tap目录,找到这边的一个ps文件,他会去执行这个bbh,然后这边执行边半血的时候的话,大家回过头来看一下。
这边就是他在去执行这样子的一个,s u d权限的时候,就这个用户他会去啊,继承这个程序的一个所有者的一个权限,也就是啊以及这边就是启动为进程之后对吧,就你执行这个ps命令之后的话,它同样有一个进程对吧。
然后这个进程它的一个属组,是云程序程序的一个数组,也就是它是一个note的一个权限,就呃总结的来说的话,就是我这边执行在执行之后,执行这个命令之后的话,它会以一个root的一个权限去执行这边的一个ps。
里面的一个内容,也就是这个bbs,所以的话我们最后的话就能够去得到这样子的,一个root的一个bash,因为执行这边的这个batch的这个进程的话,它会继承这边的这个root的权限。
所以的话我们就能够去得到这样子的一个,root的一个群,root的一个shell,也就是达到了这样子的一个期权的一个目的。
我们啊实际的来看一下呃,我这边的话我先到探索目录对吧,呃我这边的话写一个这样子的一个,文件,把我们的一个ps文件当中对吧,然后其实呃我们给他一个提取器的一个权限,然后我这边去执行这个ps对吧。
其实执行这个ps的话,你就是执行了一个这样子的一个b型嘛对吧,我可以exist,exist之后的话就退出了当前的一个bush是吧,呃可能这样子不是很明显,我这边改一下吧,我改成s h。
啊我这边执行这一个ps,执行之后的话就得到了一个s h对吧,这边当前的话是一个s h,我这边一个exist k掉,但是的话我我当前它是一个普通用户对吧,我一个普通用户,我去执行的话。
它还是一个普通用户的一个需要,那么我当前的一个pass的一个环境变量,我们可以来看一下,是这样子的一个啊记录记录的一个值对吧,然后在这边的话,我们可以通过export来去添加这样子的一个。
去更改我们这边的一个环境变量的一个值,呃,啊其实这边的话就是好更改了这样子的一个,pass的一个环境变量对吧,为这一串,这边的这一串的话,就是其实就是前面的这一串嘛对吧,然后在这一串前面的话。
我们加了这样的一个temp,以一个冒号做一个风格,其实就是在这一串前面加了这样的一个temp,冒号也就是添加这样子一个tap目录嘛对吧。
看一下应该没写错吧。
没错,然后我再echo一下环境变量,然后它就变成了这样子对吧,变成了这样子,那么我当前我去执行ps对吧,你会发现你会发现我进入到的是一个呃share对吧,我当前执行我执行ps。
我进入到了一个s h的一个线是吧,它不是它不是像我之前去执行一个嗯,不是像我之前对吧,我直接执行的话,它是一个返回这样子的一个内容,然后我在这边的话,我之前的话就得到了一个s h的一个线。
但是我这边得了一个s h cl的话,是一个普通用户的,其实其实就是我这边执行命令的话,他在这个tap下面去找到了这个文件对吧,然后的话执行了,然后在这边的话,就是我们结合这边我发现的这一个。
这个拥有s u i d权限的这个程序对吧,那么我在这边去执行之后,你会发现我这边执行之后的话,它同样的进入到这样子的一个s h的一个线,但是不同的话是我这边执行挂卖,你会发现的话。
我这边是一个root的权限,就不是像前面这边是一个呃,当前的一个卡里的一个普通权限是吧,快快滴,我这边呢就得到了这样子的一个root的一个权限。
呃也就是通过这样子的一个方法,达到了这样子的一个提前的一个目的,就利用利用的是这样子的,他的这个s u a d的这样子的一个权限,以及结合我们这边的一个bash的一个环境变量,就是整好的话。
他的这个u s e d权限的这个程序对吧,就是他想要让普通用户,那普通用户也能够去执行,就是root用户的这样子的一个命令对吧,就是他写了这样子的一个啊可执行程序的一个,就是二进制的一个程序对吧。
就是它其实它原本的目的,是想要让普通用户去执行这样子的一个卸载,之后的话,能够以note用户对一个权限,去执行对应的一个命令,然后的话他在这边的话,就存在这样子的一个问题。
我们可以利用它得一个s u d的一个权限,以及结合我们这边的一个环境变量。
来达到一个提前的一个目的,这边的话就是呃一个环境变量提权的一个例子,以及呃第四个的话就是密码哈。
希密码哈希的话其实呃我们就刚开始讲。
就说提权的时候就有提到,就是通过密码的一个方法。
来去进行一个提权对吧,就密码的一个方式,账号密码的一个方式提取是最直接,最简单直接的一个方法是,如果你知道了对应的一个而用户的一个密码,那么你就能够去得到它对应的一个权限了是吧。
然后在这边的话就是呃介绍就介绍一下密码哈,希其实就是这样子的两个文件,就这一个etc的一个password,以及这边的一个etc需要的一个两个文件,呃,这个的话就是前面已经比较详细的有介绍了。
我这边话我就不多说了,就前面在讲那个linux的一个信息收集的时候对吧,去收集我们的这样的一个用户的一个信息,就有有给大家介绍是吧,然后这边的话呃我就大概的说一下,就是这两个文件它的一个特点。
就是这个etc的一个password的话,它是所有用户都可以去查看的,然后它是存储着所有用户的一个信息,每一行的话它代表一个用户,我们可以。
比如在这边是吧,我cat etc password开了之后的话,在这边的话他就有这么多的一些内容对吧,他这边的话都是存储在用户的一个信息,每一行的话代表着一个用户,然后呃每一行他的每一行。
它所存储的这样子的一个啊内容代表什么,意思的话,就是我这边写的,我这边的话我就不说了呀,前面已经有介绍过了,是吧啊啊,第二个的话就是这个etc shader这个文件的话。
它是只有root用户能够去查看它保存加密后的,一个密码和用户相关密码的一个信息,然后同样的也是每个用户一行,好,然后的话就是,然后的话就是我们如何去进行一个,就是说啊去进行一个利用,利用它呢。
就是呃我们原本的话就是我前面有说对吧,就是etc password这个文件的话,它里面它是不存在,就是它没有存放我们的这样子的一个啊,密码的一个哈希值的,就是说它的一个密码的哈希值我们可以看一下。
像root对吧,然后后面的话有这样子的一个x,这样子的一个就是占位符,这个x的话就是表示的就是密码的一个哈希值,它这边x的话,它呃,他原本的话是存放着这个密码,这个用户对应的一个密码的哈希值。
但是后面的话就是啊为了安全的一个考虑,因为这个文件的话,是所有用户都能够去查看的对吧,那么如果你得到了一个普通用户的权限,然后的话你查看这个文件的话,那么你就能够去得到它对应的一个哈希值对吧。
那么你得到它的一个哈希值的话,也可以去尝试做一个解密,就是有可能能够去解密出来,它的一个铭文的一个密码,对吧,然后的话呃它实际的话实际它的一个密码的,卡西的话,它是存储在这样的一个。
sha的一个文件当中对吧,那么在这边的话,我们通常的话也会去查看这样子的两个文件。
就是这一个啊password以及shasha这两个文件对吧,然后通常的话你想要去验证就是你的一个用户,他是不是有root权限的话,就是呃就是我这边的话就最简单的一个方法。
就是你去cat一下那个sha这个文件对吧,如果你能够去查看的话,那么你就是一个root的用户吧,以及你可以去cd一下root的一个目录是吧,然后呃在这边的话,在这边的话,我们因为我们是一个普通用户对吧。
我们可以去有权限去查看这样子的一个啊,etc的一个password,那么我们在这边的话,我们呃以这个,掉了。
以这边的这一个法鸡为例。
一些对这次,啊你你可以发现就是对吧,原版的话它是2。3。1的这样子的一个版本,然后你过一会的话,它会自动的去升级到2。4。7的,这样的一个版本,可以的话,我如果我现在我再去进行一个利用的话。
是利用不成功呀,这点的话大家要注意,然后在这边的话,我以这个榜机为例对吧,我们去收集他的一个e tc的pass word的一个信息,其实如果你用脚本的话,就是用我们前面的那个信息,收集的一个脚本的话。
也同样的能够去就发现啊,呃以及在那个脚本当中的话,它还会有呃啊关掉了。
就是你去认真看,你在这个板子上面,你去执行那个脚本的话,它会就列出来,就是像比如说在这边对吧,我这边查看这个etc password这个目录,然后我去查看这边有的,这样是指的一些用户对吧。
然后像比如说在这边就有一个这样子的,一个用户对吧,这个用户的话可以看到跟前面这些的话,它有不同的一个地方,就是在这边原本第二位它是一个呃,就是正常的话是一个普通的。
正常的话是一个x的这样子一个占位符对吧,就他那个密码哈,希它不会在这边的,然后在这边的话它是他的一个密码哈,希就是写在了这边,以及他它有这样子的一个特点,就是它是一个root的权限。
我们可以看到它的这边的一个ui d及gg,的话是为零,前面的话有讲,就是你只有root用户的话,他那个ui d以及gd他才是为零,也就是如果你的一个用户,你的一个ui d j i d为零的话。
那么你的一个权限它就是一个note的一个权限呃,呃就linux它会通过这样子的一个呃,u i d j i d来去标识来去,就是就是来去标识你嘛对吧,就是能够通过这边的这个内容,来去判断你的一个权限。
然后在这边的话它那个哈希值的话是这边。
那么我们得到它的一个哈希值对吧,我当你是个普通用户,我都能够去看到的,我可以去对他一个哈希值尝试做一个解密,是,这边的话要付费呃,我通常的话是就是用这两个就是cmd 5,还有这个sm d5 。
就其实呃挺多时候的话。
这个sm d5 要还要好用一些,当然的话你这边的话,你要是呃你付钱的话,那那么肯定这个要好用一些啊,这个的话然后这边这个的话是这个sm d5 的话,它是免费的嘛,就不用钱,而且就是能查出来的东西的话。
也是跟这边的话呃,我个人感觉还是差别不大,然后这句话我们就解除了他的账号密码对吧。
就这个,那么我们就可以通过su来切换到这样子的一个,ios e c,这样子的一个用户对吧,呃它的一个小它是变s h,所以是这样子的啊,我们可以执行一下换麦,可以看到当前的话是一个root的用户。
这是这就是通过这样子的一个呃,密码哈希的一个方法,就他那个密码哈希的话,它是存储在这样子的一个呃文件当中,然后其实呃我们在linux当中对吧,我们想要去添加这样子的一个,后门的一个账号对吧。
然后想得到一个root的一个用户,然后的话你牛这样子的一个,你可以去留这样子的,通过这样子的一个方法,就是给这一个普通用户,给一个ui d j i d为零,你就能够去得到这样子的一个root的一个账号。
呃以上的话就是我们本节课的一个所有内容呃,最后这边的话就是呃两个提前的一个实验,就包括这个呃暂留的一个提前实验,以及这一个无关图的一个,本地提权的一个实验啊,给大家做一个课后作业。
以及啊还有的话就是啊同样的ppt上面的内容啊,大家自己动手去做一下,然后呃就扣住的话就是两个嘛,就是这两个实验以及ppt的一个内容。
大家自己动手去操作好吧。
然而大家有没有什么疑问,呃今天的话今天的话呃,因为喉咙确实有点难受啊,以及有点咳嗽,就我个人感觉今天确实没讲好,就大家就我自己都讲的有点难,我自己都觉得讲的不是很好啊。
今天这边的话唉喉咙确实有点有点难受,讲话都有点就是卡着对吧,就是呃希望大家尽量好吧,这边的话说声抱歉吧,应该呃今天的内容的话,今天内容的话不是很多,我这个,我就是咳嗽而已,咳嗽而已。
去年去年这个时候也是好像也是,然后喉咙哑的话是哇确实这样子,连续给大家讲课有点顶不住啊,主要一讲没得填,一讲讲一两个小时,好呃,有问题的话在讨论区扣一,没问题的话扣二吧。
打的哦应该是没有问题的,然后pp话已经发给大家好吧,那么没没有问题的话,那么我们下课吧好吧。
