【THM-课程内容】:Jr Penetration Tester-Privilege Escalation-Linux Privilege Escalation-Enumeration

Task3枚举一旦进入任何系统枚举就是你必须采取的第一步。你可能是通过利用关键漏洞获得root级权限或是仅用低权限账户发送命令。与CTF靶机不同渗透测试任务不会在获得特定系统或用户权限后就结束。你会发现枚举在后渗透阶段与前期同样重要。hostnamehostname命令将返回目标计算机的主机名。虽然此值可以很容易地更改或具有相对无意义的字符串例如Ubuntu-3487340239但在某些情况下它可以提供有关目标系统在公司网络中的角色的信息例如生产SQL服务器的SQL-PROD-01。uname -a将打印系统信息为我们提供有关系统使用的内核的更多详细信息。在搜索可能导致特权升级的任何潜在内核漏洞时这将非常有用。/proc/versionproc文件系统procfs提供有关目标系统进程的信息。您将在许多不同的Linux版本上找到proc使其成为您武器库中必不可少的工具。查看/proc/version可能会为您提供有关内核版本的信息和其他数据例如是否安装了编译器例如GCC。/etc/issue系统也可以通过查看/etc/issue文件来识别。此文件通常包含有关操作系统的一些信息但可以很容易地进行自定义或更改。在这个主题上任何包含系统信息的文件都可以定制或更改。为了更清楚地了解这个系统最好看看所有这些。ps 命令ps命令是查看Linux系统上正在运行的进程的有效方法。在终端上键入ps将显示当前shell的进程。ps进程状态的输出将显示以下内容PID进程ID进程唯一TTY用户使用的终端类型时间进程使用的CPU时间量这不是该进程运行的时间CMD正在运行的命令或可执行文件不会显示任何命令行参数“ps”命令提供了一些有用的选项。ps -A查看所有正在运行的进程ps axjf查看进程树在下面运行ps axjf之前请查看树的结构ps aux辅助选项将显示所有用户的进程a显示启动进程的用户u并显示未连接到终端的进程x。查看ps aux命令输出我们可以更好地了解系统和潜在漏洞。envenv命令将显示环境变量。PATH变量可能有一个编译器或脚本语言例如Python可用于在目标系统上运行代码或用于特权升级。sudo -l目标系统可以被配置为允许用户以root权限运行一些或所有命令。sudo -l命令可用于列出用户可以使用sudo运行的所有命令。lsLinux中常用的命令之一可能是ls。在查找潜在的特权升级向量时请记住始终使用ls命令和-la参数。下面的示例显示了如何使用ls或ls -l命令很容易错过“secret.txt”文件。idid命令将提供用户权限级别和组成员资格的总体概述。值得记住的是id命令也可以用于为另一个用户获取相同的信息如下所示。/etc/passwd读取/etc/passwd文件可以很容易地发现系统上的用户。虽然输出可能很长有点吓人但它可以很容易地被剪切并转换为暴力攻击的有用列表。请记住这将返回所有用户其中一些是系统或服务用户它们不是很有用。另一种方法可能是grep for“home”因为真实用户很可能将他们的文件夹放在“home”目录下。history使用history命令查看早期的命令可以让我们对目标系统有一些了解尽管很少但可以存储密码或用户名等信息。ifconfig目标系统可能是另一个网络的枢轴点。ifconfig命令将为我们提供有关系统网络接口的信息。下面的示例显示目标系统有三个接口eth0、tun0和tun1。我们的攻击机器可以到达eth0接口但不能直接访问其他两个网络。这可以通过使用ip route命令查看存在哪些网络路由来确认。netstat在对现有接口和网络路由进行初步检查后值得研究现有的通信。netstat命令可以与几个不同的选项一起使用以收集有关现有连接的信息。netstat -a显示所有侦听端口和已建立的连接。netstat -at或netstat -au也可以分别用于列出TCP或UDP协议。netstat -l列出处于“侦听”模式的端口。这些端口已打开并准备好接受传入连接。这可以与“t”选项一起使用仅列出使用TCP协议监听的端口如下netstat -s按协议列出网络使用统计信息如下这也可以与-t或-u选项一起使用以将输出限制为特定协议。netstat -tp列出具有服务名称和PID信息的连接。这也可以与-l选项一起使用以列出侦听端口如下我们可以看到“PID/程序名称”列为空因为此进程由另一个用户拥有。下面是以root权限运行的相同命令显示此信息为2641/ncnetcatnetstat-i显示接口统计信息。我们在下面看到“eth0”和“tun0”比“tun1”更活跃。您可能在博客文章、文章和课程中最常看到的netstat用法是netstat-ano可以细分如下-a 显示所有sockets-n 不解析名称-o 显示计时器find命令在目标系统中搜索重要信息和潜在的特权升级向量可能是富有成效的。内置的“find”命令很有用值得保存在你的武器库中。下面是“find”命令的一些有用示例。查找文件find . -name flag1.txt在当前目录中查找名为“flag1.txt”的文件find /home -name flag1.txt在/home目录中查找文件名“flag1.txt”find / -type d -name config在“/”下查找名为config的目录find / -type f -perm 0777查找具有777权限的文件所有用户都可以读取、写入和执行的文件find / -perm ax查找可执行文件find /home -user frank在“/home”下查找用户“frank”的所有文件find / -m time 10查找过去10天内修改过的文件find / -a time 10查找过去10天内访问过的文件find / -c min -60查找过去一小时60分钟内更改的文件find / -a min -60查找过去一小时60分钟内访问的文件find / -size 50M查找大小为50MB的文件此命令还可以与和-符号一起使用以指定大于或小于给定大小的文件。上面的示例返回大于100 MB的文件。值得注意的是“find”命令往往会产生错误有时会使输出难以读取。这就是为什么明智的做法是使用带有“-type f 2/dev/null”的“find”命令将错误重定向到“/dev/null”并获得更清晰的输出如下。可写入或执行的文件夹和文件find / -writable -type d 2/dev/null查找全球可写文件夹find / -perm -222 -type d 2/dev/null查找全球可写文件夹find / -perm -o w -type d 2/dev/null查找全球可写文件夹我们看到三个不同的“查找”命令可能导致相同结果的原因可以在手册文档中看到。正如您在下面看到的perm参数会影响“find”的工作方式。find / -perm -o x -type d 2/dev/null查找全球可执行文件夹查找开发工具和支持的语言find / -name perl*find / -name python*find / -name gcc*查找特定文件权限下面是一个简短的示例用于查找设置了SUID位的文件。SUID位允许文件以拥有它的帐户的权限级别运行而不是运行它的帐户。这允许一个有趣的权限升级路径我们将在任务6中看到更多细节。下面的示例用于完成“find”命令的主题。find / -perm -us -type f 2/dev/null查找具有SUID位的文件这允许我们以比当前用户更高的权限级别运行文件。通用Linux命令由于我们在Linux领域熟悉Linux命令通常会非常有用。请花些时间熟悉find、locate、grep、cut、sort等命令。